用户等待网站速度,设计好看的网页,惠州个人做网站联系人,重庆铜牌制作4. 安全套接字层
4.1 安全套接字层#xff08;SSL#xff09;和传输层安全#xff08;TLS#xff09; #xff08;1#xff09;SSL/TLS提供的安全服务 ①SSL服务器鉴别#xff0c;允许用户证实服务器的身份。支持SSL的客户端通过验证来自服务器的证书#xff0c;来鉴别…4. 安全套接字层
4.1 安全套接字层SSL和传输层安全TLS 1SSL/TLS提供的安全服务 ①SSL服务器鉴别允许用户证实服务器的身份。支持SSL的客户端通过验证来自服务器的证书来鉴别服务器的真实身份并获取服务器的公钥。 ②SSL客户鉴别允许服务器证实客户身份。这个信息对服务器很重要的。例如当银行把有关财务的保密信息发送给客户时就必须检验接收者的身份。 ③加密的SSL会话客户和服务器交互的所有数据都在发送方加密,在接收方解密。第三方无法窃听。同时SSL具有校验机制一旦被篡改通信双方会立刻发现。
2SSL/TLS协议 ①IETF将Netscape公司的SSL安全套接字Secure Socket Layer作了标准化并将其称为TLS传输层安全 Transport Layer Security。从技术上讲TLS1.0与SSL3.0的差异非常微小。 ②浏览器默认支持SSL/TLSIE→“Internet选项”→“高级”中可以看到默认己经选中了“使用SSL2.0”和“使用SSL3.0”等项。 ③安全套接字层的常见协议与端口 协议 端口 https 443 imaps 993 pop3s 995 smtps 465
4.2 安全套接字层的工作过程以使用https协议为例 1浏览器A将自己支持的一套加密算法发送给服务器B。
2服务器B从中选出一组加密算法和哈希算法并将自己的身份信息以证书的形式发回给客户端浏览器。证书里包含了网站域名、加密公钥以及证书颁发机构等信息。
3客户端验证证书的合法性是否信任证书颁发机构证书中包含的网站域名地址是否与正在访问的地址一致证书是否过期等。如果证书受信任浏览器栏里会显示一个小锁图标否则会给出证书不受信任的提示。如果证书受信任或用户接受了不受信任的证书这说明A可以不必事先信任该证书颁发机构浏览器会产生秘密数客户端使用双方协商的算法将秘密数转换成会话密钥。同时使用B提供的公钥加密秘密数然后发送给服务器B
4服务器B用私钥解密秘密数根据双方协商的算法产生会话密钥这和浏览器A产生的会话密钥相同。
5安全数据传输。双方用会话密加密和解密它们之间传送的数据并验证其完整性。
4.3 证书颁发机构层次
1证书的层次结构 ①CA认证中心是一个负责发放和管理数字证书的权威机构。认证中心通常采用多层次的分级结构。上级认证中心负责签发或签名和管理下级认证中心的证书最下一级的认证中心直接面向最终用户发放证书。 ②顶层CA称为根CA根CA的子CA称为从属CA。从属CA也可以给它的下级发证即给下级CA数字证书签名。 ③互联网中的用户只需信任根证书颁发机构就能信任其所有从属CA然后验证所有从属CA颁发的用户证书或服务器证书。
2使用根CA的公钥验证完整证书的过程 ①客户端首先使用根CA公钥验证子CA的证书是否是根CA颁发的。注意验证子CA之前要求客户端要先信任根CA。可以通过IE→“Internet选项”→“内容”→“证书”→“受信任的根证书颁发机构”中查看到微软在安装操作系统时就己经将那些知名的证书颁发机构添加到这里 ②验证通过再使用子CA的公钥验证Web证书是否是子CA颁发的。所以客户端只要信任了根证书颁发机构就能验证其所有从属CA以及由从CA颁发的用户证书或服务器证书。
4.4 实战配置网站使用https通信
1实验环境三个虚拟机Win2003Web服务器192.168.80.20、Win2003证书颁发机构192.168.80.100和一个WinXP作为浏览器。
2申请Web服务器证书 ①为Web站点创建证书申请文件。IIS→“默认网站”→“属性”→“目录安全性”中点击“服务器证书”。 ②在“新建证书”中输入相关信息。但要注意的是当出现“站点公用名称”对话框时输入的网站域名要与用户访问该网站的域名相同否则用户在访问该网站时会出现安全警告。最后将证书申请文件保存在桌面。 ③登录Win2003CA提供的页面http://192.168.80.100/certsrv去申请Web服务器证书“申请一个证书”→“高级证书申请”→“使用base64编码的CMC或PKCS#10文件提交一个证书。申请或使用base64编码的PKCS#7文件续订证书”→在“保存的申请”框中将之前保存在桌面的申请文件导入进来→“提交”。注意要登录Win2003CA服务器审核刚才Web服务器的证书申请然后“颁发”。 ④然后回到Win2003Web服务器刚刚申请证书的首页查看“挂起的证书申请状态”并下载证书保存到桌面。
2配置Web站点使用https通信 ①将证书与Web站点绑定。IIS→“默认站点”→“属性”→“目录安全性”→“服务器证书”→“处理挂起的请求并安装证书”→浏览到刚保存的证书→SSL端口号保留默认值443。 ②查看证书可以看出MyWeb服务器证书己颁发下来但前面有个红色的“×”。说明目前5ieduCA这个证书颁发机构仍不是我们信任的机构。可以在“5ieduCA”→“查看证书”→“安装证书”→在“证书存储”→选择“本地计算机”完成证书导入。 ③强制使用SSL安全协议“目录安全性”→“编辑”→“安全通信”→勾选“要求安全通道SSL”这样就只允许使用https协议访问了。否则即可以通过https也可以通过http协议和IP地址直接访问。 ③在Win2003Web服务器上配置DNS使得www.5iedu.net指向Web服务器。同时将WinXP虚拟机的DNS设置为192.168.80.20然后在WinXP上打开IE使用https协议浏览https://www.5iedu.net站点。如果直接使用IP或http协议访问时则无法访问。注意观察浏览器右下访有一个小锁的图标可以双击查看证书及有效期。如果出现根证书机构未被信任说明客户端未信任根证书颁发机构客户要自己确认该站点的合法性
