4.?安全套接字層

4.1?安全套接字層（SSL）和傳輸層安全（TLS）

（1）SSL/TLS提供的安全服務(wù)

　?、?strong>SSL服務(wù)器鑒別，允許用戶證實服務(wù)器的身份。支持SSL的客戶端通過驗證來自服務(wù)器的證書，來鑒別服務(wù)器的真實身份，并獲取服務(wù)器的公鑰。

　?、?strong>SSL客戶鑒別，允許服務(wù)器證實客戶身份。這個信息對服務(wù)器很重要的。例如，當(dāng)銀行把有關(guān)財務(wù)的保密信息發(fā)送給客戶時，就必須檢驗接收者的身份。

　?、?strong>加密的SSL會話，客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密,在接收方解密。第三方無法竊聽。同時SSL具有校驗機制，一旦被篡改，通信雙方會立刻發(fā)現(xiàn)。

（2）SSL/TLS協(xié)議

　?、買ETF將Netscape公司的SSL（安全套接字，Secure Socket Layer）作了標(biāo)準(zhǔn)化，并將其稱為TLS（傳輸層安全， Transport Layer Security）。從技術(shù)上講，TLS1.0與SSL3.0的差異非常微小。

　　?②瀏覽器默認(rèn)支持SSL/TLS：IE→“Internet選項”→“高級”中可以看到默認(rèn)己經(jīng)選中了“使用SSL2.0”和“使用SSL3.0”等項。

　　③安全套接字層的常見協(xié)議與端口

協(xié)議	端口
https	443
imaps	993
pop3s	995
smtps	465

4.2?安全套接字層的工作過程（以使用https協(xié)議為例）

（1）瀏覽器A將自己支持的一套加密算法發(fā)送給服務(wù)器B。

（2）服務(wù)器B從中選出一組加密算法和哈希算法，并將自己的身份信息以證書的形式發(fā)回給客戶端瀏覽器。證書里包含了網(wǎng)站域名、加密公鑰以及證書頒發(fā)機構(gòu)等信息。

（3）客戶端驗證證書的合法性（是否信任證書頒發(fā)機構(gòu)，證書中包含的網(wǎng)站域名地址是否與正在訪問的地址一致，證書是否過期等）。如果證書受信任，瀏覽器欄里會顯示一個小鎖圖標(biāo)，否則會給出證書不受信任的提示。如果證書受信任或用戶接受了不受信任的證書（這說明A可以不必事先信任該證書頒發(fā)機構(gòu)！），瀏覽器會產(chǎn)生秘密數(shù)，客戶端使用雙方協(xié)商的算法將秘密數(shù)轉(zhuǎn)換成會話密鑰。同時使用B提供的公鑰加密秘密數(shù)，然后發(fā)送給服務(wù)器B

（4）服務(wù)器B用私鑰解密秘密數(shù)，根據(jù)雙方協(xié)商的算法產(chǎn)生會話密鑰，這和瀏覽器A產(chǎn)生的會話密鑰相同。

（5）安全數(shù)據(jù)傳輸。雙方用會話密加密和解密它們之間傳送的數(shù)據(jù)并驗證其完整性。

4.3?證書頒發(fā)機構(gòu)層次

（1）證書的層次結(jié)構(gòu)

　?、貱A認(rèn)證中心是一個負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。認(rèn)證中心通常采用多層次的分級結(jié)構(gòu)。上級認(rèn)證中心負(fù)責(zé)簽發(fā)（或簽名）和管理下級認(rèn)證中心的證書，最下一級的認(rèn)證中心直接面向最終用戶發(fā)放證書。

　?、陧攲覥A稱為根CA，根CA的子CA稱為從屬CA。從屬CA也可以給它的下級發(fā)證，即給下級CA數(shù)字證書簽名。

　?、?strong>互聯(lián)網(wǎng)中的用戶只需信任根證書頒發(fā)機構(gòu)，就能信任其所有從屬CA，然后驗證所有從屬CA頒發(fā)的用戶證書或服務(wù)器證書。

（2）使用根CA的公鑰驗證完整證書的過程

　　①客戶端首先使用根CA公鑰驗證子CA的證書是否是根CA頒發(fā)的。（注意，驗證子CA之前要求客戶端要先信任根CA?？梢酝ㄟ^IE→“Internet選項”→“內(nèi)容”→“證書”→“受信任的根證書頒發(fā)機構(gòu)”中查看到！微軟在安裝操作系統(tǒng)時就己經(jīng)將那些知名的證書頒發(fā)機構(gòu)添加到這里！）

　　②驗證通過，再使用子CA的公鑰驗證Web證書是否是子CA頒發(fā)的。所以客戶端只要信任了根證書頒發(fā)機構(gòu)，就能驗證其所有從屬CA，以及由從CA頒發(fā)的用戶證書或服務(wù)器證書。

4.4?實戰(zhàn)：配置網(wǎng)站使用https通信

（1）實驗環(huán)境：三個虛擬機（Win2003Web服務(wù)器（192.168.80.20）、Win2003證書頒發(fā)機構(gòu)（192.168.80.100）和一個WinXP作為瀏覽器。）

（2）申請Web服務(wù)器證書

　　①為Web站點創(chuàng)建證書申請文件。IIS→“默認(rèn)網(wǎng)站”→“屬性”→“目錄安全性”中點擊“服務(wù)器證書”。

　　②在“新建證書”中，輸入相關(guān)信息。但要注意的是當(dāng)出現(xiàn)“站點公用名稱”對話框時，輸入的網(wǎng)站域名要與用戶訪問該網(wǎng)站的域名相同，否則用戶在訪問該網(wǎng)站時會出現(xiàn)安全警告。最后，將證書申請文件保存在桌面。

　　③登錄Win2003CA提供的頁面（http://192.168.80.100/certsrv）去申請Web服務(wù)器證書：“申請一個證書”→“高級證書申請”→“使用base64編碼的CMC或PKCS#10文件提交一個證書。申請，或使用base64編碼的PKCS#7文件續(xù)訂證書”→在“保存的申請”框中將之前保存在桌面的申請文件導(dǎo)入進來→“提交”。注意，要登錄Win2003CA服務(wù)器審核剛才Web服務(wù)器的證書申請，然后“頒發(fā)”。

　?、苋缓蠡氐絎in2003Web服務(wù)器剛剛申請證書的首頁，查看“掛起的證書申請狀態(tài)”并下載證書保存到桌面。

（2）配置Web站點使用https通信

　　①將證書與Web站點綁定。IIS→“默認(rèn)站點”→“屬性”→“目錄安全性”→“服務(wù)器證書”→“處理掛起的請求并安裝證書”→瀏覽到剛保存的證書→SSL端口號保留默認(rèn)值（443）。

　?、?strong>查看證書：可以看出MyWeb服務(wù)器證書己頒發(fā)下來，但前面有個紅色的“×”。說明目前5ieduCA這個證書頒發(fā)機構(gòu)仍不是我們信任的機構(gòu)。可以在“5ieduCA”→“查看證書”→“安裝證書”→在“證書存儲”→選擇“本地計算機”，完成證書導(dǎo)入。

　　③強制使用SSL安全協(xié)議：“目錄安全性”→“編輯”→“安全通信”→勾選“要求安全通道（SSL）”，這樣就只允許使用https協(xié)議訪問了。否則即可以通過https，也可以通過http協(xié)議和IP地址直接訪問。

　?、墼赪in2003Web服務(wù)器上配置DNS，使得www.5iedu.net指向Web服務(wù)器。同時將WinXP虛擬機的DNS設(shè)置為192.168.80.20，然后在WinXP上打開IE使用https協(xié)議瀏覽https://www.5iedu.net站點。如果直接使用IP或http協(xié)議訪問時則無法訪問。（注意觀察瀏覽器右下訪有一個小鎖的圖標(biāo)，可以雙擊查看證書及有效期。如果出現(xiàn)根證書機構(gòu)未被信任，說明客戶端未信任根證書頒發(fā)機構(gòu)，客戶要自己確認(rèn)該站點的合法性！）