随着Internet的分布越来越广泛，安全问题也日益突出，保护传送数据的需求也越来越强烈。在今天的Internet上，最常见的安全是通过使用数字证书实现的。数字证书可以在一个不信任的网络上辨识一个客户和服务器，并且可以加密数据。这里将讨论其采用的技术以及微软提供的确保Internet安全的工具。
　　
　　　　具体的内容有：
　　
　　　　　Secure Sockets Layer (SSL) 的介绍以及为什么它是安全的基础
　　
　　　　　加密以及它在客户端和服务器端的角色
　　
　　　　　客户证书映射的一个介绍和建议
　　
　　　　　Internet上的证书和证书授权
　　
　　　　　安装微软Certification Authority服务器的介绍
　　
　　　　Secure Sockets Layer (SSL)简介
　　
　　　　通过使用X.509 certificates, RSA Public Key Ciphe和其它额外的安全特性来进行通信和认证，Internet Information Services 5 为Secure Sockets Layer (SSL) 3.0提供了一个高性能的实现。SSL可以让一个客户和服务器以协商好的安全和认证级别来进行通信。当一个连接被初始化时，SSL需要协商好一个对称（symmetric ）的session key和认证级别。这个对称的key是用来加密和解密数据的。在连接正在被建立的时候，还需要进行客户/服务器的认证。当协商完成后，客户和服务器可以通过加密数据，以一个安全的方式进行数据传送。
　　
　　　　加密通信
　　
　　　　加密是通过令数据变得不规则以确保它不容易被非相关的人阅读。Internet Information Services 5提供的加密特性和Internet Information Server 4类似，除了两个例外：服务器证书现在和单个的网站绑定在一起，现在还有一个新的向导可以令服务器证书的设置变得更加简单。
　　
　　　　在Internet Information Services 5中设置SSL加密和Internet Information Server 4是一样的，除了一个例外：你现在可以使用Server-Gated Cryptography (SGC)证书和加密。SGC在银行业的站点使用，通过它可以在Internet Information Services的出口版本中使用128位的加密。
　　
　　　　客户和服务器的加密通信需要在两端进行设置。客户或者Web浏览器，可以支持40位或者128位的加密，或者两者都支持，而服务器只可以在安装服务器证书后才可以加密通信。
　　
　　　　128位和40位的客户
　　
　　　　与Microsoft Internet Explorer 5.0类似，Internet浏览器支持两个加密的级别：40位和128位的加密。40位的加密要弱一些；对于出口版本来说（即加拿大和美国以外的国家），这是最大的加密级别，因为美国政府认为强的加密级别对于国家安全是一个威胁，而北美版本的Internet Information Services, Internet Explorer和Netscape Navigator则支持128位的加密。
　　
　　　　要知道Internet Explorer安装的是哪一个级别的加密，只需要点菜单中的帮助，然后选择About Internet Explorer的选项就可以了。
　　
　　　　加密和认证
　　
　　　　虽然加密和认证通常都放在一起讨论，但它们是两个不同的主题。认证是确认在通信中的个人或者进程身份的方法。认证可以是单向的，这是在一方确认对方的身份，或者是双向的，这时双方都需要确认对方的身份。

使用服务器证书
　　
　　　　一个服务器证书是你的服务器的一个电子ID，它可让你的服务器执行两个重要的功能来确保通信的安全：为用户标识自己和加密传送到这些用户的信息。SSL加密需要一个服务器证书被绑定到你的网站中。该证书包含有“Keys”，在你的网站和请求安全信息的用户间建立一个安全连接时，需要用到这些keys。
　　
　　　　在Internet Information Server 4中，服务器证书是被绑定到Web服务中的，并不是个别的网站，除非一个网站拥有一个独立的IP地址。在Internet Information Services 5中，你可以绑定服务器证书到任何的网站，不过每个站点只可以设置一个证书。还有，在Internet Information Server 4中，你需要使用Key Manager来绑定证书。在Internet Information Services 5中，你可以使用Web Site Certificate向导，令整个过程变得更加简单。该向导可引导你设置请求和安装一个证书的全过程。
　　
　　　　客户证书映射
　　
　　　　客户端的证书和服务端的是等价的。客户证书是一个数字ID，该ID是用来向你的Web服务器标识一个客户的，并且可让你的服务器使用客户证书映射。客户证书映射将一个客户的证书映射为一个Windows用户帐号，并且可以自动认证和允许带有这些证书和正确帐号的用户进行访问。
　　
　　　　例如，一个称为Vicky的用户拥有一个客户证书，她点击了一个到该公司网站的雇员信息部分的连接，她的浏览器就会将其证书信息放到其服务器请求的头部，服务器就会检索该证书的一个映射。如果用户的证书是正确的，并且映射到一个有效的Windows用户帐号，而且该帐号允许访问这些内容，Vicky就会被自动地认证，请求的数据也会出现在她的浏览器中。
　　
　　　　证书映射的类型
　　
　　　　在Internet Information Services 5中，有两类的证书映射：一对一和多对一。一对一映射将一个特别的证书和某个Windows用户帐号联系起来。客户证书的一个拷贝必须放到服务器上以作认证之用。如果用户使用另一个客户证书作同样的请求，将需要重新建立映射。
　　
　　　　多对一的映射仅使用证书中的某些信息，并且与一定的标准作对比以进行用户帐号映射。只要该证书符合这些标准，认证就会成功。这样多个证书就可以被映射到一个用户帐号，而且证书的拷贝无需要存放到服务器中。
　　
　　　　两者之间的区别可以用以下的情况说明。当一个带证书的请求到来时，服务器有两种的方式来映射它。服务器可以对自己说“我需要查找一个2002年3月建立的证书，它的序列号是ZXV345T4689AS234，如果我找不到该证书，我就会发送一个403-禁止的错误信息，并且处理完毕”，或者，服务器也可以这样“我正在查找XYZ Certificate公司建立的任何证书，它是为ABC公司建立的，在2002年3月1日到2002年6月1日之间。如果我找到类似的证书就可以了”。第一种情况就是一对一映射，后者是一个多对一映射。
　　
　　　　很容易看到，一对一映射更加