|
網(wǎng)絡中http協(xié)議的數(shù)據(jù)是明文傳輸?shù)?,這就產(chǎn)生了機密敏感數(shù)據(jù)在傳輸過程中被竊取的危險。尤其日益流行的網(wǎng)上支付���,釣魚網(wǎng)站和用戶冒名嚴重損害用戶財產(chǎn)和利益����。所以網(wǎng)絡安全必須解決數(shù)據(jù)傳輸?shù)募用?,服務網(wǎng)站和用戶的認證?�;赟SL的http協(xié)議https解決了傳輸加密和服務網(wǎng)站認證的手段���,用戶認證也可以通過用戶數(shù)字證書得以解決����。根據(jù)百付寶網(wǎng)站的應用經(jīng)驗,下面主要介紹SSL在服務端(https)的應用��。
SSL數(shù)字證書介紹與使用
背景
網(wǎng)絡中http協(xié)議的數(shù)據(jù)是明文傳輸?shù)?�,這就產(chǎn)生了機密敏感數(shù)據(jù)在傳輸過程中被竊取的危險���。尤其日益流行的網(wǎng)上支付����,釣魚網(wǎng)站和用戶冒名嚴重損害用戶財產(chǎn)和利益�。所以網(wǎng)絡安全必須解決數(shù)據(jù)傳輸?shù)募用埽站W(wǎng)站和用戶的認證�。基于SSL的http協(xié)議https解決了傳輸加密和服務網(wǎng)站認證的手段�����,用戶認證也可以通過用戶數(shù)字證書得以解決���。根據(jù)百付寶網(wǎng)站的應用經(jīng)驗��,下面主要介紹SSL在服務端(https)的應用��。
SSL數(shù)字證書介紹
HTTPS實際上應用了Netscape的完全套接字層(SSL)作為HTTP應用層的子層���,SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間�,為數(shù)據(jù)通訊提供安全支持���,其工作流程可以查詢資料�。
SSL數(shù)字證書是在第三方CA機構嚴格審核注冊的�����,用于SSL安全會話期間服務網(wǎng)站身份識別的加密序列文件����,基于非對稱密鑰體制����,序列文件中包含了公私鑰以及一些通過審核認證的注冊信息。最著名的兩個SSL CA機構是verisign和globalsign��,提供SSL數(shù)字證書的審批簽發(fā),并提供了對其頒發(fā)的數(shù)字證書因為證書問題造成安全損失的資金索賠��,他們自己首先是世界機構許可和信任的�。
SSL數(shù)字證書是作為web server的一個功能組件部署的,幾乎常用的web server都支持SSL��,比如lighttpd, apache, tomcat等�。下面將以apache為例介紹。
SSL證書根據(jù)其加密強度分為支持型(40bit強度)和強制型(128bit)���,此兩種又分為普通型和EV型(enhanced version)�����。相比�,EV版本經(jīng)過最徹底的身份驗證����,確保證書持有組織的真實性,綠色地址欄將顯示組織名稱�,從而最大限度上確保網(wǎng)站的安全性,樹立網(wǎng)站可信形象�����。這些類型的證書申請使用和安裝方式基本一致。
SSL數(shù)字證書的申請注冊
首先確保申請者和網(wǎng)站的真實性���,向CA機構的代理方提交申請����,制作生成CSR(certificate signature request), CA機構審核申請者和申請機構的信息�����,根據(jù)提交的CSR生成經(jīng)過認證的SSL證書文件簽發(fā)給申請組織����。
在自己玩的時候可以自己偽造一個CA機構,當然只有你自己認可�����,這些都可以通過openssl開源工具進行管理���。Openssl是一個管理SSL和CA的強大工具,在SSL證書申請的過程中是需要使用該工具的某些功能����。
產(chǎn)品應用的SSL證書申請制作過程如下:
1, 生成私鑰,并保存好�,證書安裝的時候需要。 
-des3是加密類型��,-out server.key為私鑰的保存文件�����,1024為密鑰長度���。
過程中需要你設定密碼���,這個密碼是在下面制造CSR和啟動web server加載SSL證書讀取私鑰時候需要的密碼。
2�,生成CSR
現(xiàn)在就可以利用剛才生成的私鑰制作CSR,-key server.key是上一步生成的私鑰文件����,-out server.csr為將要生成CSR的文件名。第一步需要提供剛開始設定的密碼�����,然后一步一步提供需要的信息(必須真實����,CA機構需要嚴格審查)����。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
3���,向第三方提交生成的CSR�,第三方CA機構走嚴格的審核流程�,確認真實性后授權SSL證書,郵件的方式返回文本的SSL證書內(nèi)容(包含了密文格式的證書公鑰和注冊信息)�����,保存為server.crt����。
SSL數(shù)字證書在apache上的部署
首先apache必須編譯對SSL的支持模塊。
需要在httpd.conf中增加如下配置:
#ServerSignature on
SSLEngine on
SSLSessionCache shm:/abc/ssl_gcache_data(512000)
SSLCertificateFile /abc/keys/server_vip.pem
SSLCertificateChainFile /abc /keys/ca_vip.pem
其中SSLCertificateFile指定的是pem格式的證書文件位置��,該文件由授權簽發(fā)的server.crt和對應的私鑰文件server.key組合而成:
Cat server.crt server.key > server_vip.pem
SSLCertificateChainFile指定的是被信任的第三方CA機構的證書文件CertificateChain(CA機構會提供���,也是公開的,可以去官網(wǎng)找)��,每個CA機構有唯一的CertificateChain,其實也就是CA機構的身份證書��,類似我們被授權的server.crt�,不同的是這些CA機構的證書是被各主流瀏覽器集成信任的。普通版本的SSL證書只有1級CertificateChain�, EV版本證書有2級CertificateChain,這2級CertificateChain是被拼接在同一個文件中(ca_vip.pem)����。
SSL數(shù)字證書查看
Web server部署好證書,重啟web server就可以提供基于SSL的https服務了���。
‘企業(yè)版百付寶’使用的是verisign的EV強制型SSL證書��,見截圖�,可以看到EV版證書的green bar�����,讓用戶感覺到網(wǎng)站的安全可信��。點擊green bar能夠提示網(wǎng)站更豐富的機構信息��。
通過點擊‘更多信息’���,了解更為詳細的證書詳情和證書鏈的情況��。  |
