SSL与数位认证.docVIP

SSL与数位认证 作者：whitefox email: whitefox.jiang@ 日期：2000-07-20 09:44:02 SSL與數位認證 -------------------------------------------------------------------------------- [ 本文重點 | SSL安全資料傳輸 | SSL運作步驟與設定 | 金鑰(key)產生與管理 ] [ Microsoft Certificate Server | 用戶端認證(Client Certificate) ] 　 -------------------------------------------------------------------------------- 　 本文重點 介紹熱門的SSL與數位認證方法，包括SSL安全連線的伺服器認證、SSL運作步驟與設定、金鑰（key）產生與管理，以及IIS 4.0的Microsoft Certificate Server之伺服器認證、用戶端認證等方法。 Windows NT Option Pack中文版軟體所包含的「Microsoft Certificate Server」，可自行建立一個認證中心（Certificate Authority），以管理數位認證的授與、廢除及更新，數位認證用於公開金鑰加解密之應用，譬如SSL的伺服器認證與用戶端認證，讓您透過Intranet或 Internet 安全地傳送資料。 SSL安全資料傳輸 SSL（Secure Sockets Layer） SSL（Secure Sockets Layer）加密方法，可以對資料傳輸做安全上的保護。 當使用者傳送私有資料（譬如信用卡或銀行帳號）到網站時，可能害怕資料傳送當中被攔截。SSL（Secure Sockets Layer）3.0協定，提供了傳輸安全上的保護，於使用者傳送資料前先做「加密」成亂碼，網站接收資料後再「解密」出原來的資料。資料傳送當中即使被攔截，也只是看到一堆亂碼，看不到原來的資料。 使用SSL安全方法時，使用者產生一把對稱金鑰（session key ），將待傳送的資料「加密」成亂碼，網站接收資料後再使用同一把對稱金鑰「解密」出原來的資料。 為了將使用者產生的這一把加解密用的對稱金鑰安全地傳給伺服器，SSL於使用者傳送這一把對稱金鑰前，先使用伺服器的公開金鑰（public key）將對稱金鑰「加密」成亂碼，網站接收資料後再使用伺服器的私密金鑰（private key）「解密」出原來的對稱金鑰。 本文針對與SSL相關的伺服器認證（Server Certificates）、SSL運作的步驟與設定、金鑰（key）產生與管理，詳細介紹如下： 伺服器認證（Server Certificates） 使用SSL安全方法時，為了確保使用者拿到的伺服器公開金鑰（public key）為正確的，伺服器必須由具公信力的認證中心（Certificate Authority，簡稱CA），核發伺服器認證（Server Certificates）。 一個認證就像一個印鑑證明，證明這個印章屬於您所有，不是別人假造的。 伺服器認證包括提供網站內容者的組織、和認證中心的名稱，以及伺服器的公開金鑰。 認證中心CA 使用SSL安全方法連線時，必須先取得伺服器認證。 伺服器認證是否成功，取決於使用者是否信任認證中心核發的伺服器認證資料是否為正確有效。 譬如一個使用者與您的網站伺服器建立連線時，即使看到您伺服器的認證，可能仍然猶豫是否要將信用卡資料提供給您，尤其是您的公司是新的或沒有甚麼知名度時，會更加地猶豫不決。 基於這個理由，有時認證係由具有公信力的第三者認證中心（Certificate Authority，簡稱CA）所核發。認證中心有責任確認認證的資料是否為正確有效。 有許多的第三者認證中心，提供IIS核發伺服器認證（server certificate）的服務，如下： Verisign Inc.： GTE CyberTrust Solutions： Thawte Consulting： CertiSign Certificado Digital Ltda.：.br BelSign NV-SA：http://www.belsign.be Keywitness Canada：http://www.keywitness.ca BankGate CA： 可連線到/security/ 取得最新提供IIS伺服器認證（server certificate）服務的認證中心CA名單。 另外一個替代方式，取決於您公司與網站伺服器使用者的關係如何，您能夠自己充當認證中心，核發伺服器認證（Server Certi