引:在完成把IIS 从Windows NT 4.0 迁移到Windows Server 2003 后,还需要迁移对原来的Web站点内容和配置的设置。然而,更重要的是,还需要在目标服务器上配置IIS 6.0 特性,使得Web 站点像迁移之前一样运行。这里面有许多工作要做。例如,需要把一些Web服务器的功能激活,从源服务器导入服务器的证书,把网页的用户和规则迁移到目标服务器等等。此
外,还需要对目标服务器做进一步的配置,从而充分利用IIS 6.0 在安全和可用性等方面增强了的功能。本文讨论主要的配置工作。
配置Web 扩展
许多基于IIS 6.0 的Web 站点产生动态的内容,这样扩展了站点的功能,远远超出了静态Web 网页的能力。为了提供动态的内容和其他增强的功能,需要有特殊类型的代码。ASP就是其中之一。它为Web服务扩展提供了所需的代码。
一般情况下,在安装了IIS 6.0之后,在默认状态下,所有的Web 服务扩展都没有被激活。所以IIS 服务仅仅可以提供静态的内容。如果采用特殊的方法安装IIS 6.0,例如使用“管理用户服务器(Manage Your Server)”,也许配置后情况有所不同。
从安全的角度考虑,用户可以在IIS 6.0 中激活个别的Web服务扩展。可是,如果把所有的Web服务扩展都激活了,将使系统面临极大的安全风险。因为有些IIS功能您的服务器并不需要,但是却使得系统更加容易遭受攻击。
要在Web 服务器上配置Web 服务扩展,需要激活预先定义的Web 服务扩展。
下面介绍如何配置Web 服务扩展。
(1)在IIS管理中,双击本地计算机,然后点击“Web Service Extensions”。
(2)点击需要激活的Web服务扩展,或者需要关闭的Web 服务扩展。
(3)要激活已经关闭的Web服务扩展,点击“Allow”。
(4 )要关闭已经激活的Web 服务扩展,点击 “Prohibit”。
(5)点击“OK”关闭Web 服务扩展。
(6)在激活适当的Web服务扩展后,在客户端的计算机上使用Web 浏览器验证服务器上Web 网站的功能是否正常。
迁移服务器证书
如果需要采用安全套接层(SSL)对Web服务器端和客户端之间交换的重要信息进行加密,那么在升级系统服务器的同时,还必须把服务器的证书从源服务器迁移到目标服务器,在目标服务器上安装证书,然后配置可以使用证书的Web网站。迁移服务器的SSL安全证书的具体步骤如下。
1.从Windows NT Server 4.0 导出安全证书
(1)选择“Start”*“Programs”*“Windows NT 4.0 Option Pack”*“Microsoft Internet Information Server”*“Internet Service Manager”。
(2)双击“Internet Information Server”,然后双击包含服务器证书的Web 网站的计算机名。
(3)右击包含服务器证书的Web 网站,然后点击 “Properties”。
(4)在安全通信下的目录安全页,点击“Edit”。
(5)在安全通信下,点击“Key Manager”。
(6)在“Key Manager”窗口下,双击“WWW”,然后点击需要导出的键。
(7)在“Key Manager”上,点击“Key”、“Export Key”和“Backup File”。
(8)阅读提示信息,然后点击“OK”。
(9)在目标服务器上选择一处安全的位置,保存键值,然后点击“Save”。
2.在目标服务器上增加证书
(1)在运行对话框,输入“mmc”,然后点击“OK”。这时,微软管理控制台出现。
(2)在“File”菜单,点击“Add/Remove Snap-in”。
(3)在“Standalone”表单,点击“Add”。
(4)在“Add Standalone Snap-in”列表框,选择 “Certificates”*“Add”。
(5)点击“Computer account”选项,然后点击“Next”。
(6)点击“Local computer (the computer this console is running on)”选项,然后点击“Finish”。
(7)点击“Close”*“OK”。
3.从源服务器导入服务器证书
(1)在MMC中,打开“Certificates snap-in”。
(2)控制台树中,点击逻辑存储,将从该处导入证书。证书的默认逻辑存储位于“Certificates (Local Computer)/ Personal/Certificates”文件夹的“Console Root”文件中。
(3)在“Action”菜单,点击“All Tasks”*“Import”,启动证书导入向导。点击“Next”。
(4)输入文件名,该文件包含要导入的证书,或者点击“Browse”,选择文件。
证书可以被以若干不同的文件格式存储。其中最安全的格式为12号公钥密码标准(PKCS #12),它还需要私钥配合。我们推荐使用这种各式的证书。如果证书采用PKCS #12 标准,请跳到步骤(7)。图2 显示了默认证书格式X.509v3 的证书。
如果证书文件采用PKCS #12 格式,那么请执行以下步骤:①在“Password" 对话框中,输入通过私钥加密的口令。②(可选)如果希望更加安全,选择“Enable strong private key protection”选项框。③(可选)如果需要在以后备份或传送您的私钥,选择“Mark key as exportable”选项。
(5)点击“Next”。
(6)在“Certificate Store”对话框中,做如下不同操作:①如果希望根据证书类型自动把证书存储在证书库,选择“Automatically select the certificate store based on the type of certificate”选项;②如果希望把证书存储在指定的地方,选择“Place all certificates in the following store”,点击“Browse”,然后选择合适的地方存储证书。
(7)点击“Next”,然后点击“Finish”。
在完成导入证书之后,证书所在的文件保持不变。因此,如果以后不再需要的话,可以通过IE删除这一文件。
4.指派服务器证书给Web 网站
(1)打开IIS管理器,双击本地计算机,再双击“Web Sites”文件夹。
(2)右击Web 站点,然后点击 “Properties”。
(3)选择“Secure communications” 下的“Directory Security”页面,点击 “Server Certificate”。出现图3 所示的“证书向导”,之后利用该向导完成服务器证书的指派。
(4 )在证书向导上,点击 “Assign an existing certificate”。
(5)根据向导指示一步步地操作,完成证书的安装。
安装完毕后,打开Web站点的“Properties”页,在 “Directory Security”页面下点击“View Certificate”,可以查看证书的信息。
|
