1、計算機科學與技術學院網站建設與管理Web服務器的建立題 目 Web服務器的建立 學生姓名 馮守領 學 號 2010121233 專業班級 10級科技二班 指導老師 劉 仁 山 Web服務器的建立一、建立Web工作站的原理1、web工作原理web本意是蜘蛛網和網的意思。現廣泛譯作網絡、互聯網等技術領域。表現為三種形式，即超文本（hypertext）、超媒體（hypermedia）、超文本傳輸協議（HTTP）等。 當你想進入一個網頁, 或者其他網絡資源的時候，通常你要首先在你的瀏覽器上鍵入你想訪問網頁的統一資源定位符（Uniform Resource Locator)，或者通過超鏈接方式鏈接到那個

2、網頁或網絡資源。這之后的工作首先是URL的服務器名部分，被名為域名系統的分布于全球的因特網數據庫解析，并根據解析結果決定進入哪一個IP地址(IP address)。 接下來的步驟是為所要訪問的網頁，向在那個IP地址工作的服務器發送一個HTTP請求。在通常情況下，HTML文本、圖片和構成該網頁的一切其他文件很快會被逐一請求并發送回用戶。 網絡瀏覽器接下來的工作是把HTML、CSS和其他接受到的文件所描述的內容，加上圖像、鏈接和其他必須的資源，顯示給用戶。這些就構成了你所看到的“網頁”。 大多數的網頁自身包含有超鏈接指向其他相關網頁，可能還有下載、源文獻、定義和其他網絡資源。像這樣通過超鏈接，把有

3、用的相關資源組織在一起的集合，就形成了一個所謂的信息的“網”。這個網在因特網上被方便使用，就構成了最早在1990年代初蒂姆·伯納斯-李所說的萬維網。2 、HTTP的工作原理由于HTTP協議是基于請求/響應范式的(相當于客戶機/服務器)。一個客戶機與服務器建立連接后，發送一個請求給服務器，請求方式的格式為：統一資源標識符(URL)、協議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內容。服務器接到請求后，給予相應的響應信息，其格式為一個狀態行，包括信息的協議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務器信息、實體信息和可能的內容。許多HTTP通訊是由一個用戶代

4、理初始化的并且包括一個申請在源服務器上資源的請求。最簡單的情況可能是在用戶代理和服務器之間通過一個單獨的連接來完成。在Internet上，HTTP通訊通常發生在TCP/IP連接之上。缺省端口是TCP80，但其它的端口也是可用的。但這并不預示著HTTP協議在Internet或其它網絡的其它協議之上才能完成。HTTP只預示著一個可靠的傳輸。這個過程就好像我們打電話訂貨一樣，我們可以打電話給商家，告訴他我們需要什么規格的商品，然后商家再告訴我們什么商品有貨，什么商品缺貨。這些，我們是通過電話線用電話聯系(HTTP是通過TCP/IP)，當然我們也可以通過傳真，只要商家那邊也有傳真。以上簡要介紹了HTT

5、P協議的宏觀運作方式，下面介紹一下HTTP協議的內部操作過程。在www中，“客戶”與“服務器”是一個相對的概念，只存在于一個特定的連接期間，即在某個連接中的客戶在另一個連接中可能作為服務器。基于HTTP協議的客戶/服務器模式的信息交換過程，它分四個過程：建立連接、發送請求信息、發送響應信息、關閉連接。這就好像上面的例子，我們電話訂貨的全過程。其實簡單說就是任何服務器除了包括HTML文件以外，還有一個HTTP駐留程序，用于響應用戶請求。你的瀏覽器是HTTP客戶，向服務器發送請求，當瀏覽器中輸入了一個開始文件或點擊了一個超級鏈接時，瀏覽器就向服務器發送了HTTP請求，此請求被送往由IP地址指定的U

6、RL。駐留程序接收到請求，在進行必要的操作后回送所要求的文件。在這一過程中，在網絡上發送和接收的數據已經被分成一個或多個數據包(packet)，每個數據包包括：要傳送的數據；控制信息，即告訴網絡怎樣處理數據包。TCP/IP決定了每個數據包的格式。如果事先不告訴你，你可能不會知道信息被分成用于傳輸和再重新組合起來的許多小塊。也就是說商家除了擁有商品之外，它也有一個職員在接聽你的電話，當你打電話的時候，你的聲音轉換成各種復雜的數據，通過電話線傳輸到對方的電話機，對方的電話機又把各種復雜的數據轉換成聲音，使得對方商家的職員能夠明白你的請求。這個過程你不需要明白聲音是怎么轉換成復雜的數據的。3、加/解

7、密原理Web工作站的加解密工作原理也就是PKI的工作原理。在當今高度信息化、數字化的社會里，隨著互聯網的發展和信息技術的普及，人們已經開始習慣于通過各種先進的通信手段傳遞重要的數據、圖像和話音等信息進行各種交流，網絡給人們的工作和生活帶來了前所未有的便利。同時，人們對網絡和信息的安全性提出了越來越高的要求。然而，由于互聯網所具有的廣泛性和開放性，決定了互聯網不可避免地存在著信息安全隱患。因此，信息的安全問題成為人們關注的焦點，引起了世界各國政府以及商業機構的高度重視。為了防范信息安全風險，許多新的安全技術和規范不斷的出現，公鑰基礎設施PKI(Public Key Infrastructure，

8、簡稱PKI)即是其中重要一員。 正如電子商務的基礎設施之一是網絡基礎設施，借助于網絡基礎設施可使不同的網絡節點之間互相交換數據，共享網絡資源。建立網絡基礎設施的目的就是使不同的實體只要需要，就可以方便地使用基礎設施提供的服務。安全基礎設施與網絡基礎設施遵循同樣的原則，安全基礎設施為整體應用系統提供安全基本框架，它可以被應用系統中任何需要安全應用的對象使用。因此，其在設計上必須具有一般性和通用性。只有這樣，那些需要使用這種基礎設施的對象在使用安全服務時，才不會遇到困難。PKI就是這樣一種安全基礎設施，利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。用戶可利用PKI平臺提供的服務

9、進行安全通信。 公鑰加密技術 公鑰加解密技術的結構：每個網絡用戶有兩個密鑰，稱為公鑰和私鑰。在信息的發送和接受過程中，使用一個密鑰加密，使用另一個密鑰解密，同一個用戶的兩個密鑰可以互相加解密，但這兩個密鑰相互之間很難相互推導得出。公鑰：稱為公開密鑰，可以向其他用戶公開私鑰：稱為私有密鑰，是用戶自己擁有，不能公開。二、建立IIS Web網站的過程1、IIS安裝配置IIS是Windows操作系統自帶的組件。如果在安裝操作系統的時候沒有安裝IIS，請打開“控制面板”->“添加或刪除程序”->“添加/刪除Windows組件”->應用程序服務器(如圖1)詳細信息Internet信息服務

10、(如圖2)。然后單擊“下一步”，按向導指示，完成對IIS的安裝。圖1圖2啟動Internet信息服務（IIS）。Internet信息服務簡稱為IIS，單擊Windows開始菜單-所有程序-管理工具-Internet信息服務（IIS）管理器，即可啟動“Internet信息服務”管理工具（如圖3）圖3Internet信息服務（IIS）管理器IIS安裝后，系統自動創建了一個默認的Web站點，該站點的主目錄默認為C:Inetpubwww.root。用鼠標右鍵單擊“默認Web站點”，在彈出的快捷菜單中選擇“屬性”，此時就可以打開站點屬性設置對話框，（如圖4）在該對話框中，可完成對站點的全部配置。圖4默認

11、Web站點的主目錄2、建立Web站點在Internet信息服務（IIS）管理器中點擊“網站”右鍵“新建網站”下一步(如圖5)圖5輸入網站描述“守領的網站”(如圖6)圖6輸入網站的IP“05”，默認端口號為80(如圖7)圖7輸入網站的主目錄“C:Webcaptain”圖8設置網站的訪問權限(圖9)圖93、web服務器多站點的設置方法(1)設置多端口的方法我們知道Web站點的默認端口一般為80，如果改變這一端口，就能實現在同一服務器上新增站點的目的。我用于做實驗的這臺服務器名為CAPTAIN，安裝有一塊網卡，IP地址為05，在上一步IIS的安裝配置中我已

12、經新建了一Web站點“守領的Web站點”。下面我們來增加“船長”站點（如圖10）。圖10在Internet信息服務（IIS）管理器中點擊“網站”右鍵“新建網站”下一步輸入網站描述同“守領的網站”的創建步驟相同，依次點擊下一步，將站點說明定為“船長”，IP地址選擇05，在TCP端口欄一定要將默認的80修改為其他值，如1200(如圖11)。圖11選定主目錄，設置好訪問權限，“船長”站點的設置也完成了。測試一下效果，在瀏覽器地址欄中輸入http：/、205（默認的端口號80可以省略），回車，我們將訪問到“守領的網站”站點。輸入http：/192.168.2

13、.205：1200（注意IP地址后的端口號一定不能少），則會出現“船長”站點。(2)設置多IP的方法一般情況下，一塊網卡只設置了一個IP地址。如果我們為這塊網卡綁定多個IP地址，每個IP地址對應一個Web站點，那么同樣可以實現“一機多站”的目的。點擊“開始”“設置”“網絡連接”鍵單擊“本地連接”，選擇“屬性”調出“本地連接屬性”面板，選擇“Internet協議（TCP/IP）”(如圖12)。圖12點擊“屬性”調出“Internet協議（TCP/IP）屬性”面板，點擊下方的“高級”調出“高級TCP/IP設置”面板。在IP地址欄下面列出了網卡已設定的IP地址和子網掩碼，點擊添加按鈕(如圖13)。圖

14、13在彈出的對話框中填上新的IP地址06（如圖14）。圖14注意不能與其他機器的IP地址重復），子網掩碼與原有的相同（如）。然后依次確定，就完成了多個IP地址的綁定。按照上例中的做法設置站點“守領網站”，然后我們來增加“船長”站點。在Internet信息服務（IIS）管理器中點擊“網站”右鍵“新建網站”下一步(創建步驟如上一標題中的船長站點的創建雷同)將站點說明定為“船長”，只是在IP地址選擇06(如圖15)圖15（注意不能與默認站點的IP地址相同），TCP端口保持默認的80不變，選定主目錄，設置好訪問權限，“船長”站點的設

15、置完成。分別在瀏覽器地址欄中輸入http：/05和http：/06，測試一下效果。如果您嫌通過輸入IP地址訪問站點不夠方便的話，完全可以通過設置DNS，用http：/代替http：/05來訪問“首領的網站”，用http：/代替http：/06來訪問“船長”。(3)設置虛擬目錄在Windows Server 2003系統中創建的Web網站，其中的所有內容一般都存儲在主目錄中。但隨著網站內容的不斷豐富，用戶需要把不同層次的內容組織成網站主目錄下的子目錄或虛擬目錄。在每個虛擬目錄下掛載一個站點，從而實現 “一機多

16、站”。創建虛擬目錄，虛擬目錄既可以是本地磁盤中的任何一個目錄，也可以是網絡中其他計算機中的目錄。相對而言，創建子目錄的方式更安全高效。虛擬目錄需要在主目錄的基礎上進行創建，創建步驟如下所述：第1步，在開始菜單中依次單擊“管理工具”“Internet信息服務（IIS）管理器”菜單項，打開“Internet 信息服務（IIS）管理器”窗口。在左窗格中依次展開服務器“網站”目錄，右鍵單擊Web站點名稱（如 “船長的網站”），在彈出的快捷菜單中依次選擇“新建”“虛擬目錄”命令彈出“虛擬目錄創建向導對話框”(如圖16)圖16第2步，在打開的“虛擬目錄創建向導”中單擊“下一步”按鈕，打開“虛擬目錄別名”對

17、話框。然后在“別名”編輯框中輸入一個能夠反映該虛擬目錄用途的名稱（如book），并單擊“下一步”按鈕，如圖17所示。圖17第3步，打開“網站內容目錄”對話框，在此處需要指定虛擬目錄所在的路徑。單擊“瀏覽”按鈕，在本地磁盤或網上鄰居中選擇目標目錄，虛擬目錄與網站的主目錄可以不在一個分區或物理磁盤中。依次單擊“確定”“下一步”按鈕，如圖18所示。圖18第4步，在打開的“虛擬目錄訪問權限”對話框中，可以設置該虛擬目錄準備賦予用戶的訪問權限。用戶可以根據實際需要設置合適的權限，并單擊“下一步”按鈕，如圖19圖19第5步，打開完成創建虛擬目錄對話框，單擊“完成”按鈕關閉虛擬目錄創建向導。通過上述設置，用

18、戶可以通過“(4)設置多主機頭在不更改TCP端口和IP地址的情況下，同樣可以實現“一機多站”，這里我們需要使用“主機頭名”來區分不同的站點。所謂“主機頭名”，實際上就是利用域名網址進行訪問，因此要使用“主機頭法”實現“一機多站”，就必須先進行DNS設置。在DNS中設置http：/和http：/兩個網址，將它們都指向惟一的IP地址05。按照以上兩例中的做法首先設置站點“守領的網站”，第1步，在開始菜單中依次單擊“管理工具”“Internet信息服務（IIS）管理器”菜單項，打開“Internet 信息服務（IIS）管理器”窗口。在左窗格中依次展開服務器“網站”“守領的網站”

19、 右鍵“屬性”,如圖20所示圖20第2步，在彈出的屬性對話框中點擊“高級”彈出“高級網站標識”對話框，如圖21所示圖21第3步，選中IP地址“05”點擊“編輯”彈出“添加/編輯網站標識”對話框，如22所示。然后單擊“確定”按鈕，“守領的網站”部署完畢。圖22第4步，然后參考以上例進行添加“船長”站點的操作，IP地址選擇05，TCP端口保持默認的80不變，“此站點的主機頭”一項一定要填上，然后選定主目錄，設置好訪問權限，“船長”站點的設置完成。分別在瀏覽器地址欄中輸入http：/和http：/兩個網址，測試效果。與上兩例不同的是，用“主機頭法”實現的“

20、一機多站”必須使用域名網址才能訪問。以上4種方式，可以根據具體情況選擇使用。如果服務器安裝有兩塊以上的網卡，同樣可以采用“IP地址法”為每塊網卡指定不同的IP地址，從而實現“一機多站”。三、Web服務器的安全配置1用戶驗證配置Web站點身份驗證和訪問控制第一步，在開始菜單中依次單擊“管理工具”“Internet信息服務（IIS）管理器”菜單項，打開“Internet 信息服務（IIS）管理器”窗口。在左窗格中依次展開服務器“網站”“守領的網站” 右鍵“屬性”“目錄安全性”“身份驗證和訪問控制”。如圖23所示。圖23第二步，“身份驗證和訪問控制”欄點擊“編輯”，彈出“”對話框，如圖24所示。圖2

21、4第三步，去掉勾選“啟用匿名訪問”復選框。在“用戶訪問需經過身份驗證”框中選則驗證方式。2、IP限制(1)Windows服務器限制訪問人數和限制IP如何限制同時訪問你網站的人數 第一步，在開始菜單中依次單擊“管理工具”“Internet信息服務（IIS）管理器”菜單項，打開“Internet 信息服務（IIS）管理器”窗口。在左窗格中依次展開服務器“網站”“守領的網站” 右鍵“屬性”“性能”“網站連接”。如圖25所示。圖25然后在后面的輸入框中輸入你允許的最多同時在線的人數，如“1,000”（同圖25）。設置完成后，單擊“確定”按鈕保存設置。重啟IIS服務后你的網站就只允許1,000個人同時在

22、線瀏覽了！ (2)如何限制網站的訪問流量 如果網頁內容只是普通的頁面，那么人數多一點也沒關系。但如果是下載服務器，那么對帶寬和服務器的壓力將更大，這不僅要限制網站訪問人數，也要限制網站的訪問流量。打開圖25的“屬性”對話框中，單擊“性能”標簽，單擊選中“限制網站可以使用高的網絡帶寬”選項（如圖26），圖26然后在此選項框中的“最大網絡使用”后的文本框后輸入你能承受的最大數據訪問流量，比如我們把它改成“500KB/S”，最后單擊“確定”按鈕。重新啟動IIS服務后設置就可以生效了。 (3)如何限制訪問你網站的IP地址 對于一些重要的服務器，我們并不想讓所有人都能訪問，或者將一些總是攻擊網站的用戶屏

23、蔽掉。這就需要添加限制訪問風站的IP地址了。 將網站的屬性窗口切換到“目錄安全性”標簽，這時我們可以看到“IP地址及域名限制”選項框中，通過選項框中的功能描述，可以確定我們要找的就是它了。單擊框中的“編輯”按鈕，彈出如圖27。圖27所示的對話框，我們可以看到有兩個選項：“授權訪問”和“拒絕訪問”。如果你想網站只給少部分人瀏覽，可以選擇“拒絕訪問”，如相反則選“授權訪問”項。 選中“授權訪問”，選擇此項后，我們單擊“添加”按鈕，打開如圖28所示對話框，圖28在這里我們可以將少部分不允許訪問我們的網站的IP黑名單輸入進去。這里的黑名單可以是一臺單獨的機器，或是一個網段的機器，甚至可以是一個域內的所

24、有機器。設置好后單擊“確定”按鈕，這下那些黑名單份子就不得進來了（圖29）！圖29從圖中我們也可以看到添加的IP地址的訪問設為了“被拒”，也就是“授權訪問”中的例外不允許訪問的范圍，這樣可以正確理解為什么在“授權訪問”下添加的IP地址是拒絕訪問的列表。下面再來看“拒絕訪問”，方法同“授權訪問”一樣，不過這里添加的可是“黃金賬號”啊，只有你添加的IP才能訪問你的網站哦！全部添加完畢后，一路“確定”保存設置，然后重啟IIS服務就可以生效了。3、Web加密(1)、CA的建立安裝證書(CA)服務組件要想使用SSL安全機制功能，首先必須為Windows Server 2003系統安裝證書服務1、開始 -

25、 控制面板 - 添加或刪除程序 - 添加/刪除Windows組件，按以下內容勾選并安裝安裝過程需要提供Windows Server 2003安裝光盤2、CA類型選擇獨立根CA，后面的步驟全部下一步即可3、配置CA的公用名稱及有效期限安裝完成后，單擊“開始”按鈕，選擇選擇“設置”>“控制面板”>“管理工具”，此時可在該菜單中找到“證書頒發機構”，說明CA的安裝已經完成。為網站創建證書請求文件完成了證書服務的安裝后，就可以為要使用SSL安全機制的網站創建請求證書文件1、開始 - 控制面板 - 管理工具 - Internet 信息服務(IIS)管理器展開服務器標簽，展開網站標簽，右鍵點擊

26、要使用SSL的網站，選擇"屬性"。這里使用"默認網站"切換到"目錄安全性"標簽，點擊"服務器證書"按鈕4、在"IIS證書向導"中選擇"新建證書"，下一步5、選擇"現在準備證書請求，但稍后發送"，下一步6、輸入證書的名稱及位長，下一步7、設置證書的單位信息，下一步8、設置證書的公用名稱，下一步9、設置證書的地理信息，下一步10、指定證書請求文件的導出路徑及文件名，下一步。請記好路徑及文件名，等會要用11、驗證配置，完成證書請求文件的創建(2)、CA證書的申請

27、申請服務器證書完成證書申請文件的制作之后，需要把證書申請提交給證書服務器打開IE瀏覽器，在地址欄中輸入"http:/localhost/certsrv/"打開證書服務Web管理。選擇"申請一個證書"2、選擇"高級證書申請"3、選擇"使用base64編碼的CMC或PKCS #10文件提高一個證書申請，或使用base64編碼的PKCS#7文件續訂證書申請"4、打開剛剛創建的證書申請文件"c:certreq.txt"，將其中的內容復制到“保存的申請”輸入框后點擊“提交”按鈕即可5、證書掛起，等待管理員

28、頒發證書。頒發服務器證書證書申請提交之后，我們就可以扮演管理員頒發證書給申請者了1、開始 - 設置 - 控制面板 - 管理工具 - 證書頒發機構，打開證書頒發機構對話框2、點擊"掛起的申請"，鼠標右鍵單擊申請的證書 - 所有任務 - 頒發。然后就可以在"頒發的證書"欄內看到證書了3、在"頒發的證書"內雙擊剛剛頒發的證書 - 詳細信息，然后點擊"復制到文件"按鈕，彈出證書導出向導4、連續點擊"下一步"，并在"要導出的文件"對話框中指定保存路徑和文件名，最后點擊"完成&

29、quot;。這里注意記一下證書保存的位置，等會要用到這個證書文件安裝服務器證書接下來將已經制作完成的證書安裝到Web服務器中1、開始 - 控制面板 - 管理工具 - Internet 信息服務(IIS)管理器2、展開服務器標簽，展開網站標簽，右鍵點擊要使用SSL的網站，這里使用"默認網站"3、切換到"目錄安全性"標簽，點擊"服務器證書"按鈕，彈出Web服務器證書向導4、選擇"處理掛起的請求并安裝證書"，下一步5、選擇在上一步導出的證書文件，如果上一步是默認配置，通常是*.cer文件，下一步6、指定SSL端口，默認4

30、43，下一步7、確認證書安裝，沒有問題的話就下一步完成Web服務器的證書安裝要求安全通道(SSL)服務器證書安裝完成后，需要在網站上開啟SSL1、開始 - 控制面板 - 管理工具 - Internet 信息服務(IIS)管理器2、展開服務器標簽，展開網站標簽，右鍵點擊要使用SSL的網站，選擇"屬性"。這里使用"默認網站"3、切換到"目錄安全性"標簽，點擊"安全通信"下的"編輯"按鈕4、勾選"要求安全通道(SSL)"和"要求128位加密"。客戶端證書選擇&q

31、uot;忽略客戶端證書"驗證Web SSL通信1、可以在Web主目錄中放置一個HTML文件，隨便命名，如slyar.html2、打開IE瀏覽器，在地址欄中輸入https:/localhost/slyar.html ，當然你也可以在其他電腦的IE客戶端上輸入https:/服務器IP地址或網站域名/slyar.htm來進行驗證，客戶端都是一樣的3、如果設置成功，客戶端IE會彈出如下證書確認信息4、點擊"是"之后即可成功訪問網站，同時在瀏覽器右下角看到鎖頭圖標，實驗成功完成(3)CA證書的綁定在IIS中設置網站要求使用SSL并且要求客戶端證書的設置客戶端申請安裝客戶端證

32、書Client1在客戶機上打開win2003證書服務器URL：05/certsrv，提交一個 “Web 瀏覽器證書”，姓名為“client1”。提交申請后，在win2003機器上證書頒發機構中批準頒發這個Client1證書。在客戶機上再次打開win2003機器上證書服務的URL：05/certsrv “查看掛起的證書申請的狀態”，會看到整個證書申請已被批準，并能夠被安裝。點擊安裝證書，同樣在安裝過程中會提示是否安裝Client1證書的根證書captain，選擇安裝。安裝好證書后，Client1證書就會被安裝到客戶機上，證書會被

33、安裝到證書存儲區的當前用戶存儲區中的“個人”。同時，Client1證書的根證書captain也被安裝，被安裝到了當前用戶存儲區中的 “受信任的根證書頒發機構”。l Web服務器上導入客戶端證書在IIS中要映射客戶端的證書到windows賬戶，必須在IIS所在的服務器上用這個客戶端的cer證書。在win2003上，證書頒發機構中導出客戶端申請后已經頒發的Client1證書，導出為Client1.cer在win2003服務器上導入這個證書到當前用戶存儲區的個人目錄下。導入過程：在運行下收入“MMC”進入“控制臺”文件添加/刪除管理單元添加證書我的用戶帳戶單擊“確定”如下圖在控制臺根結點下的證書下的個人中， 導入Client1.cer這個證書到當前用戶存儲區的個人目錄下。l 設置IIS中網站的客戶端證書映射在web服務器上，查看web網站的屬性，導航到“目錄安全性”，點擊“編輯”按鈕：設置“要求客戶端證書”，并選擇“啟用客戶端證書映射”，最后點擊“編輯”添加Client1客戶端證書映射到的本服務器上的windows賬戶：由于是測試，這里把Client1客戶端證書映射為a