程序员人生 网站导航

CA证书与Web服务器SSL安全通信的部署

栏目:服务器时间:2014-01-07 01:43:44

  CA证书与Web服务器SSL安全通信的部署

  作者:北京师范大学珠海分校 - 信息技术学院 - 姜南

  实验环境:Windows Server 2003 + Internet Explorer

  数字证书

  数字证书是用于在Internet上建立人们身份和电子资产的数据文件。它们保证了安全、加密的在线通信并常常被用于保护在线交易。

  数字证书由被称为认证中心(CA)的可信赖的第三方来发放。CA认证证书持有者的身份并“签署”证书来证明证书不是伪造的或没有以任何方式篡改。

  当一个证书由CA进行数字签署时,其持有者可以使用它作为证明自己身份的电子护照。它可以向Web站点、网络或要求安全访问的个人出示。

  内嵌在证书中的身份信息包括持有者的姓名和电子邮件地址、发证CA的名称、序列号以及证书的有效或失效期。当一位用户的身份为CA所确认后,证书使用持有者的公共密钥来保护这一数据。

  一台Web服务器用来向用户浏览器证实自己真实性的证书也可以使用公共密钥。当用户打算向Web服务器发送保密信息(如用于一次在线交易信用卡号)时,用户浏览器将索取服务器数字证书中的公共密钥来证实Web站点的身份。

  公共密钥加密体制的作用

  公共密钥是为数字证书提供基础的公共密钥加密体制中所使用的密钥对中的一半密钥。

  公共密钥加密体制利用对应的公共密钥和私有密钥进行加密和解密。这些密钥有着某种数字值,加密算法使用这类数字值来加密信息,使信息只能为拥有相应解密密钥的用户所读懂。

  使用数据证书的Web服务器可以利用私有密钥来解密在Internet上发送给它的保密信息。

  Web服务器的证书由一个标识发证CA的自签署CA证书来确认有效。CA证书被预安装在大多数主要Web浏览器中,这些浏览器包括Microsoft Internet Explorer和Netscape Navigator。

  CA证书告诉用户当Web服务器的证书出示给浏览器时他们是否可以信任Web服务器的证书。如果Web服务器证书的有效性得到证实的话,证书的公共密钥就被用来为使用安全套接层(SSL)技术的服务器加密信息。

  SSL安全协议可以利用数字证书在寻求安全通信的双方之间建立安全的"管道"。多数主要Web浏览器和商用Web服务器中都使用SSL。

  呼叫与握手

  如果一位购物者打算与一个采用SSL加密的Web站点建立连接的话,他的浏览器向这Web服务器发出"客户机呼叫"信息,请求一次SSL加密会话。这Web服务器通过向购物者发送服务器的证书进行答复。

  购物者的浏览器将验证服务器的证书是否有效,是否由一个可信赖的CA所签署。这一确认两个实体打算建立一次安全的SSL连接的过程被称为SSL"握手"。

  为了启动这次握手,购物者的浏览器将生成一个用服务器公共密钥进行加密的特殊的一次性会话密钥,并向服务器发送这个加了密的会话密钥。服务器利用私有密钥解密收到的信息,恢复出会话密钥。

  这种交换证实了Web站点的身份,保证了只有这个浏览器和这台Web服务器才拥有这个会话密钥。然后,Web服务器使用这个会话密钥向购物者发送加密的信息。

  当浏览器在一般模式下时,浏览器右下角的一个钥匙或挂锁的图标看起来是断开或打开的。当建立了SSL连接,浏览器处于安全模式时,这把钥匙就变成完整的钥匙并且挂锁也锁上了。

  安装证书(CA)服务组件

  要想使用SSL安全机制功能,首先必须为Windows Server 2003系统安装证书服务

  1、开始 - 控制面板 - 添加或删除程序 - 添加/删除Windows组件,按以下内容勾选并安装

  安装过程需要提供Windows Server 2003安装光盘

  2、配置CA的公用名称及有效期限

  3、CA类型选择独立根CA,后面的步骤全部下一步即可

  精彩内容,请点击下一页!

------分隔线----------------------------
------分隔线----------------------------

最新技术推荐