修改數(shù)據(jù)庫密碼 進不了網(wǎng)站后臺石家莊網(wǎng)站建設(shè)
4.?安全套接字層
4.1?安全套接字層(SSL)和傳輸層安全(TLS)
(1)SSL/TLS提供的安全服務(wù)
?、?strong>SSL服務(wù)器鑒別,允許用戶證實服務(wù)器的身份。支持SSL的客戶端通過驗證來自服務(wù)器的證書,來鑒別服務(wù)器的真實身份,并獲取服務(wù)器的公鑰。
?、?strong>SSL客戶鑒別,允許服務(wù)器證實客戶身份。這個信息對服務(wù)器很重要的。例如,當(dāng)銀行把有關(guān)財務(wù)的保密信息發(fā)送給客戶時,就必須檢驗接收者的身份。
?、?strong>加密的SSL會話,客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密,在接收方解密。第三方無法竊聽。同時SSL具有校驗機制,一旦被篡改,通信雙方會立刻發(fā)現(xiàn)。
(2)SSL/TLS協(xié)議
?、買ETF將Netscape公司的SSL(安全套接字,Secure Socket Layer)作了標(biāo)準(zhǔn)化,并將其稱為TLS(傳輸層安全, Transport Layer Security)。從技術(shù)上講,TLS1.0與SSL3.0的差異非常微小。
?②瀏覽器默認(rèn)支持SSL/TLS:IE→“Internet選項”→“高級”中可以看到默認(rèn)己經(jīng)選中了“使用SSL2.0”和“使用SSL3.0”等項。
③安全套接字層的常見協(xié)議與端口
協(xié)議 | 端口 |
https | 443 |
imaps | 993 |
pop3s | 995 |
smtps | 465 |
4.2?安全套接字層的工作過程(以使用https協(xié)議為例)
(1)瀏覽器A將自己支持的一套加密算法發(fā)送給服務(wù)器B。
(2)服務(wù)器B從中選出一組加密算法和哈希算法,并將自己的身份信息以證書的形式發(fā)回給客戶端瀏覽器。證書里包含了網(wǎng)站域名、加密公鑰以及證書頒發(fā)機構(gòu)等信息。
(3)客戶端驗證證書的合法性(是否信任證書頒發(fā)機構(gòu),證書中包含的網(wǎng)站域名地址是否與正在訪問的地址一致,證書是否過期等)。如果證書受信任,瀏覽器欄里會顯示一個小鎖圖標(biāo),否則會給出證書不受信任的提示。如果證書受信任或用戶接受了不受信任的證書(這說明A可以不必事先信任該證書頒發(fā)機構(gòu)!),瀏覽器會產(chǎn)生秘密數(shù),客戶端使用雙方協(xié)商的算法將秘密數(shù)轉(zhuǎn)換成會話密鑰。同時使用B提供的公鑰加密秘密數(shù),然后發(fā)送給服務(wù)器B
(4)服務(wù)器B用私鑰解密秘密數(shù),根據(jù)雙方協(xié)商的算法產(chǎn)生會話密鑰,這和瀏覽器A產(chǎn)生的會話密鑰相同。
(5)安全數(shù)據(jù)傳輸。雙方用會話密加密和解密它們之間傳送的數(shù)據(jù)并驗證其完整性。
4.3?證書頒發(fā)機構(gòu)層次
(1)證書的層次結(jié)構(gòu)
?、貱A認(rèn)證中心是一個負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。認(rèn)證中心通常采用多層次的分級結(jié)構(gòu)。上級認(rèn)證中心負(fù)責(zé)簽發(fā)(或簽名)和管理下級認(rèn)證中心的證書,最下一級的認(rèn)證中心直接面向最終用戶發(fā)放證書。
?、陧攲覥A稱為根CA,根CA的子CA稱為從屬CA。從屬CA也可以給它的下級發(fā)證,即給下級CA數(shù)字證書簽名。
?、?strong>互聯(lián)網(wǎng)中的用戶只需信任根證書頒發(fā)機構(gòu),就能信任其所有從屬CA,然后驗證所有從屬CA頒發(fā)的用戶證書或服務(wù)器證書。
(2)使用根CA的公鑰驗證完整證書的過程
①客戶端首先使用根CA公鑰驗證子CA的證書是否是根CA頒發(fā)的。(注意,驗證子CA之前要求客戶端要先信任根CA??梢酝ㄟ^IE→“Internet選項”→“內(nèi)容”→“證書”→“受信任的根證書頒發(fā)機構(gòu)”中查看到!微軟在安裝操作系統(tǒng)時就己經(jīng)將那些知名的證書頒發(fā)機構(gòu)添加到這里!)
②驗證通過,再使用子CA的公鑰驗證Web證書是否是子CA頒發(fā)的。所以客戶端只要信任了根證書頒發(fā)機構(gòu),就能驗證其所有從屬CA,以及由從CA頒發(fā)的用戶證書或服務(wù)器證書。
4.4?實戰(zhàn):配置網(wǎng)站使用https通信
(1)實驗環(huán)境:三個虛擬機(Win2003Web服務(wù)器(192.168.80.20)、Win2003證書頒發(fā)機構(gòu)(192.168.80.100)和一個WinXP作為瀏覽器。)
(2)申請Web服務(wù)器證書
①為Web站點創(chuàng)建證書申請文件。IIS→“默認(rèn)網(wǎng)站”→“屬性”→“目錄安全性”中點擊“服務(wù)器證書”。
②在“新建證書”中,輸入相關(guān)信息。但要注意的是當(dāng)出現(xiàn)“站點公用名稱”對話框時,輸入的網(wǎng)站域名要與用戶訪問該網(wǎng)站的域名相同,否則用戶在訪問該網(wǎng)站時會出現(xiàn)安全警告。最后,將證書申請文件保存在桌面。
③登錄Win2003CA提供的頁面(http://192.168.80.100/certsrv)去申請Web服務(wù)器證書:“申請一個證書”→“高級證書申請”→“使用base64編碼的CMC或PKCS#10文件提交一個證書。申請,或使用base64編碼的PKCS#7文件續(xù)訂證書”→在“保存的申請”框中將之前保存在桌面的申請文件導(dǎo)入進來→“提交”。注意,要登錄Win2003CA服務(wù)器審核剛才Web服務(wù)器的證書申請,然后“頒發(fā)”。
?、苋缓蠡氐絎in2003Web服務(wù)器剛剛申請證書的首頁,查看“掛起的證書申請狀態(tài)”并下載證書保存到桌面。
(2)配置Web站點使用https通信
①將證書與Web站點綁定。IIS→“默認(rèn)站點”→“屬性”→“目錄安全性”→“服務(wù)器證書”→“處理掛起的請求并安裝證書”→瀏覽到剛保存的證書→SSL端口號保留默認(rèn)值(443)。
?、?strong>查看證書:可以看出MyWeb服務(wù)器證書己頒發(fā)下來,但前面有個紅色的“×”。說明目前5ieduCA這個證書頒發(fā)機構(gòu)仍不是我們信任的機構(gòu)。可以在“5ieduCA”→“查看證書”→“安裝證書”→在“證書存儲”→選擇“本地計算機”,完成證書導(dǎo)入。
③強制使用SSL安全協(xié)議:“目錄安全性”→“編輯”→“安全通信”→勾選“要求安全通道(SSL)”,這樣就只允許使用https協(xié)議訪問了。否則即可以通過https,也可以通過http協(xié)議和IP地址直接訪問。
?、墼赪in2003Web服務(wù)器上配置DNS,使得www.5iedu.net指向Web服務(wù)器。同時將WinXP虛擬機的DNS設(shè)置為192.168.80.20,然后在WinXP上打開IE使用https協(xié)議瀏覽https://www.5iedu.net站點。如果直接使用IP或http協(xié)議訪問時則無法訪問。(注意觀察瀏覽器右下訪有一個小鎖的圖標(biāo),可以雙擊查看證書及有效期。如果出現(xiàn)根證書機構(gòu)未被信任,說明客戶端未信任根證書頒發(fā)機構(gòu),客戶要自己確認(rèn)該站點的合法性!)