使用伺服器證書
乙個伺服器證書是你的伺服器的乙個電子id,它可讓你的伺服器執行兩個重要的功能來確保通訊的安全:為使用者標識自己和加密傳送到這些使用者的資訊。ssl加密需要乙個伺服器證書被繫結到你的**中。該證書包含有「keys」,在你的**和請求安全資訊的使用者間建立乙個安全連線時,需要用到這些keys。
在internet information server 4中,伺服器證書是被繫結到web服務中的,並不是個別的**,除非乙個**擁有乙個獨立的ip位址。在internet information services 5中,你可以繫結伺服器證書到任何的**,不過每個站點只可以設定乙個證書。還有,在internet information server 4中,你需要使用key manager來繫結證書。在internetinformation services 5中,你可以使用web site certificate嚮導,令整個過程變得更加簡單。該嚮導可引導你設定請求和安裝乙個證書的全過程。
客戶證書對映
客戶端的證書和服務端的是等價的。客戶證書是乙個數字id,該id是用來向你的web伺服器標識乙個客戶的,並且可讓你的伺服器使用客戶證書對映。客戶證書對映將乙個客戶的證書對映為乙個windows使用者帳號,並且可以自動認證和允許帶有這些證書和正確帳號的使用者進行訪問。
例如,乙個稱為vicky的使用者擁有乙個客戶證書,她點選了乙個到該公司**的雇員資訊部分的連線,她的瀏覽器就會將其證書資訊放到其伺服器請求的頭部,伺服器就會檢索該證書的乙個對映。如果使用者的證書是正確的,並且對映到乙個有效的windows使用者帳號,而且該帳號允許訪問這些內容,vicky就會被自動地認證,請求的資料也會出現在她的瀏覽器中。
證書對映的型別
在internet information services 5中,有兩類的證書對映:一對一和多對一。一對一對映將乙個特別的證書和某個windows使用者帳號聯絡起來。客戶證書的乙個拷貝必須放到伺服器上以作認證之用。如果使用者使用另乙個客戶證書作同樣的請求,將需要重新建立對映。
多對一的對映僅使用證書中的某些資訊,並且與一定的標準作對比以進行使用者帳號對映。只要該證書符合這些標準,認證就會成功。這樣多個證書就可以被對映到乙個使用者帳號,而且證書的拷貝無需要存放到伺服器中。
兩者之間的區別可以用以下的情況說明。當乙個帶證書的請求到來時,伺服器有兩種的方式來對映它。伺服器可以對自己說「我需要查詢乙個2023年3月建立的證書,它的序列號是zxv345t4689as234,如果我找不到該證書,我就會傳送乙個403-禁止的錯誤資訊,並且處理完畢」,或者,伺服器也可以這樣「我正在查詢xyz certificate公司建立的任何證書,它是為abc公司建立的,在2023年3月1日到2023年6月1日之間。如果我找到類似的證書就可以了」。第一種情況就是一對一對映,後者是乙個多對一對映。
很容易看到,一對一對映更加安全,不過它需要更多的設定和維護工作,而多對一的安全性要差一點,不過可以更加靈活,而且需要較少的管理維護工作。
fortezza卡和證書對映
智慧卡上帶有證書的乙個拷貝,並且可以用作對映。將證書的資訊拷貝到卡上後,證書的處理就象其它的客戶證書一樣。通常一對一的對映被用在fortezza卡上,因為它是為更高的安全性而設計的。
通過ssl進行基本的認證
對於使用非微軟瀏覽器的客戶來說,帶ssl的基本認證就更加有利了。這些非微軟瀏覽器的客戶可以被internet informationservices認證,它們的使用者名稱和密碼也不會以明文的方式在internet上傳輸。
數字證書
internet information services還支援x.509數字證書以作訪問控制。這些數字證書必須是經由乙個信任的證書授權建立,並且必須在客戶的計算機上維護。它們的運作和乙個id卡類似--這就是在客戶企圖訪問web伺服器的乙個資源時,它會送出數字證書的資訊。不過,相對於簡單的id卡證書來說,它多了一層的安全性。在產生數字證書時,使用者必須提供乙個密碼。以後使用該證書時,客戶還必須再次輸入該密碼以確保客戶是該數字證書的真正擁有者。
使用數字證書需要乙個適當的協議,例如ssl,該協議通常需要存在於客戶和伺服器上。通常伺服器都會提供乙個證書給客戶以表明伺服器或者網域名稱的身份。
選擇你的對映方法
選擇哪種對映方法和幾個方面有關,不過主要的兩點是安全級別的需要和可用的管理資源。如果你需要高的安全性,那麼一對一對映是最理想的,只要你可以付出資源來管理它。如果你的管理資源有限,需要對映的客戶也很多,那麼多對一就很適合,只要你需要的安全性不是特別高。具體選擇哪種方式,以下是一些建議:
小型網路,對安全性要求不高;無需證書。即使網路小,還是選擇多對一的方式,因為對資訊的安全性要求不高。你可以建立乙個簡單的證書並且使用乙個軟盤來共享它。
小型網路,對安全性要求不高;需要證書。如果你需要知道誰正在訪問什麼,你可以使用多對一的對映,其中乙個標準是使用使用者名稱,並且對映到單個的使用者帳號。這樣需要更多的工作,不過仍然比一對一好,因為使用者可以替換證書而無需要重新設定
大型網路,對安全性的要求不高;不需要證書。解決的方案和小型的網路一樣,不過你可以為每個部門或者組選擇乙個不同的驗證。
大型網路,帶有保密的資訊;需要證書。從安全的角度來說,你需要選擇一對一。不過,為了簡化管理,你可以可以選擇多對一。主要是按你的需要,如果你使用一對一,可以考慮使用active directory來簡化管理。
SSL 數字證書
secure 可靠的.安全的 socket 座 layer 層 ssl 協議 ssl 是乙個安全協議,它提供使用 tcp ip 的通訊應用程式間的隱私與完整性。網際網路的 超文字傳輸協議 http 使用 ssl 來實現安全的通訊。由於ssl技術已建立到所有主要的瀏覽器和web伺服器程式中,因此,伺服...
數字簽名和數字證書
到底什麼是 數字簽名 digital signature 和 數字證書 digital certificate 對這些問題的理解,一直模模糊糊,很多細節搞不清楚。今天,讀完一篇 通俗易懂的文章後,思路豁然開朗。為了加深記憶,這篇文章的翻譯版記錄如下。1.鮑勃有兩把鑰匙,一把是公鑰,另一把是私鑰。2....
數字簽名和數字證書
其實數字簽名的概念很簡單。大家知道,要確保可靠通訊,必須要解決兩個問題 首先,要確定訊息的 確實是其申明的那個人 其次,要保證資訊在傳遞的過程中不被第三方篡改,即使被篡改了,也可以發覺出來。所謂數字簽名,就是為了解決這兩個問題而產生的,它是對前面提到的非對稱加密技術 與數字摘要 技術的乙個具體的應用...