SSL和数字证书服务慨述

随着Internet的分布越来越广泛,安全问题也日益突出,保护传送数据的需求也越来越强烈。在今天的Internet上,最常见的安全是通过使用数字证书实现的。数字证书可以在一个不信任的网络上辨识一个客户和服务器,并且可以加密数据。这里将讨论其采用的技术以及微软提供的确保Internet安全的工具。

具体的内容有:

Secure Sockets Layer (SSL) 的介绍以及为什么它是安全的基础

加密以及它在客户端和服务器端的角色

客户证书映射的一个介绍和建议

Internet上的证书和证书授权

安装微软Certification Authority服务器的介绍

Secure Sockets Layer (SSL)简介

通过使用X.509 certificates, RSA Public Key Ciphe和其它额外的安全特性来进行通信和认证,Internet Information Services 5 为Secure Sockets Layer (SSL) 3.0提供了一个高性能的实现。SSL可以让一个客户和服务器以协商好的安全和认证级别来进行通信。当一个连接被初始化时,SSL需要协商好一个对称(symmetric )的session key和认证级别。这个对称的key是用来加密和解密数据的。在连接正在被建立的时候,还需要进行客户/服务器的认证。当协商完成后,客户和服务器可以通过加密数据,以一个安全的方式进行数据传送。

加密通信

加密是通过令数据变得不规则以确保它不容易被非相关的人阅读。Internet Information Services 5提供的加密特性和Internet Information Server 4类似,除了两个例外:服务器证书现在和单个的网站绑定在一起,现在还有一个新的向导可以令服务器证书的设置变得更加简单。

在Internet Information Services 5中设置SSL加密和Internet Information Server 4是一样的,除了一个例外:你现在可以使用Server-Gated Cryptography (SGC)证书和加密。SGC在银行业的站点使用,通过它可以在Internet Information Services的出口版本中使用128位的加密。

客户和服务器的加密通信需要在两端进行设置。客户或者Web浏览器,可以支持40位或者128位的加密,或者两者都支持,而服务器只可以在安装服务器证书后才可以加密通信。

128位和40位的客户

与Microsoft Internet Explorer 5.0类似,Internet浏览器支持两个加密的级别:40位和128位的加密。40位的加密要弱一些;对于出口版本来说(即加拿大和美国以外的国家),这是最大的加密级别,因为美国政府认为强的加密级别对于国家安全是一个威胁,而北美版本的Internet Information Services, Internet Explorer和Netscape Navigator则支持128位的加密。

要知道Internet Explorer安装的是哪一个级别的加密,只需要点菜单中的帮助,然后选择About Internet Explorer的选项就可以了。

加密和认证

虽然加密和认证通常都放在一起讨论,但它们是两个不同的主题。认证是确认在通信中的个人或者进程身份的方法。认证可以是单向的,这是在一方确认对方的身份,或者是双向的,这时双方都需要确认对方的身份。