为将者五要：智，信，仁，勇，严博客园   首页   新随笔   新文章   联系   订阅   管理posts - 3, comments - 12, trackbacks - 02008年4月1日401.3错误的常见解决方法在部署web应用程序的时候经常会碰到安全行问题，比如显示:401.3　ACL 禁止访问资源　通常的解决办法是:第一，看iis中（不管iis5 还是iis6) ，网站或者目录，包括虚拟目录的属性，看目录安全性选项卡中的编辑匿名访问和身份验证控制，看看是用的哪个帐号，如果是用的iis匿名帐号（一般是IUSR_机器名），或者由系统管理员设置了其他帐号，这个帐号很重要，下面成IIS匿名帐号　察看帐号的密码是否是正确的系统设置的密码，实在不行就在计算机管理里面的用户管理，重新把帐号设置一个密码，然后在编辑匿名访问和身份验证控制选项中把密码重新设置一下。第二，在资源管理器里面看放置网站或者目录的安全选项。是否IIS匿名帐号有权限访问，一般来说，NT系统中的IUSR_机器名这个帐号都会是在user组里面，有时候禁用了user组，也会引起这个问题，让刚才设置的IIS匿名帐号或者帐号所在的系统组有对目录的访问权限，至少要有读权限。　　第三，在你放置的程序中，看是否含有其他类型的动态语言写的程序，IIS会默认对asp进行解释，对于ASPX来说，要看net执行文件目录是否让IIS匿名帐号有读权限？cgi程序就是perl目录，jsp看是用resin还是用tomcat做的解释，php就是php目录，要保证这些目录都让IIS匿名帐号有读权限才行。　　posted @ 2008-04-01 09:13 谢桂军 阅读(205) 评论(0)  编辑在Moss中添加自定义页面在Moss中添加自定义页面在作项目的时候常常需要将一些页面集成到Moss中，Moss的各种资源大都存放在数据库中，因此Moss自己是重写了URL的解析机制 。这让我们习惯了平时URL与物理文件夹一一对应的人还真有些不知所措。最近项目中要将一些项目集成到Moss当中，试来试去找到了两种方式。1、                     在C:"Program Files"Common Files"Microsoft Shared"web server extensions"12"TEMPLATE"LAYOUTS 中部署页面，在IIS根目录下找到wwwroot"wss"VirtualDirectories"[端口号] 下的bin（最好_app_bin这里也放吧）下部署dll等组件。这种方式下，可以通过类似http://IP:端口号/_layouts/youpage.aspx 来访问。当然还可以是其它类型的文件，比如html，asp。 放在layout目录下的文件是所有Moss站点的公用目录，因此这个目录下的文件是所有站点都可以访问的。因此对于某些情况来说，可能并不合适。我们来看第二种。2、                     在wwwroot"wss"VirtualDirectories"[端口号] 创建一个目录，在里面部署你的页面和应用程序。然后在Moss中为该目录创建虚拟目录。创建虚拟目录后你就可以像类似下面的方式去访问：http://IP:端口号/虚拟目录名称 上面两种方式好像仍然有可能一些问题，需要一一排除。下面是我碰到的一个问题。当你的自定义应用程序加入到Moss当中后，可能会碰到一些安全性的问题。比如执行数据连接的时候没有权限什么的，出现这样的错误提示：请求“System.Data.SqlClient.SqlClientPermission, System.Data, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089”类型的权限已失败。此时可以修改该站点的web.config文件，将Trust的级别改为<trustlevel="WSS_Medium"originUrl=""/> ，提升信任级别。posted @ 2008-04-01 09:10 谢桂军 阅读(310) 评论(0)  编辑2008年3月20日通过代码来申请CA证书最近一个项目中有关于PKI体系的搭建的内容，由于以前没有做过这部分，所以一开始一头雾水。慢慢摸索有了一丁点成果，拿出来和大家分享。说的不对的地方望能指正。PKI体系目前成了一个企业中信息化安全方面的关键点，是信息化安全的支柱。我所在的项目是以微软技术为基础的项目，CA的证书服务器是windows 2003 server自带的证书组件。废话就不说太多了啊，说一下在CA搭建好以后如何申请和导出证书的事情啊。一、区分企业CA和独立CA企业CA和独立CA的目标不一样，企业CA主要是用在以域为基础局域网内，适合搭建各种企业级别的CA平台，而独立CA主要用于专门的CA颁发机构，具有权威性。两种不同类型的CA决定了他们的安装和使用都有些差别。安装的时候系统会让你选择企业CA还是独立CA。企业CA在安装的时候默认会安装一些证书模板，以方便CA的管理。而独立CA则没有模板。企业CA可以申请多种类型的证书，比如域身份验证，客户端身份验证，web服务器身份验证，智能卡登陆，无线身份验证等等。而独立CA就比较少了。那么如何区分你是安装了企业CA还是独立CA呢(如果服务器不是你装的)：1、是否有模板2、通过web方式申请证书的时候是否提示你填写公司，部门，地区，省，国家等信息独立CA是可以转化成企业CA的，微软有一篇文章说明如何操作 Windows Server 2003 PKI 操作指南二、申请数字证书的三种方式（主要针对企业CA）1、通过web的方式来申请安装完CA后，系统会自动在IIS的默认站点下创建一个虚拟目录叫Certsrv。这个虚拟目录用来申请证书的申请方式很简单的。这个目录下面有好多个asp和inc文件，里面的代码就显示了系统如何通过CA的组件编程接口来创建证书申请的，在里面可以看到主要用到了哪些组件以及那些方法。这很关键，因为通过web的方式申请，效率太低了，我们需要通过自己的程序来申请证书。2、通过命令行的方式来申请CA自带了多个非常有用的证书工具，主要有CertReg.exe ,CertUtil.exe。这两个工具的功能都非常的强大，拥有丰富的参数，可以在命令行模式下查看帮助。使用CertReg.exe可以以命令行的方式添加一个数字证书申请，这种方式需要创建一个inf文件，再通过这个inf文件生成一个req文件，inf文件中定义了申请信息。inf文件的制作可以在命令行模式下使用certreq -new -? 看到一些帮助信息，重点查看[NewRequest]部门通过下面的命令生成req文件 certreq -new <文件名>.inf <文件名>.req通过下面的命令提交req申请文件，并同时导出cer证书文件：certreq -submit <文件名>.req <文件名>.cer对于CertUtil.exe工具，我们可以用它来查询CA的