第三章 第二节 CA认证中心配置及实现SSL.Web加密通信
1.证书服务器IP地址:200.0.0.101
启用证书服务:开始--控制面板--添加或删除程序--添加/删除Windows组件--证书服务--是(安装后计算机名和域成员身份不可更改)--下一步--CA公用名称(CASrv)、可分辨名称后缀(DC=xapc.cm.cn)、有限期(一年)--下一步--证书数据库和日志位置--下一步--是(启用ASP)--完成。
2.WWW服务器IP地址:200.0.0.102
安装WWW服务:开始--控制面板--添加或删除程序--添加/删除Windows组件--应用程序服务器--ASP.NET(默认勾选三个ASP.NET、Internet 信息服务IIS、启用网络COM+访问)--确定--下一步--完成。
3.客户端IP地址:200.0.0.103
申请安装证书:http://200.0.0.101/certsrv,
(1)客户端申请一个证书--Web浏览器证书--填写识别信息--提交--是。
(2)证书服务器颁发证书--证书颁发机构--挂起的申请--右击选择任务-所有任务--颁发证书。
(3)客户端安装证书--查看挂起的证书申请状态--Web浏览器证书--安装此证书--是。
4.Web服务器申请证书
Internet信息服务(IIS)管理器--选择WebSrv右击--属性--目录安全性--服务器证书--下一步--下一步(新建证书)--名称(WebSrv)、位长(4096)、选择证书加密程序(RSA)--下一步--填写信息--下一步--证书请求文件(命名注意时间)--下一步--完成。
申请安装证书:http://200.0.0.101/certsrv,
(1)申请一个证书--高级证书申请--使用base64编码的CMC或PKCS#10文件提交一个证书--复制上步生成的文件内容--提交--是。
(2)证书服务器颁发证书--证书颁发机构--挂起的申请--右击选择任务-所有任务--颁发证书。
(3)Web服务器安装证书--查看挂起的证书申请状态--保存证书--下载证书(DER)--保存。
(4)导入证书:Internet信息服务(IIS)管理器--选择WebSrv右击--属性--目录安全性--服务器证书--下一步--处理挂起的请求并安装证书--下一步--浏览--下一步--SSL端口(443)--下一步--完成--确定。
5.Web服务器开启SSL:
Internet信息服务(IIS)管理器--选择WebSrv右击--属性--目录安全性--安全通信(编辑)--要求安全通道(SSL)、要求128位加密、要求客户端证书--确定--应用--确定。
此时客户端访问WEB服务:https://200.0.0.102
SSL协议:
(1)数据保密:在初始化握手协议协商加密密钥之后传输的消息均为加密消息。加密算法为私钥加密算法如DES、RC4、IDEA等。
(2)身份认证:通信双方的身份可通过公钥加密算法如RSA、DSS等签名来验证,杜绝假冒。
(3)数据完整性:HASH函数如SHA、MD5等被用来产生消息摘要MAC。所传输的消息均包含数字签名,以保证消息的完整性。
体系结构:两层协议,SSL握手协议、SSL更改密码规格协议、SSL报警协议、HTTP;SSL记录协议(应用数据--分段--压缩--添加MAC--加密--附加SSL记录报头)。
示例:网上银行:USBKey客户证书
带有只能芯片、形状类似闪存(即U盘)的实物硬件,是专门用于网上银行的安全通行证。
客户有关信息一经下载到USBKey客户证书内,即具有唯一性和不可复制型,网上所有涉及账户资金的对外转移都必须事先通过USBKey客户证书进行认证。