CA證書與Web服務(wù)器SSL安全通信的部署

　　CA證書與Web服務(wù)器SSL安全通信的部署

　　作者：北京師范大學(xué)珠海分校 - 信息技術(shù)學(xué)院 - 姜南

　　實(shí)驗(yàn)環(huán)境：Windows Server 2003 + Internet Explorer

　　數(shù)字證書

　　數(shù)字證書是用于在Internet上建立人們身份和電子資產(chǎn)的數(shù)據(jù)文件。它們保證了安全、加密的在線通信并常常被用于保護(hù)在線交易。

　　數(shù)字證書由被稱為認(rèn)證中心(CA)的可信賴的第三方來(lái)發(fā)放。CA認(rèn)證證書持有者的身份并“簽署”證書來(lái)證明證書不是偽造的或沒(méi)有以任何方式篡改。

　　當(dāng)一個(gè)證書由CA進(jìn)行數(shù)字簽署時(shí)，其持有者可以使用它作為證明自己身份的電子護(hù)照。它可以向Web站點(diǎn)、網(wǎng)絡(luò)或要求安全訪問(wèn)的個(gè)人出示。

　　內(nèi)嵌在證書中的身份信息包括持有者的姓名和電子郵件地址、發(fā)證CA的名稱、序列號(hào)以及證書的有效或失效期。當(dāng)一位用戶的身份為CA所確認(rèn)后，證書使用持有者的公共密鑰來(lái)保護(hù)這一數(shù)據(jù)。

　　一臺(tái)Web服務(wù)器用來(lái)向用戶瀏覽器證實(shí)自己真實(shí)性的證書也可以使用公共密鑰。當(dāng)用戶打算向Web服務(wù)器發(fā)送保密信息(如用于一次在線交易信用卡號(hào))時(shí)，用戶瀏覽器將索取服務(wù)器數(shù)字證書中的公共密鑰來(lái)證實(shí)Web站點(diǎn)的身份。

　　公共密鑰加密體制的作用

　　公共密鑰是為數(shù)字證書提供基礎(chǔ)的公共密鑰加密體制中所使用的密鑰對(duì)中的一半密鑰。

　　公共密鑰加密體制利用對(duì)應(yīng)的公共密鑰和私有密鑰進(jìn)行加密和解密。這些密鑰有著某種數(shù)字值，加密算法使用這類數(shù)字值來(lái)加密信息，使信息只能為擁有相應(yīng)解密密鑰的用戶所讀懂。

　　使用數(shù)據(jù)證書的Web服務(wù)器可以利用私有密鑰來(lái)解密在Internet上發(fā)送給它的保密信息。

　　Web服務(wù)器的證書由一個(gè)標(biāo)識(shí)發(fā)證CA的自簽署CA證書來(lái)確認(rèn)有效。CA證書被預(yù)安裝在大多數(shù)主要Web瀏覽器中，這些瀏覽器包括Microsoft Internet Explorer和Netscape Navigator。

　　CA證書告訴用戶當(dāng)Web服務(wù)器的證書出示給瀏覽器時(shí)他們是否可以信任Web服務(wù)器的證書。如果Web服務(wù)器證書的有效性得到證實(shí)的話，證書的公共密鑰就被用來(lái)為使用安全套接層(SSL)技術(shù)的服務(wù)器加密信息。

　　SSL安全協(xié)議可以利用數(shù)字證書在尋求安全通信的雙方之間建立安全的"管道"。多數(shù)主要Web瀏覽器和商用Web服務(wù)器中都使用SSL。

　　呼叫與握手

　　如果一位購(gòu)物者打算與一個(gè)采用SSL加密的Web站點(diǎn)建立連接的話，他的瀏覽器向這Web服務(wù)器發(fā)出"客戶機(jī)呼叫"信息，請(qǐng)求一次SSL加密會(huì)話。這Web服務(wù)器通過(guò)向購(gòu)物者發(fā)送服務(wù)器的證書進(jìn)行答復(fù)。

　　購(gòu)物者的瀏覽器將驗(yàn)證服務(wù)器的證書是否有效，是否由一個(gè)可信賴的CA所簽署。這一確認(rèn)兩個(gè)實(shí)體打算建立一次安全的SSL連接的過(guò)程被稱為SSL"握手"。

　　為了啟動(dòng)這次握手，購(gòu)物者的瀏覽器將生成一個(gè)用服務(wù)器公共密鑰進(jìn)行加密的特殊的一次性會(huì)話密鑰，并向服務(wù)器發(fā)送這個(gè)加了密的會(huì)話密鑰。服務(wù)器利用私有密鑰解密收到的信息，恢復(fù)出會(huì)話密鑰。

　　這種交換證實(shí)了Web站點(diǎn)的身份，保證了只有這個(gè)瀏覽器和這臺(tái)Web服務(wù)器才擁有這個(gè)會(huì)話密鑰。然后，Web服務(wù)器使用這個(gè)會(huì)話密鑰向購(gòu)物者發(fā)送加密的信息。

　　當(dāng)瀏覽器在一般模式下時(shí)，瀏覽器右下角的一個(gè)鑰匙或掛鎖的圖標(biāo)看起來(lái)是斷開(kāi)或打開(kāi)的。當(dāng)建立了SSL連接，瀏覽器處于安全模式時(shí)，這把鑰匙就變成完整的鑰匙并且掛鎖也鎖上了。

　　安裝證書(CA)服務(wù)組件

　　要想使用SSL安全機(jī)制功能，首先必須為Windows Server 2003系統(tǒng)安裝證書服務(wù)

　　1、開(kāi)始 - 控制面板 - 添加或刪除程序 - 添加/刪除Windows組件，按以下內(nèi)容勾選并安裝

　　安裝過(guò)程需要提供Windows Server 2003安裝光盤

　　2、配置CA的公用名稱及有效期限

　　3、CA類型選擇獨(dú)立根CA，后面的步驟全部下一步即可

　　精彩內(nèi)容，請(qǐng)點(diǎn)擊下一頁(yè)！

生活不易，碼農(nóng)辛苦
如果您覺(jué)得本網(wǎng)站對(duì)您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)