① 如何在Web伺服器上設置SSL
Gworg申請SSL證書後進入伺服器使用對用伺服器環境SSL安裝即可。
② 在哪裡安裝ssl安全證書呢
SSL證書是數字證書(數字證書包括:SSL證書、客戶端證書、代碼簽名證書等)的一種,因為配置在伺服器上也稱為伺服器SSL證書。SSL證書就是遵守SSL協議,由受信任的數字證書頒發機構CA(如:沃通CA)在驗證伺服器身份後頒發的一種數字證書。
一、製作CSR文件
CSR就是Certificate Secure Request證書請求文件。這個文件是由申請人製作,在製作的同時,系統會產生2個密鑰,一個是公鑰就是這個CSR文件,另外一個是私鑰,存放在伺服器上。要製作CSR文件,申請人可以參考WEB SERVER的文檔,一般APACHE等,使用OPENSSL命令行來生成KEY+CSR2個文件,Tomcat,JBoss,Resin等使用KEYTOOL來生成JKS和CSR文件,IIS通過向導建立一個掛起的請求和一個CSR文件。另外,也可以通過沃通CA提供的CSR在線生成工具在線生成,或者聯系沃通CA協助生成。
二、CA認證
將CSR提交給我們的工作人員,一般有2種認證方式:
1、域名認證,一般通過對管理員郵箱認證的方式,這種方式認證速度快,但是簽發的證書中沒有企業的名稱;
2、企業文檔認證,需要提供企業的營業執照。一般需要3-5個工作日。
三、證書的安裝
在收到我們發給您的CA證書後,可以將證書部署上伺服器,一般APACHE文件直接將KEY+CER復制到文件上,然後修改HTTPD.CONF文件;TOMCAT等,需要將CA簽發的證書CER文件導入JKS文件後,復制上伺服器,然後修改SERVER.XML;IIS需要處理掛起的請求,將CER文件導入。
③ 如何在Web伺服器上設置SSL
採用SSL實現加密傳輸(1) 在默認情況下,IIS使用HTTP協議以明文形式傳輸數據,Web Service就是使用HTTP協議進行數據傳輸的。Web Service傳輸的數據是XML格式的明文。沒有採取任何加密措施,用戶的重要數據很容易被竊取,如何才能保護網路中傳遞的這些重要數據呢? SSL(Security Socket Layer)的中文全稱是加密套接字協議層,它位於HTTP協議層和TCP協議層之間,用於建立用戶與伺服器之間的加密通信,確保所傳遞信息的安全性,同時SSL安全機制是依靠數字證書來實現的。 SSL基於公用密鑰和私人密鑰,用戶使用公用密鑰來加密數據,但解密數據必須使用相應的私人密鑰。使用SSL安全機制的通信過程如下:用戶與IIS伺服器建立連接後,伺服器會把數字證書與公用密鑰發送給用戶,用戶端生成會話密鑰,並用公共密鑰對會話密鑰進行加密,然後傳遞給伺服器,伺服器端用私人密鑰進行解密,這樣,用戶端和伺服器端就建立了一條安全通道,只有SSL允許的用戶才能與IIS伺服器進行通信。 注意SSL網站不同於一般的Web站點,它使用的是"HTTPS"協議,而不是普通的"HTTP"協議。因此它的URL(統一資源定位器)格式為"https://網站域名"。 下面講解如何使用SSL來增強IIS伺服器和Web Service的通信安全。 實現步驟如下。 1.為伺服器安裝證書服務 要想使用SSL安全機制功能,首先必須為Windows Server 2003系統安裝證書服務。進入"控制面板",運行"添加或刪除程序",接著進入"Windows組件向導"對話框,如圖7-13所示。 圖7-13 Windows組件向導 勾選"證書服務"選項,單擊"下一步"按鈕。 接著選擇CA類型。這里選擇"獨立根CA"選項,如圖7-14所示。單擊"下一步"按鈕,為自己的CA伺服器起名,並設置證書的有效期限,如圖7-15所示。 圖7-14 選擇CA類型 圖7-15 設置CA信息 最後指定證書資料庫和證書資料庫日誌的位置,如圖7-16所示,單擊"下一步"按鈕。 圖7-16 指定證書資料庫 因為需要復制系統文件,所以需要插入Windows的安裝光碟,如圖7-17所示。安裝證書服務需要停止當前的IIS運行,所以要單擊"是"按鈕。 圖7-17 復制系統文件 最後,顯示完成了證書服務的安裝,單擊"完成"按鈕,如圖7-18所示。 圖7-18 安裝完成 7.9.2 採用SSL實現加密傳輸(2) 2.配置SSL網站 1)創建請求證書文件 要想讓Web Service使用SSL安全機制,首先需將Web Service配置為網站。然後為該網站創建請求證書文件。 依次單擊"控制面板"→"管理工具"按鈕,運行"Internet 信息服務(IIS)管理器",在管理器窗口中展開"網站"目錄,用滑鼠右鍵單擊要使用SSL的Web Service網站,在彈出的快捷菜單中選擇"屬性"命令,在網站屬性對話框中切換到"目錄安全性"選項卡,如圖7-19所示, 圖7-19 網站屬性 然後單擊"伺服器證書"按鈕,彈出"IIS證書向導"對話框。 在"IIS證書向導"對話框中選擇"新建證書"選項,單擊"下一步"按鈕,如圖7-20所示。 圖7-20 伺服器證書 選擇"現在准備證書請求,但稍後發送"選項。單擊"下一步"按鈕,如圖7-21所示。 圖7-21 證書向導 在"名稱"輸入框中為該證書取名,然後在"位長"下拉列表中選擇密鑰的位長(默認為1024,長度越長保密性越好,但性能會越差)。單擊"下一步"按鈕,如圖7-22所示。 圖7-22 設置證書名稱 設置單位信息,如圖7-23所示,然後單擊"下一步"按鈕。設置公共名稱,如圖7-24所示。 圖7-23 設置單位信息 圖7-24 設置公共名稱 注意 公共名稱必須輸入為訪問站點的域名,例如要想用地址 https://www.maticsoft.com 訪問Web Service,則此處必須填寫為" www.maticsoft.com ",否則將提示使用了不安全的證書,導致站點無法訪問。並且切記, www.maticsoft.com 和 www.maticsoft.com:8001 帶埠的訪問也是不同的,如果設置的是 www.maticsoft.com ,則網站設置為 www.maticsoft.com:8001 來訪問也是無法使用的。 然後,單擊"下一步"按鈕,設置國家地區,如圖7-25所示。 圖7-25 設置國家地區 設置證書的單位、部門、站點公用名稱和地理信息,一路單擊"下一步"按鈕。 最後指定請求證書文件的保存位置。這樣就完成了請求證書文件的創建。 7.9.2 採用SSL實現加密傳輸(3) 2)申請伺服器證書 完成上述設置後,還要把創建的請求證書文件提交給證書伺服器。 在伺服器端的IE瀏覽器地址欄中輸入"http://localhost/CertSrv/default.asp"。 在"Microsoft 證書服務"歡迎窗口中單擊"申請一個證書"鏈接,如圖7-26所示。 接下來在證書申請類型中單擊"高級證書申請"鏈接,如圖7-27所示。 圖7-26 申請證書 圖7-27 選擇證書類型 然後在高級證書申請窗口中單擊"使用base64編碼的CMC或PKCS#10……"鏈接,如圖7-28所示。 圖7-28 選擇編碼 接下來在新打開的窗口中,打開剛剛生成的"certreq.txt"文件,將其中的內容復制到"保存的申請"中,如圖7-29所示。 圖7-29 提交證書申請 單擊"提交"按鈕,顯示"證書掛起"頁面,如圖7-30所示。 圖7-30 證書掛起 7.9.2 採用SSL實現加密傳輸(4) 3)頒發伺服器證書 提交證書申請以後,還需要頒發伺服器證書。依次選擇"開始"→"設置"→"控制面板",雙擊"管理工具",再雙擊"證書頒發機構",在打開的對話框中選擇"掛起的申請"選項,如圖7-31所示。 (點擊查看大圖)圖7-31 掛起的申請 找到剛才申請的證書,然後用滑鼠右鍵單擊該項,在彈出的快捷菜單中選擇"所有任務"→"頒發"命令,如圖7-32所示。 頒發成功後,選擇"頒發的證書"選項,雙擊剛才頒發的證書,在彈出的"證書"對話框中的"詳細信息"標簽頁中,單擊"復制到文件"按鈕,如圖7-33所示。 圖7-32 頒發證書 圖7-33 復制到文件 彈出"證書導出向導"對話框,連續單擊"下一步"按鈕,選擇"Base64編碼X.509"選項,如圖7-34所示。 (點擊查看大圖)圖7-34 選擇導出文件格式 單擊"下一步"按鈕,並在"要導出的文件"對話框中指定文件名,最後單擊"完成"按鈕。 4)安裝Web伺服器證書 重新進入IIS管理器的"目錄安全性"標簽頁,單擊"伺服器證書"按鈕,彈出"掛起的證書請求"對話框,選擇"處理掛起的請求並安裝證書"選項,單擊"下一步"按鈕,如圖7-35所示。 (點擊查看大圖)圖7-35 處理掛起的證書 指定剛才導出的伺服器證書文件的位置,如圖7-36所示。 (點擊查看大圖)圖7-36 選擇導出位置 接著設置SSL埠,使用默認的"443"即可,最後單擊"完成"按鈕。 7.9.2 採用SSL實現加密傳輸(5) 5)配置網站啟用SSL通道 在網站屬性"目錄安全性"標簽頁中單擊安全通信欄的"編輯"按鈕,然後,勾選"要求安全通道(SSL)"選項,如圖7-37所示。 (點擊查看大圖)圖7-37 啟用網站SSL通道 忽略客戶端證書:選擇該選項可以允許用戶不必提供客戶端證書就可訪問該站點。 接受客戶端證書:選擇該選項可以允許具有客戶端證書的用戶進行訪問,證書不是必需的。具有客戶端證書的用戶可以被映射;沒有客戶端證書的用戶可以使用其他身份驗證方法。 要求客戶端證書:選擇該選項則僅允許具有有效客戶端證書的用戶進行連接。沒有有效客戶端證書的用戶被拒絕訪問該站點。選擇該選項從而在要求客戶端證書前,必須選擇"要求安全通道(SSL)"選項。 最後單擊"確定"按鈕,即完成啟用SSL了。在完成了對SSL網站的配置後,用戶只要在IE瀏覽器中輸入"https://網站域名"就能訪問該網站。 注意 勾選上SSL後,必須用HTTPS來訪問,而訪問網站的埠也會使用SSL埠,默認為443。 如果在你訪問站點的過程中出現無法正常訪問的情況,那麼請檢查伺服器防火牆是否禁止對SSl埠443的訪問,這點比較容易被忽視,當然你也可以自己修改埠。 如果還是不能訪問,出現提示"你試圖從目錄中執行 CGI、ISAPI 或其他可執行程序,但該目錄不允許執行程序。HTTP錯誤403.1-禁止訪問:執行訪問被拒絕。"那麼請檢查網站主目錄的執行許可權,將執行許可權設置為純腳本即可,如圖7-38所示。 圖7-38 設置執行許可權 6)客戶端安裝證書 如果IIS伺服器設置了"要求客戶端證書",則其他機器或用戶想通過HTTPS訪問和調用該Web服務,就需要將CA的根證書導入到客戶端證書的可信任機構中,客戶端才可以正常訪問Web服務。 (1)選擇"開始"→"運行"命令,在彈出的對話框中輸入"mmc",出現如圖7-39所示的界面。 圖7-39 啟動控制台 (2)選擇"文件"→"添加/刪除管理單元"命令,出現如圖7-40所示的界面。 圖7-40 添加/刪除管理單元 (3)單擊"添加"按鈕,在可用獨立管理單元列表中選擇"證書"選項,出現如圖7-41所示的界面。 (4)選擇"計算機賬戶"選項,單擊"下一步"按鈕,選擇"本地計算機"選項,然後依次單擊"完成"→"關閉"→"確定"按鈕。 圖7-41 添加證書管理單元 進入當前用戶的證書管理單元,界面如圖7-42所示。 (點擊查看大圖)圖7-42 選擇證書導入位置 選中"個人"下的"證書節點"選項,單擊滑鼠右鍵,在彈出的快捷菜單中選擇"所有任務"→"導入"命令,如圖7-43所示。 (點擊查看大圖)圖7-43 導入證書 選擇我們剛才頒發的伺服器證書cert.cer,將其導入到個人的存儲位置,導入後如圖7-44所示。 (點擊查看大圖)圖7-44 導入到證書 7)SSL的優點與缺點 優點:它對Web服務提供的數據完整性沒有任何影響,當值返回給客戶時,值還是保持原樣,並沒有因在傳輸過程中使用了加密技術而發生變化。 缺點:它對站點的整體性能有影響,因為它需要進行很多加解密的數據處理。 0 0 0 (請您對文章做出評價)
④ 如何在 Web 伺服器上建立 SSL
確定域名或者公網IP,然後在Gworg提交SSL證書認證,根據要求配置到WEB伺服器就可以了。
⑤ 菜鳥教程——http和Https、SSL
HTTP:是互聯網上應用最為廣泛的一種網路協議,是一個客戶端和伺服器端請求和應答的標准(TCP),用於從WWW伺服器傳輸超文本到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網路傳輸減少。
HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。
HTTPS協議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。
HTTP協議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私信息非常不安全,為了保證這些隱私數據能加密傳輸,於是網景公司設計了SSL(Secure Sockets Layer)協議用於對HTTP協議傳輸的數據進行加密,從而就誕生了HTTPS。簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全。
HTTPS和HTTP的區別主要如下:
1、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
2、http是超文本傳輸協議,信息是明文傳輸,https則是具有安全性的ssl加密傳輸協議。
3、http和https使用的是完全不同的連接方式,用的埠也不一樣,前者是80,後者是443。
4、http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。
我們都知道HTTPS能夠加密信息,以免敏感信息被第三方獲取,所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。
客戶端在使用HTTPS方式與Web伺服器通信時有以下幾個步驟,如圖所示。
(1)客戶使用https的URL訪問Web伺服器,要求與Web伺服器建立SSL連接。
(2)Web伺服器收到客戶端請求後,會將網站的證書信息(證書中包含公鑰)傳送一份給客戶端。
(3)客戶端的瀏覽器與Web伺服器開始協商SSL連接的安全等級,也就是信息加密的等級。
(4)客戶端的瀏覽器根據雙方同意的安全等級,建立會話密鑰,然後利用網站的公鑰將會話密鑰加密,並傳送給網站。
(5)Web伺服器利用自己的私鑰解密出會話密鑰。
(6)Web伺服器利用會話密鑰加密與客戶端之間的通信。
盡管HTTPS並非絕對安全,掌握根證書的機構、掌握加密演算法的組織同樣可以進行中間人形式的攻擊,但HTTPS仍是現行架構下最安全的解決方案,主要有以下幾個好處:
(1)使用HTTPS協議可認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器;
(2)HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全,可防止數據在傳輸過程中不被竊取、改變,確保數據的完整性。
(3)HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
(4)谷歌曾在2014年8月份調整搜索引擎演算法,並稱「比起同等HTTP網站,採用HTTPS加密的網站在搜索結果中的排名將會更高」。
雖然說HTTPS有很大的優勢,但其相對來說,還是存在不足之處的:
(1)HTTPS協議握手階段比較費時,會使頁面的載入時間延長近50%,增加10%到20%的耗電;
(2)HTTPS連接緩存不如HTTP高效,會增加數據開銷和功耗,甚至已有的安全措施也會因此而受到影響;
(3)SSL證書需要錢,功能越強大的證書費用越高,個人網站、小網站沒有必要一般不會用。
(4)SSL證書通常需要綁定IP,不能在同一IP上綁定多個域名,IPv4資源不可能支撐這個消耗。
(5)HTTPS協議的加密范圍也比較有限,在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。最關鍵的,SSL證書的信用鏈體系並不安全,特別是在某些國家可以控制CA根證書的情況下,中間人攻擊一樣可行。
如果需要將網站從http切換到https到底該如何實現呢?
這里需要將頁面中所有的鏈接,例如js,css,圖片等等鏈接都由http改為https。例如:http://www..com改為https://www..com
BTW,這里雖然將http切換為了https,還是建議保留http。所以我們在切換的時候可以做http和https的兼容,具體實現方式是,去掉頁面鏈接中的http頭部,這樣可以自動匹配http頭和https頭。例如:將http://www..com改為//www..com。然後當用戶從http的入口進入訪問頁面時,頁面就是http,如果用戶是從https的入口進入訪問頁面,頁面即使https的。
SSL介紹:
安全套接字(Secure Socket Layer,SSL)協議是Web瀏覽器與Web伺服器之間安全交換信息的協議,提供兩個基本的安全服務:鑒別與保密。
SSL是Netscape於1994年開發的,後來成為了世界上最著名的web安全機制,所有主要的瀏覽器都支持SSL協議。
目前有三個版本:2、3、3.1,最常用的是第3版,是1995年發布的。
在客戶端與伺服器間傳輸的數據是通過使用對稱演算法(如 DES 或 RC4)進行加密的。公用密鑰演算法(通常為 RSA)是用來獲得加密密鑰交換和數字簽名的,此演算法使用伺服器的SSL數字證書中的公用密鑰。有了伺服器的SSL數字證書,客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證,此認證同時需要客戶端和伺服器的數字證書。
SSL協議的三個特性
① 保密:在握手協議中定義了會話密鑰後,所有的消息都被加密。
② 鑒別:可選的客戶端認證,和強制的伺服器端認證。
③ 完整性:傳送的消息包括消息完整性檢查(使用MAC)。
SSL的位置
SSL介於應用層和TCP層之間。應用層數據不再直接傳遞給傳輸層,而是傳遞給SSL層,SSL層對從應用層收到的數據進行加密,並增加自己的SSL頭。
SSL的工作原理
握手協議(Handshake protocol)
記錄協議(Record protocol)
警報協議(Alert protocol)
1、握手協議
握手協議是客戶機和伺服器用SSL連接通信時使用的第一個子協議,握手協議包括客戶機與伺服器之間的一系列消息。SSL中最復雜的協議就是握手協議。該協議允許伺服器和客戶機相互驗證,協商加密和MAC演算法以及保密密鑰,用來保護在SSL記錄中發送的數據。握手協議是在應用程序的數據傳輸之前使用的。
每個握手協議包含以下3個欄位
(1)Type:表示10種消息類型之一
(2)Length:表示消息長度位元組數
(3)Content:與消息相關的參數
握手協議的4個階段
1.1 建立安全能力
SSL握手的第一階段啟動邏輯連接,建立這個連接的安全能力。首先客戶機向伺服器發出client hello消息並等待伺服器響應,隨後伺服器向客戶機返回server hello消息,對client hello消息中的信息進行確認。
Client hello消息包括Version,Random,Session id,Cipher suite,Compression method等信息。
ClientHello 客戶發送CilentHello信息,包含如下內容:
(1)客戶端可以支持的SSL最高版本號
(2)一個用於生成主秘密的32位元組的隨機數。(等會介紹主秘密是什麼)
(3)一個確定會話的會話ID。
(4)一個客戶端可以支持的密碼套件列表。
密碼套件格式:每個套件都以「SSL」開頭,緊跟著的是密鑰交換演算法。用「With」這個詞把密鑰交換演算法、加密演算法、散列演算法分開,例如:SSL_DHE_RSA_WITH_DES_CBC_SHA, 表示把DHE_RSA(帶有RSA數字簽名的暫時Diffie-HellMan)定義為密鑰交換演算法;把DES_CBC定義為加密演算法;把SHA定義為散列演算法。
(5)一個客戶端可以支持的壓縮演算法列表。
ServerHello伺服器用ServerHello信息應答客戶,包括下列內容
(1)一個SSL版本號。取客戶端支持的最高版本號和服務端支持的最高版本號中的較低者。
(2)一個用於生成主秘密的32位元組的隨機數。(客戶端一個、服務端一個)
(3)會話ID
(4)從客戶端的密碼套件列表中選擇的一個密碼套件
(5)從客戶端的壓縮方法的列表中選擇的壓縮方法
這個階段之後,客戶端服務端知道了下列內容:
(1)SSL版本
(2)密鑰交換、信息驗證和加密演算法
(3)壓縮方法
(4)有關密鑰生成的兩個隨機數。
1.2 伺服器鑒別與密鑰交換
伺服器啟動SSL握手第2階段,是本階段所有消息的唯一發送方,客戶機是所有消息的唯一接收方。該階段分為4步:
(a)證書:伺服器將數字證書和到根CA整個鏈發給客戶端,使客戶端能用伺服器證書中的伺服器公鑰認證伺服器。
(b)伺服器密鑰交換(可選):這里視密鑰交換演算法而定
(c)證書請求:服務端可能會要求客戶自身進行驗證。
(d)伺服器握手完成:第二階段的結束,第三階段開始的信號
這里重點介紹一下服務端的驗證和密鑰交換。這個階段的前面的(a)證書 和(b)伺服器密鑰交換是基於密鑰交換方法的。而在SSL中密鑰交換演算法有6種:無效(沒有密鑰交換)、RSA、匿名Diffie-Hellman、暫時Diffie-Hellman、固定Diffie-Hellman、Fortezza。
在階段1過程客戶端與服務端協商的過程中已經確定使哪種密鑰交換演算法。
如果協商過程中確定使用RSA交換密鑰,那麼過程如下圖:
這個方法中,伺服器在它的第一個信息中,發送了RSA加密/解密公鑰證書。不過,因為預備主秘密是由客戶端在下一個階段生成並發送的,所以第二個信息是空的。注意,公鑰證書會進行從伺服器到客戶端的驗證。當伺服器收到預備主秘密時,它使用私鑰進行解密。服務端擁有私鑰是一個證據,可以證明伺服器是一個它在第一個信息發送的公鑰證書中要求的實體。
其他的幾種密鑰交換演算法這里就不介紹了。可以參考Behrouz A.Forouzan著的《密碼學與網路安全》。
1.3 客戶機鑒別與密鑰交換:
客戶機啟動SSL握手第3階段,是本階段所有消息的唯一發送方,伺服器是所有消息的唯一接收方。該階段分為3步:
(a)證書(可選):為了對伺服器證明自身,客戶要發送一個證書信息,這是可選的,在IIS中可以配置強制客戶端證書認證。
(b)客戶機密鑰交換(Pre-master-secret):這里客戶端將預備主密鑰發送給服務端,注意這里會使用服務端的公鑰進行加密。
(c)證書驗證(可選),對預備秘密和隨機數進行簽名,證明擁有(a)證書的公鑰。
下面也重點介紹一下RSA方式的客戶端驗證和密鑰交換。
這種情況,除非伺服器在階段II明確請求,否則沒有證書信息。客戶端密鑰交換方法包括階段II收到的由RSA公鑰加密的預備主密鑰。
階段III之後,客戶要有伺服器進行驗證,客戶和伺服器都知道預備主密鑰。
1.4 完成
客戶機啟動SSL握手第4階段,使伺服器結束。該階段分為4步,前2個消息來自客戶機,後2個消息來自伺服器。
1.5 密鑰生成的過程
這樣握手協議完成,下面看下什麼是預備主密鑰,主密鑰是怎麼生成的。為了保證信息的完整性和機密性,SSL需要有六個加密秘密:四個密鑰和兩個IV。為了信息的可信性,客戶端需要一個密鑰(HMAC),為了加密要有一個密鑰,為了分組加密要一個IV,服務也是如此。SSL需要的密鑰是單向的,不同於那些在其他方向的密鑰。如果在一個方向上有攻擊,這種攻擊在其他方向是沒影響的。生成過程如下:
2、記錄協議
記錄協議在客戶機和伺服器握手成功後使用,即客戶機和伺服器鑒別對方和確定安全信息交換使用的演算法後,進入SSL記錄協議,記錄協議向SSL連接提供兩個服務:
(1)保密性:使用握手協議定義的秘密密鑰實現
(2)完整性:握手協議定義了MAC,用於保證消息完整性
記錄協議的過程:
3、警報協議
客戶機和伺服器發現錯誤時,向對方發送一個警報消息。如果是致命錯誤,則演算法立即關閉SSL連接,雙方還會先刪除相關的會話號,秘密和密鑰。每個警報消息共2個位元組,第1個位元組表示錯誤類型,如果是警報,則值為1,如果是致命錯誤,則值為2;第2個位元組制定實際錯誤類型。
⑥ 如何在 Web 伺服器上建立 SSL
Gworg獲得SSL證書
安裝SSL配置WEB伺服器:
網站搭建後,網站可以訪問。
根據自己的環境現在對應的SSL證書類型。
根據對應的環境教程配置SSL證書。
解決辦法:建立WEB伺服器配置SSL證書,可以在Gworg獲得安裝教程配置、
⑦ 怎麼安裝配置SSL證書
您好!
安裝SSL證書主要將SSL證書配置到伺服器環境。安裝教程:網頁鏈接
目前全球伺服器環境主要分為4個類型:Apache、IIS、Nginx、Tomcat
⑧ 如何讓網站支持ssl,是不是要證書啥的
是要申請並安裝SSL證書。
SSL證書申請流程如下:
第一步,生成並提交CSR(證書簽署請求)文件
CSR文件一般都可以通過在線生成(或伺服器上生成),申請人在製作的同時系統會產生兩個秘鑰,公鑰CSR和密鑰KEY。選擇了SSL證書申請之後,提交訂單並將製作生成的CSR文件一起提交到證書所在的CA頒發機構。
第二步,CA機構進行驗證
CA機構對提交的SSL證書申請有兩種驗證方式:
第一種是域名認證。系統自動會發送驗證郵件到域名的管理員郵箱(這個郵箱是通過WHOIS信息查詢到的域名聯系人郵箱)。管理員在收到郵件之後,確認無誤後點擊我確認完成郵件驗證。所有型號的SSL證書都必須進行域名認證。
第二種是企業相關信息認證。對於SSL證書申請的是OV SSL證書或者EV SSL證書的企業來說,除了域名認證,還得進行人工核實企業相關資料和信息,確保企業的真實性。
第三步,CA機構頒發證書
由於SSL證書申請的型號不同,所驗證的材料和方式有些區別,所以頒發時間也是不同的。
如果申請的是DV SSL證書最快10分鍾左右就能頒發。如果申請的是OV SSL證書或者EV SSL證書,一般3-7個工作日就能頒發。
⑨ linux web伺服器怎麼配置ssl
每種web伺服器不太一樣,配置https默認為443埠。需要准備ssl證書。
1、java相關比如tomcat/weblogic等,需要keystore文件包含ssl證書,例如tomcat需要在conf/server.xml配置
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="keystore.jks" keypass="123456" URIEncoding="UTF-8"/>
2、apache/nginx等需要用key和pem證書,例如nginx
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate www.pem;
ssl_certificate_key www.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+SSlv3:+EXP;
ssl_prefer_server_ciphers on;
location /{
/www;
include proxy.conf;
}
}
3、例如IIS,需要PFX或P12證書,配置https,443埠,指定ssl證書即可
4、netstat -ntlp檢查443埠是否開啟
⑩ 如何在 Web 伺服器上建立 SSL
全套接字層 (SSL)
是一套提供身份驗證、保密性和數據完整性的加密技術。SSL 最常用來在
Web 瀏覽器和 Web
伺服器之間建立安全通信通道。它也可以在客戶端應用程序和 Web
服務之間使用。
為支持 SSL 通信,必須為 Web 伺服器配置 SSL
證書。本章介紹如何獲取 SSL 證書,以及如何配置 Microsoft Internet
信息服務 (IIS),以便支持 Web 瀏覽器和其他客戶端應用程序之間使用 SSL
安全地進行通信。
生成證書申請
此過程創建一個新的證書申請,此申請可發送到證書頒發機構 (CA)
進行處理。如果成功,CA 將給您發回一個包含有效證書的文件。
生成證書申請
1.
啟動 IIS Microsoft 管理控制台 (MMC) 管理單元。
2.
展開 Web 伺服器名,選擇要安裝證書的 Web 站點。
3.
右鍵單擊該 Web 站點,然後單擊「屬性」。
4.
單擊「目錄安全性」選項卡。
5.
單擊「安全通信」中的「伺服器證書」按鈕,啟動 Web
伺服器證書向導。
注意:如果「伺服器證書」不可用,可能是因為您選擇了虛擬目錄、目錄或文件。返回第
2 步,選擇 Web 站點。
6.
單擊「下一步」跳過歡迎對話框。
7.
單擊「創建一個新證書」,然後單擊「下一步」。
8.
該對話框有以下兩個選項:
"
「現在准備申請,但稍後發送」
該選項總是可用的。
"
「立即將申請發送到在線證書頒發機構」
僅當 Web 伺服器可以在配置為頒發 Web 伺服器證書的 Windows 2000
域中訪問一個或多個 Microsoft
證書伺服器時,該選項才可用。在後面的申請過程中,您有機會從列表中選擇將申請發送到的頒發機構。
單擊「現在准備申請,但稍後發送」,然後單擊「下一步」。
9.
在「名稱」欄位中鍵入證書的描述性名稱,在「位長」欄位中鍵入密鑰的位長,然後單擊「下一步」。
向導使用當前 Web
站點名稱作為默認名稱。它不在證書中使用,但作為友好名稱以助於管理員識別。
10.
在「組織」欄位中鍵入組織名稱(例如
Contoso),在「組織單位」欄位中鍵入組織單位(例如「銷售部」),然後單擊「下一步」。
注意:這些信息將放在證書申請中,因此應確保它的正確性。CA
將驗證這些信息並將其放在證書中。瀏覽您的 Web
站點的用戶需要查看這些信息,以便決定他們是否接受證書。
11.
在「公用名」欄位中,鍵入您的站點的公用名,然後單擊「下一步」。
重要說明:公用名是證書最後的最重要信息之一。它是 Web
站點的 DNS
名稱(即用戶在瀏覽您的站點時鍵入的名稱)。如果證書名稱與站點名稱不匹配,當用戶瀏覽到您的站點時,將報告證書問題。
如果您的站點在 Web 上並且被命名為
www.contoso.com,這就是您應當指定的公用名。
如果您的站點是內部站點,並且用戶是通過計算機名稱瀏覽的,請輸入計算機的
NetBIOS 或 DNS 名稱。
12.
在「國家/地區」、「州/省」和「城市/縣市」等欄位中輸入正確的信息,然後單擊「下一步」。
13.
輸入證書申請的文件名。
該文件包含類似下面這樣的信息。
-----BEGIN NEW CERTIFICATE REQUEST-----
...
-----END NEW CERTIFICATE REQUEST-----
這是您的證書申請的 Base 64
編碼表示形式。申請中包含輸入到向導中的信息,還包括您的公鑰和用您的私鑰簽名的信息。
將此申請文件發送到 CA。然後 CA
會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA
也驗證申請中提供的信息。
當您將申請提交到 CA 後,CA
將在一個文件中發回證書。然後您應當重新啟動 Web 伺服器證書向導。
14.
單擊「下一步」。該向導顯示證書申請中包含的信息概要。
15.
單擊「下一步」,然後單擊「完成」完成申請過程。
證書申請現在可以發送到 CA 進行驗證和處理。當您從 CA
收到證書響應以後,可以再次使用 IIS 證書向導,在 Web
伺服器上繼續安裝證書。
提交證書申請
此過程使用 Microsoft
證書服務提交在前面的過程中生成的證書申請。
"
提交證書申請
1.
使用「記事本」打開在前面的過程中生成的證書文件,將它的整個內容復制到剪貼板。
2.
啟動 Internet Explorer,導航到
http://hostname/CertSrv,其中 hostname 是運行
Microsoft 證書服務的計算機的名稱。
3.
單擊「申請一個證書」,然後單擊「下一步」。
4.
在「選擇申請類型」頁中,單擊「高級申請」,然後單擊「下一步」。
5.
在「高級證書申請」頁中,單擊「使用 Base64 編碼的 PKCS#10
文件提交證書申請」,然後單擊「下一步」。
6.
在「提交一個保存的申請」頁中,單擊「Base64 編碼的證書申請(PKCS
#10 或 #7)」文本框,按住
CTRL+V,粘貼先前復制到剪貼板上的證書申請。
7.
在「證書模板」組合框中,單擊「Web 伺服器」。
8.
單擊「提交」。
9.
關閉 Internet Explorer。
頒發證書
"
頒發證書
1.
從「管理工具」程序組中啟動「證書頒發機構」工具。
2.
展開您的證書頒發機構,然後選擇「掛起的申請」文件夾。
3.
選擇剛才提交的證書申請。
4.
在「操作」菜單中,指向「所有任務」,然後單擊「頒發」。
5.
確認該證書顯示在「頒發的證書」文件夾中,然後雙擊查看它。
6.
在「詳細信息」選項卡中,單擊「復制到文件」,將證書保存為 Base-64
編碼的 X.509 證書。
7.
關閉證書的屬性窗口。
8.
關閉「證書頒發機構」工具。
在 Web 伺服器上安裝證書
此過程在 Web 伺服器上安裝在前面的過程中頒發的證書。
"
在 Web 伺服器上安裝證書
1.
如果 Internet 信息服務尚未運行,則啟動它。
2.
展開您的伺服器名稱,選擇要安裝證書的 Web 站點。
3.
右鍵單擊該 Web 站點,然後單擊「屬性」。
4.
單擊「目錄安全性」選項卡。
5.
單擊「伺服器證書」啟動 Web 伺服器證書向導。
6.
單擊「處理掛起的申請並安裝證書」,然後單擊「下一步」。
7.
輸入包含 CA 響應的文件的路徑和文件名,然後單擊「下一步」。
8.
檢查證書概述,單擊「下一步」,然後單擊「完成」。
現在,已在 Web 伺服器上安裝了證書。
將資源配置為要求 SSL 訪問
此過程使用 Internet 服務管理器,將虛擬目錄配置為要求 SSL
訪問。您可以為特定的文件、目錄或虛擬目錄要求使用
SSL。客戶端必須使用 HTTPS 協議訪問所有這類資源。
"
將資源配置為要求 SSL 訪問
1.
如果 Internet 信息服務尚未運行,則啟動它。
2.
展開您的伺服器名稱和 Web 站點。(這必須是已安裝證書的 Web
站點)
3.
右鍵單擊某個虛擬目錄,然後單擊「屬性」。
4.
單擊「目錄安全性」選項卡。
5.
單擊「安全通信」下的「編輯」。
6.
單擊「要求安全通道 (SSL)」。
現在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。
7.
單擊「確定」,然後再次單擊「確定」關閉「屬性」對話框。
8.
關閉 Internet 信息服務。