用户: @ 密码:    
本站首页  魅力三峡  家教园地  三峡商贸  服务互动  网络学院  经典下载  精品推荐  网站建设  开心一刻  网址大全
   三峡在线新闻系统V2.0商业版(SQL、ACESS版)同时正式发售 (10/25)
 
请输入查询的字符串:


标题查询 内容查询


热 点 新 闻
 您现在的位置:三峡在线 >> 网络学院 >> 网站建设 >> 基础知识 >> 浏览详细内容
用SSL安全协议实现WEB服务器的安全性
发布时间: 2006-12-5 9:30:00 被阅览数: 4314 次 来源: 三峡在线
文字 〖 自动滚屏(右键暂停)
速器解放了服务器资源,使这些资源可以真正用于处理应用逻辑和数据库查询,从而加快了整个站点的速度。
  将SSL设备集成到网络中很简单,第4层到第7层交换机或负载均衡设备被配置为将所有的443端口(Https)请求改向传送到SSL设备。这时,这台设备承担所有的SSL处理任务,因而立即解脱了Web服务器的负载。随着安全传输流容量的增加,在不增加不必要的管理负担的条件下,可以再部署其他SSL设备。
  最近,SSL加速器功能已经被集成到象服务器端缓存(即所谓的"服务器加速器")这类Web内容提交产品中了。这种作法的主要好处是,服务器加速器进行SSL处理和对象提交。
  配置SSL功能的服务器加速器使广泛地将SSL用于Web基础设施上的安全内容交换成为可能,安全网页将快速地得到提交,安全交易也将迅速地完成。
  三、如何实现WEB和Internet安全
  我们在安装好Certificate Server后,给自己的Web Server发一张证书,安全站点已经建立起来了,在IIS管理器中打开安全通道(先不要接受客户证书验证,如果没有浏览器证书的话),把http改为https后访问的站点,怎么系统提示服务器证书有问题?记得在浏览器中安装的根证书了?要不就是服务器证书过期了,如果没有在浏览器中安装根证书,就要安装它,同时其他人通过Internet访问站点如果没有安装根证书,需要将根证书放在网上让别人下载。用IE安装根证书很简单,浏览器提示用户打开或保存时选择打开,会看到根证书信息然后按安装证书就可以了。但可能会发现Netscap无法安装根证书,SSL协议是由Netscape首先提出并实现的,Netscape使用MIME类型application/x-x509-ca-cert来表示CA证书,IE3.1以后开始支持SSL,起初Windows系统的数字证书文件(.crt和.cer)也采用相同的MIME类型,IE5.0以后MIME类型被改为application/pkix-cert这就造成Netscape安装根证书困难。不过这个问题好解决,只要在IIS里新注册application/x-x509-ca-cert的MIME类型就可以了。刚发的证书浏览器有时也会显示证书过期,这是因为浏览器判断证书有效是从证书有效起始时间的后一天开始,此外数字证书中的日期大都是GMT时间而不是本地时间,所以通常将本机时间向后调整一天这个问题就能解决,所以证书过期不仅仅可能表示太晚也可能表示太早。
  一切都已经就绪,进入安全网页了,在IE的状态栏里应该有一个小锁,双击这个小锁能看到站点证书信息,同时也能看到整个证书链。现在也许会问"那么现在我怎么用SSL加密我的数据呢?",实际上现在浏览器和Web服务器之间交换的所有信息都已经被加密,SSL是工作在网络层与会话层之间的协议,它在TCP/IP和HTTP之间增加了一个加密层,所以对于工作在HTTP协议以上的用户而言,加密是完全透明的,所以请忘记"用SSL加密"这句话,除非直接在Socket上开发,比如写个网络蚂蚁之类的。
  现在想用SSL实现更多的东西,不仅仅是加密。是申请浏览器(客户)证书的时候了,申请客户证书过程也不复杂,除了相同的名称,国家之类的还多一个EMail地址,如果用IE申请证书可能会有许多选项,其中有两个比较有意义,"允许私钥被导出"对与不在固定机器上上网的人比较有用,如果在一台机器上申请了证书,导出证书和私钥并安装到其他机器上就可以在其他机器上使用了。"用户保护"会让浏览器在使用的私钥时提示,这通常发生在加密和签名过程之前。证书安装过程通常都是自动的,安装完成后可以欣赏一下,在IE中打开Internet选项,选择内容一栏,按"证书"按钮",在个人一栏内应该有客户证书。
  现在在IIS管理器中设置站点要求客户证书,然后访问站点,浏览器会弹出一个对话框,让选择要使用的客户证书,然后就进去了,也没什么不同。那么怎么样利用SSL实现身份认证呢?首先可以在IIS管理器中启用客户证书映射,将客户证书影射到NT帐号,可以映射某张证书,也可以映射所有根证书所签发的客户证书,如果在签发者列表中找不到根证书,需要运行SSLCA.exe(IIS4.0以上),以后的事就属于NT管理员的范畴了。如果不想用NT的安全机制,就需要获取对方客户证书的信息,然后进行判断。通常客户证书的信息由HTTPS_开头的服务器变量提供,如Apache Server,Domino等,可以查看文档或者写一个小的CGI程序列出所有的服务器变量。如果是IIS就更简单了:
  用 Request.ClientCertificate( Key[SubField] )可以访问想要的内容:
 
上一页 [1[2] [3下一页  
 
 
相关同类新闻:
[前一条信息] 打开网页自动弹出一个页面的代码分析
[后一条信息] 影响网站在google中排名的十大问题
 
关于我们 | 设为首页 | 加入收藏 | 广告服务 | 友情链接 | 访客留言
Copyright ©2003-2005 三峡在线 www.sxzx.net 版权所有
公司地址:湖北省宜昌市金家台路7号 邮编:443000
电话:0717-8626385 传真:0717-6442693 手机:13972605843 鄂ICP备05000231号
网站运行:webmaster@sxzx.net QQ:1215937  市场拓展部:market@sxzx.net QQ:40692258