第三章 第二節 CA認證中心配置及實現SSL.Web加密通信
1.證書服務器IP地址:200.0.0.101
啓用證書服務:開始--控制面板--添加或刪除程序--添加/刪除Windows組件--證書服務--是(安裝後計算機名和域成員身份不可更改)--下一步--CA公用名稱(CASrv)、可分辨名稱後綴(DC=xapc.cm.cn)、有限期(一年)--下一步--證書數據庫和日誌位置--下一步--是(啓用ASP)--完成。
2.WWW服務器IP地址:200.0.0.102
安裝WWW服務:開始--控制面板--添加或刪除程序--添加/刪除Windows組件--應用程序服務器--ASP.NET(默認勾選三個ASP.NET、Internet 信息服務IIS、啓用網絡COM+訪問)--確定--下一步--完成。
3.客戶端IP地址:200.0.0.103
申請安裝證書:http://200.0.0.101/certsrv,
(1)客戶端申請一個證書--Web瀏覽器證書--填寫識別信息--提交--是。
(2)證書服務器頒發證書--證書頒發機構--掛起的申請--右擊選擇任務-所有任務--頒發證書。
(3)客戶端安裝證書--查看掛起的證書申請狀態--Web瀏覽器證書--安裝此證書--是。
4.Web服務器申請證書
Internet信息服務(IIS)管理器--選擇WebSrv右擊--屬性--目錄安全性--服務器證書--下一步--下一步(新建證書)--名稱(WebSrv)、位長(4096)、選擇證書加密程序(RSA)--下一步--填寫信息--下一步--證書請求文件(命名注意時間)--下一步--完成。
申請安裝證書:http://200.0.0.101/certsrv,
(1)申請一個證書--高級證書申請--使用base64編碼的CMC或PKCS#10文件提交一個證書--複製上步生成的文件內容--提交--是。
(2)證書服務器頒發證書--證書頒發機構--掛起的申請--右擊選擇任務-所有任務--頒發證書。
(3)Web服務器安裝證書--查看掛起的證書申請狀態--保存證書--下載證書(DER)--保存。
(4)導入證書:Internet信息服務(IIS)管理器--選擇WebSrv右擊--屬性--目錄安全性--服務器證書--下一步--處理掛起的請求並安裝證書--下一步--瀏覽--下一步--SSL端口(443)--下一步--完成--確定。
5.Web服務器開啓SSL:
Internet信息服務(IIS)管理器--選擇WebSrv右擊--屬性--目錄安全性--安全通信(編輯)--要求安全通道(SSL)、要求128位加密、要求客戶端證書--確定--應用--確定。
此時客戶端訪問WEB服務:https://200.0.0.102
SSL協議:
(1)數據保密:在初始化握手協議協商加密密鑰之後傳輸的消息均爲加密消息。加密算法爲私鑰加密算法如DES、RC4、IDEA等。
(2)身份認證:通信雙方的身份可通過公鑰加密算法如RSA、DSS等簽名來驗證,杜絕假冒。
(3)數據完整性:HASH函數如SHA、MD5等被用來產生消息摘要MAC。所傳輸的消息均包含數字簽名,以保證消息的完整性。
體系結構:兩層協議,SSL握手協議、SSL更改密碼規格協議、SSL報警協議、HTTP;SSL記錄協議(應用數據--分段--壓縮--添加MAC--加密--附加SSL記錄報頭)。
示例:網上銀行:USBKey客戶證書
帶有隻能芯片、形狀類似閃存(即U盤)的實物硬件,是專門用於網上銀行的安全通行證。
客戶有關信息一經下載到USBKey客戶證書內,即具有唯一性和不可複製型,網上所有涉及賬戶資金的對外轉移都必須事先通過USBKey客戶證書進行認證。