如何在应用服务器中配置证书

如何在应用服务器中配置证书,第1张

1.1 配置服务器证书第一步:执行“开始à程序à管理工具àInternet服务管理器”,打开服务管理器。第二步:右键单击需要采用SSL协议的WEB站点,选择“属性”,在Web站点选项视图中填写SSL端口为:443。(也可以根据需要修改端口)如图第三步:选择“目录安全性”选项,第四步:选择服务器证书,单击下一步会出现设置IIS服务器证书向导,第五步:选择“创建一个新证书”,然后跟随向导填写相关内容,生成证书申请书。用此申请书到CA签发服务器证书。注意在CA填写的证书申请信息一定要同此处填写的证书申请信息相同。第六步:当证书签发完毕后,再次打开向导,现在里边的选项已经不同了,跟随向导将证书导入,关于每一步向导中都备有详细说明,这里不做赘述。第七步:现在,你的服务器已经有了属于自己的证书,我们可以开始配置SSL选项。在“目录安全性”选项视图下的“安全通信”中选择“编辑”选项。如图第八步:在此选择“申请安全通道(SSL)”项,就已经建立起SSL通道,在“客户证书”项下可以选择验证客户证书的具体方式,“忽略客户证书”是不要求验证客户证书,“接收客户证书”是用证书验证拥有证书的客户,没有证书的客户按其他方法来验证。“申请客户证书”是只与拥有证书的客户进行通信。我们可以根据需要来进行选择。对于双向验证要求选择“申请客户证书”。第九步:在服务端导入CA根证书在IIS服务器上,双击打开CA的根证书(必须是签发IIS服务器证书的CA)。CA的根证书可以从CA的网站上下载单击安装证书,出现安装证书向导单击下一步选择证书存储区域,选择“将所有证书放入下列存储区域”,单击“浏览”出现选择存储区域对话框,选中“显示物理存储区”后,选择“受信任的根证书颁发机构->本地计算机”,单击确定。显示我们刚刚选择的路径,单击下一步,显示我们刚刚做过的设置单击完成按钮,导入CA根证书完成。第十步:取消IIS对CRL列表信息的校验在公安PKI/PMI体系中,对于证书有效性的验证在应用程序中进行。故需要取消IIS自身对CRL的检验。在控制台下进入C:\Inetpub\AdminScripts目录(这个目录在安装完IIS后会自动生成)执行如下命令,取消IIS对CRL的校验:cscript adsutil.vbs set w3svc/certcheckmode 1

TLS其实是SSL,可能更正式的说法已经不用SSL了。TLS是一套基于非对称加密算法的安全传输协议,更严格来说,TLS先是通过非对称加密方式交换对称加密秘钥,然后采用对称加密算法进行安全传输。

非对称加密是这样的一把锁,有两把钥匙,任意一把钥匙可以把锁锁上,只有另一把钥匙才能将锁打开。这两把钥匙是成对的,可以互相解密。其中一把是公开的公钥,另一把是服务器持有的私钥。

任何人都可以用公钥加密一段消息发送给服务器,做到安全发送。另一方面,服务器可以用私钥加密一段消息,将消息明文和密文发送给接收者,以此证明自己的真实身份,这叫做签名。当然,现实中,是对消息的摘要进行签名加密,因为摘要比较小。

TLS的第一步,就是让发送者持有服务器的公钥。通常获得服务器公钥的方式,都是向服务器进行询问,然后由服务器明文发送过来的。为了保证这一步的安全性,确保明文发送过来的公钥没有被串改,我们又发明了证书。

证书由服务器名称信息和服务器公钥组成,然后加上证书签发机构CA和签发机构对前面信息的签名。改用证书机制后,服务器以明文发送自己的证书信息,使用者用CA的公钥验证证书签名,核对相关的服务器信息,然后就可以信任服务器的公钥了。

至于CA公钥的传递方式,一般是内置的或者通过实体进行传递。

一般服务器是不限制使用者访问的,所以服务器配置了证书和私钥,让发送者能够安全的从第一步开始建立加密通信机制。即使使用者不验证服务器证书,TLS仍旧是以加密方式进行,虽然安全度不是最高,但是屏蔽掉无聊的阿猫阿狗访问已经足够了。

更进一步,服务器可以配置双向认证,配置CA证书并要求认证使用者的证书。那么使用者在访问前就要配置由CA签发的个人证书和私钥,在第一步开始时把自己的证书和随机签名发过去让服务器进行认证。

使用双向认证的时候,通信的安全性已经足够高了:消息是加密的,并且不太容易在某个环节被串改,而使用者必须经过服务器用自己的CA签发授权证书后才能访问服务。

TLS的运用其实应该非常广,只要不是内网服务,而是向不安全的互联网公开的服务,并且在通信上没有使用任何加密手段,也没有特别有效的客户鉴权,都应该使用TLS。

比如有时候因为某种原因,不得不向互联网暴露mysql,redis或者其他开源软件的服务端口,这种大作死的行为,软件自带的脆弱的客户鉴权机制就跟杂草一样一踩就倒,已经是业界人尽皆知的情形。

如果能为这些开放的服务端口加上TLS双向认证通信,基本能把侵害排除99%了吧。那如何给这些服务增加TLS安全通信呢?

首先, 把公开的服务改成内网服务 。

第二, 在服务器和客户端之间配置TLS tunnel ,通过tunnel转发客户端和服务器之间流量。有很多TLS tunnel客户端可以使用,这种方式也不会对原系统造成任何改动,所谓各司其职。

提高苹iOS App安全性确保App架发者必须App服务器启用符合ATS要求HTTPS证书沃通免费SSL证书符合苹ATS要求支持谷歌CT证书透明度帮助发者轻松应新安全标准!

建议iOS发者配置HTTPS连接注意几点:

·向规CA机构(沃通CA)申请符合ATS要求SSL证书

·校验证书链

·校验证书签发者

·校验证书域名否匹配

您何确启用HTTPS连接疑问沃通CA提供专业技术咨询帮助用户更加安全配置HTTPS证书确启用HTTPS加密连接

t


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/497911.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-15
下一篇2023-06-15

发表评论

登录后才能评论

评论列表(0条)

    保存