使用证书服务,建立SSL保护的web站点

使用证书服务,建立SSL保护的web站点
使用证书服务,建立SSL保护的web站点

使用证书服务,建立SSL保护的web站点

一、实训说明

现在,国外电子商务网站都是这样做的,但国内绝大部分的网站却没有提供https加密传输。提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。

通常来说,一个网站只需要一台服务器(就是说一个域名)拥有一个证书就足够了。

本实训模拟一个CA,并从该CA申请数字证书,来对我们的web站点提供SSL加密保护。

二、实训环境与准备工作

由两台计算机完成实训项目。可以让两个同学组成一个小组完成,也可以一个同学在本机和虚拟机组成的局域网环境下完成。

1、虚拟机(windows 2003 server)

IP地址:192.168.0.1,子网掩码:255.255.255.0,在虚拟机上配置证书服务器。

2、计算机(本机)

IP地址:192.168.0.2,子网掩码:255.255.255.0,作为一个站点服务器。

三、实训步骤

第一步,在计算机中安装虚拟机。

第二步,在虚拟机中安装windows 2003 server。

第三步,设置虚拟机的IP地址:192.168.0.1,子网掩码:255.255.255.0。

第四步,在虚拟机中安装IIS。(添加或删除程序>添加/删除windows组件>应用程序服务)

第五步,在虚拟机中安装与配置证书服务。

1、在“控制面板”窗口中双击“添加或删除程序”选项,打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。

2、在“组件”列表中找到并选中“证书服务”选项,然后单击“详细信息”按钮,在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构(CA)”复选框。依次单击“确定”→“下一步”按钮,如图所示。

3、在打开的“CA类型”对话框中选中“独立根(CA)”单选框,单击“下一步”按钮,如图所示。

4、打开“CA识别信息”对话框,输入CA名称等标识信息(如“qhw2012”<<可以自己随便命名>>)。在“有效期限”编辑框中设置CA识别信息的有效期限,单击“下一步”按钮,如图所示。

5、打开“证书数据库设置”对话框,建议保持默认路径,并依次单击“下一步”→“完成”按钮。

小提示:在安装过程中系统会提示安装向导将停止IIS服务,单击“是”按钮停止继续安装。如果IIS当前没有启用ASP支持,想到将提示用户启用ASP。单击“是”按钮将继续安装。另外在复制文件的过程中会要求用户提供Windows 2003 Server安装光盘或指定安装源,并且在完成安装后证书服务会自动启动。

6、在开始菜单中依次单击“管理工具”→“证书颁发机构”菜单项,打开“证书颁发机构”窗口。在左窗中右键单击“qhw2012”(即证书服务标识)目录,依次选择“所有任务”→“启动服务”命令启动证书服务,(默认是已启动的)如图所示。

选择“高级证书申请”。

选择“创建并向此CA提交一个申请”。

填写高级证书内容。注意:需要的证书类型中一定要选择“服务器身份验证证书”和密钥选项中一定要选择“将证书保存在本地计算机存储中”,其它默认值即可,最后提交。

选择“是”。

第八步,登录虚拟机,打开证书颁发机构,单击“挂起的申请”选项,可以看到刚才申请的证书。右击后选择“颁发”命令。

这时选择“颁发的证书”选项中可以看到已颁发的证书。

第九步,在本机中登录:http://192.168.0.1/certsrv,这次选中“查看挂起的证书申请的状态”单选按钮。

选择“服务器身份验证证书”。

单击“安装此证书”。

选择“是”。

主目录和文档等。

设置完,打开浏览器,http://192.168.0.2,确保这时网页是可以访问的。

录安全性”选项卡,再单击“服务器证书”按钮,把数字证书导入到IIS中。

选择“指派现在证书”。

选择刚申请的证书,这里是“qiuhongwei”。

这时“目录安全性”选项卡里的“查看证书”和“编辑”按钮刚才是灰色的,在导入完证书后,都变成可用了。单击“编辑”按钮,就会弹出一个“安全通信”对话框,选中“申请安全通道(SSL)”和“申请128位加密”复选框,单击“确定”按钮即可。

第十二步,打开本机浏览器,登录网址为:http://192.168.0.2,发现不能登录。

这时登录网址改为:https://192.168.0.2。同时选择“安全警报”对话框中的“是”选项。

SSL与TLS 区别和联系 ssl证书类型区分

SSL与TLS 区别和联系 ssl证书类型区 分 什么是ssl SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。 SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 什么是tls 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。TLS记录协议用于封装各种高层协议。作为这种封装协议之一的握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前彼此之间相互认证,协商加密算法和加密密钥。该协议由两层组成:TLS 记录协议(TLS Record)和TLS 握手协议(TLS Handshake) Ssl与tls的关系 ,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。 SSL是Netscape开发的专门用户保护Web通讯的,目前版本为3.0。最新版本的TLS(Transport Layer Security,传输层安全协议)是IETF(Internet Engineering Task Force,Internet工程任务组)制定的一种新的协议。最新版本的TLS 1.0,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。两者差别极小,可以理解为SSL 3.1。 Ssl与tls的功能 1. 在互联网上传输加密过的资料以达到防窃取的目的。 2. 保持从端点A到端点B的传送路途中资料的完整性。 3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明自己的身份。 何谓有效无效ssl(tls)证书?

ssl 协议实现

SSL协议的分析及实现 文章出处:计算机与信息技术作者:令晓静田红心发布时间:2005-11-01 (西安电子科技大学ISN国家重点实验室,中国西安,710071) 1引言 SSL是一种在客户端和服务器端之间建立安全通道的协议。SSL一经提出,就在Internet上得到广泛的应用。SSL最常用来保护Web的安全。为了保护存有敏感信息Web的服务器的安全,消除用户在Internet上数据传输的安全顾虑。 OpenSSL是一个支持SSL认证的服务器.它是一个源码开放的自由软件,支持多种操作系统。OpenSSL软件的目的是实现一个完整的、健壮的、商业级的开放源码工具,通过强大的加密算法来实现建立在传输层之上的安全性。OpenSSL包含一套SSL协议的完整接口,应用程序应用它们可以很方便的建立起安全套接层,进而能够通过网络进行安全的数据传输。 2 SSL协议概述 SSL 是Secure socket Layer英文缩写,它的中文意思是安全套接层协议,指使用公钥和私钥技术组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的基于 WEB应用的安全协议,SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数据在传送中不被改变,即确保数据的完整性。 SSL 以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:(1)秘密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。 ( 2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输 的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。 (3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户), SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。 3 SSL协议的体系结构 SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它是客户/服务器应用之间的通信不被攻击窃听,并且始终对服务器进行认证,还可以选择对客户进行认证。SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作,在此之后,应用层协议所传送的数据都被加密。SSL实际上是共同工作的两层协议组成,如图1所示。从体系结构图可以看出SSL安全协议实际是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。

如何通过SSL证书开启服务器443端口

如何通过SSL证书开启服务器443端口 前阵子遇到个问题,因为我们的网站是外贸网站,需要通过Paypal付款,但是,客户通过PP付款之后居然不能生成订单号,后来发现服务器的443端口是关闭状态,好了,问题来了:如何开启服务器的443端口呢? 深圳国际快递https://www.360docs.net/doc/b28816810.html,在这里分享一下开启443端口的经验: 第一:当然是配置硬件,把防火墙令443端口放行!具体办法朋友可以去百度一下哈,其实落伍里面也有! 第二,创建SSL证书,我个人觉得这个比较重要,下面把具体的方法分享给一下。 #LoadModule ssl_module modules/mod_ssl.so 的#去掉,开启SSL功能。 然后我们要新建一个SSL虚拟目录,监听443端口 一般情况下我使用centos的虚拟列表都会放到/etc/httpd/conf.d/目录下 依旧是在这个目录下新建一个ssl.conf,并且在你的网站列表新建一个ssl文件夹,我的习惯是/var/www/vhosts/ssl 将你的server.crt和ca-server.crt文件以及你原来生成的server.key文件一起上传到ssl文件夹内。 进入/etc/httpd/conf.d/ 输入 vi ssl.conf 使用vi编辑器编辑ssl.conf内容如下 DocumentRoot "/var/www/vhosts/site_dir/httpdocs" SSLEngine on SSLProtocol all -SSLv2 SSLCertificateFile /var/www/vhosts/ssl/server.crt SSLCertificateKeyFile /var/www/vhosts/ssl/server.key SSLCACertificateFile /var/www/vhosts/ssl/ca-server.crt SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 然后将你的域名强制https进行访问 将 RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 当然,这个证书是在自己服务器上创建的,自己使用还是可以的,但是在浏览器中,这

用SSL安全协议实现Web服务器的安全性

用SSL安全协议实现WEB服务器的安全性 现今SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中,用于安全地传送数据,集中到每个WEB服务器和浏览器中,从而来保证来用户都可以与Web 站点安全交流。本文将详细介绍SSL安全协议及在WEB服务器安全的应用。 一、SSL安全协议在WEB服务器中的应用 1、我们为提供具有真正安全连接的高速安全套接层SSL)交易,可以将PCI卡形式的SSL卸载(offloading)设备直接安装到Web服务器上,这种做法的好处是:(1)从客户机到安全Web服务器的数据安全性; (2)由于卸载工具执行所有SSL处理过程并完成TCP/IP协商,因此大大提高了吞吐量; (3)简化了密钥的管理和维护。 安全性加大在实现向电子商务和其它安全Web站点的服务器增加SSL加速和卸载设备的结果是提高了交易处理速度。但是由于设备是作为应用被安装在网络上的,因此设备与安全服务器之间的数据是未加密的。将SSL卸载设备作为PCI扩展卡直接安装在安全服务器上,保证了从浏览器到服务器的连接安全性。 SSL可以用于在线交易时保护象信用卡号以及股票交易明细这类敏感信息。受SSL保护的网页具有"https"前缀,而非标准的"http"前缀 2、新型专用网络设备SSL加速器可以使Web站点通过在优化的硬件和软件中进行所

有的SSL处理来满足性能和安全性的需要。 当具有SSL功能的浏览器(Navigator、IE)与Web服务器(Apache、IIS)通信时,它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的,并被用于生成公共密钥。 当最初的认证完成后,浏览器向服务器发送48字节利用服务器公共密钥加密的主密钥,然后Web服务器利用自己的私有密钥解密这个主密钥。最后,浏览器和服务器在会话过程中用来加解密的对称密钥集合就生成了。加密算法可以为每次会话显式地配置或协商,最广泛使用的加密标准为"数据加密标准"(DES)和RC4。 一旦完成上述启动过程,安全通道就建立了,保密的数据传输就可以开始了。尽管初始认证和密钥生成对于用户是透明的,但对于Web服务器来说,它们远非透明。由于必须为每次用户会话执行启动过程,因而给服务器CPU造成了沉重负担并产生了严重的性能瓶颈。据测试,当处理安全的SSL会话时,标准的Web服务器只能处理1%到10%的正常负载。 二、应作的处理 密码在加解密数据时,使用两种类型的密钥。私有密钥被发给各实体并且永远不向外透露,公共密钥可以任意分发。这两种密钥对于认证过程是必不可少的。使用公钥加密的数据不能使用同一个密钥进行解密,必须使用私有密钥进行解密。 SSL使用复杂的数学公式进行数据加密和解密,这些公式的复杂性根据密码的强度不同

IBM HTTP Server 服务器证书配置SSL证书

IBM HTTP Server 服务器证书安装配置指南 深圳市沃通电子商务服务有限公司 2007-09

一、环境说明 服务器端:Websphere4.0(solaris8) 客户端:Win2000 p IE5.0 二、证书申请下载 1.产生证书请求 密钥文件由密钥管理器(ikeyman)产生的,在Solaris系统操作步骤如下: 2.1新建密钥数据库 a、启动密钥管理器: #./ikeyman b、点击密钥管理器的”key database file”,选择新建。接受创建默认的key.kdb或输入相应选项,点击OK

c、设置密钥口令,注意口令强度,最好是至少8位,至少包括一个大写字母,一个小写字母和一个数字。选定将口令保存到文件中选项,这样会产生一 个key.sth文件,点击OK

2.2下载安装Web服务器证书 产生证书请求 选择“personal certificate requests”,在对话框右边选择“New“,创建新的密钥和证书请求,在公用名称中填入从CFCA获得的参考号,其他依据实际情况填写,将生成的证书申请请求(CSR文件)提交给CFCA。 申请标准版时,生成CSR时按如下方式填写: 组织名(Organazation 简称“O”):请输入您的单位名称的英文简称。 组织单位名(Organization Unit Name 简称“OU”):请输入CFCA standard server。 通用名(Common Name 简称“CN”):请输入您的域名。 国家名(Country Name,简称“C”):输入CN,代表中国。 省或洲际名(State or Province Name)输入省份名称,根据实际情况填写如Beijing。 地方名(Locality Name)输城市名称,根据实际情况填写如Beijing。 申请高级版时,生成CSR时按如下方式填写: 组织名(Organazation 简称“O”):请输入您的单位名称的英文简称。

SSL协议及其应用

SSL协议及其应用 文/关振胜 目前,随着Internet的快速发展,互联网上的信息安全越来越引起人们的关注。特别是近年来网上银行、电子商务和电子政务的发展,如何保证传输信息,特别是交易信息的保密性、完整性已成为继续解决的问题。安全套接层协议(Se curity Socket Layer Protocol , 简称SSL)是Internet上进行保密通信的一个安全协议。 一、 SSL协议概述 安全套接层协议SSL是网景公司(Netscape)提出的基于公钥密码机制的网络安全协议,用于在客户端浏览器软件与Web服务器之间建立一条安全通道,实现Internet上信息传送的保密性。它包括服务器认证、客户认证(可选)、SS L链路上的数据完整性和SSL链路上数据保密性。现在国内外一些对保密性要求较高的网上银行、电子商务和电子政务等系统大多数是以SSL协议为基础建立的,SSL协议已成为Web安全方面的工业标准。目前广泛采用的是SSL v3版。S SL提供的面向连接的安全性作用,具有以下三个基本功能:(1)连接是秘密的,在初始握手定义会话密钥后,用对称密码(例如用DES)加密数据。(2)连接是可认证的,实体的身份能够用公钥密码(例如RSA、DSS等)进行认证。(3)连接是可靠的,消息传输包括利用安全Hash函数产生的带密钥MAC(Message A uthentication Code :报文鉴别码) 二、SSL的组成 SSL协议由两层组成,分别是握手协议层和记录协议层,握手协议建立在记录协议之上,此外还有警告协议,更改密码说明协议和应用数据协议等对话协议和管理提供支持的子协议。其组成如图一所示: 图一:SSL协议的组成及其在TCP/IP中的位置 在上图中的每一层,三者可以包括长度、描述和内容字段。SSL发出消息是将数据分为可管理的块、压缩、使用MAC和加密并发出加密的结果。接受消息需要解密、验证、解压和重组,再把结果发往更高一层的客户。

SSL证书工具使用说明

天威诚信SSL证书工具使用说明 天威诚信SSL证书工具专业版,集CSR生成、CSR校验、证书格式转换和证书配置检测于一体,在客户端上即可完成CSR 在线自动生成并能快速校验CSR信息,实现不同证书间的格式互转,快速有效的检测出证书的安装状态,操作简单,易于上手,是SSL证书安装使用过程中不可或缺的得力干将。 一,CSR生成 按照工具提示的信息填写您申请证书的真实信息,点击生成CSR文件。下图为填写示例:

*注:目前主流密钥算法为RSA,长度为2048位,签名算法为SHA256。 通过点击保存私钥文件和CSR文件,保存文件到本地。私钥文件您需要在本地备份并妥善保管,CSR申请文件需要提交给商务人员。 二,CSR校验 字符串校验:您可以打开制作的CSR文件,并把字符串复制到空白框中并点击“验证CSR 文件”。

文件校验:通过添加本地CSR文件并进行验证。 二,证书格式转换 1,PEM转JKS 1,首先准备好server.pem证书文件和server.key私钥文件。 2,将证书签发邮件中的包含服务器证书代码的文本复制出来(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中。在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行不留空行),修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 3,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(如果您的.key 私钥文件没有设置密码,源私钥密码处可以为空) 4,在“目标证书别名”选择中这是JKS文件密钥别名,并在“目标证书密码”中设置JKS 文件密码。

OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记

info@https://www.360docs.net/doc/b28816810.html, 使用OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记 下载Win32编译的openssl版本0.9.8e. 1.获取IIS证书请求:打开IIS,右键单击【默认网站】,在【目录安全性】选项卡中点击【服务器证书】按钮,【下一步】,【新建证书】,【现在准备证书请求--下一步】,输入【名称】,输入【单位】和【部门】,输入【公用名称】,选择【国家】并输入【省】和【市县】并【下一步】,【下一步】,【下一步】,【完成】,IIS的证书请求已经获取,就是C:\certreq.txt。这里请牢记输入的信息。 2.准备openssl工作环境:把openssl(编译后的版本)解压到D:\OpenSSL-0.9.8e\下, 在bin目录下建立目录demoCA,在demoCA下建立private和newcerts目录, 并新建index.txt,内容为空 如果没有serial文件,则到openssl网站上下载openssl的源文件,解压后,到apps\demoCA下,拷贝serial文件过来,两个目录两个文件都放到新建的 demoCA下。 3.生成自签名根证书: openssl req -x509 -newkey rsa:1024 -keyout ca.key -out ca.cer -days 3650 -config D:\OpenSSL-0.9.8e\https://www.360docs.net/doc/b28816810.html,f PEM pass phrase: password // 根证书私钥密码 Verifying - Enter PEM pass phrase: password Country Name: CN // 两个字母的国家代号 State or Province Name: HB // 省份名称 Locality Name: WUHAN // 城市名称 Organization Name: Skyworth TTG // 公司名称 Organizational Unit Name: Service // 部门名称 Common Name: https://www.360docs.net/doc/b28816810.html, // 你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址) Email Address: admin@https://www.360docs.net/doc/b28816810.html, // Email地址

防火墙与WEB应用中SSL的设置

请大家直接在一个WORD文档中完成,文件名为“学号+姓名”,文件格式为: 实验思考题 班级:09电商B2 学号:2009550202 姓名:陈龙 实验内容:防火墙与WEB应用中SSL的设置 实验时间:2012-6-11 实验思考题回答: 1. 防火墙的主要功能是什么? (1)过滤进出网络的数据 (2)管理进出网络的访问行为 (3)封堵某些禁止的业务 (4)记录进出网络的信息和活动 (5)对网络攻击进行检测和告警 2. 防火墙不能对付那些安全威胁,它的局限 性在哪些方面? (1)防火墙难于防内 防火墙的安全控制只能作用于外对内或内对外,即:对外可屏 蔽内部网的拓扑结构,封锁外部网上的用户连接内部网上的重要 站点或某些端口,对内可屏蔽外部危险站点,但它很难解决内部 网控制内部人员的安全问题。即防外不防内。而据权威部门统计 结果表明,网络上的安全攻击事件有70%以上来自内部攻击。 (2)防火墙难于管理和配置,易造成安全漏洞 防火墙的管理及配置相当复杂,要想成功的维护防火墙,要 求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有 相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来 说,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主 机)组成的防火墙,管理上有所疏忽是在所难免的。根据美国财 经杂志统计资料表明,30%的入侵发生在有防火墙的情况下。 (3)防火墙的安全控制主要是基于IP地址的,难于为用户在防火墙 内外提供一致的安全策略。许多防火墙对用户的安全控制主要是 基于用户所用机器的IP地址而不是用户身份,这样就很难为同一

用户在防火墙内外提供一致的安全控制策略,限制了企业网的物理范围。 (4) 防火墙只实现了粗粒度的访问控制 防火墙只实现了粗粒度的访问控制,且不能与企业内部使用的其它安全机制(如访问控制)集成使用,这样,企业就必须为内部的身份验证和访问控制管理维护单独的数据库。 (5). 防火墙不能防范不经过防火墙的攻击。 (6). 防火墙对用户不完全透明,可能带来传输延迟、瓶颈及单点失效。 (7). 防火墙不能完全防止受病毒感染的文件或软件的传输。 (8). 防火墙不能有效地防范数据驱动式攻击。 3. 我国目前的防火墙产品有哪些?请对他们 作简要了解。 瑞星个人防火墙。收费。防护效果非常好。推荐。 天网个人防火墙。收费。防护效果很赞,简单易用,但是很久没更新了,不推荐。 江民个人防火墙。收费。防护不错。不过更新不是太及时。一般推荐。 风云防火墙。免费。防护效果不错。推荐。 4. 建立认证中心CA 应考虑哪些方面的问 题? 所要面临的信息安全问题,包括身份认证、数据传输保密、数据防篡改和操作防抵赖等问题。 5. 中国金融认证中心是一个什么机构?他由 谁建立的,承担什么责任? 中国金融认证中心(China Financial Certification Authority),简称CFCA,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。  中国金融认证中心( China Finance Certification Authority 缩写CFCA ),是由中国人民银行牵头,联合浦发银行,中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商

最新使用证书服务建立SSL保护的web站点

使用证书服务建立S S L保护的w e b站点

使用证书服务,建立SSL保护的web站点 一、实训说明 现在,国外电子商务网站都是这样做的,但国内绝大部分的网站却没有提供https加密传输。提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。 通常来说,一个网站只需要一台服务器(就是说一个域名)拥有一个证书就足够了。 本实训模拟一个CA,并从该CA申请数字证书,来对我们的web站点提供SSL加密保护。 二、实训环境与准备工作 由两台计算机完成实训项目。可以让两个同学组成一个小组完成,也可以一个同学在本机和虚拟机组成的局域网环境下完成。 1、虚拟机(windows 2003 server) IP地址:192.168.0.1,子网掩码:255.255.255.0,在虚拟机上配置证书服务器。 2、计算机(本机) IP地址:192.168.0.2,子网掩码:255.255.255.0,作为一个站点服务器。 三、实训步骤 第一步,在计算机中安装虚拟机。 第二步,在虚拟机中安装windows 2003 server。 第三步,设置虚拟机的IP地址:192.168.0.1,子网掩码:255.255.255.0。 第四步,在虚拟机中安装IIS。(添加或删除程序>添加/删除windows组件>应用程序服务)

第五步,在虚拟机中安装与配置证书服务。 1、在“控制面板”窗口中双击“添加或删除程序”选项,打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。 2、在“组件”列表中找到并选中“证书服务”选项,然后单击“详细信息”按钮,在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构(CA)”复选框。依次单击“确定”→“下一步”按钮,如图所示。

实验7.基于SSL的Web站点配置实验

新疆师范大学 计算机网络安全(本科) 实验报告 实验名称:实验7 基于SSL的WEB站点配置实验院系:计算机科学技术学院 班级: 学生姓名: 学号: 合作者姓名: 指导教师: 教师评阅结果: 教师评语: 实验日期年月日

一、实验目的 1、掌握Windows下安装配置证书颁发机构及颁发/签署证书的方法 2、建立基于SSL的WEB站点 二、实验内容 1.列举浏览器所配置的受信任的证书颁发机构。 2.安装并配置证书颁发机构服务器。 3.颁发/签署证书。 4.用SSL安全化Web站点。 三、实验原理(无) 1、请简介一下什么是数字证书? 2、解释一下什么是CA,其主要作用是什么。 3、请简介一下SSL协议。 四、实验环境 1、能够联网的PC机一台。 2、虚拟机软件一套。 五、实验步骤 1、实验拓扑,共需要3台机器,具体要求如下: 2、查看受信任的根证书颁发机构 3、将真实机器配置成证书颁发机构服务器,其中配置信息如下: ●CA类型为独立根 ●CA公用名称为$NAME_CA ●证书数据库存放在默认位置 截图显示你的安装及配置过程的每一步。 4、在虚拟机Windows2003上创建基于SSL的WEB站点,提交证书申请 (1)建立一个名称为$NAME_SSL的WEB站点,新建一个名为index.html的主页,主页内容为:“这是$NAME的网站!”。截图显示你的Web网站设置图片。

(2)在该站点的属性中选择“目录安全性”选项卡,设置服务器证书,产生创建新证书的请求文件,具体信息如下: 服务器证书产生办法为:新建证书 证书请求采用延迟发送方式 证书名称为:test_$NAME 证书单位为:13-1 证书部门为:你的姓名(汉语) 地理信息为:中国,新疆,乌鲁木齐 证书请求文件名及存储位置为:c:\$NAME_certreq.txt ●截图显示创建申请的每一步 ●截图显示生成的请求文件的内容 (3)在IE浏览器中输入http://CA/CertSrv/default.asp,其中CA代表证书服务器的IP地址,提交证书申请,提交过程中具体选择如下: 选择任务:申请一个证书 申请证书类型:用户证书 证书申请策略:使用base64编码…. 提交证书申请内容:证书申请内容为$NAME_certreq.txt内容,证书模板为:Web 服务器 截图显示提交申请的每一步图片。 5、在CA机器上颁发证书,截图显示你的CA颁布机构图片。 6、在虚拟机Windows2003上下载CA颁发的证书,下载基于Base64编码的证书,证书名称为cert_$NAME.cer,存入在C:\,截图显示你的下载过程。 7、在Web服务器上配置WEB站点来使用SSL证书,截图显示设置过程。 8、测试WEB服务器 (1)在XP机器上从浏览器访问http://WebServer/index.html,载图显示你的访问结果,并作相应解释。 (2)以https://WebServer/index.html访问Web服务器,载图显示你的访问结果,并作相应解释。 六、实验总结 请总结本次实验,你在该实验中遇到了哪些困难,是如何解决的,你从实验中学习到了什么,或者说本次实验你还有哪些不理解的地方。

SSL证书的主要用途

SSL证书的主要用途 目前只有部署SSL证书才能有效地保证网上机密信息的安全,SSL证书的主要用途有: 1.确保用户输入的登录密码能从用户电脑自动加密传输到服务器,从而大大降低用户密码被盗的可能性。有关统计表明:部署SSL证书后,可以降低80%的由于用户密码问题带来的客户服务工作量,这将为服务提供商降低客服成本。 2.确保用户安全登录后在线提交个人机密信息、公司机密信息和浏览其机密信息时能从用户电脑到网站服务器之间能自动加密传输,防止非法窃取和非法篡改。 3.让在线用户能在线查询网站服务器的真实身份,防止被假冒网站所欺诈。如假冒银行网站,用户只要查看SSL证书中的主题信息的O字段就能了解此网站并不是真正的银行网站; 而被列入黑名单的欺诈网站,IE7浏览器能实时帮助用户识别。使用EV服务器证书更可以获得大部分主流浏览器绿色地址栏支持。EV证书与浏览器的安全功能结合更加紧密,使站点真实性更加可靠,帮助用户更容易识别假冒站点。EV 证书的签发遵循全球统一的标准“EV证书签发和管理指南”,有效避免误签的风险。 4.让在线用户放心,这点对于电子商务网站非常重要,因为部署了SSL证书,一方面表明服务提供商采取了可靠的技术措施来保证用户的机密信息安全;另一方面更重要的是,可以让用户了解到此网站的真实身份已经通过权威的第三方认证,网站身份是真实的,是现实世界合法存在的企业。 5.法律法规遵从:部署SSL证书就等于该网站已经按照有关法律法规要求采取了可靠的技术措施,这对于企业的健康发展非常重要。 全球最值得信任的网络基础架构供应商——威瑞信(VeriSign)公司提供的Web 服务器证书(SSL证书)可以确保您的网站与您的客户之间安全的信息传输,为超过93%的财富500强企业,97%的世界100大银行,以及全球50家最大电子商务网站中的47家提供了数字认证服务。VeriSign提供的扩展验证(EV)SSL证书(extended validation ssl certificates)产品可以最大限度上提升客户交易信心。截至目前,全球范围有超过百万台服务器部署了VeriSign SSL证书,并且这一数字还在不断刷新。 VeriSign SSL证书还提供50万至150万美元的保单协议,为用户提供身份认证担保服务以及信息传输安全担保服务。确保不会错误的发行证书,并保障数据传输安全可靠。 本文由:ev ssl证书https://www.360docs.net/doc/b28816810.html,/整理

详述SSL和TLS的Web安全渗透测试

如果Web服务中的SSL和TLS协议出现安全问题,后果会如何?很明显,这样的话攻击者就可以拥有你所有的安全信息,包括我们的用户名、密码、信用卡、银行信息……所有的一切。本文将向读者详细介绍如何针对Web服务中的SSL和TLS协议进行安全渗透测试。我们首先对这两种协议进行了概述,然后详细介绍了针对加密信道安全性的黑盒测试和白盒测试。最后列出了一些常用的安全测试工具。 一、简介 目前,许多重要的Web服务都使用了SSL和TLS协议对通信进行保护。我们知道,http协议是使用明文进行传输的,但是像网络银行之类的web应用如果使用http协议的话,那么所有的机密信息都会暴露在网络连接中,这就像银行用一个透明的信封给我们邮寄信用卡帐号和密码一样,在从银行到达用户之间任何接触过这封信的人,都能看到我们的帐号和密码。为了提高其安全性,经常需要通过SSL或者TLS隧道传输这些明文,这样就产生了https通信流量。例如网络银行之类的应用,在服务器和客户端之间传输密码,信用卡号码等重要信息时,都是通过https协议进行加密传送的。 SSL和TLS是两种安全协议,它们通过加密技术为传输的信息提供安全信道、机密性和身份验证等安全功能。我们知道由于对高级密码技术的出口限制,会造成遗留系统使用的是弱加密技术。如果系统采用了弱密码,或者说密码强度过低的话,攻击者可以在有效的时间内破解密钥,而攻击者一旦得到了密钥,就像小偷得到了我们家的钥匙一样,所有的锁都会形同虚设。但是,新Web服务器就不会使用弱加密系统了吗?答案是否定的,因为许多新Web服务器也经常被配臵成处理虚密码选项。为了实现这些安全特性,协议必须确保使用的密码算法有足够的强度,并且密码算法得到了正确的实现。即使服务器安装使用了高级的加密模块,但是如果配臵不当的话,也有可能为安全特性要求较高的通信信道的设臵了较弱的加密技术。下面,我们将详细介绍如何对这两种协议的配臵进行安全审计。 二、测试SSL/TLS的密码规范 我们知道,http协议是使用明文进行传输的,为了提高其安全性,经常需要通过SSL或者TLS隧道传输这些明文,这样就产生了https通信流量。除对传输的数据进行加密处理之外,https(安全超文本传输协议,HTTPS)还能利用数字证书为服务器或客户端提供身份标识。 过去,美国政府对加密系统的出口有许多限制,如密钥长度最大为40位,因为密钥长度越短,它就越容易破解。后来,密码出口条例已经放宽了许多,但是,检查服务器的SSL配臵仍然十分重要,因为它有可能配臵使用了弱加密技术。基于SSL的服务不应该提供选择弱密码的机会。 注意,我们这里所说的弱密码,指的是加密强度不够、容易破解的加密系统。不同的加密算法具有不同的密码强度,但是在算法一定的情况下,密钥的长度越长,加密强度越高。 技术上,选择加密技术的过程如下所示:在建立SSL连接的初期,客户端向服务器发送一个Clien t Hello消息,以告知服务器它支持哪些加密技术等。一般情况下,客户端通常是一个Web浏览器,所以浏览器是目前最常见的SSL客户端;然而,任何支持SSL的应用程序都可以作为SSL客户端使用。比如,有时候SSL客户端是些SSL代理(如stunnel),它们使得那些不支持SSL的工具也能与SSL服务通信。同理,SSL服务器端通常为Web服务器,但是其他应用程序也可以充当SSL服务器端。加密套件规定了具体的密码协议(DES、RC4、AES)、密钥长度(诸如40、56或者128位)和用于完整性检验的散列算法(SHA、MD5)。收到Client Hello消息后,服务器以此确定该会话所使用的加密套件。当然,通过配臵可以规定服务器能够接受哪些密码套件,这样的话,我们就能够控制是否跟仅支持40位加密的客户端通话 三、黑盒测试 为了检测可能支持的弱密码,必须找出与SSL/TLS服务相关的端口。通常情况下,要检查端口443,因为它是标准的https端口;不过运行在443端口上的却未必是https服务,因为通过配臵,https服务可以运行在非标准的端口上,同时,Web应用程序也许使用了其它利用SSL/TLS封装的服务。一般而言,为了找出这些端口,必须找出使用了哪些服务。

证书使用和ssl实验

集美大学计算机工程学院学院实验报告 课程名称:计算机信息安全技术班级:计算1191 实验成绩: 指导教师:高东伟姓名:黄宏荣 实验项目名称:证书使用和SSL实验学号:2011957009 上机实践日期:2014.12.4 实验项目编号:实验八组号:上机实践时间:学时 一、目的 完成本实验,应能够: 1.列举浏览器所配置的受信任的证书颁发机构。 2.安装并配置证书颁发机构服务器。 3.创建证书请求。 4.颁发/签署证书。 5.用SSL安全化Web站点。 6.描述当以SSL连接时Web页面使用的过程。 二、实验使用环境 1.Windows XP Professional(与2000系统机器能相互访问) 2.Windows 2000 Advanced Server(IP:192.168.174.128) 要求配置了默认Web服务器。 3.Windows 2000 Advanced Server 安装CD或ISO 三、实验步骤和调试过程 步骤1 查看受信任的根证书颁发机构。 Web浏览器通常配置了许多来自证书颁发机构的证书,先来看一下。 在Windows XP Professional PC机: 1) 打开Internet Explorer。

2) 单击“工具”、“Internet选项”。 3)选中“内容”选项卡,并在内容窗口中单击“证书”。

4) 在打开的证书窗口中选择“受信任的根证书颁发机构”,出现图1-2。

5)在打开的证书窗口中任意双击一个证书,查看该证书的有效期和作用。 步骤2 安装并配置证书颁发机构服务器。 将Windows 2000 Advanced Server配置成证书颁发机构服务器。 1) 在控制面板里选择添加/删除程序,再选择安装/删除Windows组件。

使用证书服务建立SSL保护的web站点

使用证书服务,建立SSL保护的web站点 一、实训说明 现在,国外电子商务网站都是这样做的,但国内绝大部分的网站却没有提供https加密传输。提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。 通常来说,一个网站只需要一台服务器(就是说一个域名)拥有一个证书就足够了。 本实训模拟一个CA,并从该CA申请数字证书,来对我们的web站点提供SSL加密保护。 二、实训环境与准备工作 由两台计算机完成实训项目。可以让两个同学组成一个小组完成,也可以一个同学在本机和虚拟机组成的局域网环境下完成。 1、虚拟机(windows 2003 server) IP地址:192.168.0.1,子网掩码:255.255.255.0,在虚拟机上配置证书服务器。 2、计算机(本机) IP地址:192.168.0.2,子网掩码:255.255.255.0,作为一个站点服务器。 三、实训步骤 第一步,在计算机中安装虚拟机。 第二步,在虚拟机中安装windows 2003 server。 第三步,设置虚拟机的IP地址:192.168.0.1,子网掩码:255.255.255.0。 第四步,在虚拟机中安装IIS。(添加或删除程序>添加/删除windows组件>应用程序服务) 第五步,在虚拟机中安装与配置证书服务。 1、在“控制面板”窗口中双击“添加或删除程序”选项,打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。

2、在“组件”列表中找到并选中“证书服务”选项,然后单击“详细信息”按钮,在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构(CA)”复选框。依次单击“确定”→“下一步”按钮,如图所示。 3、在打开的“CA类型”对话框中选中“独立根(CA)”单选框,单击“下一步”按钮,如图所示。

SSL-VPN的技术原理与应用Word版

SSL VPN的技术原理与应用 1 概述 1.1 产生背景 随着互联网的普及和电子商务的飞速发展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源。接入用户的身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。 通过加密实现安全接入的VPN——SVPN(Security VPN)技术提供了一种安全机制,保护公司的内部网络不被攻击,内部资源不被窃取。SVPN技术主要包括IPsec VPN和SSL VPN。由于IPsec VPN实现方式上的局限性,导致其存在着一些不足: 部署IPsec VPN网络时,需要在用户主机上安装复杂的客户端软件。而远程用户的移动性要求VPN可以快速部署客户端,并动态建立连接;远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN技术难以解决的。 无法检查用户主机的安全性。如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。 访问控制不够细致。由于IPsec是在网络层实现的,对IP报文的内容无法识别,因而不能控制高层应用的访问请求。随着企业经营模式的改变,企业需要建立Extranet,与合作伙伴共享某些信息资源,以便提高企业的运作效率。对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而IPsec VPN无法实现访问权限的控制。 在复杂的组网环境中,IPsec VPN部署比较困难。在使用NAT的场合,IPsec VPN需要支持NAT穿越技术;在部署防火墙的网络环境中,由于IPsec协议在原TCP/UDP 头的前面增加了IPsec报文头,因此,需要在防火墙上进行特殊的配置,允许IPsec报文通过。 IPsec VPN比较适合连接固定,对访问控制要求不高的场合,无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。 SSL VPN技术克服了IPsec VPN技术的缺点,以其跨平台、免安装、免维护的客户端,丰富有效的权限管理而成为远程接入市场上的新贵。

Websphere服务器SSL证书安装配置说明文档

Websphere服务器证书 安装配置说明文档 深圳市电子商务安全证书管理有限公司 2007年01月23日

深圳市电子商务安全证书管理有限公司. 第 1 页 目 录 1 应用环境.......................................................................................................................................... 1 2 申请服务器证书 .............................................................................................................................. 1 2.1 简要 ....................................................................................................... 错误!未定义书签。 2.2 产生KEYSTORE 文件WEBSPHERE .JKS ................................................... 错误!未定义书签。 2.3 产生证书请求CERTREQ .PEM 文件 .......................................................................................... 3 2.4 产生证书请求CERTREQ .PEM 文件 (3) 3 下载服务器证书 .............................................................................................................................. 4 4 下载CA 根证书 .............................................................................................................................. 5 5 服务器证书安装 .............................................................................................................................. 6 5.1 将CA 根证书与服务器证书导入到WEBSPHERE .JKS 文件中 ............................................... 6 5.2 生成CACERTS 文件 ................................................................................................................. 6 5.3 添加根证书到CACERTS .......................................................................................................... 7 5.4 将WEBSPHERE .JKS ,CACERTS 拷贝到2.2中相同的目录 (7) 6 WEBSPHERE 中SSL 配置 .......................................................................................................... 8 6.1 在WEBSPHERE 中修改SSL 配置 ............................................................................................. 8 6.2 对特定应用程序进行SSL 配置 (10) 7 测试配置........................................................................................................................................ 14 8 WEBSPHERE 中CRL 配置 (16)

相关文档
最新文档