基于SSL的WEB安全访问

基于SSL的WEB安全访问
SSL是典型的基于PKI的网络应用，目前主要用于WEB安全访问。
一、 理解SSL安全机制
SSL（Secure Sockets Layer 安全套接字层）是以公钥基础结构为基础的网络安全解决方案。是由Netscape公司提出的一种建立在网络传输层TCP协议之上的安全协议标准（工作在Socket网络通信层上），用来在客户端和服务器之间建立安全的TCP连接，向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器的验证、数据完整性及信息保密性等安全措施。SSL协议主要用于浏览器和WEB服务器之间建立安全的数据传输通道，还适用于Telnet、FTP和NNTP等服务。
1、SSL的工作机制：
（1） 客户端向服务器提出请求，要求建立安全通信连接。
（2） 客户端与服务器进行协商，确定用于保证安全通信的加密算法和强度。
（3） 服务器将其服务器证书发送给客户端。该证书包含服务器的公钥，并用CA的私钥加密。
（4） 客户端使用CA的公钥对服务器证书进行解密，获得服务器公钥。客户端产生用于创建会话密钥的信息，并用服务器公钥加密，然后发送到服务器。
（5） 服务器使用自己的私钥解密该消息，然后生成会话密钥，然后将其用服务器公钥加密，再发送给客户端。这样服务器和客户端双方就都拥有了会话密钥。
（6） 服务器和客户端使用会话密钥来加密和解密传输的数据。它们之间数据传输使用的是对称加密。
2、SSL协议主要解决3个关键问题
（1） 客户端对服务器的身份确认
（2） 服务器对客户的身份确认
（3） 在服务器和客户之间建立安全的数据通道
说明：对于SSL安全来说，客户认证是可选的，即不强制进行客户端验证。这有利于SSL的广泛使用，如果要强制客户端验证，就要求每个客户端都有自己的公钥，并且服务器要对每个客户端进行认证，仅为每个用户分发公钥和数字证书，对于客户基数大的应用来说负担很重。而在实际应用中，服务器的认证更为重要，因为确保用户知道自己正在和哪个服务器进行连接，比商家知道自己在和哪个用户进行连接更为重要。而且服务器比客户数量要少得多，为服务器配备公钥和站点证书易于实现。
二、 Windows2000的SSL WEB安全解决方案
基于SSL的WEB安全涉及到WEB服务器和浏览器对SSL的支持，关键是服务器端。在浏览器和IIS WEB服务器之间建立SSL连接，必须具备以下条件：
（1） 需要从可信任的证书颁发机构获取WEB服务器证书
（2） 必须在WEB服务器上安装服务器证书
（3） 在WEB服务器上设置SSL选项
（4） 客户端必须同WEB服务器信任同一证书认证机构（安装CA证书）
三、 安装步骤
（一） 申请和安装服务器证书
1、 生成服务器证书请求文件





完成后生成一服务器证书证书文件certreq.txt

2、 申请服务器证书








3、 CA管理员在证书服务器端审查并颁发证书

4、 下载已颁发的服务器证书



5、 安装服务器证书



（二） 在WEB服务器上启用SSL

（三） 在客户浏览器端安装根CA证书


（四） 测试SSL连接
使用https协议访问WEB站点

四、 对SSL客户端进行验证
服务器证书用来让客户端识别服务器身份，同样，也可要客户端出具证书，让服务器识别客户身份，这就需要客户证书。
1、申请和安装客户证书


2、启用SSL客户证书验证


当客户端用浏览器访问安全站点时，将出现下列对话框，要求客户端提供客户证书。

五、 在WEB服务器上使用证书信任列表进一步限制访问
可根据需要，使用证书信任列表（CTL）定义服务器可信任的CA。这样，可以配置每个WEB站点接受不同列表中的证书，可据此验证客户端证书。
一旦启用证书信任列表，将只允许使用列表中所列CA发布的证书，同时禁止使用其他CA发布的证书。

编辑 webmaster