会计从业资格考试备考辅导用Windows2000实现安全Web站点

用 Windows2000 实现安全 Web 站点 SSL Security Socket Layer 简称安全套接字协议层 是电子商务的一种重要技术 可 用于实现安全 web 站点 但是 迄今为止 报刊上有关文章主要在于理论介绍 具体实现 技术的介绍比较少见 其中原因主要在于商业的认证中心 Certificate Authority 又 称 CA 中心 在国内还不太成熟 向国外申请又太贵 还有些文章提到了用 Windows2000 来自己建立 CA 中心 同样也主要是理论介绍 凭借它们加上 Windows 的帮助 要设计一 个安全 web 站点 依然有一定难度 笔者通过一段时间摸索 掌握了有关的实现技术 特 介绍之 与同行共享 为便于大家掌握 以下介绍采用最简单的工作环境 见图 1 即 Web 服务器 Windows2000AdvancedServer 作为操作系统 认证中心则在此基础上增加了 证书颁发机 构 组件 IP 地址为 证书颁发策略为 立即颁发 浏览器用 IE4 0 或 IE5 0 服 务器放在 Intranet 上 通过网络颁发数字证书 假设要实现安全 Web 的站点名为默认站 点 Myweb 一 数字证书的取得与管理 一 生成申请 Web 站点数字证书的文件 本操作在 Web 服务器端进行 具体步骤是 1 启动 Web 服务器的 Internet 信息服务 2 在 Internet 信息服务 中 右击 Myweb 站点名 选择快捷菜单的 属性 命令 出现 Myweb 属性 对话框 3 单击 Myweb 属性 对话框中 目录安全性 页标签 再单击 服务器证书 按钮 4 在 IIS 证书向导 对话框中 按提示 依次选择 创建一个新证书 现在准备请 求 但稍候发送 等 设置有关属性 将最后的证书申请以文本文件保存 假设文件名为 E certreq txt 5 最后单击 完成 即可 二 生成服务器证书 首先 将证书申请文件内容复制到剪切板 方法是 用记事本打开 E certreq txt 查 看申请文件内容 可以看到这是一个纯文本文件 以 PKCS 编码格式保存 首尾两行为申 请的开始与结束 选择 编辑 全选 再选择 编辑 复制 即可 然后生成服务器证书 紧接前一步 在 Web 服务器端依次执行 1 启动 IE 在地址栏打入命令 http certsrv 2 选择 申请证书 单击 下一步 3 选择申请类型为 高级申请 单击 下一步 4 选择第 2 项 使用 Base64 编码的 PKCS 文件提交一个证书申请 或使用 Base64 编码的 PKCS 7 文件更新证书申请 单击 下一步 5 右击中间 Base64 编码证书申请 右边的编辑框 选择快捷菜单项 粘贴 将证书申 请内容粘贴进去 见图 2 图 2 略 6 单击 提交 按钮 则完成申请功能 7 由于认证中心的证书颁发策略为立即颁发 因此很快 CA 中心就会将证书颁发给你 屏 幕上显示 您申请的证书已发布给您 你可以 下载 CA 证书及 CA 证书路径 等提示 见图 3 图 3 略 8 选择 Base64 编码 单击对应的显示 将证书以 mywebcert cer 为文件名保存在桌面 上 三 安装服务器证书 再进入到 myweb 属性 对话框中 单击 服务器证书 在 IIS 证书向导 对话框中 按提示操作即可安装服务器证书 其中要求 1 选择 处理挂起的请求并安装证书 2 输入证书文件名时 单击 浏览 选择桌面上的文件 mywebcert 即存放刚才生 成的服务器证书的文件 单击 打开 直到出现 完成 对话框时 单击 完成 按 钮即完成证书安装 四 查看并备份服务器证书 接上一步 单击 myweb 属性 对话框中的 查看证书 按钮 将显示服务器的证书 显 示内容略 在 证书 对话框中单击 详细信息 页 再单击 复制到文件 将该证书以 文件名 mywebcert pfx 保存在桌面上 注意文件的扩展名表示 个人信息交换 证书文件 与前面不同 文件保存了证书的公钥与私钥 二 设置 安全通信 属性 接上一步 单击 myweb 属性对话框中的 编辑 按钮 选中 申请安全通道 与 申请客 户证书 见图 4 再单击 确定 图 4 略 这表示客户浏览器查看 Myweb 站点的内容时 必须申请安全通道 要申请安全通道 客户 端必须拥有本服务器信任的证书 否则不允许客户浏览 并且必须在地址栏打入 https 开 头 而不是 Http 进行 SSL 的安全通信 具体操作过程略 如果允许客户决定与 web 服务器通信加密 或不加密通信 则设置为 接收客户证书 除此之外 还可以对证书信任列表进行设置 本文略 三 ASP 与安全 web 站点有关的对象与方法 一 Session 对象 Session 是访问者从到达某个特定主页到离开为止的那段时间 每个访问者都会单独获得 一个 session 这是一个内置对象 其中属性 Session SessionID 可作为一个用户 session 的惟一标识 我们一般设置普遍信息非加密浏览 敏感信息要求加密通信 例如一个电子 商务网站 登记注册时要求加密通信 注册后察看一般产品时用非加密通信 而要输入信 用卡时 又要用加密通信 为此 我们只要将两类信息在 web 站点下面分目录存放 其中 非加密浏览的目录取消其 目录安全性 的 申请安全通道 复选框即可 方法类同 2 ASP 用 Response RedirectURL 将浏览器在不同的目录网页之间转换 同时 检测 Session 对象的 SessionID 属性 只要它是一样的 Web 服务器就知道还是同一个用户浏 览 二 客户证书集 客户证书可以通过 Request 对象来检测 所有与该 Web 站点通信的客户证书的信息存储在 集合 Request ClientCertficate key SubField 中 对于 Key 该集合具有如下的关键字 1 Subject 证书的主题 包含所有关于证书收据的信息 能和所有的子域后缀一起使用 2 Issuer 证书的发行人 包含所有关于证书验证的信息 除了 CN 外 能和所有的子域后 缀一起使用 3 ValidFrom 证书发行的日期 使用 VBScript 格式 4 ValidUntel 证书有效截止日期 5 Seria1Number 证书的序列号 6 Certificate 整个证书内容的二进制流 使用 ASN 1 格式 对于 Subfield Subject 和 Issuer 关键字可以具有如下的子域后缀 比如 SubjectOU 或 IssuerL C 表示国家 O 表示公司或组织名称 OU 表示组织单元 CN 表示用户的常规名称 L 表示 局部 S 表示州 或省 T 表示个人或公司的标题 GN 表示给定名称 I 表示初始 当文件 cervbs inc VBScript 使用 或 cerjavas inc Jscript 使用 通过使用 INCLUDE 包含在你的 Active Server Page 里时 下面两个标志可以使用 ceCertPresen