史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-01-18, 10:21 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 使用SSL加密IIS站點

摘要

預設情況下HTTP傳輸協定是沒有任何加密措施的,所有的消息全部都是以明文形式在網路上傳送的,惡意的攻擊者可以通過安裝監聽程序來獲得瀏覽器和伺服器之間的通訊內容。所以全面加密整個網路傳輸隧道是個良好的安全措施。

SSL(Security Socket Layer加密套接字傳輸協定層)位於HTTP層和TCP層之間,建立用戶與伺服器之間的加密通信,確保所傳送訊息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的,任何用戶都可以獲得公共密鑰來加密資料,但解密資料必須要通過相應的私人密鑰。使用SSL 安全機制時,首先客戶端與伺服器建立連接,伺服器把它的數位簽章與公共密鑰一起傳送給客戶端,客戶端隨機產生會話密鑰,用從伺服器得到的公共密鑰對會話密鑰進行加密,並把會話密鑰在網路上傳送給伺服器,而會話密鑰只有在伺服器端用私人密鑰才能解密,這樣, 客戶端和伺服器端就建立了一個惟一的安全通道。

建立了SSL安全機制後,只有SSL允許的客戶才能與SSL允許的Web站點進行通信,並且在使用URL資源定位器時,輸入https:// ,而不是http:// 。

關鍵字

SSL,IIS,加密,數位認證

伺服器端設定

安裝CA服務

1.以Win2000伺服器版本為例,要想使用SSL加密機制,首先需要在控制台裡的增加移除Windows元件中去安裝「證書服務」。

2.在安裝的時候,選項「獨立根CA」的安裝檔案類型,然後為該CA伺服器起個名字,設定證書的有效期限,使用預設值即可,最後指定證書資料庫和證書資料庫日誌的位置後,就完成了證書服務的安裝。

申請數位簽章

1.產生證書請求文件

進入「控制台→系統管理工具→Internet 服務管理器」,選項我們需要組態的Web站點,選項Web站點「內容」裡的目錄安全性-安全通信-伺服器證書。

在「IIS證書嚮導」視窗中選項「新增證書」選項。這裡注意站點名稱和證書名稱最好一致,推薦使用1024位的加密位長。

接著設定證書的服務機構、部門等訊息,然後需要指定證書請求文件的儲存位置,需要把證書請求文件儲存在一個安全的地方,同時在後面的提交證書伺服器的時候也會用到這個文件。

2.將剛剛產生的伺服器申請證書提交給證書伺服器。

在IE位址欄中輸入http://localhost/CertSrv。

在「Microsoft 證書服務」視窗中選項「申請證書」。

在選項申請檔案類型的時候,選項「進階申請」。

在「進階證書申請」視窗中選項「使用BASE64編碼方式」

接下來在「提交一個儲存的申請」視窗將證書請求文件(即前面產生的文件)的內容複製到「儲存的申請」輸入項中,最後點擊「提交」按鈕。

提交成功以後,會返回一個頁面告知證書表示已經成功提交了,但是現在是處於掛起狀態需要等待CA中心頒發才能生效。


頒發數位簽章

在系統管理工具中的「證書頒發機構」,在「待定申請」中找到剛剛的申請 列項,然後點擊滑鼠右鍵選項「所有工作→頒發」,就完成了證書的頒發。

匯出數位簽章

在「證書頒發機構」中點擊 「頒發的證書」目錄,開啟剛剛頒發成功的證書,在 「證書」對話視窗中切換到「詳細資料」標籤頁。點擊「複製到文件」按鈕,可以將證書匯出到指定位置。

匯入數位簽章

重新回到「Internet 服務管理器」的「目錄安全性」標籤頁中,點擊「伺服器證書」按鈕,在「掛起的證書請求」視窗,選項「處理掛起的請求並安裝證書」。

點擊「下一步」後,指定好剛才匯出的數位簽章文件的位置。確定一切訊息正確以後,就可以點擊下一步來完成SSL的安裝了。

安裝結束後,在Web站點選擇項中指定SSL使用的連接阜是443的連接阜,最後點擊「完成」按鈕。

組態IIS伺服器

完成了數位簽章的匯入後,Web網站這時並沒有啟用SSL安全加密功能,需要對IIS伺服器進行相應的組態。

在Web站點「內容」裡的「目錄安全性→安全通訊→編輯」,選「申請安全通道(SSL)」和「申請128位加密」選項,以指定瀏覽器必須以HTTPS方式訪問該網站。選「客戶證書→申請客戶證書」,以指定訪問該網站的客戶端必須安裝Web瀏覽的證書。
所上傳圖片


http://img38.exs.cx/img38/7527/iisec14ed.jpg

客戶端訪問

申請、安裝客戶證書

1.要申請訪問加密Web站點的客戶,在IE位址欄中輸入http://(CA Server Name)/CertSrv,申請一個「Web瀏覽器證書」。

注意:點擊「更多選項」,可以選項其他更多更詳細的內容;其中「標記密鑰可匯出」選項,指用戶可以自由匯出證書和私鑰,安裝到其他機器,預設是不可匯出的。

2.填寫完整後提交,完成證書申請。

3.等待CA伺服器頒發剛才申請的證書。

4.客戶端機得到申請證書通過的通知後,在IE位址欄中輸入http://(CA Server Name)/CertSrv,「檢查掛起證書」,安裝剛剛頒發通過的證書。

5.這時客戶端就可以使用 https:// 來訪問經過SSL加密保護的Web站點了。每次通過HTTPS進入站點的時候,會有一個對話視窗讓客戶驗證是否同意當前證書,選項同意。接下來選項安裝好的數位簽章,就可以正常訪問站點了。

FAQ

Q:什麼時候需要廢除並重新申請自己的數位簽章?

A:在廢除證書之前,請您仔細思考是否有這個必要。如果您認為您的數位簽章已經不能唯一標示您的身份,或者您覺的您的證書已經不安全,或者,您想到其他的電腦上重新申請證書,那麼,就應該及時廢除自己的證書。證書廢除後,您需要重新申請證書。

Q:使用SSL進行安全連接時總是出現連接失敗,不知是何原因?

A:使用SSL以後,連接如果失敗,你可以按以下步驟進行檢查:

1)首先檢查Internet連接是否正常,你可以訪問同一站點的其他網頁,或者用PING指令檢查是否能夠連線到該站點。

2)可能伺服器要求提供用戶證書,而你還沒有申請數位簽章或者數位簽章已經被破壞,你可以重新申請證書。

3)檢查證書與該站點的證書是否為同一CA伺服器所發。

Q:如果我要更換我的機器,是否還能連到原來的Web網點?

A:可以採用兩種方法:第一種方法是首先廢除證書,然後在新的電腦上重新申請證書。

另一種方法是將原來的證書匯出,匯入到新的機器中。

Q:如何從IE中匯入匯出證書?

A:匯出證書 :選項IE的表單「工具/Internet 選項」,選「內容」內容頁,在「證書」欄裡點擊「證書」按扭開啟「證書管理器」。選項「個人」您可以看到所有儲存在本地機上的個人證書。選項您要匯出證書,按下「匯出」,在彈出的對話視窗中,重複選項「下一步」,在「私鑰的密碼保護」對話視窗,輸入密碼後,選 擇「下一步」,在「匯出檔案名」對話視窗中輸入檔案名,按下「完成」。

匯入證書:選項IE的表單「工具/Internet 選項」,選「內容」內容頁,在「證書」欄裡點擊「證書」按扭開啟「證書管理器」。選項「個人」,按下「匯入」,在彈出的對話視窗中,選證書文件,選項「下一步」,在「私鑰的密碼保護」對話視窗中輸入密碼,按下「完成」。

Q:如何移除數位簽章?

A:選項IE的表單「工具/Internet 選項」,選「內容」內容頁,在「證書」欄裡點擊「證書」按扭開啟「證書管理器」。選項「個人」您可以看到所有儲存在本地機上的個人證書。選項要移除的證書,點擊「移除」即可。

Q:如何保護自己的數位簽章?

A:數位簽章中用到了公共密鑰加密技術。在最初申請數位簽章的登記程序中,電腦將新增兩把密鑰:一把是公開的,它將在你的數位簽章中公佈並將寄存於認證中心。而另一則是私人的,它將存放在用戶的電腦上。它是在本機電腦上產生的,且不傳送給任何人。你 的數位身份完整性完全取決於你私人密鑰的安全保管。必須指出,保護私人密鑰是你個人的責任。任何人一旦獲得了你的私人密鑰就能偽造你的數位簽名,並冒用你的名義為所欲為。一般保護自己的私人密鑰有以下幾種方法:
http://img38.exs.cx/img38/4796/iisec26zg.jpg


· 將私人密鑰存放在自己電腦的硬碟上,這樣你能控制對它的存取。

· 當你產生自己的私人密鑰時,你所使用瀏覽器將要求你輸入一個密碼,這一密碼將保護對私人密鑰的存取。對於微軟IE用戶,私人密鑰將由Windows密碼加以保護。 只有在下述兩種情況下,第三方可以存取您的私人密鑰:

· 有權存取你存放密鑰的文件(常常是你的系統組態文件)。

· 知道你的私人密碼。 有的軟體允許你選項不使用密碼來保護你的私人密鑰。如果你選項了這項,你必須已確信,無論現在還是將來,都不會有人非法訪問你的電腦。

總而言之,使用密碼要比完全以物理角度保護你的電腦方便得多。不選用密碼,就像在自己的支票夾上預先簽好了所有支票,並將它開啟著放在辦公桌上。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:18 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1