构建安全的Xml Web Service系列(三)

【 tulaoshi.com - Web开发 】

　　首先介绍一下SSL, SSL 的英文全称是 "Secure Sockets Layer" ，中文名为 "安全套接层协议层 "，它是网景( Netscape )公司提出的基于 WEB 应用的安全协议。SSL协议可分为两层： SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL是Security Socket Layer的缩写，技术上称为安全套接字，可以简单为加密通讯协议，使用SSL可以对通讯(包括电子邮件)内容进行高强度的加密，以防止黑客监听您的通讯内容甚至是用户密码。

　　那么在Xml Web Service上使用SSL有何意义呢？Xml Web Service传输的数据是Xml格式的，Xml是一种明文，而传输层通过tcp/ip来传输，而tcp/ip的传输可能被非法监听，黑客可以轻易的将Xml数据解析出来，截获信息甚至篡改数据，这样就造成了Xml Web Service在数据传输中是很不安全的。利用SSL可以将原本的Xml经过高强度的加密，从而有效的防止数据在传输过程中被非法截获和篡改。

　　下面讲下如何在Xml Web Service上使用SSL，使用SSL需要一个数字证书，这个证书您可以通过商业购买也可以使用自己CA产生的证书，只是需要一些额外的工作而已。通常情况下，您的网络服务用于单位之间的合作接口的话，用自己的CA产生的证书就完全就可以了，但象银行这样的金融机构，他们的用户群比较大，最好还是购买证书。本文只阐述如何使用自己的CA产生SSL证书。

　　1. 安装证书颁发机构

　　windows 2003 标准版和服务器版都是自带证书颁发机构的组件的，但是默认不安装，要申请证书，必须安装证书颁发机构组件，安装方法：

　　打开控制面板-添加/删除程序，选择添加/删除windows组件，插入windows的安装光盘，选择“证书服务”，然后一路下一步即可。安装成功之后，便可以进入下一步的申请SSL证书。

　　2.申请SSL证书

　　要想为Web Service设置SSL,必须将Web Service设置为网站，而不能是虚拟目录。

　　首先，打开IIS，右键单击web service所在网站 ，点击目录安全性，在安全通讯中选择“服务器证书”，点 击下一步，选择”新建证书“，点击下一步，然后选择”现在准备证书请求，但稍后发送“，点击下一步，输入一个任意的证书名称，位长选择默认的1024即可，长度越长保密性越好，但性能越差。单击下一步，输入单位和部门，单击下一步，出现如下界面：

　　注意：公共名称必须填写为访问站点的域名，如：要想用下面的地址访问Web Service，https://192.168.1.179/..,则此处必须填写"192.168.1.179”，否则将提示使用了不安全的证书，导致站点无法访问。将此步骤设置好以后，一路next即可。

　　在IE地址栏上输入“http://localhost/certsrv/default.asp”,在出现的网页中，选择“申请一个证书”，进入到下一个页面，选择“高级证书申请”，在下页中选择“使用Base64编码的的CMC或PKCS#10文件提交一个证书申请，或使用一个PKCS#7文件续订一个证书申请”，在下页中，输入在上一步中生成文件中base64代码，保存的属性可以为空，一路next即可。

　　接下来需要作的的工作通过证书颁发机构，颁发刚才申请的证书，单击开始-管理工具-证书颁发机构，选挂起的的申请，在刚才申请的证书上点击右键，选择颁发，然后选择颁发的证书，点击刚才颁发的证书，选择详细信息，点击“复制到文件”，一路next下去就可以了，将证书保存到一个文件中。

　　接下来，回到IIS设置中，在网络服务的站点上，再次点击服务器证书，选择“处理挂起的请求并安装”证书，选择刚才导出的证书文件，下一步即可。安装好证书后，点击目录安全性下-安全通讯-编辑，将“要求安全通道(SSL)"勾选上。这样就完成了SSL设置，注意勾选上SSL后，必须用https来访问，而访问网站的端口也会使用SSL端口，默认为443，如果在您访问站点的过程中出现无法正常访问的问题，请检查服务器防火墙是否禁止对SSl端口443的访问，这点比较容易被忽视。还有一点，因为是自己CA产生的证书，如果要让其他人能通过https访问网络服务，需要作额外的一点工作 ，将CA的根证书导入到客户端证书的可信任机构中,客户端就可以正常访问网络服务了。