用SSL保护Web站点的安全

用SSL保护Web站点的安全1 理解SSL的原理2 掌握windows2000环境下的证书服务器的配置和使用方法3 了解使用SSL加密WEB站点的方法 安全套接字层 SSL SSL SecureSocketLayer 系由Netscape公司建议的一种构建在TCP协议之上的保密措施通信协议 不但适用于HTTP 而且还适用于TELNET FTP NNTP GOPHER等客户 服务器模式的安全协议 SSL协议允许客户端 典型的如浏览器 和HTTP服务器之间能通过安全的连接来通信 SSL支持数据的加密 来源验证及数据的完整性 以保护在不安全的公众网络上交换的数据 在SSL版本中 SSL3 0应用则比较广泛 最后 由SSL3 0改进而来的传输层加密 TLS TransportLayerSecurity 已经成为Internet标准并应用于几乎所有的软件中 在数据传播之前 加密技术把数据转变成看起来毫无意义的内容来保护数据不被非法使用 其过程是 数据在一端 客户端或者服务器端 被加密 传输 再在另一端被解密 来源认证是验证数据发送者身份的一种办法 浏览器或者其它客户端第一次尝试与网页服务器进行安全连接通信时 服务器会将一套信任信息以证书的形式呈现出来 证书由权威认证机构 CA 值得信赖的授权者发行和验证 一个证书描述一个人的公钥 一个签名的文档会作出如下保证 我证明文档中的这个公钥属于在该文档中命名的实体 签名 权威认证机构 目前知名的权威认证机构有Verisign Entrust和Thawte等 注意现在使用的SSL TLS证书是X 509证书 X 509数字证书包含的内容 1 证书的版本信息 2 证书的序列号 每个证书都有一个惟一的证书序列号 3 证书所使用的签名算法 4 证书的发行机构名称 命名规则一般采用X 509格式 5 证书的有效期 现在通用的证书一般采用UTC时间格式 它的计时范围为1950 2049 6 证书所有人的名称 命名规则一般采用 X 509格式 7 证书所有人的公开密钥 8 证书发行者对证书的签名 SSL协议的目标是提供两个应用间通信的保密和可靠性 可在服务器和客户端同时实现支持 SSL可提供3种基本的安全服务 信息保密 信息完整性 相互认证 如表6 3所示 表6 3SSL的应用 SSL由两层组成 低层是SSL记录层 用于封装不同的上层协议 其中一个被封装的协议即SSL握手协议 它可以让服务器和客户机在传输应用数据之前 协商加密算法和加密密钥 客户机提出自己能支持的全部算法清单 服务器选择最适合它的算法 SSL是名符其实的安全套接层 它的连接动作和TCP的连接类似 因此 你可以认为像SSL连接就是安全的TCP连接 因为在协议层次图 图6 5 中 SSL的位置正好在TCP之上而在应用层之下 图6 5SSL和TCP IP协议的层次 SSL的特性之一是为电子商务的事务提供可交流的加密技术和为验证算法提供标准的方法 SSL的开发者认识到不是所有人都会使用同一个客户端软件 从而不是所有客户端都会包括任何详细的加密算法 对于服务器也是同样 位于连接两端的客户端和服务器在初始化 握手 的时候 需要交流加密和解密算法 密码组 如果它们没有足够的公用算法 连接尝试将会失败 注意当SSL允许客户端和服务器端相互验证的时候 典型的作法是只有服务器端在SSL层上进行验证 客户端通常在应用层 通过SSL保护通道传送的密码来进行验证 这个模式常用于银行 股份交易和其它的安全网络应用中 图6 6SSL 握手 协议 这些消息的意义如下 1 ClientHello发送信息到服务器的客户端 这些信息如SSL协议版本 会话ID 密码组信息 加密算法和能支持的密钥的大小 2 ServerHello选择最好密码组的服务器并发送这个消息给客户端 密码组包括客户端和服务器支持 3 Certificate服务器将包含其公钥的证书发送给客户端 这个消息是可选的 在服务器请求验证的时候会需要它 换句话说 证书用于向客户端确认服务器的身份 4 CertificateRequest这个消息仅在服务器请求客户端验证它自身的时候发送 多数电子商务应用不需要客户端对自身进行 5 ServerKeyExchange如果证书包含了服务器的公钥不足以进行密钥交换 则发送该消息 6 ServerHelloDone这个消息通知客户端 服务器已经完成了交流过程的初始化 7 Certificate仅当服务器请求客户端对自己进行验证的时候发送 8 ClientKeyExchange客户端产生一个密钥与服务器共享 如果使用Rivest Shamir Adelman RSA 加密算法 客户端将使用服务器的公钥将密钥加密之后再发送给服务器 服务器使用自己的私钥或者密钥对消息进行解密以得到共享的密钥 现在 客户端和服务器共享着一个已经安全分发的密钥 9 CertificateVerify如果服务器请求验证客户端 则这个消息允许服务器完成验证过程 10 ChangeCipherSpec客户端要求服务器使用加密模式 11 Finished客户端告诉服务器它已经准备好安全通信了 12 ChangeCipherSpec服务器要求客户端使用加密模式 13 Finished这是SSL 握手 结果的标志 14 EncryptedData客户端和服务器可以在安全通信通道上进行加密信息的交流 一 配置证书服务器开始 设置 控制面板下选择 添加 删除程序 证书服务 二 启动IIS管理器来申请一个数字证书1 开始 程序 管理工具 Internet服务管理器2 单击右键打开 默认WEB站点属性 打开 目录安全性 单击 服务器证书 此步证书请求文件已经由系统自动生成 三 将证书请求文件提交给证书颁发机构打开IE 在地址栏输入 证书颁发机构的IP地址 certsrv deault asp 申请证书四 证书颁发机构颁发证书开始 程序 管理工具 证书颁发机构在所有任务 颁发 五 Web服务器安装证书1 打开IE 在地址栏输入 证书颁发机构的IP地址 certsrv deaul