CFCA 數(shù)字證書(shū)的安裝與使用
前言
服務(wù)器證書(shū)(以下稱WebServer 證書(shū))是Web Server 與瀏覽器用戶建立安全連接時(shí)所必須具備的證書(shū)。
WebServer 證書(shū)的密鑰對(duì)由相應(yīng)的Web Server 自己產(chǎn)生和管理��,申請(qǐng)證書(shū)時(shí)只需將Web Server 產(chǎn)生的
證書(shū)申請(qǐng)數(shù)據(jù)包提交給CFCA 證書(shū)下載中心即可,密鑰位長(zhǎng)為512 位(或1024 位)��。按照一定的步
驟CFCA 證書(shū)下載中心將返回證書(shū)應(yīng)答,即可將證書(shū)裝載到Web Server 中��。目前,CFCA 能夠簽發(fā)
Netscape Web Server��,Microsoft IIS server��,Apache WebServer 等WWW 服務(wù)器的證書(shū)��。
目錄
第一章��、WEB SERVER 證書(shū)的安裝配置
1��、在WEB SERVER 上產(chǎn)生證書(shū)請(qǐng)求
1.1 在Web Server 端產(chǎn)生密鑰對(duì)
1.2 在Web Server 上產(chǎn)生證書(shū)申請(qǐng)
2、WEB SERVER 證書(shū)的下載
3��、在WEB SERVER 端安裝得到的證書(shū)
4��、CFCA 證書(shū)鏈的安裝
4.1 獲取cer 格式的證書(shū)鏈
4.2 獲取編碼格式的證書(shū)鏈
5��、WEBSERVER 證書(shū)安裝配置常見(jiàn)問(wèn)題
第二章、WEB SERVER 證書(shū)的使用
配置服務(wù)器開(kāi)啟SSL 服務(wù)
WEBSERVER 證書(shū)使用常見(jiàn)問(wèn)
第三章��、WEB SERVER 證書(shū)的更新
WEBSERVER 證書(shū)更新的流程
WEBSERVER 證書(shū)更新的常見(jiàn)問(wèn)題
第一章��、 Web Server 證書(shū)的安裝配置
服務(wù)器證書(shū)(WebServer 證書(shū))的申請(qǐng)操作流程如下:
1��、 需要申請(qǐng)證書(shū)的Web Server 管理員登錄CFCA 網(wǎng)站,選擇證書(shū)申請(qǐng)
(http://www.cfca.com.cn/down/shenqing.htm),下載生產(chǎn)或者ET-01 系統(tǒng)的WebServer 證書(shū)申請(qǐng)表
并填寫(xiě)��。如果下載E-01 系統(tǒng)的證書(shū)��,填寫(xiě)好的表格交給CFCA 市場(chǎng)部��;如果下載ET-01 系統(tǒng)的證書(shū),
填寫(xiě)好的表格Email 給abc@cfca.com.cn 郵箱即可。相關(guān)的CFCA 人員將返回參考號(hào)和授權(quán)碼給申請(qǐng)
人��。
2��、 得到參考號(hào)和授權(quán)碼后��,申請(qǐng)人在相應(yīng)的Web Server 運(yùn)行證書(shū)申請(qǐng)數(shù)據(jù)包生成程序,生成證書(shū)
請(qǐng)求包(通常為pkcs10 的請(qǐng)求)��。
3��、 申請(qǐng)人得到證書(shū)請(qǐng)求后登錄CFCA 證書(shū)下載中心��,輸入?yún)⒖继?hào)、授權(quán)碼以及證書(shū)申請(qǐng)后��,可以獲
得證書(shū)��。
請(qǐng)注意區(qū)分E-01 系統(tǒng)和ET-01 系統(tǒng)��,只有在對(duì)應(yīng)的系統(tǒng)進(jìn)行下載才能夠成功��。
4��、 Web Server 管理員在相應(yīng)的Web Server 運(yùn)行證書(shū)裝載程序��,就可以將申請(qǐng)成功的證書(shū)裝載到Web
Server 中了。
下面以Solaris 平臺(tái) Netscape Enterprise Server Standard Edition 3.5.1 為例說(shuō)明Web Server 證書(shū)的
申請(qǐng)安裝過(guò)程:
前提條件
在申請(qǐng)和安裝Web Site 證書(shū)之前,須具備如下條件:
1.已經(jīng)安裝了Web Server��。
2.已經(jīng)從你的RA 操作員獲得Web Server 類型證書(shū)的參考號(hào)(reference number)和授權(quán)碼
(authorization code)��。
1��、在WEB SERVER 上產(chǎn)生證書(shū)請(qǐng)求
1.1 在Web Server 端產(chǎn)生密鑰對(duì)
1.2 在Web Server 上產(chǎn)生證書(shū)申請(qǐng)
2、WEB SERVER 證書(shū)的下載
3、在WEB SERVER 端安裝得到的證書(shū)
4、CFCA 證書(shū)鏈的安裝
4.1 獲取cer 格式的證書(shū)鏈
4.2 獲取編碼格式的證書(shū)鏈
5、WEBSERVER 證書(shū)安裝配置常見(jiàn)問(wèn)題
在Web Server 上產(chǎn)生證書(shū)請(qǐng)求
1.1 在Web Server 端產(chǎn)生密鑰對(duì)
1.打開(kāi)瀏覽器進(jìn)入到Web Server 的管理界面��,選擇管理選項(xiàng)keys and Certificates��。
2.選擇 Generate Key 選項(xiàng)��。
3.點(diǎn)擊Help 按鈕。按照彈出的幫助信息找到產(chǎn)生密鑰對(duì)的程序的路徑。在Unix 下該程序文件
名通常為sec-key(應(yīng)以幫助信息為準(zhǔn))。
4.到該路徑下運(yùn)行產(chǎn)生密鑰的程序(sec-key)��,按照提示��,產(chǎn)生密鑰對(duì)��。運(yùn)行該程序時(shí)需要為
存放密鑰的文件指定名字(alias),要記住這個(gè)名字��。
1.2 在Web Server 上產(chǎn)生證書(shū)申請(qǐng)
1.確定是否仍在keys and Certificates 管理界面下��,否則請(qǐng)?jiān)诠芾碇鹘缑嫦逻x擇管理選項(xiàng)keys
and Certificates��。
2.Request Certificate 新的證書(shū)
3.在出現(xiàn)的申請(qǐng)表單中填寫(xiě)各項(xiàng)信息。下面是各表單項(xiàng)的含義:
·選擇New Certificates
·CA URL:此處填寫(xiě)頒發(fā)證書(shū)的CA 的URL。
·Alias:此處填寫(xiě)產(chǎn)生密鑰對(duì)時(shí)指定的名字��。
·Key Pair File Password:此處填寫(xiě)密鑰的保護(hù)密碼��。
·Requestor Name:此處填寫(xiě)申請(qǐng)者名字(不能為ip 地址)��。
·Telephone Number:此處填寫(xiě)申請(qǐng)者的電話號(hào)碼(必須填寫(xiě))。
·Common Name:此處填寫(xiě)從管理員處獲得的參考號(hào)(reference number)
·E-mail Address:此處填寫(xiě)申請(qǐng)者的電子郵件地址(必須填寫(xiě))。
·Organization:填寫(xiě)申請(qǐng)人所在組織,(必須填寫(xiě))。
·Country:此處填寫(xiě)申請(qǐng)人所在國(guó)家��,(必須填寫(xiě))��。
4.填寫(xiě)完畢提交��。如果提交成功,應(yīng)該返回PKCS#10 格式證書(shū)請(qǐng)求��。
5.把上述證書(shū)請(qǐng)求拷貝下來(lái)��,以備后用��,注意拷貝完整,要包括BEGIN 和END��。
Web Server 證書(shū)的下載
1. 用戶獲得Web Server 證書(shū)的參考號(hào)和授權(quán)碼后��,訪問(wèn)CFCA 網(wǎng)站��。
2. 在CFCA 網(wǎng)站上點(diǎn)擊"證書(shū)下載"后,選擇"E-01 系統(tǒng)證書(shū)下載"中的"Web Server 證書(shū)"頁(yè)面如下:
3. 點(diǎn)擊Web 站點(diǎn)管理員后��,如果沒(méi)有下載CA 證書(shū)鏈的話��,可以在該頁(yè)面上先點(diǎn)擊下載證書(shū)鏈(詳
細(xì)介紹見(jiàn)本章4.2)��,然后點(diǎn)擊"為你的Web 服務(wù)器下載一張站點(diǎn)證書(shū) "
4. 輸入?yún)⒖继?hào)和授權(quán)碼,并在Options 域選擇返回的證書(shū)的數(shù)據(jù)格式��。例如選擇PKCS-7��,把前面得
到的PKCS#10 格式證書(shū)請(qǐng)求粘貼到下面的文本框��。
5.提交該表單,證書(shū)將被產(chǎn)生并返回��,如果在前面選擇了PKCS#7 格式��,則返回?cái)?shù)據(jù)是PKCS#7 格式的��。
在Web Server 端安裝得到的證書(shū)
1.確定是否仍在keys and Certificates 管理界面下,否則請(qǐng)?jiān)诠芾碇鹘缑嫦逻x擇管理選項(xiàng)keys and
Certificates��。
2.選擇Install Certificate 選項(xiàng)��。
3.在出現(xiàn)的申請(qǐng)表單中填寫(xiě)各項(xiàng)信息。下面是各表單項(xiàng)的含義:
·Certificate For:選擇This Server
·Certificate Name:此處是證書(shū)的名字��,可以不填��。
·Message text(with headers):把前面拷貝的證書(shū)粘貼到這個(gè)表單域中��。
·Alias:此處填寫(xiě)產(chǎn)生密鑰對(duì)時(shí)指定的名字。
4.提交表單��,然后在新頁(yè)面點(diǎn)擊Add Certificate��,新證書(shū)安裝完畢
CFCA 證書(shū)鏈的安裝
通常��,在CFCA 證書(shū)下載中心下載證書(shū)的過(guò)程中可以自動(dòng)下載證書(shū)鏈��。如果沒(méi)有下載證書(shū)鏈成
功或者有其它需要的話��,也可以通過(guò)如下兩種方法進(jìn)行下載:
4.1 獲取cer 格式的證書(shū)鏈
下載CA 證書(shū)鏈(或ET-01 系統(tǒng)CA 證書(shū)鏈),內(nèi)含rca.cer,pca.cer 和oca.cer 三張CA 證書(shū)��。
分別打開(kāi)三個(gè) cer 文件選擇"安裝證書(shū)…"啟動(dòng)證書(shū)導(dǎo)入向?qū)?�,一路默認(rèn)即可��;或者通過(guò)瀏覽器的
證書(shū)導(dǎo)入,即點(diǎn)擊菜單"工具/Internet 選項(xiàng)"��,在彈出的對(duì)話框中選擇"內(nèi)容/證書(shū)"��,點(diǎn)擊"導(dǎo)入" 啟動(dòng)證
書(shū)導(dǎo)入向?qū)?�,一路默認(rèn)即可��。最終將把rca.cer 導(dǎo)入"受信任的根證書(shū)頒發(fā)機(jī)構(gòu)",將pca.cer 和oca.cer
導(dǎo)入"中級(jí)證書(shū)頒發(fā)機(jī)構(gòu)��。"
下面是證書(shū)導(dǎo)入所經(jīng)歷的對(duì)話框提示��,通常選擇默認(rèn)即可:
導(dǎo)入完成后可在"受信任的根證書(shū)頒發(fā)機(jī)構(gòu)"中看到RCA 的證書(shū),在"中級(jí)證書(shū)頒發(fā)機(jī)構(gòu)"中看到
PCA 和OCA 的證書(shū)。
4.2 獲取編碼格式的證書(shū)鏈
如果無(wú)法使用cer 格式的文件��,也可以直接到CFCA 證書(shū)下載中心獲得編碼格式的證書(shū)��,獲取方
法如下:
首先,登錄CFCA 網(wǎng)站在證書(shū)下載頁(yè)面(http://www.cfca.com.cn/down/xiazai.htm )選擇對(duì)
應(yīng)系統(tǒng)的企業(yè)普通(測(cè)試)證書(shū),即可進(jìn)入對(duì)應(yīng)系統(tǒng)的證書(shū)下載中心��。注意區(qū)分E-01 系統(tǒng)和對(duì)外測(cè)
試系統(tǒng)��。下面以E-01 系統(tǒng)為例��。
點(diǎn)擊Web 站點(diǎn)管理員后,看到如下界面即可分別下載rca��、pca 和oca 證書(shū)的編碼:
4.2.1 RCA
下載根證書(shū)(RCA 證書(shū))��,選擇"為你的Web 服務(wù)器下載一張根CA 證書(shū)"��。
根據(jù)需要復(fù)制相應(yīng)的編碼內(nèi)容��。這主要是指是否復(fù)制"BEGIN CERTIFICATE"和 "END
CERTIFICATE"這兩行,這與WebServer 產(chǎn)品本身相關(guān)��。將編碼內(nèi)容復(fù)制到寫(xiě)字板上��,可以存成cer
后綴的文件��,或者其它WebServer 需要的文件類型。
4.2.2 PCA 和OCA
下載二、三層證書(shū)(二層證書(shū)即PCA 證書(shū)��,三層證書(shū)即OCA 證書(shū))��,選擇"為你的Web 服務(wù)器下載第
二��、三層CA 證書(shū)"。
根據(jù)需要復(fù)制相應(yīng)的編碼內(nèi)容。
WebServer 證書(shū)安裝配置常見(jiàn)問(wèn)題
1).在Win2000 下iis5 中的密鑰管理器在什么地方��?我如何把證書(shū)導(dǎo)成*.key 的文件��?我現(xiàn)在只能給
導(dǎo)成*.pfx 的文件��。
原因:Win2000 下iis5 沒(méi)有密鑰管理器,因此不能導(dǎo)出*.key 文件
解決辦法:首先使用NT 的IIS 的密鑰管理器來(lái)生成一個(gè)pkcs10 證書(shū)請(qǐng)求,證書(shū)名使用主機(jī)名或IP
地址��,通用名使用參考號(hào)��,單位匹配證書(shū)的o=選項(xiàng),部門(mén)匹配證書(shū)的ou=選項(xiàng)��。用NT 的IIS 生成的
pkcs#10 證書(shū)請(qǐng)求去申請(qǐng)證書(shū)��,然后在NT 的IIS 上安裝��,將生成的密鑰導(dǎo)出,到win2000 上將證書(shū)
導(dǎo)入。
2).下載Web-Server 證書(shū)時(shí)關(guān)于申請(qǐng)域一欄如何填寫(xiě)��?
解答:在Web-Server 上生成一個(gè)請(qǐng)求��,不同的Web-Server 有不同的請(qǐng)求方式��,通常情況下可在"生成
證書(shū)申請(qǐng)請(qǐng)求"的菜單中獲得。如果Web-Server 的種類比較特殊的話��,還需查看該Web-Server 的有關(guān)
文檔��。生成以后可將該請(qǐng)求拷貝到申請(qǐng)域一欄里即可提交��。
3).下載Web-Server 證書(shū)時(shí)報(bào)錯(cuò):-2731��,非法請(qǐng)求數(shù)據(jù)?或者報(bào):-3262,加密解密錯(cuò)誤?
原因: 引起上訴錯(cuò)誤的的原因是請(qǐng)求生成錯(cuò)誤,有兩個(gè)可能:
a、在web servers 上生成證書(shū)請(qǐng)求時(shí)或者common name(即通用名)一項(xiàng)沒(méi)有填寫(xiě)參考號(hào);
b��、或者"組織單位名稱"(OU)和"組織名稱"(O)時(shí)��,輸入帶空格的字符��。
解決辦法:按照正確的內(nèi)容生成證書(shū)請(qǐng)求。
4).如何在Apache 上下載Web-server 證書(shū)?
解答:登錄cfca 網(wǎng)站下載Web-server 證書(shū)(E-01 系統(tǒng)/ET-01 系統(tǒng))及Apache 用戶的證書(shū)鏈(E-01 系
統(tǒng)/ET-01 系統(tǒng))。
5).weblogic 用戶使用產(chǎn)生的web 服務(wù)器證書(shū)請(qǐng)求時(shí)報(bào)錯(cuò)��,(具體錯(cuò)誤信息沒(méi)有全部得到��,因此不能
列舉��,錯(cuò)誤信息可能是提示時(shí)區(qū)有問(wèn)題)
原因:weblogic 填寫(xiě)證書(shū)請(qǐng)求信息時(shí),沒(méi)有common name 項(xiàng),而CA 服務(wù)器需要檢查common name
的內(nèi)容是用戶的參考號(hào)��。
解決辦法:在CA 服務(wù)器的entmgr.ini 中的policy 項(xiàng)��,添加DisablePrivateKeyProof=1,將不檢查web
服務(wù)器證書(shū)請(qǐng)求中common name 是否等于參考號(hào)��。
6).使用JDK4.1 中的keytool 安裝WebServer 證書(shū)��,正常下載證書(shū)��,但是在使用keytool 導(dǎo)入證書(shū)的
時(shí)候報(bào)錯(cuò):keytool error: java.lang.Exception:Failed to establish chain from reply
原因:用戶使用linux 系統(tǒng),安裝了多個(gè)jdk��,但是系統(tǒng)環(huán)境變量中的jdk 路徑��,與產(chǎn)生證書(shū)請(qǐng)求的jdk
路徑不相同��。
解決辦法:修改環(huán)境變量的設(shè)置,或者使用絕對(duì)路徑執(zhí)行keytool��。
Web Server 證書(shū)的使用
安裝了WebServer 證書(shū)的Web Server 可以申請(qǐng)安全通道(SSL)��。根據(jù)Web Server 進(jìn)行相關(guān)的
配置后��,即可與用戶瀏覽器建立安全連接。支持SSL 2.0 的Web Server 證書(shū)在與用戶瀏覽器建立連
接時(shí)��,不需要用戶端的瀏覽器證書(shū)��,服務(wù)器的SSL 證書(shū)用于向用戶表明服務(wù)器身份和建立安全連接通
道��。支持SSL 3.0 的Web Server 證書(shū)在與用戶瀏覽器建立連接時(shí),除服務(wù)器自身?yè)碛蠸SL 證書(shū)外��,
還要求瀏覽器客戶端擁有用戶證書(shū)��,建立通信時(shí)Web Server 和瀏覽器交換證書(shū)��,驗(yàn)證對(duì)方身份后建
立安全連接通道,保證網(wǎng)上信息傳遞的安全��。
用戶登錄https://開(kāi)頭的網(wǎng)站后��,可以在下面偏右的位置看到鎖形圖標(biāo)��,雙擊它可以查看
WebServer 證書(shū)。
如果用戶登錄的https://網(wǎng)站要求驗(yàn)證用戶證書(shū)��,將會(huì)彈出"客戶身份驗(yàn)證"對(duì)話框羅列可以登
錄該網(wǎng)站的用戶瀏覽器里的全部證書(shū)��。
用戶只有選擇正確的證書(shū)才能登錄,否則應(yīng)用服務(wù)器會(huì)返回相應(yīng)的錯(cuò)誤提示��。
配置服務(wù)器開(kāi)啟SSL 服務(wù)
下面以IIS 為例介紹如何開(kāi)啟SSL 服務(wù):
在IIS 上查看已經(jīng)安裝了WebServer 證書(shū)的站點(diǎn)的屬性的"目錄安全性"��,將看到"安全通信" 部
分的"查看證書(shū)"和"編輯"按鈕已經(jīng)可用��。點(diǎn)擊"編輯"按鈕,彈出"安全通信"對(duì)話框��。勾中上面的"申
請(qǐng)安全通道(SSL)"并應(yīng)用后��,就必須通過(guò)https://訪問(wèn)該站點(diǎn)了��。在"安全通信"對(duì)話框還可以配
置是否要求客戶端有證書(shū)。
接受客戶證書(shū) --用戶可以使用客戶證書(shū)訪問(wèn)資源��,但證書(shū)并不必需��。
申請(qǐng)客戶證書(shū) --服務(wù)器在將用戶與資源連接之前要請(qǐng)求客戶證書(shū)��。將拒絕沒(méi)有有效客戶證書(shū)的用戶
的訪問(wèn)。
忽略客戶證書(shū) --無(wú)論用戶是否擁有證書(shū)��,都將被授予訪問(wèn)權(quán)限��。
WebServer 證書(shū)使用常見(jiàn)問(wèn)題
證書(shū)下載成功后��,無(wú)法正常使用��。
原因:沒(méi)有安裝證書(shū)鏈。
解決辦法:從CFCA 網(wǎng)站下載相應(yīng)系統(tǒng)的證書(shū)鏈到本地進(jìn)行安裝��。注意Win2000 上IIS 的證書(shū)鏈安裝
需要通過(guò)證書(shū)管理單元完成��。具體操作參見(jiàn)第一章的6.3��。
第三章、Web Server 證書(shū)的更新
WebServer 證書(shū)有自己的生命周期��,請(qǐng)?jiān)谶^(guò)期日到來(lái)之前進(jìn)行更新工作��,否則將會(huì)在用戶登錄此
Web Server 的時(shí)候得到WebServer 證書(shū)已經(jīng)過(guò)期的安全警報(bào)��。
1��、WEBSERVER 證書(shū)更新的流程
2��、WEBSERVER 證書(shū)更新的常見(jiàn)問(wèn)題
WebServer 證書(shū)更新的流程
通常來(lái)講,WebServer 證書(shū)的更新需要首先刪除舊證書(shū)��,之后需要完成如下WebServer 證書(shū)的申
請(qǐng)更新操作流程(與申請(qǐng)下載相似):
1��、需要更新證書(shū)的 Web Server 管理員登錄CFCA 網(wǎng)站��,選擇證書(shū)申請(qǐng)
( http://www.cfca.com.cn/down/shenqing.htm ),下載生產(chǎn)或者ET-01 系統(tǒng)的WebServer 證書(shū)
申請(qǐng)表并填寫(xiě)��。請(qǐng)?jiān)?"備注"寫(xiě)明WebServer 證書(shū)的DN��,以便確定對(duì)哪個(gè)證書(shū)進(jìn)行更新��。如果下載
E-01 系統(tǒng)的證書(shū),填寫(xiě)好的表格交給CFCA 市場(chǎng)部;如果下載ET-01 系統(tǒng)的證書(shū),填寫(xiě)好的表格Email
給 abc@cfca.com.cn 郵箱即可。相關(guān)的CFCA 人員將返回參考號(hào)和授權(quán)碼給申請(qǐng)人��。
2��、得到參考號(hào)和授權(quán)碼后��,申請(qǐng)人在相應(yīng)的 Web Server 運(yùn)行證書(shū)申請(qǐng)數(shù)據(jù)包生成程序,生成證書(shū)
請(qǐng)求包(通常為pkcs10 的請(qǐng)求)。
3、申請(qǐng)人得到證書(shū)請(qǐng)求后登錄 CFCA 證書(shū)下載中心��,輸入?yún)⒖继?hào)��、授權(quán)碼以及證書(shū)申請(qǐng)后��,可以
獲得證書(shū)。
請(qǐng)注意區(qū)分 E-01 系統(tǒng)和ET-01 系統(tǒng),只有在對(duì)應(yīng)的系統(tǒng)進(jìn)行下載才能夠成功。
4、 Web Server 管理員在相應(yīng)的Web Server 運(yùn)行證書(shū)裝載程序,就可以將申請(qǐng)成功的證書(shū)裝載到Web
Server 中了��。
WebServer 證書(shū)更新的常見(jiàn)問(wèn)題
由于更新流程與下載流程基本一樣��,所以像下載流程一樣��,更新時(shí)依然需要注意如下問(wèn)題:
1、 正確的證書(shū)請(qǐng)求��,特別注意公用名稱填寫(xiě)參考號(hào)��;
2��、 正確的參考號(hào)和授權(quán)碼��,兩碼本身要匹配��,也要注意區(qū)分在CFCA 網(wǎng)站相應(yīng)E-01 系統(tǒng)和ET-01
系統(tǒng)的證書(shū)下載中心進(jìn)行下載。
此外��,還有如下常見(jiàn)問(wèn)題:
1).更新Win2000 上的IIS5.0 的WebServer 證書(shū)在下載過(guò)程中報(bào)錯(cuò)3236(解碼錯(cuò)誤)��。
原因:用戶直接在IIS5.0 上選擇了更新證書(shū)��。
解決辦法:刪除現(xiàn)有證書(shū)后,像新申請(qǐng)證書(shū)一樣再重新生成證書(shū)請(qǐng)求��。具體操作參見(jiàn)第一章的5��。注
意公用名稱填寫(xiě)為更新證書(shū)獲得的參考號(hào)��。
附錄: SSL(Server Socket Layer)簡(jiǎn)介
在網(wǎng)絡(luò)上信息在源-宿的傳遞過(guò)程中會(huì)經(jīng)過(guò)其它的計(jì)算機(jī)。一般情況下��,中間的計(jì)算機(jī)不會(huì)監(jiān)聽(tīng)
路過(guò)的信息��。但在使用網(wǎng)上銀行或者進(jìn)行信用卡交易的時(shí)候有可能被監(jiān)視��,從而導(dǎo)致個(gè)人隱私的泄露。
由于Internet 和Intranet 體系結(jié)構(gòu)的原因��,總有某些人能夠讀取并替換用戶發(fā)出的信息��。隨著網(wǎng)上
支付的不斷發(fā)展��,人們對(duì)信息安全的要求越來(lái)越高。因此Netscape 公司提出了SSL 協(xié)議,旨在達(dá)到
在開(kāi)放網(wǎng)絡(luò)(Internet)上安全保密地傳輸信息的目的��,這種協(xié)議在WEB 上獲得了廣泛的應(yīng)用��。 之后
IETF(www.ietf.org)對(duì)SSL 作了標(biāo)準(zhǔn)化��,即RFC2246��,并將其稱為T(mén)LS(Transport Layer Security),
從技術(shù)上講,TLS1.0 與SSL3.0 的差別非常微小��。
SSL 工作原理
SSL 協(xié)議使用不對(duì)稱加密技術(shù)實(shí)現(xiàn)會(huì)話雙方之間信息的安全傳遞��。可以實(shí)現(xiàn)信息傳遞的保密性��、
完整性��,并且會(huì)話雙方能鑒別對(duì)方身份��。不同于常用的http 協(xié)議,我們?cè)谂c網(wǎng)站建立SSL 安全連接
時(shí)使用https 協(xié)議��,即采用https://ip:port/的方式來(lái)訪問(wèn)��。
當(dāng)我們與一個(gè)網(wǎng)站建立https 連接時(shí)��,我們的瀏覽器與Web Server 之間要經(jīng)過(guò)一個(gè)握手的過(guò)程來(lái)完
成身份鑒定與密鑰交換,從而建立安全連接��。具體過(guò)程如下:
1. 用戶瀏覽器將其SSL 版本號(hào)��、加密設(shè)置參數(shù)��、與session 有關(guān)的數(shù)據(jù)以及其它一些必要信息發(fā)送
到服務(wù)器。
2. 服務(wù)器將其SSL 版本號(hào)��、加密設(shè)置參數(shù)��、與session 有關(guān)的數(shù)據(jù)以及其它一些必要信息發(fā)送給瀏
覽器��,同時(shí)發(fā)給瀏覽器的還有服務(wù)器的證書(shū)。如果配置服務(wù)器的SSL 需要驗(yàn)證用戶身份��,還要發(fā)出請(qǐng)
求要求瀏覽器提供用戶證書(shū)��。
3. 客戶端檢查服務(wù)器證書(shū)��,如果檢查失敗,提示不能建立SSL 連接��。如果成功��,那么繼續(xù)��。
4. 客戶端瀏覽器為本次會(huì)話生成pre-master secret,并將其用服務(wù)器公鑰加密后發(fā)送給服務(wù)器��。
5. 如果服務(wù)器要求鑒別客戶身份��,客戶端還要再對(duì)另外一些數(shù)據(jù)簽名后并將其與客戶端證書(shū)一起發(fā)
送給服務(wù)器。
6. 如果服務(wù)器要求鑒別客戶身份��,則檢查簽署客戶證書(shū)的CA 是否可信��。如果不在信任列表中��,結(jié)束
本次會(huì)話。如果檢查通過(guò),服務(wù)器用自己的私鑰解密收到的pre-master secret,并用它通過(guò)某些算
法生成本次會(huì)話的master secret。
7. 客戶端與服務(wù)器均使用此master secret 生成本次會(huì)話的會(huì)話密鑰(對(duì)稱密鑰)。在雙方SSL 握手
結(jié)束后傳遞任何消息均使用此會(huì)話密鑰��。這樣做的主要原因是對(duì)稱加密比非對(duì)稱加密的運(yùn)算量低一個(gè)
數(shù)量級(jí)以上��,能夠顯著提高雙方會(huì)話時(shí)的運(yùn)算速度��。
8. 客戶端通知服務(wù)器此后發(fā)送的消息都使用這個(gè)會(huì)話密鑰進(jìn)行加密。并通知服務(wù)器客戶端已經(jīng)完成
本次SSL 握手。
9. 服務(wù)器通知客戶端此后發(fā)送的消息都使用這個(gè)會(huì)話密鑰進(jìn)行加密��。并通知客戶端服務(wù)器已經(jīng)完成
本次SSL 握手��。
本次握手過(guò)程結(jié)束��,會(huì)話已經(jīng)建立。雙方使用同一個(gè)會(huì)話密鑰分別對(duì)發(fā)送以及接受的信息進(jìn)行加、解
密。