Visual SourceSafe 学习笔记（四）

Visual SourceSafe 学习笔记（四）

声明：本文仅供大家学习，探讨使用。欢迎转载，如有不同的见解请email：feifeikeen@gmail.com。

 

      当要求VSS远程访问客户端与VSS数据库通信的安全通信时，就要使用https协议以及在IIS上使用SSL协议。SSL需要服务器端的证书认证。

如果你与其他组员都是同一个Windows的域名下，SSL已经默认安装，下面不需要特别的配置就可以正常使用。如果没有安装SSL证书认证，可以使用IIS6中提供的SelfSSL工具安装和配置SSL证书认证。在客户端VSS远程访问插件必须通过SSL来访问VSS数据库。当SSL的连接选项被选中时，VSS远程访问插件会向VSS数据库发送用户名和密码，所以不存在使用http访问时的用户名的限制。

 

 

      使用SelfSSL安装服务器端证书认证。

      如果要使用SelfSSL安装证书认证，首先要安装IIS6的开发工具包IS 6.0 Resource Kit Tools 可以在下面的地址处下载。http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73-b628-ade629c89499&displaylang=en。

      在安装的过程中，确保已经选中SelfSSL 1.0组件。安装完成后，就可以使用selfssl.exe了。在命令行下，可以看到这个命令的所有选项的信息。为了生成正确的证书配置，必须考虑到VSS服务器的域名。例如，我的计算机名字叫做ALEX，本地网络用户可以使用这个名字访问到我的计算机。然而，远程网络用户是无法通过这个名字访问到的。为了能够使远程用户访问，VSS服务器必须使用网络域名地址。在默认的情况下，SelfSSL使用本地域名配置证书服务，但这样，对于远程访问时达不到要求的。为了能够使远程网络用户正确访问，SelfSSL要使用远程网络域名地址来配置证书服务。

       例如，使用以下命令：selfssl.exe /N:CN=vss.alexandruserban.com /T /V:365

       /T参数指明自动添加证书到本地计算机（服务器）的信任证书列表（Trusted Certificates list）中。

       /V参数指定证书的有效天数。在例子中是365天。

       /S参数指定把证书添加到哪个IIS网站上，默认的场合下位默认网站即ID为1的网站。在windows的专业版本上也是唯一的网站。在服务器版本的windows上，可以创建多个IIS网站。然而，VSS网络服务一般都是安装到ID为1的网站上。所以在配置证书服务时，一般使用ID为1或者是默认值。

       /P参数指定SSL的通信的端口号，如果使用的不是默认的443，那么就需要配置此选项。

 

       在客户端安装证书

       当使用SelfSSL在服务器端安装完证书以后，也需要在客户端安装使用SelfSSL，因为需要用到它进行加密操作。

       例如，要在客户端安装前面配置生产的证书，需要打开浏览器，并且转到vss.alexandruserban.com。IE6或弹出一个证书的警告信息，因为服务器端的证书对于本地的计算机而言不能信任。IE7则会显示提示页面。为了要信任服务器端，我们要在客户端安装证书。在前面的警告信息下，点击查看证书，可以看到证书的详细信息。点击安装证书，进入到证书的导入向导，在弹出的警告信息下点击是，则安装证书。重新启动浏览器，并定向到刚才的地址，就不会有警告信息。在所有的客户端重复这个过程。

 

       使用证书服务设定证书。

       要生成一个服务器证书，需要在服务器版本的windows上安装Microsoft Certificate Services。可以在添加/删除程序面板下的添加/删除windows组件来安装这一组件。如果没有安装这一服务，则使用向导安装这一服务。

 

       请求证书

       在完成以上步骤后，就可以使用浏览器到http:/[your server name]/certsrv，会看到一个证书的浏览/申请的欢迎页面。点击请求证书链接，会到一个选择证书类型的页面。点击Create and submit a request to this CA链接，会看到高级证书请求选项。在Identifying Information文本框下，必须填入VSS服务器的xml服务的远程网络域名地址。在Type of Certificate Needed 部分中, 选择the Server Authentication Certificate 选项。在Key Options部分下，选择加密算法程序CSP，这里我们选择Microsoft Enhanced Cryptographic Provider v1.0。同时，选中Store certificate in the local computer certificate store选项。点击提交按钮，提交证书请求，并在弹出的警告信息下点击是。证书请求会被授权处理，并且在页面中给出请求ID，以及等待处理的提示信息。

       这时要等待证书请求被认可。如果你是管理员，也可以自己认可自己。

 

       认可证书请求

       要认可证书请求，需要在管理员工具下的Certification Authority。在Certification Authority的根节点下展开，找到Pending Requests文件夹，点击，在右侧的面板可以看到所有的已经挂起的证书请求。要认可某一请求，在其之上，单击右键，在菜单中选择All Tasks, --> Issue.这样证书的请求就被通过，证书可以下载和安装到服务器上了。

 

       在服务器上，安装证书

       打开浏览器，定位到http:/[your server name]/certsrv。点击查看挂起的证书请求链接，就会看到所有的请求的证书的状态。点击已经认可的证书状态的链接，就会看到请求道的证书，并且可以安装到服务器上。点击安装证书的链接，在弹出的警告下单击是，就可以把申请到的证书安装到服务器上。

 

       把SSL证书设定到网站上

       一旦有了服务器端的证书，就必须把它设定到安装有VSS远程访问服务的IIS网站上。手下，打开Internet Information Services Manager，展开网站下的节点。右击Default Web Site，并选择属性。在弹出的窗口上，转到Directory Security标签下，可以看到Secure communications部分。单击Server Certificate，启动IIS证书向导。选择Assign an existing certificate，下一步。选择要使用的证书，下一步。设定SSL端口号，下一步。单击完成，结束这一向导。这样，客户端和服务器端的安全通信就会使用刚才选择的证书。

 

       把服务器证书，发布给用户

       如果只是认可自己的证书，除非是VeriSign，否则这一证书是不被其他机器信任的。从客户端通过SSL连接到VSS服务器时，会产生一个错误信息。为了能确保与VSS服务器端的安全通信，客户端要信任服务器端的证书。为了能信任服务器端，客户端要有在Trusted Root Certification Authorities上安装Certification Authority Root (CA Root)。这里使用浏览器安装的证书除非是根证书，否则不能正常工作。这是因为这一证书还没有完全被信任。只有导入服务器CA Root端证书，才能让用户通过SSL访问VSS数据库。

       要导出CA Root证书，首先打开Microsoft Management Console（mmc），添加证书管理单元。展开节点到Trusted Root Certification Authorities下，选择要导出的证书，右键All Tasks menu --> Export.这样就会启动证书导出向导。选择not to export the private key，下一步。选择导出的证书格式，下一步。选择证书保存位置，下一步。完成。现在可以把CA Root证书分发到要连接VSS服务器的用户。他们只要双击证书文件，并选择安装，就可以成功安装证书。以后，就可以正常的通过SSL访问VSS服务器。（342）