使用Microsoft SOAP Toolkit 2.0建立安全Web服務(wù)

dim SoapClient

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

Quote = SoapClient.GetQuote()

通過默認(rèn)代理訪問

試圖訪問 Intranet 之外的網(wǎng)站時，Internet Explorer Web 瀏覽器將通過在 IE 設(shè)置中指定的默認(rèn)代理服務(wù)器。您可以通過 IE/“工具”/“選項”/“連接”/“局域網(wǎng)設(shè)置”對話框查看這些設(shè)置。若要使 Microsoft SOAP Toolkit (HTTPConnecter) 使用這些設(shè)置，應(yīng)將 UseProxy 屬性設(shè)置為 TRUE。示例：

dim SoapClient

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

SoapClient.ConnectorProperty("UseProxy") = true

Quote = SoapClient.GetQuote()

繞過代理服務(wù)器列表。請注意，IE 代理設(shè)置中有一個主機(jī)列表，您可以連接這些主機(jī)來繞過代理服務(wù)器。

轉(zhuǎn)至 IE/“工具”/“選項”/“連接”/“局域網(wǎng)設(shè)置”對話框。

若要繞過本地服務(wù)器，請啟用設(shè)置“對于本地地址不使用代理服務(wù)器”。

若要在連接到其它特定服務(wù)器時繞過代理，請單擊“高級”按鈕?？梢栽凇袄狻本庉嬁丶辛谐鲆@過的服務(wù)器，各個服務(wù)器名稱之間用分號隔開?？梢允褂猛ㄅ浞?.soap-company.com”繞過名稱中含有 .soap-company.com 的所有服務(wù)器。

需要代理服務(wù)器來允許繞過本地 Intranet 之外的任何服務(wù)器。請注意，用于 HTTP 和用于通過 SSL (HTTPS) 連接的代理服務(wù)器不同。代理應(yīng)允許使用任一協(xié)議，以便 SSL 正常工作。

局限性：使用默認(rèn)代理時，在 Windows 2000 和 Windows NT4 上使用 Microsoft SOAP Toolkit 2.0 HttpConnector 有一個已知問題：它不理解默認(rèn) IE 代理設(shè)置的“繞過代理”列表。如果選中了“對于本地地址不使用代理服務(wù)器”并且在 URL 中指定的主機(jī)名不包含“.”，它將繞過代理服務(wù)器。但它不理解在 IE 代理設(shè)置“高級”菜單中的“例外”文本框中指定的復(fù)雜模板。

通過指定代理連接

可以指定哪個代理使用 ProxyServer 和 ProxyPort 連接器屬性：

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

SoapClient.ConnectorProperty("UseProxy") = true

SoapClient.ConnectorProperty("ProxyServer") = "yourproxy"

SoapClient.ConnectorProperty("ProxyPort") = 80

Quote = SoapClient.GetQuote()

請注意，如果使用 ProxyServer 屬性，則不必將 UseProxy 設(shè)置為 True，它將自動設(shè)置。

代理身份驗證

代理服務(wù)器可以在允許連接之前要求您對自身進(jìn)行身份驗證。例如，可以使用它限制在公司 Intranet 內(nèi)使用 Internet。代理服務(wù)器可使用上述所有身份驗證方案。Microsoft SOAP Toolkit 2.0 允許您指定代理身份驗證的用戶名和密碼：

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.ConnectorProperty("UseProxy") = true

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

SoapClient.ConnectorProperty("ProxyServer") = "secureproxy"

SoapClient.ConnectorProperty("ProxyPort") = 80

SoapClient.ConnectorProperty("ProxyUser") = "username"

SoapClient.ConnectorProperty("ProxyPassword") = "password"

Quote = SoapClient.GetQuote()

如果代理要求 NTLM 身份驗證，可以省略用戶名和密碼，這是將使用當(dāng)前登錄憑據(jù)。如果需要指定代理 NTLM 身份驗證的域名，請?zhí)砑印癉OMAINusername”進(jìn)行服務(wù)器身份驗證。

局限性。Microsoft SOAP Toolkit 2.0 不支持通過要求身份驗證的代理連接到也要求身份驗證的服務(wù)器。另外，通過要求身份驗證的代理的 SSL 連接在 Windows 2000 和 Windows NT4 上不能正常工作。

SSL 和客戶端證書

在本節(jié)中，我們將具體討論如何通過安全套接字層 (SSL) 和客戶端證書支持進(jìn)行連接。我們還將討論 Microsoft SOAP Toolkit 2.0 在使用客戶端證書支持的支持平臺上的已知局限性。

通常認(rèn)為 SSL 只是一種加密機(jī)制，其實它還提供身份驗證。若要使 IIS 4.0/IIS 5.0 支持 SSL 連接，需要獲取 X.509 證書，并將其安裝在服務(wù)器上。

何謂 X.509 證書？

證書是一種結(jié)構(gòu)，其中包含主題、頒發(fā)者名稱、有效期和其它特征等信息。（有關(guān)證書的詳細(xì)信息，請參閱由 Michael Howard 編著的《設(shè)計 Microsoft Windows 2000 基于 Web 的安全應(yīng)用程序》。） 每個證書都與用于 SSL 加密的一對私有和公用密鑰相關(guān)。SSL 始終使用 X.509 證書對 Web 服務(wù)器進(jìn)行身份驗證。

若要獲得證書，需要向證書頒發(fā)機(jī)構(gòu)發(fā)出證書請求。證書頒發(fā)機(jī)構(gòu) (CA) 是頒發(fā)證書的單位。當(dāng) CA 向主題（發(fā)出請求的實體）頒發(fā)證書時，它驗證該主題是否與它所聲稱的相符，并簽發(fā)新證書和私有密鑰。這樣，主題可以信任 CA。如果信任頒發(fā)證書的 CA，則表示信任向您提供此證書的主題。根目錄證書保證 CA 的可信性。多個 CA 可以形成一條信任鏈：如果信任根 CA，就信任具有根 CA 頒發(fā)的證書的中間 CA，因此將信任具有中間 CA 頒發(fā)的證書的所有主題。

“信任”的實際意義是什么？可以將 CA 的證書放入“受信任的根目錄證書頒發(fā)機(jī)構(gòu)”存儲區(qū)來表示信任該 CA。所有證書都存儲在所謂的證書存儲區(qū)中。有多個默認(rèn)存儲區(qū)，例如：

CURRENT_USERMY，個人證書存儲區(qū)，用于當(dāng)前登錄的用戶，對其它登錄用戶不可見

LOCAL_MACHINEMY，個人證書存儲區(qū)，用于所有用戶

CURRENT_USERRoot，受信任的根目錄證書頒發(fā)機(jī)構(gòu)，包含當(dāng)前用戶信任的根 CA 的證書，如果證書具有到根 CA 證書的證書路徑，則當(dāng)前用戶信任該證書的有效性。

LOCAL_MACHINERoot，相同，但被所有用戶信任

具有被默認(rèn)信任的根 CA，例如 Verisign。盡管我們的示例將使用一個試用版的 Verisign 證書，但是它們是由不被默認(rèn)信任的 Verisign 測試機(jī)構(gòu)頒發(fā)的。

在服務(wù)器上啟用 SSL

本節(jié)介紹如何創(chuàng)建證書請求、從 Verisign 站點(diǎn)獲得試用版的測試服務(wù)器端證書，并將其安裝在 Web 服務(wù)器上。

使用 IIS 4.0 啟用服務(wù)器上的 SSL

用鼠標(biāo)右鍵單擊要啟用 SSL 的網(wǎng)站，并選擇“屬性”。

在“目錄安全性”選項卡上，單擊“編輯安全通信”。

在對話框中，單擊“密鑰管理器”。

展開樹狀視圖中的“本地計算機(jī)”節(jié)點(diǎn)。用鼠標(biāo)右鍵單擊 WWW 葉，并選擇“新建密鑰”。這將啟動稱為“密鑰管理器”的密鑰請求向?qū)А?BR>選擇“將請求放入要發(fā)送到頒發(fā)機(jī)構(gòu)的文件中”和一個文件名。單擊“下一步”。

輸入一個易記的密鑰名稱。輸入密碼，當(dāng)獲取由頒發(fā)機(jī)構(gòu)頒發(fā)的證書時需要此密碼。對于加密密鑰字節(jié)長度，請選擇 1024（1024 為推薦長度，某些頒發(fā)機(jī)構(gòu)不頒發(fā)小于此長度的證書）。單擊“下一步”。

輸入您的組織和部門名稱。輸入等同于完整站點(diǎn)名稱的公用名稱，例如 www.yoursite.com。在啟動 SSL 連接之前，客戶端將檢查站點(diǎn)名稱是否與證書的公用名稱相同。單擊“下一步”。

輸入國家（地區(qū)）、省/自治區(qū)、市/縣所在地。證書頒發(fā)機(jī)構(gòu)可能檢查這些信息是否一致，以確保輸入的信息有效。輸入省時，請輸入完整的省名稱。

輸入管理服務(wù)器的人員的姓名、電子郵件地址和電話號碼。這些信息不包含在證書中，但證書頒發(fā)機(jī)構(gòu)需要這些信息。

包含您的請求的文件已經(jīng)創(chuàng)建。該文件為 Base64 編碼格式。在此過程中，IIS 還將為該證書請求創(chuàng)建一個私有密鑰和一個公用密鑰。私有密鑰將保存在您的計算機(jī)上，而公用密鑰將隨請求一起發(fā)往 Verisign，并用以加密證書數(shù)據(jù)。

轉(zhuǎn)至 www.verisign.com（英文），并單擊“Get Trial SSL ID”。注冊證書時，會要求您提供 CSR（證書簽名請求）。復(fù)制并粘貼您的請求文件中自行“BEGIN NEW CERTIFICATE REQUEST;”之后的內(nèi)容，否則，將會出錯。Verisign 以郵件形式將測試服務(wù)器端證書發(fā)送給您。該過程同樣適用于商業(yè)證書，不同之處在于它收費(fèi)并仔細(xì)驗證提交的信息。

確保從證書頒發(fā)機(jī)構(gòu)獲得的證書是 Base64 編碼的。如果證書頒發(fā)機(jī)構(gòu)是 Verisign，則您可以通過電子郵件獲得證書。創(chuàng)建一個擴(kuò)展名為 .cer 的空文件，復(fù)制行“BEGIN CERTIFICATE”和“END CERTIFICATE”之間（包含這兩行）的所有內(nèi)容并粘貼到該文件。

轉(zhuǎn)至要啟用 SSL 的站點(diǎn)的“屬性”/“目錄安全性”選項卡。單擊“編輯安全通信”，然后單擊“密鑰管理器”。

在對話框中，展開樹狀視圖中的“本地計算機(jī)”節(jié)點(diǎn)，再展開 WWW 葉，將顯示您的證書請求的密鑰。由于該證書尚未安裝，它標(biāo)記為紅色。用鼠標(biāo)右鍵單擊該證書，并選擇“安裝密鑰證書”。選擇具有要安裝的證書的文件。將提示您提供以前設(shè)置的密碼。輸入密碼?，F(xiàn)在，您的證書已安裝。

使用 IIS 5.0 啟用服務(wù)器上的 SSL

用鼠標(biāo)右鍵單擊要啟用 SSL 的網(wǎng)站，并選擇“屬性”。

在“目錄安全性”選項卡上，單擊“編輯安全通信”。

單擊“服務(wù)器證書”打開服務(wù)器證書向?qū)?。該向?qū)⒂洃浘W(wǎng)站的當(dāng)前狀態(tài)，例如您是否已擁有服務(wù)器證書。（現(xiàn)在假設(shè)您沒有證書。）

在證書向?qū)е?，單擊“下一步”，選擇“創(chuàng)建一個新證書”，然后單擊“下一步”。

選擇“現(xiàn)在準(zhǔn)備請求，但稍后發(fā)送”，并單擊“下一步”。

輸入證書的友好名稱。該名稱不會在證書結(jié)構(gòu)中使用，但作為區(qū)分請求和證書的一種方法。選擇公用密鑰長度。推薦密鑰長度不小于 1024 字節(jié)。單擊“下一步”。

輸入可以由頒發(fā)機(jī)構(gòu)驗證的組織名稱和部門名稱，如果您請求用于商業(yè)目的的真實證書，請輸入有效名稱。輸入要被認(rèn)證的計算機(jī)的名稱。注意：它必須等同于您的完整站點(diǎn)名稱，例如 www.yoursite.com。單擊“下一步”。

輸入國家（地區(qū)）、省/自治區(qū)、市/縣所在地。請輸入有效信息，證書頒發(fā)機(jī)構(gòu)將檢查這些信息是否一致。輸入省時，請輸入完整的省名稱。單擊“下一步”。

輸入用于保存請求的請求文件名稱。單擊“下一步”。

將摘要顯示您輸入的內(nèi)容。確認(rèn)內(nèi)容正確，并單擊“下一步”完成向?qū)?。包含請求的文件將?Base 64 格式保存。

包含您的請求的文件已經(jīng)創(chuàng)建。該文件為 Base64 編碼格式。在此過程中，IIS 還將為該證書請求創(chuàng)建一個私有密鑰和一個公用密鑰。私有密鑰將保存在您的計算機(jī)上，而公用密鑰將隨請求一起發(fā)往 Verisign，并用以加密證書數(shù)據(jù)。

轉(zhuǎn)至 www.verisign.com（英文），并單擊“Get Trial SSL ID”。注冊證書時，會要求您提供 CSR（證書簽名請求）。復(fù)制并粘貼您的請求文件中自行“BEGIN NEW CERTIFICATE REQUEST;”之后的內(nèi)容，否則，將會出錯。Verisign 以郵件形式將測試服務(wù)器端證書發(fā)送給您。該過程同樣適用于商業(yè)證書，不同之處在于它收費(fèi)并仔細(xì)驗證提交的信息。

確保從證書頒發(fā)機(jī)構(gòu)獲得的證書是 Base64 編碼的。如果證書頒發(fā)機(jī)構(gòu)是 Verisign，則您可以通過電子郵件獲得證書。創(chuàng)建一個擴(kuò)展名為 .cer 的空文件，復(fù)制行“BEGIN CERTIFICATE”和“END CERTIFICATE”之間（包含這兩行）的所有內(nèi)容并粘貼到該文件。

轉(zhuǎn)至要啟用 SSL 的站點(diǎn)的“屬性”/“目錄安全性”選項卡。單擊“編輯安全通信”，然后單擊“服務(wù)器證書”。服務(wù)器證書向?qū)е滥鷦倓偺岢鲎C書請求，所以期望您已頒發(fā)證書并準(zhǔn)備好在 IIS 5.0 中安裝。

選擇“處理掛起申請并安裝證書”，并單擊“下一步”。選擇從證書頒發(fā)機(jī)構(gòu)獲得的證書的文件名。單擊“下一步”。查看證書概述，并單擊“下一步”。單擊“完成”。您的 Web 服務(wù)器證書已安裝在 IIS 5.0 中。

為 SSL 連接配置客戶端

僅僅具有配置正確的服務(wù)器并不足以啟用成功的 SSL 連接。請記住，SSL 連接始終包含身份驗證，其中客戶端驗證服務(wù)器的身份。特別是客戶端將驗證服務(wù)器是否具有有效證書，例如證書是否過期、是否被注銷、是否由客戶端信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)等。在上述詳細(xì)步驟中，將收到一個由 Verisign 測試根頒發(fā)機(jī)構(gòu)頒發(fā)的試用版 Verisign 服務(wù)器端證書。默認(rèn)情況下，該頒發(fā)機(jī)構(gòu)并不被信任，例如，其證書不默認(rèn)存儲在您計算機(jī)上的根存儲區(qū)。按照 Verisign 站點(diǎn)中的關(guān)于如何獲得 Verisign 測試頒發(fā)機(jī)構(gòu)根目錄證書的指導(dǎo)進(jìn)行操作。獲得包含 Verisign 測試頒發(fā)機(jī)構(gòu)根目錄證書的文件之后，需要將其安裝在客戶端（您要用這些客戶端執(zhí)行至服務(wù)器的 SSL 連接）上，以在對服務(wù)器進(jìn)行身份驗證時信任服務(wù)器端證書。請執(zhí)行以下步驟：

雙擊包含證書的文件，打開證書瀏覽器窗口。

單擊“安裝證書”。在證書導(dǎo)入向?qū)g迎頁上，單擊“下一步”。

選擇要保存該證書的存儲區(qū)。

默認(rèn)情況下，Windows 將該證書放置到 CURRENT_USERRoot存儲區(qū)中。這意味著只以您的帳戶使用計算機(jī)時，才能夠信任由該頒發(fā)機(jī)構(gòu)頒發(fā)的證書。若要確保對其它用戶也有效，推薦始終將根 CA 證書放置到 LOCAL_MACHINERoot 存儲區(qū)。這需要執(zhí)行以下操作：

選擇“將所有證書放置到以下存儲區(qū)”，并單擊“瀏覽”。

選擇“顯示物理存儲區(qū)”，展開“受信任的根目錄證書頒發(fā)機(jī)構(gòu)”節(jié)點(diǎn)，選擇“本地計算機(jī)”，然后選擇“LOCAL_MACHINERoot”節(jié)點(diǎn)。
完成該向?qū)О惭b CA 根目錄證書。

執(zhí)行 SSL 連接

嘗試打開到 Web 服務(wù)器的 SSL 連接。若要實現(xiàn)此目的，讓我們首先設(shè)置 Calc/Service/Rpc/AspVbsVb SOAP Toolkit 示例。需要執(zhí)行以下操作：

在服務(wù)器上，執(zhí)行 SOAP Toolkit 2.0 示例描述文件 C:Program FilesMSSOAPSamplesdefault.html 中有關(guān)示例設(shè)置的所有指導(dǎo)。

在服務(wù)器上，編輯 C:ProgramFilesMSSOAPSamplesCalcServiceRpcAspVbsVbcalc.wsdl 文件，并在位置 URL 而不是在 MSSOAP 的以下位置指定 Web 服務(wù)器名稱：

<port name='CalcSoapPort' binding='wsdlns:CalcSoapBinding' >

<soap:address location='https://您的服務(wù)器/MSSoapSamples/Calc
                              
/Service/Rpc/AspVbsVb/Calc.asp' />

</port>

在客戶端上運(yùn)行以下 VBScript：

Set Calc = CreateObject("MSSOAP.SoapClient")

Calc.mssoapinit https://your-server/MSSoapSamples/Calc/Service/Rpc/AspVbsVb/Calc.wsdl

Answer = Calc.add(14,28)

WScript.Echo "14+28=" & Answer

這樣，即建立了一個 SSL 連接。請注意，如果將 URL 改回 HTTP，將建立一個通常意義上的非安全 HTTP 連接。若要使您的服務(wù)器要求 Web 服務(wù)實現(xiàn) SSL 連接，需要在服務(wù)所在的虛擬目錄上設(shè)置“要求 SSL”。請執(zhí)行以下操作：

在 IIS 4.0 上

用鼠標(biāo)右鍵單擊 IIS 管理器中的虛擬目錄，并選擇“屬性”。

在“目錄安全性”選項卡上，單擊“編輯安全通信”。

啟用“訪問本資源時要求安全通道”。

在 IIS 5.0 上

用鼠標(biāo)右鍵單擊 IIS 管理器中的虛擬目錄，并選擇“屬性”。

在“目錄安全性”選項卡上，單擊“編輯安全通信”。

啟用“要求 SSL”。

現(xiàn)在，如果試圖建立與該服務(wù)的非安全 HTTP 連接，將會出錯。

SSL 中的服務(wù)器身份驗證

常見錯誤是在 SSL 連接中使用 localhost 或服務(wù)器主機(jī)名的其它別名。在 SSL 握手期間，客戶端驗證服務(wù)器證書主題名稱的公用名稱 (CN) 部分與 HTTP 請求中的主機(jī)名是否匹配。如果不匹配，SSL 連接將失敗?？蛻舳诉€同時驗證服務(wù)器端證書是否有效、是否撤消以及是否由信任的 CA 頒發(fā)。

客戶端證書身份驗證

除了必要的服務(wù)器身份驗證，SSL 還有一個可選步驟：對客戶端進(jìn)行身份驗證。這是使用客戶端證書進(jìn)行的?？蛻舳俗C書與服務(wù)器證書相似。如果服務(wù)器配置為要求客戶端證書，客戶端會將客戶端證書發(fā)送到服務(wù)器。服務(wù)器至少要檢查它是否信任此客戶端證書，例如，它是否由信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)。

在服務(wù)器上配置客戶端證書身份驗證

IIS 4.0 和 IIS 5.0 都可以配置為：

忽略客戶端證書。這種情況下，客戶端證書身份驗證將關(guān)閉。

接受但不要求客戶端證書。這種情況下，如果提供了客戶端證書，將對客戶端進(jìn)行身份驗證。這時，所謂的身份驗證僅是檢查客戶端證書是否有效、可信。

要求客戶端證書。如果沒有提供客戶端證書，連接將被拒絕。將如前一選項那樣對提供的客戶端證書進(jìn)行檢查。

要求客戶端證書，并將其映射到指定的用戶帳戶。這種身份驗證方式與要求客戶端證書相同，但 IIS 工作線程還模擬指定用戶的憑據(jù)。

使用由 CA 而不是默認(rèn)信任的頒發(fā)機(jī)構(gòu)（例如 Verisign 或 Thawte）頒發(fā)的客戶端證書時，需要確保該 CA 根目錄證書存儲在服務(wù)器上的 LOCAL_MACHINERoot 存儲區(qū)中，而不是存儲在 CURRENT_USERRoot 存儲區(qū)中。默認(rèn)情況下，向?qū)? CA 的證書放置在 CURRENT_USERRoot 中，這使該證書對 IIS 不可見，因為它使用不同的用戶帳戶。

如何配置 IIS 使用上述客戶端證書選項之一？請按照上述步驟執(zhí)行，但第三步要執(zhí)行以下操作（IIS 4.0 和 IIS 5.0 中的對話框相似）：

若要忽略客戶端證書，請在 IIS 5.0 上選擇“忽略客戶端證書”或在 IIS 4.0 上選擇“不接受客戶端證書”；

若要接受但不要求客戶端證書，請選擇“接受客戶端證書”；

若要要求客戶端證書，請選擇“要求客戶端證書”；

若要要求客戶端證書與指定的用戶帳戶匹配，請選擇“要求客戶端證書”以及“啟用客戶端證書映射”。此時，您需要具有一個文件，該文件包含要映射的導(dǎo)出客戶端證書。要獲得該文件，請在客戶端證書所在的客戶端計算機(jī)上，執(zhí)行以下操作：

在 Internet Explorer 中，單擊“工具”菜單上的“Internet 選項”。單擊“內(nèi)容”選項卡，然后單擊“證書”。

在出現(xiàn)的對話框上，將具有 CURRENT_USERMY、CURRENT_USERRoot 等證書存儲區(qū)。（請注意不會顯示 LOCAL_MACHINE 中的任何存儲區(qū)。）
選擇要導(dǎo)出的證書，并單擊“導(dǎo)出”。在向?qū)е?，選擇“不，不要導(dǎo)出私有密鑰”和“Base64 編碼 X.509(.CER)”格式。選擇文件名。結(jié)果文件將包含導(dǎo)出的客戶端證書。

若要將文件添加到服務(wù)器，請在“編輯客戶端證書映射”對話框中，單擊“添加”并選擇包含客戶端證書的文件。
將要求您提供映射名稱。選擇任意帳戶名稱以映射到證書和密碼。每當(dāng)連接到此虛擬目錄中的服務(wù)時，客戶端都發(fā)出此證書，將使用所選帳戶模擬請求處理線程。有關(guān)使用客戶端證書進(jìn)行身份驗證的詳細(xì)信息，請參閱 Windows 2000 網(wǎng)站上將證書映射到用戶帳戶的逐步指導(dǎo)（英文）。

在客戶端使用 SSL 客戶端證書

本節(jié)介紹為了與服務(wù)交流而需要提供客戶端證書時，如何在客戶端上進(jìn)行操作。如何獲取和安裝客戶端證書？可以從 Verisign 或任何其它 CA 獲取客戶端證書（Web 標(biāo)識）。

注意：服務(wù)器證書和客戶端證書的用途不同。不能將服務(wù)器端證書用作客戶端證書。

獲得包含證書的文件（.cer 文件）之后，雙擊該文件即可進(jìn)行安裝。按照前述安裝 Verisign 測試 CA 根目錄證書的步驟進(jìn)行操作。將要求您指定存放證書的存儲區(qū)。客戶端證書的默認(rèn)（推薦）存儲區(qū)是 CURRENT_USERMY。

注意：準(zhǔn)備客戶端證書的請求時，通常會詢問您是否使用 CURRENT_USER 或 LOCAL_MACHINE 存儲區(qū)來存儲證書。

如果希望只能從創(chuàng)建請求時所使用的帳戶訪問證書，則使用 CURRENT_USER 存儲區(qū)。

如果希望幾個特權(quán)用戶可以共享訪問此證書，則使用 LOCAL_MACHINE 存儲區(qū)。只有本地管理帳戶具有 LOCAL_MACHINE 存儲區(qū)的訪問權(quán)限。例如，如果在具有客戶端證書身份驗證的 SSL 之上使用 SOAP 進(jìn)行遠(yuǎn)程配置，并且希望從任何本地管理員帳戶都可以使用客戶端腳本，可能要使用該存儲區(qū)。

以下是一些創(chuàng)建客戶端證書請求并將證書安裝到所選存儲區(qū)的簡單腳本。腳本使用證書注冊控制，與上述用于服務(wù)器證書的腳本很相似：

CERT_SYSTEM_STORE_LOCAL_MACHINE= 131072

OID_CLIENT_AUTH  = "1.3.6.1.5.5.7.3.2"

REQUEST_FILENAME = "ClientCertReq.txt" 

bUseLM = true

set enroll = CreateObject("CEnroll.CEnroll.1")

'建立證書的辨別名稱

strDN =  "CN=your-server,OU=UserUnit,O=UserOrg,L=UserCity,S=WA,C=US"

if bUseLM then

'如果希望將請求和證書保存在 LOCAL_MACHINE 存儲區(qū)中
    
enroll.MyStoreFlags      = CERT_SYSTEM_STORE_LOCAL_MACHINE
  
enroll.RequestStoreFlags = CERT_SYSTEM_STORE_LOCAL_MACHINE

end if

'否則，請求和證書將默認(rèn)保存在

' CURRENT_USER 存儲區(qū)中

'創(chuàng)建請求，指定證書用途（客戶端身份驗證）

strReq = Enroll.createPKCS10( strDN, OID_CLIENT_AUTH)
'
添加 BEGIN/END 標(biāo)記

strReq = "-----BEGIN NEW CERTIFICATE REQUEST-----" & vbCRLF & _
      
strReq & _
      
"-----END NEW CERTIFICATE REQUEST-------"

set fso = CreateObject("Scripting.FileSystemObject")

set f = fso.OpenTextFile(REQUEST_FILENAME, 2, true)

call f.Write(strReq)

f.Close()

ClientCertReq.txt 文件將包含一個 Base64 編碼的 PKCS10 請求。若要在從 CA 接收到 SSL 客戶端證書后進(jìn)行安裝，請使用下列腳本：

FILE_CERTIFICATE = "certnew.cer"

CERT_SYSTEM_STORE_LOCAL_MACHINE= 131072

bUseLM = true

set enroll = CreateObject("CEnroll.CEnroll.1")

if bUseLM then

'如果希望請求和證書保存在 LOCAL_MACHINE 存儲區(qū)中

enroll.MyStoreFlags= CERT_SYSTEM_STORE_LOCAL_MACHINE

enroll.RequestStoreFlags= CERT_SYSTEM_STORE_LOCAL_MACHINE

end if

'否則，Cenroll 將默認(rèn)使用 CURRENT_USER 存儲區(qū)。

'指定的存儲區(qū)應(yīng)與保存請求的存儲區(qū)相同。

enroll.acceptFilePKCS7(FILE_CERTIFICATE)

該腳本將從指定文件獲取證書，并將其安裝到 IIS 保存服務(wù)器證書的 LOCAL_MACHINE 存儲區(qū)?？梢允褂眠@些腳本自動進(jìn)行配置。

如何使 SoapClient 使用客戶端證書？這相當(dāng)容易。您需要了解證書保存在哪個存儲區(qū)以及證書公用名稱（主題名稱的 CN 部分）。當(dāng)從 IE5 或 Microsoft Management Console（mmc.exe）瀏覽時，公用名稱顯示在“頒發(fā)給”列。以下腳本：

Set Calc = CreateObject("MSSOAP.SoapClient")

Calc.mssoapinit https://your-server/MSSoapSamples/Calc/Service/Rpc/AspVbsVb/Calc.wsdl

SoapClient.ConnectorProperty("SSLClientCertificateName") = "MyCert"

Answer = Calc.add(14,28)

WScript.Echo "14+28=" & Answer

從 CURRENT_USERMY 存儲區(qū)提取 CN=MyCert 的證書，并使用此證書請求安全服務(wù)。也可以顯式指定要使用的存儲區(qū)：

SoapClient.ConnectorProperty("SSLClientCertificateName") = "LOCAL_MACHINEMYMyCert"

證書名稱不區(qū)分大小寫，但存儲區(qū)名稱區(qū)分大小寫。

“服務(wù)器至服務(wù)器”方案中的客戶端證書

我們詳細(xì)介紹并提供了一個使用客戶端證書的安全 B2B 解決方案示例。為了防止攻擊，在“服務(wù)器至服務(wù)器”方案中正確使用客戶端證書至關(guān)重要。

方案：Internet 商店使用第三方付費(fèi)的 Web 服務(wù)驗證提交的客戶信息（例如信用卡號）。付費(fèi)的 Web 服務(wù)要求客戶端證書身份驗證。

Internet 商店應(yīng)用程序要求下列組件：

Web 應(yīng)用程序：在高保護(hù)（隔離）Web 應(yīng)用程序中運(yùn)行的一組 ASP 頁（這是很重要的）。當(dāng)需要使用信用卡號驗證服務(wù)時，調(diào)用執(zhí)行該任務(wù)的 COM+ 應(yīng)用程序。這些 ASP 頁不訪問客戶端證書，也不直接使用 SoapClient。該應(yīng)用程序允許匿名訪問。

COM+ 應(yīng)用程序：配置為以特定本地帳戶標(biāo)識在獨(dú)立進(jìn)程中運(yùn)行。用于對第三方信用卡號驗證服務(wù)進(jìn)行身份驗證的客戶端證書保存在該本地帳戶的個人 (CURRENT_USERMY) 存儲區(qū)。該 COM+ 對象是信用卡號驗證服務(wù)的代理，而且使用 SoapClient 訪問該服務(wù)，并如上所述使用客戶端證書進(jìn)行身份驗證。

信用卡號驗證服務(wù)：要求 SSL 連接和客戶端證書身份驗證。

客戶端證書存儲在證書存儲區(qū)中，并且該證書存儲區(qū)不能從 ASP 頁能夠模擬的任何帳戶訪問。這樣，就確保了攻擊者無法通過執(zhí)行腳本代碼使用客戶端證書，即使他們獲得了對 ASP 頁的更新訪問權(quán)限。不要從 ASP 頁直接訪問客戶端證書。

SSL 和客戶端證書支持的已知局限性

Windows 98：Windows 98 上的某些 WinInet 版本不支持客戶端證書。

Windows 98、Windows Me 和 Windows XP：如果包含服務(wù)的虛擬目錄（在 IIS 4.0 或 IIS 5.0 上）配置為要求客戶端證書，則無法連接到要求客戶端證書的本主機(jī)上的任何其它 URL。這是由于 WinInet 中的證書緩存問題所致，而且在整個進(jìn)程生存期內(nèi)都存在。但是，您可以連接到另一臺主機(jī)上的安全 URL。

在 Windows ME 中，SSL 連接可能在關(guān)閉時掛起。有關(guān)詳細(xì)信息，請參閱知識庫文章 Q238934。有關(guān)此 Windows ME 問題的 QFE，請與 Microsoft 產(chǎn)品支持服務(wù)聯(lián)系。

Windows 2000 和 Windows NT4 上的 SoapClient 只能通過端口 443 進(jìn)行 SSL 連接。

身份驗證問題

這里，我們將討論使用 SOAP Toolkit 2.0 提供 COM 對象時可能遇到的某些身份驗證問題。這些并非安全漏洞，但您可能希望在部署安全 Web 服務(wù)時避免這些問題并確保資源的可用性。

以匿名登錄方式訪問文件和其它資源

當(dāng)對允許匿名登錄的 Web 服務(wù)發(fā)出 SOAP 請求時，IIS 將使用特殊 IUSR_machinename 帳戶模擬請求處理服務(wù)器線程。如果已作為 Web 服務(wù)公開的 COM 對象試圖使用禁止 IUSR_machinename 帳戶訪問的資源，將收到“拒絕訪問”錯誤。為了避免此錯誤，可以更改 IUSR_machinename 對該資源的權(quán)限，或者更改虛擬目錄設(shè)置以使用另一匿名訪問帳戶。（請參閱身份驗證部分）

“服務(wù)器至服務(wù)器”方案

“服務(wù)器至服務(wù)器”是非常普遍的方案，其中 SoapClient 對象是從 ASP 文件內(nèi)部使用。為了提高性能，需要緩存 global.asa 文件內(nèi)的 SoapClient 對象。這樣，可以避免重新調(diào)用 SoapClient.mssoapinit 和分析 WSDL 文件。在該解決方案中，如果正在訪問另一臺要求身份驗證的安全服務(wù)器，需要在 global.asa 文件中設(shè)置憑據(jù)。

不能執(zhí)行 NTLM 身份驗證，因為它具有委派局限性（請參閱身份驗證部分）。

注意：對于 Kerberos，請務(wù)必顯式指定要使用哪些憑據(jù)。不要依賴當(dāng)前線程憑據(jù)，因為具有較強(qiáng)憑據(jù)的客戶端發(fā)出第一個請求后，所有后續(xù)調(diào)用都將繼續(xù)使用此連接。這可能會在您的解決方案中導(dǎo)致安全漏洞。

注意：為了使解決方案更安全，我們推薦您采用使用 SoapClient 的獨(dú)立 COM+ 應(yīng)用程序代碼并執(zhí)行經(jīng)過身份驗證的連接。請參閱有關(guān)使用上述客戶端證書身份驗證的“服務(wù)器至服務(wù)器”解決方案的詳細(xì)描述。這樣，可以避免用戶名和密碼受到已經(jīng)獲得 ASP 頁源代碼訪問權(quán)限的攻擊者的攻擊。

注意：如果決定在 ASP 頁中使用 SoapClient，推薦在高保護(hù)（隔離）模式下運(yùn)行 ASP 頁。出于優(yōu)化目的，執(zhí)行 HTTP 連接的 SoapClient 代碼以進(jìn)程帳戶而不是調(diào)用線程的帳戶運(yùn)行。這意味著，如果在低保護(hù)（進(jìn)程內(nèi)）模式下運(yùn)行的 ASP 頁中使用 SoapClient，HTTP 代碼將在系統(tǒng)帳戶下運(yùn)行。如果使用隔離模式，它將在較安全的 IWAM_machinename 帳戶下運(yùn)行。

在 NT4 上的 MTS 中運(yùn)行的對象：

如果提供的 COM 對象是在 NT 4.0 上的 MTS Server Package 中運(yùn)行，則可能會導(dǎo)致一些安全問題。在 NT 4.0 中，COM 在進(jìn)行本地 COM 調(diào)用時始終使用進(jìn)程標(biāo)識。這意味著，當(dāng) SOAP 偵聽器創(chuàng)建和調(diào)用 COM 對象時，將使用進(jìn)程標(biāo)識進(jìn)行調(diào)用，并且將忽略處理線程正在模擬用戶憑據(jù)的事實。MTS 數(shù)據(jù)包始終認(rèn)為傳入調(diào)用是由同一個用戶帳戶發(fā)出的。用戶帳戶將是 IWAM 帳戶（如果 SOAP 偵聽器所在的虛擬目錄配置為進(jìn)程外運(yùn)行）或 SYSTEM 帳戶（如果 SOAP 偵聽器所在的虛擬目錄配置為進(jìn)程內(nèi)運(yùn)行）。這會導(dǎo)致兩種不同結(jié)果：

由于忽略被模擬的用戶并使用進(jìn)程標(biāo)識進(jìn)行調(diào)用，這種情況下，MTS 角色安全性不是非常有效。

無法將被模擬用戶與 MTS COM 對象區(qū)分開來。例如，調(diào)用 GetDirectCallerName 時不會返回被模擬用戶，而是返回 IWAM 或 SYSTEM。
有關(guān)詳細(xì)信息，請參閱知識庫文章 #Q243437“PRB：默認(rèn)情況下 MTS 和 COM+ 庫數(shù)據(jù)包中的標(biāo)識是不同的”。

疑難解答

本節(jié)將介紹使用 Microsoft SOAP Toolkit 2.0 設(shè)計安全 Web 應(yīng)用程序時遇到的典型問題，以及如何根據(jù)上一節(jié)提供的信息解決這些問題。

拒絕訪問

通過 SOAP 調(diào)用公開的服務(wù)器端對象時，可能出現(xiàn)“拒絕訪問”錯誤，而本地且不通過 SOAP 調(diào)用對象時不會出現(xiàn)此錯誤。您很可能正在以匿名帳戶運(yùn)行服務(wù)，并訪問了無法從 IIS 匿名帳戶訪問的資源（文件系統(tǒng)或其它內(nèi)容）。需要更改對此資源的訪問權(quán)限，或者禁止匿名登錄此 Web 服務(wù)。有關(guān)詳細(xì)信息，請參閱身份驗證部分。

基本身份驗證不能正常工作

確保將運(yùn)行服務(wù)的虛擬目錄配置為要求基本身份驗證，并在基本身份驗證設(shè)置中指定了域名（默認(rèn)使用“”）。請參閱基本身份驗證部分。

摘要式身份驗證不能正常工作

閱讀摘要式身份驗證部分列出的要求，并確認(rèn)完全符合這些要求。請認(rèn)真斟酌是否確實需要使用摘要式身份驗證。

Windows 集成身份驗證不能正常工作

檢查客戶端和服務(wù)器是否位于同一個域。如果不是，請按 Windows 集成身份驗證 (NTLM) 部分中的示例所示指定域名和用戶名。如果在“服務(wù)器至服務(wù)器”方案下無法正常工作，請確保兩個服務(wù)器都運(yùn)行 Windows 2000。如果正在 Windows NT4.0 上使用 NTLM，則不適用于“服務(wù)器至服務(wù)器”方案。

SOAP Toolkit 不能通過代理正常工作

檢查是否設(shè)置了 UseProxy 屬性以及是否正確指定了代理服務(wù)器名稱，或者在默認(rèn) Internet Explorer 設(shè)置中對其進(jìn)行了設(shè)置（如果使用這些屬性和名稱）。SOAP Toolkit 2.0 代理支持已經(jīng)通過市場上許多可用代理進(jìn)行了測試（包括 Microsoft Proxy 2.0、ISA 代理、Apache 代理服務(wù)器、Netscape 代理服務(wù)器等）。只有用于 Netscape 代理時出現(xiàn)了問題。

SSL 不能正常工作

這是最常見的問題。通常是由于服務(wù)器未正確配置為支持 SSL 引起的。請參考 SSL 部分中的指導(dǎo)。若要查看服務(wù)器是否啟用 SSL，請使用 Internet Explorer 訪問您的服務(wù) URL。

另一種可能是客戶端不信任服務(wù)器端證書。在客戶端，確保為頒發(fā)服務(wù)器端證書的 CA 安裝了根目錄證書。

如果正在運(yùn)行“服務(wù)器至服務(wù)器”方案，例如嘗試在 ASP 頁中使用 SoapClient 調(diào)用另一臺服務(wù)器，請確保已將為頒發(fā)服務(wù)器端證書的 CA 安裝的根目錄證書安裝到了 LOCAL_MACHINE 存儲區(qū)中。有關(guān)詳細(xì)信息，請參閱 SSL 部分。

SSL 客戶端證書不能正常工作

確保在 SSLClientCertificateName 連接器屬性中正確指定了客戶端證書的名稱和存儲區(qū)。應(yīng)該指定證書主題名稱的公用名稱 (CN) 部分。若要檢查 CURRENT_USERMY 存儲區(qū)中證書的 CN 名稱，請轉(zhuǎn)至 Internet Explorer/“工具”/“選項”/“內(nèi)容”/“證書”菜單，并在可用的客戶端證書列表中選中“頒發(fā)給”。

確?？蛻舳俗C書合法，例如，轉(zhuǎn)至 Internet Explorer/“工具”/“選項”/“內(nèi)容”/“證書”菜單，并單擊證書，應(yīng)不提示任何警告并顯示“證書正?！焙汀澳哂凶C書的私有密鑰?！?/FONT>