TA的每日心情 | 开心 2014-7-28 21:47 |
---|
签到天数: 2 天 [LV.1]初来乍到
|
https是什么?3 e5 O" `5 p3 x4 m# E v
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 .4 S9 i P( \% k6 V/ A" M
5 X) e2 X9 B/ z! c) x
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。。 9 t9 D6 ?8 o3 B
6 F+ {0 `( Q; W) e- E
https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。 : u; a7 [$ S3 Q5 J# l3 r7 M
. h h$ o; v! h! \$ g2 x: M它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。 ' q* O+ R& V F. g: _- y0 p
+ p2 c4 H3 R/ A( n* M: Y
限制
6 k% l+ ]. }6 c, k6 O它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持. ; [0 N6 [: Z* }* ^! q1 T, s
& P1 ~4 v; c# C" u2 W6 v
一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生,攻击者尝试窃听数据于传输中。 1 H- I5 T9 M9 H u) O/ h5 ^2 A
. w+ p9 Q/ M: h/ o S" n9 j
商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关,仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。 3 Q# O) h, R3 t; y: Y) C/ J1 h
8 F* `- N; o) D# F; R2 q
. J/ n9 K7 H$ I& ~0 H& [& WTLS 1.1之前 . H4 W# q0 G2 ^+ M& ]
这段仅针对TLS 1.1之前的状况。因为SSL位于http的下一层,并不能理解更高层协议,通常SSL服务器仅能颁证给特定的IP/端口组合。这是指它经常不能在虚拟主机(基于域名)上与HTTP正常组合成HTTPS。
0 T# R* s) W0 p. [8 J9 {' ?$ k
这一点已被更新在即将来临的TLS 1.1中—会完全支持基于域名的虚拟主机。
2 D# ^: B7 f* {6 W* v为 Web 服务器配置 SSL
! |2 A o4 R6 g9 a! n0 Z* H$ A要在 IIS 中启用 SSL,首先必须获得用于加密和解密通过网络传输的信息的证书。IIS 具有自己的证书请求工具,您可以使用此工具向证书颁发机构发送证书请求。此工具简化了获取证书的过程。如果您使用的是 Apache,则必须手动获取证书。 ( N) C1 e/ `0 u9 w
在 IIS 和 Apache 中,您都会收到来自证书颁发机构的证书文件,此文件必须配置在计算机上。Apache 使用 SSLCACertificateFile 指令读取其源文件中的证书。而在 IIS 中,您可以使用网站或文件夹属性的目录安全性选项卡来配置和管理证书。 7 Y: h0 ~' K: Q: J$ P$ z- B5 `4 V, r
( p+ e1 v$ q+ m2 c
您可以将证书从 Apache 迁移到 IIS;但是 Microsoft 建议您重新创建或获取一个新的 IIS 证书。 4 L' F4 I7 z, m3 D+ f8 s
, X% |2 w; o: [) { 1. 以管理员身份登录到 Web 服务器计算机。 ) Q' P- i; f. {4 ^4 g$ m1 g" _
2. 单击开始,指向设置,然后单击控制面板。
/ r- Y* \% k3 U/ ], u; @3. 双击管理工具,然后双击 Internet 服务管理器。
1 m5 g; U% N) L+ W1 |9 ~/ }# M4. 从左窗格中的不同服务站点的列表中选择网站。 ' T! h9 P0 |9 h$ t( l/ ]) v
5. 右键单击希望为其配置 SSL 通信的网站、文件夹或文件,然后单击属性。
: ]8 R. U* _8 K5 D/ a, Q6. 单击目录安全性选项卡。 ' m D& t# X& c; V- ?! L, r
7. 单击编辑。
# K% P& E$ x/ J. i$ |8. 如果希望网站、文件夹或文件要求 SSL 通信,请单击需要安全通道 (SSL)。
7 f8 p- t) D N! A4 J9. 单击需要 128 位加密以配置 128 位(而不是 40 位)加密支持。
6 ~+ j2 _: P$ R10. 要允许用户不必提供证书就可以连接,请单击忽略客户证书。
- P- C( e) I0 i% H8 u6 G. j
. J: ^0 f* |0 b% Q或者,如果要让用户提供证书,请使用接受客户证书。 % f; P5 z' `% e6 y l- k
11. 要配置客户端映射,请单击启用客户证书映射,然后单击编辑将客户证书映射到用户。 w+ B$ k: H0 ~- h9 I
% [% M! ?7 w$ W- K( R* s. X) o5 g如果配置了此功能,可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问网站时提供的证书自动识别用户。可以将用户一对一映射到证书(一个证书标识一个用户),或者将许多证书映射到一个用户(根据特定的规则,对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。)
6 ]6 B( P# s% h12. 单击确定。 4 ^8 {3 o+ }0 p( b8 c7 _ j; k/ [* @
8 x5 j6 Z& C4 y" S" n
0 W! g1 D$ L7 n5 f8 m下面就要为各位读者介绍如何通过IIS证书向导配置我们需要的证书文件。- p( J* `0 l R( i# K
7 _4 C1 }6 p. }0 @9 D 第一步:通过“管理工具”中的IIS管理器启动IIS编辑器。* E. R" \4 Z' [" @& L
% }- ]- |- ]* u/ d1 f
第二步:在默认网站上点鼠标右键选择“属性”。(如图11)1 B* Y$ X3 S: y: R
1 R$ W+ G+ n/ d6 E# V) ]3 e B' F3 X) E& x
图11; Y: d: y+ [& s' F
& ]4 ]2 T% O3 Q4 D3 B f/ o2 r 第三步:在默认网站属性窗口中点“目录安全性”标签,然后在安全通信处点“服务器证书”按钮。(如图12)
4 N$ [( s2 x) ^, o1 |
: ?. A: B2 e$ a' o1 _ 图12
# m4 p$ C! W) {* k9 x$ H u 7 W8 p! C) l* G! `; x
第四步:系统将自动打开WEB服务器证书向导。(如图13)
7 Q% ]0 k1 v) a! [ % K5 N& D% P% A, ~3 {
图13$ m' l) h9 ^. R5 A8 m1 `, q$ J0 N
2 ?% o7 h9 B- A' u# L- k, [0 u% F 第五步:服务器证书处选择“新建证书”,然后下一步继续。(如图14)
( l7 p- S# X" o: O* D0 { 6 [. h. f% q1 V$ V* c1 u' B. N
图14
- G) y& L6 m* f
) [! s. v9 d, \5 i- E, S$ c9 Y5 | 第六步:延迟或立即请求处选择“现在准备证书请求,但稍后发送”。(如图15)
" @$ u! f: p% H8 r
# Z7 w& j9 L5 \; v+ s: g 图15
* c' l4 g- w+ v8 w# e / X. S( O( `! D$ v0 M
第七步:设置证书的名称和特定位长,名称保持默认网站即可,在位长处我们通过下拉菜单选择512。(如图16)
% y9 \) X3 A8 s2 t) X1 T
7 C1 t3 l2 u [9 l- x 图16) Z1 I* m: b* W! q+ m, e2 i
: p( @% k5 t) p) U
小提示:位长主要用于安全加密,位长越来则越安全,不过传输效率会受到一定的影响,网站性能也受影响。一般来说选择512已经足够了。* M. b* E) o. j# s# \$ J) B) r
* ]8 |9 d' q9 f
第八步:输入单位信息,包括单位和部门。(如图17)
7 v* {* h5 `1 x6 m
8 t9 F( l3 s8 R8 K 图175 T. z w2 G3 m- A& z
" I) C* b2 G2 V0 g4 Q4 t
第九步:在站点公用名称窗口输入localhost。(如图18)2 R1 Q6 D/ {8 A- p/ n5 H
' r" k, {+ z3 r( c/ ~
图18+ q2 F3 h0 t; Q2 d6 c8 U9 a+ r
: b5 `. {% s h/ J! ?
第十步:地理信息随便填写即可。(如图19)
5 Y# I& B2 y# q8 o$ L * x. z" d9 }: a. X3 G2 w
图19
; T& l1 [7 R4 h( k t/ n; p4 H ! v' `+ p2 e+ W- H
第十一步:设置证书请求的文件名,我们可以将其保存到桌面以便下面步骤调用方便,保存的文件名为certreq.txt。(如图20)7 ~/ f: y+ u, J* F! X8 C8 k, D
+ P$ T' [9 N& ~; ?8 j u/ ]" ]
图20
6 d% Z4 J$ ]8 r, u' ]6 a" U/ g" h R; q/ a" j, P
第十二步:完成了IIS证书向导配置工作,并按照要求将相应的证书文件保存到桌面。(如图21); e! H) v. l8 t1 ?; u
/ I5 D P8 l4 J& f9 a$ k7 ?
到里已经完成一半工作,我们还要申请数字证书,SSL数字证书是收费的,一年费用从几百到一两千不等。 |
|