本文并沒有系統(tǒng)的去講如何全面安全的配置IIS服務器，我們只是在文章總對IIS服務器建立SSL安全機制的知識進行了詳細的講解，通過學習這部分，對我們保護IIS服務器有很大的意義。

IIS服務器的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應方式外，還有一種安全性更高的認證，就是通過SSL(Security Socket Layer)安全機制使用數(shù)字證書。SSL(加密套接字協(xié)議層)位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。

SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應的私人密鑰。

使用SSL安全機制時，首先客戶端與IIS服務器建立連接，IIS服務器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網絡上傳遞給服務器，而會話密鑰只有在服務器端用私人密鑰才能解密，這樣，客戶端和服務器端就建立了一個惟一的安全通道。

建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，輸入https:// ，而不是http://。

簡單的說默認情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的，所有的消息全部都是以明文形式在網絡上傳送的，惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務器之間的通訊內容。

這點危害在一些企業(yè)內部網絡中尤其比較大，對于使用HUB的企業(yè)內網來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網絡中的活動，對于使用交換機來組網的網絡來說雖然安全威脅性要小很多。

但很多時候還是會有安全突破口，比如沒有更改交換機的默認用戶和口令，被人上去把自己的網絡接口設置為偵聽口，依然可以監(jiān)視整個網絡的所有活動。

所以全面加密整個網絡傳輸隧道的確是個很好的安全措施，很可惜的是現(xiàn)在網絡上有關于具體給IIS服務器配置SSL的文章并不是很多，我簡單的摸索了下把我的經驗拿出來給大家分享。

【編輯推薦】

1. 找出IIS服務器隱藏網站的方法
2. 學習IIS 7.0模塊化 Web 服務器知識
3. 如何在IIS服務器上建立隱藏網站
4. 微軟瞄準Apache IIS7.0向開源張開雙臂
5. IIS 7.0 Web 服務器如此大的差異的主要原因