Cosign安装-iis过滤模块介绍

1、错误如下:

IIS 7 提供了贰个新的通令行工具 Appcmd.exe,能够使用该工具来安插和询问 Web 服务器上的对象,并以文本或 XML 格式重返输出。 上边是生龙活虎对方可采纳Appcmd.exe 实现的职分的演示:
•创造和配置站点、应用程序、应用程序池和设想目录。

== Installation instructions for IIS 7 CosignModule ==

HTTP 错误 500.22 - Internal Server Error

•结束和开发银行站点。

1) Configure SSL certificates and https.
 1.a) Install rewritemodule to redirect http traffic to https.
2) Modify permissions for ssl certs and private keys.
 2.a) Install any necessary certificate authority files.
3) Create cookie database directory.
4) Copy the cosignmodule files.
5) Modify applicationhost.config with cosign values.
 .a) Turn off cosign protection for /cosign/valid
6) Enable the cosignmodule.
 .a) 32-bit application pools.
7) Create the cosign validation handler.
 .a) 32-bit validation handler.
8) Test a cosign-protected page.
() Turn cosign protection on and off, factors
() Getting more help.
IIS7 CosignModule==安装表明==

检查评定到在合龙的托管管道情势下不适用的 ASP.NET 设置。

•运行、停止和回笼利用程序池。

1)配置SSL证书和HTTPS。
1.A卡塔 尔(英语:State of Qatar)安装rewritemodule HTTP流量重定向到HTTPS。
2卡塔 尔(英语:State of Qatar)改善为SSL证书和私钥的权能。
2.A卡塔 尔(英语:State of Qatar)安装任何苦要的证件颁发机构文件。
3卡塔 尔(阿拉伯语:قطر‎创设cookie数据库目录。
4)复制cosignmodule文件。
5)修改applicationHost.config的cosign值。
A卡塔尔国关闭cosign/ cosign/有效珍惜
6)启用cosignmodule。
A卡塔尔三16位的接纳程序池。
7卡塔 尔(阿拉伯语:قطر‎创立cosign验证处理。
A卡塔尔三十个人验证管理。
8卡塔尔国测量检验cosign受爱抚的页面。
(卡塔 尔(英语:State of Qatar)张开cosign爱抚和倒闭的成分
(卡塔尔国获取越来越多的帮带。

图片 1

•查看有关在 Web 服务器上运营的劳作历程和伸手的新闻。

(1) Configure SSL and https (1)

Generate an SSL certificate and have it signed, if needed:

Before proceeding, be sure that your web site is accessible over https. By default, the CosignModule marks its
cookies as secure. This means if a user logs in and browses to an http part of your web site, it will appear
to the cosignmodule that the user is not logged in. Being sure this works correctly now, as well as any redirects
from http to https (see below), will save you headaches later.

(1.a) Install RewriteModule to redirect http traffic to https (1.a)
To ensure users are sent to the secure, cosign-protected portion of your web site, it may be necessary to
intercept http requests and redirect them to their https equivalent. The Microsoft Rewrite Module is
recommended.
(1)配置SSL和HTTPS(1)
================================================== =
发出SSL证书,并已签订协议,假使必要的话:
(WS.10)。ASPX

在出发以前,确认保障您的网址是透过HTTPS访谈。私下认可情况下,CosignModule标记着其
饼干为安全。那意味着意气风发旦客户登入并浏览到您的网址HTTP,它相会世
cosignmodule客户不记名英寸作为保障职业经常以往,以至其他重定向
从HTTP到HTTPS(见下文卡塔 尔(英语:State of Qatar),将节约您的头疼后。

(1.A卡塔 尔(阿拉伯语:قطر‎安装RewriteModule HTTP流量重定向到HTTPS(1.A卡塔 尔(阿拉伯语:قطر‎
为了保险客户的日喀则,cosign爱慕你的网站的风姿罗曼蒂克有个别被发送到,它也许是不可缺乏的
阻止HTTP诉求重定向到她们的HTTPS也便是。微软重写模块
建议。

It can be downloaded here:

能够在以下地点下载到:

消亡的不二诀要:

Appcmd.exe 为科学普及的询问和安插任务提供了同等的一声令下,进而减少了读书语法的繁杂。 例如,您还不错 list 命令来查找有关对象(如应用程序卡塔尔国的音信,也能够应用 add 命令来创造对象(如站点卡塔 尔(阿拉伯语:قطر‎。
其它,您还足以将下令组合在同步行使,以回到与 Web 服务器上对象相关的进一层复杂的多寡,或施行尤其复杂的天职。 比方,您能够达成接近如下职责的眼花缭乱任务:甘休全体具备运行时刻超越八十秒的号召的站点。

(2) Modify Permissions for SSL Private Keys (2)

The account or group the application pool runs as needs Full Control and Read permissions in the
following Registry key:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\MY 

By default, this account is IIS AppPool\DefaultAppPool in Windows 2008 R2. "Network Services" should
work for Windows 2008.
(2卡塔 尔(阿拉伯语:قطر‎订正权限的SSL私钥(2卡塔 尔(阿拉伯语:قطر‎
================================================== =
选择程序池的周转须要完全调节和读取的权能的帐户或组
以下注册表项:
HKEY_LOCAL_MACHINE\ SOFTWARE \ MICROSOFT\ SystemCertificates\我的

默许景况下,此帐户是在Windows的IIS程序池\ DefaultAppPool二零零六。 “互连网服务”
为Windows 2008。

在注明管理中给帐户权限。

Give said account permission from within certificate manager.
 Start -> Run
 "mmc" (or mmc /64)
 ctrl + M
 Select Certificates
 Add ->
 select Computer Account
 select Local Computer
 Finish, Ok
 点击[开始]—>[运行]—>输入mmc(只怕是 mmc /64)—>按ctrl + M张开增多/删除单元管理—>选取证书—>增添—>选拔Computer帐号—>选取地面计算机—>然后成功

 Select Certificates -> Personal -> Certificates
 Select the certificate that matches the one to use for cosign.  Right-click-> All Tasks -> Manage Private Keys
 Give IIS_IUSRS "Full Control" and "Read" permissions.
选料证书 - >个人 - >证书
选择证书相相称的五个采纳cosign。右键单击 - >全体义务 - >管理私人密钥
给IIS_IUSCRUISERS“完全调节”和“读取”权限。

(2.a) Install Any Necessary Certificate Authority Files (2.a)

Cosign needs a certificate authority file to verify the identity of the weblogin server it is talking to.

For example, the University of Michigan weblogin servers' certificates are signed by the UM Web Certificate authority.
To install UMWebCA.pem certificate:
    Download the file:
 Open Certificates from local machine (see above).
 Action | All tasks | Import ...
 Select the umwebca.pem file.
(2.A卡塔 尔(英语:State of Qatar)安装别的须要的评释颁发机构文件(2.A卡塔尔国

Cosign供给三个证件颁发机构的文件,以证实weblogin服务器,它正值与地位。

举个例子,亚拉巴马weblogin服务器证书的高校签订UM Web证书的崇高。
要安装UMWebCA.pem证书:
    下载文件: umwebCA.pem
从地方机械上开荒证书(见上文卡塔 尔(阿拉伯语:قطر‎。
行动|全部任务|导入...
选择umwebca.pem文件。

先是,找到本地appcmd.xml的那一个文件,然后开展上面包车型客车操作:

AppCmd.exe工具所在目录 C:\windows\sytstem32\inetsrv\目录下

(3) Create a Directory for the Cookie Cache (3)

Create a folder for the service cookie cache:
 md C:\inetpub\temp\Cosign Cookie DB

Permissions: IIS_IUSRS, full control
(3卡塔 尔(阿拉伯语:قطر‎创立贰个cookie缓存目录(3卡塔 尔(阿拉伯语:قطر‎
================================================== =
劳务cookie缓存中创建多少个文件夹:
md C:\inetpub\temp\Cosign Cookie数据库

权限:IIS_IUSRAV4S,完全调整

(1卡塔尔运转 cmd,进命令行方式,cd到您IIS Express的目录,运维appcmd migrate config "Default Web Site/"。

应用命令行管理IIS 7.0时,供给动用IIS7.0提供的崭新管理工科具AppCmd.exe。AppCmd.exe工具落到实处web服务器的全不处监护人业。利用AppCmd.exe工具,既可以够透过命令行提醒完结挂历职业,也能够由此脚本实现处监护人业。利用AppCmd.exe工具,能够完毕以下工作:

(4) Copy the CosignModule Files (4)

copy /Y x64/CosignModule.dll C:\Windows\System32\inetsrv
copy /Y x86/CosignModule.dll C:\Windows\SysWOW64\inetsrv
copy /Y Cosign_Schema.xml C:\Windows\System32\inetsrv\config\schema
(4) 复制过滤模块到钦点的目录下 (4)

(2卡塔尔注意这里Default Web Site是你在上边那篇小说里site节点里陈设的name,举个例子<site name="SampleWeb" id="1" serverAutoStart="true">里的SampleWeb,这里可能会报错,说:命令“MIGRATE”在对象“CONFIG”上不受扶植。请运营“appcmd.exe CONFIG /?” 彰显协理的通令。"

1、添加、删除、修正web网址和平运动用程序池

(5) Modify applicationhost.config with cosign values.

In the applicationhost.config file, add the following options. Note that the
proxyCookies section can be ignored. Only add this line, uncommented, of course
if your weblogin servers are configured to provide your web site with
proxy cookies.
(5)修改applicationHost.config的cosign值。
================================================== =

在applicationHost.config文件,加多以下选项。请在乎,
proxyCookies部分能够忽视不计。唯有进入那风度翩翩行注释掉,当然,
若果你weblogin的服务器配置为提供你的网址。
代理cookies。

 <configSections>
  ...
  <sectionGroup name="system.webServer">
   ...
   <section name="cosign" overrideModeDefault="Allow" />
   ...
  </sectionGroup>
    </configSections>

 ...
 
    <system.webServer>

      ...

      <cosign>
        <webloginServer name="weblogin.example.org" loginUrl="?" port="6663"
   postErrorRedirectUrl="" />
        <crypto certificateCommonName="" />
        <cookieDb directory="%systemDrive%\inetpub\temp\Cosign Cookie DB\" expireTime="120" />
     <!-- proxyCookies directory="%SystemDrive%\inetpub\temp\Cosign Proxy DB" / -->
        <validation validReference="https?://www\.example\.org(/.*)?"
                    errorRedirectUrl="" />     
        <cookies secure="true" httpOnly="true" />
        <service name="cosign-www.example.org" />
        <protected status="on" />
      </cosign>

      ...
     
   </system.webServer>

(5.a) Turn Off Cosign Protection for /cosign/valid (5.a)

For the validation handler (see below) to work correctly, cosign protection
needs to be turned off for the /cosign/valid location. This can be done by
adding the following XML to applicationHost.config:
(5.A)关闭/cosign/valid(5.A)Cosign保护

为声明管理程序(见下文卡塔 尔(阿拉伯语:قطر‎技术健康干活,cosign保护
亟待开垦/cosign/valid 的地点。那足以经过
下面的XML添加到applicationHost.config的:

<location path="Default Web Site/cosign/valid">
    <system.webServer>
     <cosign>
            <protected status="off" />
     </cosign>
    </system.webServer>
</location> 

消除办法是到IIS express的目录下找到appcmd.xml,把<verb name="migrate" classId="DefaultConfigObject"  />那句的注脚去掉,

2、停止,运行web网站和动用程序池

(6) Enable the CosignModule.(5)

启用CosignModule
Here are the command line options for adding and removing the cosign module.
If appcmd.exe is not in your %PATH%, you can find it in
%windier%\system32\inetsrv

上面是通过命令行增多和移除CosignModule的秘技,假设appcmd.exe不在情况变量中,你能够在%windier%\system32\inetsrv目录中找到

appcmd delete module "Cosign" /app.name:"Default Web Site/"
appcmd uninstall module "Cosign"
appcmd install module /name:"Cosign" /image:"CosignModule.dll" /add:"false"
appcmd add module /name:"Cosign" /app.name:"Default Web Site/"

The module can also be added and removed from the IIS Manager interface.
该模块相通也能够从IIS管理分界面中丰盛和移除

(6.a) 32-bit Application Pools (6.a)
If you have 32-bit applications enabled and want to use cosign with these sites
you will need to add the 32-bit module as well.

(6.A卡塔尔国叁九人的行使程序池(6.A卡塔 尔(英语:State of Qatar)
只要您有启用三二十一个人应用程序,要动用这一个网址的cosign
你将索要加上32个人模块以至。

appcmd install module /name:"Cosign-x86" /image:"%windir%\SysWOW64\inetsrv\CosignModule.dll" /add:"false" /precondition="bitness32"
appcmd add module /name:"Cosign-x86" /app.name:"32-bit legacy app"

下一场在运转方面那句木鸡养到,成功的话现身

3、观望工作历程和伸手消息

(7) Create the Cosign Validation Handler.

This can be done from within the IIS Manager under "Sites", "[name of your web site]", Handler Mappings, then select
"Add Module Mapping...", and specify the following items:

(7卡塔尔创制Cosign验证处理程序。
================================================== =

这能够从在IIS微处理机下“网址”,“[网址名称]”,处理程序映射,然后选用
“增加模块映射...",并载明下列事项:

RequestPath:
/cosign/valid*

Module:
Cosign

Name:
Cosign Validation

The validation handler can also be added with the following command:
appcmd set config "Default Web Site" /section:handlers /+[name='Cosign-Validation',path='/cosign/valid*',verb='*',modules='Cosign']

(7.a) 32-bit Validation Handler (7.a)
Same as above, but be sure to specify the 32-bit CosignModule and set the
precondition to bitness32.

appcmd set config "32-bit legacy app" /section:handlers /+[name='Cosign-Validation',path='/cosign/valid*',verb='*',modules='Cosign-x86',precondition='bitness32']

证实管理,也得以增加以下命令:
appcmd set config "Default Web Site" /section:handlers /+[name='Cosign-Validation',path='/cosign/valid*',verb='*',modules='Cosign']

(7.A卡塔尔国34人的辨证处理程序(7.A卡塔尔国
同上,但能够一定的,到内定的三十二位CosignModule设置
先决条件bitness32
appcmd set config "32-bit legacy app" /section:handlers /+[name='Cosign-Validation',path='/cosign/valid*',verb='*',modules='Cosign-x86',precondition='bitness32']

Successfully migrated section "system.web/httpModules".

4、一列表格局显得IIS和ASP.NET的安顿音信,并扶植对IIS和ASP.NET的陈设音信举行修改

(8) Test a cosign-protected page.

Load up your favorite, modern web browser and navigate to a cosign-protected
page on your web site. If everything went smoothly, you should be redirected
to your weblogin server and back to your cosign-protected web site.

Also see the included example scripts to get an idea of how to access the
cosign server variables.
(8卡塔 尔(阿拉伯语:قطر‎测量试验cosign受爱抚的页面。
================================================== =

载入您最重视的,今世的Web浏览器并导航到cosign尊崇
您的网址页面上。假设一切顺利的话,你应当重定向
weblogin服务器和您cosign怜惜的网址。

还足以看出包蕴的示范脚本的主张怎么样采访
cosign服务器变量。

Successfully migrated section "system.web/httpHandlers"." 

AppCmd.exe工具提供了三个平昔的命令集,利用该命令集,针对受协理的目的类型,能够实行查询操作并产生部分别样职务,不仅能够段杜运营这一个命令,也能够讲命令举行组集结欲行命令组合,从而得以奉行复杂的职责,实现复杂的查询专门的学业,如表:

() Turn cosign protection on and off, factors ()

Each directory can also have a web.config file that overrides inherited configuration options:

(卡塔尔张开cosign尊敬和停业,这个元素(卡塔尔国
================================================== =

每一种目录也得以有三个web.config文件,覆盖世袭的安排选项:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
       <cosign>
            <protected status="off" />
        </cosign>
    </system.webServer>
</configuration>

If your server needs to configure specific authentication factors, you'll need
to add some items to the <service> tag.
比如您的服务器供给配置特定的身份验证因素,您供给
丰盛一些项目标<service>标签。

<service name="cosign-www.example.org" />
 <add factor="rsatoken" />
</service>

If you need to enable the optional ignore suffix, it will look like this:
若是你必要启用可选忽歌后缀,它会看起来像这么:

<service name="cosign-www.example.org" />
 <add factor="rsatoken" />
 <add ignoreSuffix="-magic" />
</service>

Note that the "factor" items must all be satisfied, the "ignoreSuffix" will be
matched to any factor. For example, this configuration...
亟待注意的是“临盆要素”的花色都不得不知足,“ignoreSuffix”将
相相配的此外因素。譬喻,此配置...

<service name="cosign-www.example.org" />
 <add factor="rsatoken" />
 <add factor="kerberos" />
 <add ignoreSuffix="-magic" />
</service>

... will match the following factor combinations:
... ...将符合下列因素构成:
rsatoken kerberos
rsatoken-magic kerberos-magic
rsatoken-magic kerberos
rsatoken kerberos-magic

NOTE: Running an application pool in "classic mode" may result in the server variables not being available to ASP scripts.  There is a compatibilityMode
option to correct this.  You can add it to the <cosign> section of your config file.
注:在“卓越格局”运营的行使程序池,或者会变成在服务器变量不可用的ASP脚本。有三个compatibilityMode
接受??,以科学的。你能够把它增添到你的config文件<cosign>节。

<cosign>
...
    <compatibilityMode mode="true" />
</cosign>

说不上,在vs二零一三连串文件夹的属性窗口改进如下内容:

对象名称 描述
site 管理虚拟网站
app 管理应用程序
vdir 管理虚拟目录
appool 管理应用程序池
config 挂历通用配置文件
wp 挂历工作进程
request 管理http请求
module 管理服务器模块
backup 管理服务器配置备份
trace 管理失效请求跟踪日志

() Getting More Help ()

越多匡助

Please join the discussion list before sending e-mail:

cosign-discuss@lists.sourceforge.net

To receive announcements, please join:

cosign-announce@lists.sourceforge.net

 

图片 2

AppCmd.exe工具扶持的下令:

那时,重国民党的新生活运动行项目难点已经扫除了。

add

 

clear

留意:本地借使第一步不大概实现手动修改文件,直接实践里面包车型地铁指令也足以,然后继续第二部,应该也能够排除。

configure

 

delete

 

inspect

install

list

lock

migrate

recycle

reset

restore

search

set

start

stop

uninstall

unlock

AppCmd命令

和谐提示:命令总是位于对象早先,而属性总是位于对象之后,那样就足以透过创办一个形似于一条语句的布局,在这里个布局中,appcmd.exe布告对象做有些事。

  list      列出利用程序池
  set       配置利用程序池
  add       增加新利用程序池
  delete    删除应用程序池
  start     运行应用程序池
  stop      截至使用程序池
  recycle   回笼利用程序池

1、列出二个指标具有实例

appcmd.exe list app

2、列出天下无敌的对象实例

appcmd.exe list app "Default Web Site/"