CA證書與Web服務器SSL安全通信的部署

　　CA證書與Web服務器SSL安全通信的部署

　　作者：北京師范大學珠海分校 - 信息技術學院 - 姜南

　　實驗環境：Windows Server 2003 + Internet Explorer

　　數字證書

　　數字證書是用于在Internet上建立人們身份和電子資產的數據文件。它們保證了安全、加密的在線通信并常常被用于保護在線交易。

　　數字證書由被稱為認證中心(CA)的可信賴的第三方來發放。CA認證證書持有者的身份并“簽署”證書來證明證書不是偽造的或沒有以任何方式篡改。

　　當一個證書由CA進行數字簽署時，其持有者可以使用它作為證明自己身份的電子護照。它可以向Web站點、網絡或要求安全訪問的個人出示。

　　內嵌在證書中的身份信息包括持有者的姓名和電子郵件地址、發證CA的名稱、序列號以及證書的有效或失效期。當一位用戶的身份為CA所確認后，證書使用持有者的公共密鑰來保護這一數據。

　　一臺Web服務器用來向用戶瀏覽器證實自己真實性的證書也可以使用公共密鑰。當用戶打算向Web服務器發送保密信息(如用于一次在線交易信用卡號)時，用戶瀏覽器將索取服務器數字證書中的公共密鑰來證實Web站點的身份。

　　公共密鑰加密體制的作用

　　公共密鑰是為數字證書提供基礎的公共密鑰加密體制中所使用的密鑰對中的一半密鑰。

　　公共密鑰加密體制利用對應的公共密鑰和私有密鑰進行加密和解密。這些密鑰有著某種數字值，加密算法使用這類數字值來加密信息，使信息只能為擁有相應解密密鑰的用戶所讀懂。

　　使用數據證書的Web服務器可以利用私有密鑰來解密在Internet上發送給它的保密信息。

　　Web服務器的證書由一個標識發證CA的自簽署CA證書來確認有效。CA證書被預安裝在大多數主要Web瀏覽器中，這些瀏覽器包括Microsoft Internet Explorer和Netscape Navigator。

　　CA證書告訴用戶當Web服務器的證書出示給瀏覽器時他們是否可以信任Web服務器的證書。如果Web服務器證書的有效性得到證實的話，證書的公共密鑰就被用來為使用安全套接層(SSL)技術的服務器加密信息。

　　SSL安全協議可以利用數字證書在尋求安全通信的雙方之間建立安全的"管道"。多數主要Web瀏覽器和商用Web服務器中都使用SSL。

　　呼叫與握手

　　如果一位購物者打算與一個采用SSL加密的Web站點建立連接的話，他的瀏覽器向這Web服務器發出"客戶機呼叫"信息，請求一次SSL加密會話。這Web服務器通過向購物者發送服務器的證書進行答復。

　　購物者的瀏覽器將驗證服務器的證書是否有效，是否由一個可信賴的CA所簽署。這一確認兩個實體打算建立一次安全的SSL連接的過程被稱為SSL"握手"。

　　為了啟動這次握手，購物者的瀏覽器將生成一個用服務器公共密鑰進行加密的特殊的一次性會話密鑰，并向服務器發送這個加了密的會話密鑰。服務器利用私有密鑰解密收到的信息，恢復出會話密鑰。

　　這種交換證實了Web站點的身份，保證了只有這個瀏覽器和這臺Web服務器才擁有這個會話密鑰。然后，Web服務器使用這個會話密鑰向購物者發送加密的信息。

　　當瀏覽器在一般模式下時，瀏覽器右下角的一個鑰匙或掛鎖的圖標看起來是斷開或打開的。當建立了SSL連接，瀏覽器處于安全模式時，這把鑰匙就變成完整的鑰匙并且掛鎖也鎖上了。

　　安裝證書(CA)服務組件

　　要想使用SSL安全機制功能，首先必須為Windows Server 2003系統安裝證書服務

　　1、開始 - 控制面板 - 添加或刪除程序 - 添加/刪除Windows組件，按以下內容勾選并安裝

　　安裝過程需要提供Windows Server 2003安裝光盤

　　2、配置CA的公用名稱及有效期限

　　3、CA類型選擇獨立根CA，后面的步驟全部下一步即可

　　精彩內容，請點擊下一頁！

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈