巧用证书保护公文传输安全.doc

巧用证书保护公文传输安全为了及时将工作中产生的各类信息发布到网上，与他人交流共享，从而提高办公效率，最近，笔者单位正式启用了网上公文传输系统；不过，在Internet网络中传输信息时，TCP／IP协议默认状态下是不会对网站中的传输信息进行加密的，因此一些恶意用户可以非常轻松地通过专业嗅探工具，来获取公文传输系统中的重要隐私内容。那么，如何才能保证公文系统网站的数据传输安全呢?其实利用Windows 2003服务器系统的证书功能，就能有效保护网站数据的传输安全! 网站传输的安全隐患 假设公文传输系统部署在Windows 2003服务器系统中，为了达到发布共享信息的目的，本文采用Web页面的方式，来管理、维护公文传输系统的。因此，在部署公文传输系统之前，先要进行IIS服务器组件的安装操作，之后对IIS服务器进行正确配置，确保公文传输系统网站可以正常发布信息。接着，登录局域网中的另外一台客户端系统，打开IE浏览器窗口，输入刚才配置的公文传输系统网站地址，看看网站内容能否正常显示，如果显示正常的话，那就说明公文传输系统网站可以正式工作了 这时，从相同的客户端系统中，使用Snifferfk具对公文传输系统网站内容进行抓包，我们会清楚地看到目标网站使用的是http传输协议，同时网站的具体内容、Web服务器的版本信息、类型信息，也都能看得清清楚楚。很显然，一旦公文传输系统中发布了非常重要的隐私内容，这些内容在Internet网络中传输时，是非常容易被恶意用户截获的；如果不对这些隐私数据的传输提供安全保护，那么后果将无法设想。那么，究竟该如何有效保护网站重要数据的传输安全呢? 安装服务器证书 Windows 2003服务器系统默认状态下并没有启用运行证书服务，那么部署在该系统中的公文传输网站自然就不能申请网站证书；为了能够享受到证书验证服务，我们先要安装服务器证书，来启用证书服务，具体方法为： 首先在Windows 2003服务器系统中逐一点选“开始”｜“设置”｜“控制面板”选项，用鼠标双击控制面板窗口中的“添加或删除程序”图标，进入添加或删除程序管理窗口，点击“添加／删除Windows组件”选项卡，展开如图1所示的选项设置页面，选中“证书服务”选项，按“下一步”按钮后，安装向导会自动提示用户一旦启用了证书服务，就不能随意调整域成员身份和主机名称，同时要求用户确认是否真的要继续安装证书服务； 其次单击提示对话框中的“是”按钮，按“下一步”按钮，选中“独立根CA”选项，当安装向导弹出如图2所示的CA识别设置框时，在其中的“公用名称”位置处正确输入CA的名称内容，之后设置好证书的有效期限，缺省状态下证书的有效期限为5年。再按“下一步”按钮后，Windows 2003服务器系统将会自动生成密钥内容，同时打开证书数据库设置窗口，在这里选择一个文件夹来保存证书数据库以及证书数据库日志，当然这两各文件也可以放置在不同的文件夹中。在确认各项设置正确后，继续单击“下一步”按钮，Windows2003服务器系统就会依照既定的设置要求自动安装配置证书服务，同时还会提醒用户及时插入Windows2003服务器系统的安装光盘，只要插入安装光盘，证书服务的其他配置操作就会自动完成 安装好了证书服务后，日后需要对它进行管理时，我们可以依次单击“开始”｜“设置”｜“控制面板”命令，逐一双击控制面板中的“管理工具”｜“证书颁发机构”图标，在这里就能对服务器证书或用户证书进行管理了。此外，需要提醒各位注意的是，要是证书服务安装成功后，IIS服务器组件还没有安装的话，那么日后在安装配置好Web站点后，需要运行“certutn-vroot”命令，Windows 2003服务器系统才会配置好证书申请的站点；如果IIS服务器组件在证书服务之前安装成功，同时系统存在默认Web站点的话，那么Windows 2003服务器系统会自动配置好证书颁发站点。当证书颁发站点配置好后，我们可以在IIS控制台窗口中，看到目标站点下面已经自动生成了CertSrv虚拟目录了 申请颁发服务端证书 由于公文传输网站系统是以明文形式传输数据的，这种方式传输的数据十分容易被他人偷看，为了保护数据传输安全，我们可以为公文传输系统网站安装服务器证书，来为网站数据建立加密传输机制。在为公文传输系统网站创建服务器证书时，只要利用Windows 2003服务器系统自带的“Web服务器证书向导”工具就能轻松完成，具体方法为： 首先打开Windows 2003服务器系统的“开始”莱单，逐一点选“设置”｜“控制面板”选项，用鼠标双击系统控制面板窗口中的“管理工具”图标，通过其中的“Internet信息服务(IIS)管理器”图标，切换到对应系统的IIS控制台窗口；将鼠标定