IBM HTTP Server 帮助:安全连接的快速入门

SSL

SSL 是一种用于服务器上的加密系统,它能确保通过万维网发送的信息的私密性。启用 SSL 的服务器把敏感数据发送给客户机之前,先把它加密并放在密码文本中,这样,该数据即使在发送途中被拦截,第三方也无法读它。客户机接收来自服务器的数据,然后,将该密码文本解密以读该数据。 Web 服务器上使用 SSL 有助于确保客户机(例如,Web 浏览器)和服务器(例如,Web 服务器)之间发送的信息的私密性,并使客户机能够认证服务器的身份。

对于使用 SSL 进行安全通信的服务器和客户机,该服务器必须具有公用-专用密钥对和证书。服务器使用它的专用密钥给发送到客户机的消息做标记。服务器把它的公用密钥发送给客户机,以便客户机可以验证已做标记的消息确实来自服务器,并且可以给发送到服务器的消息加密,而服务器使用它的专用密钥对此消息进行解密。

服务器要把它的公用密钥发送到客户机,需要由认证中心 (CA) 签发的证书。此证书中包含了以下内容:服务器的公用密钥、与服务器的证书关联的专有名称、证书的序列号或签发日期,以及证书的到期日期。

认证中心 (CA) 是得到信任的第三方(或指定的内部权威),它可以签发证书。CA 验证服务器的身份并使用专用密钥以数字的形式标记证书;它的公用密钥可以用于确保证书有效。已签署的证书将服务器身份与一对电子密钥绑定在一起,该电子密钥可以用于加密和标记数字信息。使用认证中心的专用密钥对证书本身作标记,以验证该服务器的身份。

要以安全 SSL 方式来操作 Web 服务器,首先您必须从认证中心为您的系统获得一个已签署的证书。VeriSign 公司是几个可作为认证中心的公司之一。然而,您可以使用任何一家认证中心签发的、具有相应格式的已签署的证书。

当设置安全连接时,您的公用密钥必须与认证中心 (CA)(指定为服务器中的可信的 CA)签发的数字签名证书相关联。

相关信息

安全连接入门

要了解关于证书的更多内容,请访问以下网址: http://digitalid.verisign.com/

安全性概念

本节提供了安全性概念的概述。

什么是安全通信?

随着因特网上电子贸易的快速发展,对安全网络通信的需求也日益增长。另外,在专用网上进行的公司内部通信常常也包含需要保护的机密信息。

安全网络通信具有下列特征:

访问控制

资源是被保护起来的,并且只有已授权方才可访问它。根据口令、IP 地址、主机名和 SSL 客户机认证来限制访问,以确保访问控制。

可靠性

您知道您正在与谁交谈且可以相信那个人。使用数字签名和数字证书的认证确保了其可靠性。

信息完整性

消息在发送过程中不改变。如果缺少信息的完整性,您就无法保证您发送的信息与接收方接收到的消息相匹配。数字签名确保了信息的完整性。

私密性和机密性

在事务中,从一方传送到另一方的信息保持私密,即使该信息被其它方接收,他们也无法读它。加密确保了其私密性和机密性。

什么是加密?

加密最简单的形式是对消息进行加密编码,以使别人无法读它,除非接收方译出密码。发送方使用算法模式(或密钥)对消息进行编码(或加密)。而接收方具有解密密钥。加密确保了在因特网上发送的传输信息的私密性和机密性。

有两种可用于加密的密钥:

非对称密钥

使用非对称密钥,您可创建密钥对。密钥对由一个公用密钥和一个专用密钥组成,这两个密钥各不相同。专用密钥比公用密钥具有更多的保密加密模式。您的专用密钥不要与其他人共享。

服务器使用它的专用密钥给发送到客户机的消息做标记。服务器把它的公用密钥发送给客户机,以便客户机可以对发送到服务器的消息进行加密,而服务器使用它的专用密钥对此消息解密。对于使用您的公用密钥加密的消息,只有您能够把它解密,因为只有您拥有此专用密钥。密钥对存储在密钥数据库中,有一个口令保护着该数据库。

对称密钥

对称密钥遵照发送方和接收方由来已久的模型,它们共享一些模式。然后,发送方使用该模式对消息进行加密,接收方使用该模式对消息进行解密。

对称密钥涉及的风险是:当您和您要与之通信的人共享您的保密密钥时,您不得不寻找一种安全的传输方法。

安全套接字层 (SSL) 协议使用非对称和对称密钥交换。非对称密钥用于 SSL 握手。在握手期间,使用接收方的公用密钥加密的主密钥从客户机传递到服务器。客户机和服务器使用主密钥制作它们自己的会话密钥。会话密钥用于对未完的会话中的数据进行加密和解密。在使用密码规范(或加密级别)的交换期间,使用对称密钥交换。

服务器要把它的公用密钥发送到客户机,它需要数字证书。该证书由认证中心 (CA) 签发,CA 验证服务器的身份。

相关信息:

什么是认证?

认证是用于验证身份的过程,使您可以确认其他人的身份。服务器使用两种认证方式:

数字签名

数字签名是确保其可说明性的独特的数学计算签名。数字签名类似于上面有您的照片的信用卡。要验证给您发送消息的人员的身份,您可以查看发送方的数字证书。

数字证书

数字证书(数字标识)类似于带有照片的信用卡,照片上是银行行长和您的合影。商人比较信任您,不仅因为您象信用卡照片上的您,还因为他觉得银行行长也信任您。

您对发送方认证的信任,基于您是否信任证明发送方的第三方(个人或代理机构)。签发数字证书的第三方称为认证中心 (CA) 或证书签发人。

数字证书包含:

输入您的专有名称,以作为请求证书的一部分。数字签名证书不仅包含您自己的专有名称,还包含 CA 的专有名称。

您可以请求下列证书中的一个:

CA 广播捆绑在一起的公用密钥和专有名称,以便人们把它们作为可信任的 CA 证书添加到他们的 Web 服务器和浏览器中。当您把公用密钥和 CA 签发的证书指定为可信任的 CA 证书时,这意味着您的服务器信任任何一个拥有该 CA 签发的证书的人。您可以具有多个作为您的服务器一部分的可信任 CA。HTTP Server 包含一些缺省的可信任 CA 证书。使用服务器包含的 IBM 密钥管理实用程序,您可以在需要时添加或除去可信任的 CA。

为了安全地进行通信,传输中的接收方必须信任给发送方签发证书的 CA。无论接收方是 Web 服务器还是浏览器,都要做到这一点。当发送方对消息做了标记时,接收方必须具有相应的、CA 签发的证书,以及指定为可信任的 CA 证书的公用密钥。

相关信息:

什么是公用密钥基础结构?

公用密钥基础结构 (PKI) 是由数字证书、认证中心、注册权限、证书管理服务和 X.500 目录(对因特网上所有事务中涉及到的各方的身份和权限进行验证)构成的系统。这些事务可能是金融方面的,或可能涉及进行身份验证的所有操作,例如,确认投标提议的来源或电子邮件消息的作者。

PKI 支持使用证书撤销列表 (CRL)。证书撤销列表是已取消的证书的列表。CRL 提供了一种通过证书认证客户机身份的更全球化的方法,并且也可用于验证可信任 CA 证书的有效性。

CRL 和可信任 CA 证书存储在 X.500 目录服务器中,并可以从该目录服务器中进行检索。用于在 X.500 目录服务器中存储和检索信息的协议是目录存取协议 (DAP) 和轻量级目录访问协议 (LDAP)。HTTP Server 支持 LDAP。

信息可以分布在因特网和内部网上的多个目录服务器中,这样,就使得一个组织可以从中心位置或以分布方式管理证书、信用策略和 CRL。这使得信任策略的应用更加动态化,因为无需对每台服务器进行重新配置,就可以在安全服务器的网络中增删可信任的 CA。

相关信息:

什么是安全套接字层协议?

安全套接字层 (SSL) 协议是由 Netscape Communications 公司开发的。SSL 确保了在客户机和服务器之间传送的数据的私密性。它允许客户机认证服务器的身份。要认证客户机的身份,需要 SSL 版本 3。

一旦您的服务器拥有数字证书,支持 SSL 的浏览器(例如,Netscape Navigator 和 Microsoft Internet Explorer)就可以安全地与使用 SSL 的服务器进行通信。使用 SSL,您可以轻松地在因特网或您的专用内部网上建立支持安全机制的 Web 站点。不支持 SSL 的 HTTP 浏览器将无法使用 HTTPS 协议请求 URL。非 SSL 浏览器不允许提交那些需要安全地提交的表单。

SSL 使用安全性握手来开始客户机和服务器之间的安全连接。在握手期间,客户机和服务器对它们用于会话的安全密钥和用于加密的算法都取得了一致。客户机认证服务器;可选地,服务器可以请求客户机的证书。握手之后,使用 SSL 对 http 请求和服务器响应中的所有信息进行加密和解密,包含:

HTTPS 是把 SSL 和 HTTP 结合起来的唯一协议。您需要指定 https:// 作为 HTML 文档中的锚(链接到 SSL 保护的文档)。客户机用户也可以通过指定 https:// 打开 URL,以请求 SSL 保护的文档。

因为 HTTPS (HTTP + SSL) 和 HTTP 是不同的协议,并且使用不同的端口(分别是 443 和 80),所以您可以同时运行 SSL 和非 SSL 请求。因此,您可以选择对所有的用户提供信息时不使用安全机制,同时只把特定信息发送给提出安全请求的浏览器。 这样,因特网上的零售公司就可以允许用户浏览商品时无需安全机制,但是用户填订单表单和发送他们的信用卡号时要使用安全机制。

相关信息: