存取安全性 < 存取>
概觀
元素 <access> 可讓您設定網站或應用程式是否使用用戶端憑證進行驗證,並可讓您定義加密這些憑證所需的密碼編譯強度。
元素 <access> 包含 sslFlags 屬性,您可以設定為下列其中一個值:
- None: 此預設設定會停用網站或應用程式的 SSL。
- Ssl。 網站或應用程式需要 SSL。
- SslNegotiateCert。 網站或應用程式接受用戶端憑證進行驗證。
- SslRequireCert。 網站或應用程式需要用戶端憑證進行驗證。
- Ssl128。 網站或應用程式需要 128 位 SSL 憑證加密。
您可以使用存取元素來設定月臺、應用程式或虛擬目錄,以要求用戶端憑證。 若要這樣做,請為網站或應用程式設定 HTTPS 系結,然後向憑證授權單位單位要求和接收憑證 (CA) 。 憑證可以是網際網路伺服器憑證、網域伺服器憑證或自我簽署伺服器憑證。 在您要求伺服器之後,網際網路伺服器憑證需要 CA 發出伺服器或伺服器憑證。 網域伺服器憑證是由公司網域上執行的 CA 電腦所簽發,可協助您控制只有已安裝憑證的員工才能存取內部資源。 您可以使用自我簽署憑證對協力廠商憑證問題進行疑難排解、從遠端系統管理 Internet Information Services (IIS) 7、在伺服器與選取的使用者群組之間建立安全的私人通道,或測試依賴 SSL 的應用程式功能。
相容性
| 版本 | 備註 |
|---|---|
| IIS 10.0 | 在 <access> IIS 10.0 中未修改專案。 |
| IIS 8.5 | 未 <access> 在 IIS 8.5 中修改專案。 |
| IIS 8.0 | 在 IIS 8.0 中未修改專案 <access> 。 |
| IIS 7.5 | 未 <access> 在 IIS 7.5 中修改專案。 |
| IIS 7.0 | 專案 <access> 是在 IIS 7.0 中引進的。 |
| IIS 6.0 | 元素 <access> 會取代 IIS 6.0 SSLAlwaysNegoClientCert 和 AccessSSLFlags 中繼基底屬性。 |
安裝程式
專案 <access> 包含在 IIS 7 的預設安裝中。
作法
如何要求安全通訊端層
(IIS) 管理員開啟 Internet Information Services:
如果您使用 Windows Server 2012 或 Windows Server 2012 R2:
- 在工作列上,依序按一下 [伺服器管理員]、[工具],然後按一下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows 8 或 Windows 8.1:
- 按住Windows鍵,按字母X,然後按一下[主控台]。
- 按一下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows Server 2008 或 Windows Server 2008 R2:
- 在工作列上,按一下 [ 開始],指向 [ 系統管理工具],然後按一下 [ Internet Information Services (IIS) 管理員]。
如果您使用 Windows Vista 或 Windows 7:
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 按兩下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
在 [ 連線 ] 窗格中,移至您要設定 SSL 需求的月臺、應用程式或目錄。 您無法在伺服器層級設定 SSL。
在 [ 首頁] 窗格中,按兩下 [SSL 設定]。
![[首頁] 窗格的螢幕擷取畫面,其中已醒目提示 S S L 設定圖示。](access/_static/image2.png)
在 [ SSL 設定] 窗格中,按一下 [需要 SSL]。
在 [動作] 窗格中,按一下 [套用]。
![[首頁] 窗格的螢幕擷取畫面,其中已醒目提示 S S L 設定圖示。](access/_static/image1.png)
組態
您可以在 <access> ApplicationHost.config檔案或適當Web.config檔案的月臺、應用程式或目錄層級,設定伺服器層級的專案。
屬性
| 屬性 | 描述 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
sslFlags |
sslFlags屬性可以是下列其中一個可能的值。 預設值為 None。
|
子元素
無。
組態範例
下列組態範例包含在ApplicationHost.config檔案中時,需要在名為 Contoso 的網站與所有用戶端瀏覽器之間建立 SSL 連線。
<location path="Contoso">
<system.webServer>
<security>
<access sslFlags="ssl">
</security>
</system.webServer>
</location>
範例程式碼
下列範例會要求 SSL 才能存取名為 Contoso 的網站。
AppCmd.exe
appcmd.exe set config "Contoso" -section:system.webServer/security/access /sslFlags:"Ssl" /commit:apphost
注意
當您使用AppCmd.exe設定這些設定時,請務必將 認可 參數 apphost 設定為 。 這會將組態設定認可至ApplicationHost.config檔案中適當的位置區段。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample {
private static void Main() {
using(ServerManager serverManager = new ServerManager()) {
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection accessSection = config.GetSection("system.webServer/security/access", "Contoso");
accessSection["sslFlags"] = @"Ssl";
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim accessSection As ConfigurationSection = config.GetSection("system.webServer/security/access", "Contoso")
accessSection("sslFlags") = "Ssl"
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Contoso");
accessSection.Properties.Item("sslFlags").Value = "Ssl";
adminManager.CommitChanges();
VBScript
Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Contoso")
accessSection.Properties.Item("sslFlags").Value = "Ssl"
adminManager.CommitChanges()