构建基于SSL校园安全网站.docVIP

构建基于SSL校园安全网站 　　摘要：首先以EJBCA为基础建立广东金融学院cA认证中心，接着以校内某网站为例生成服务器证书和安装服务器证书，服务器证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道保证双方传递信息的安全性，用户也可以通过服务器证书验证所访问的网站是真实可靠的。 　　关键词：EJBCA；CA；SSL；服务器证书；安全网站 　　 　　中图分类号：TP3 　　文献标识码：A 　　文章编号：1671-7597(2011)0120008-02 　　 　　0　引言 　　 　　默认情况下，HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得用户和服务器之间的通讯内容。有了数字证书，就可以使用一种安全性更高的认证，即通过SSL(Security Socket Layer)安全机制使用数字证书。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https：／／，而不是http：／／ 　　SSL(加密套接字协议层)位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。 　　 　　1　建立CA中心 　　 　　目前，在校园网中部署CA系统的技术已经相对成熟，而且有许多开源的cA系统可供参考。使用开放源代码的应用程序EJBCA和相关软件，我们可以自己承担其cA(Certification Authority，认证中心)中心的职责：生成服务器数字证书，这些软件均可通过开源网站下载得到。 　　 　　创建CA中心的过程如下： 　　1)生成初步部署文件ejbea.ear。在％EJBCA_HOME％目录下，运行：ant bootstrap。生成完毕，运行％JBOSS_HOME％／run.bat文件，启动-jbOSS。由于内存处理任务较繁重，为了防止内存溢出错误，设置ANT_OPTS变量，参数为：ANT_OPTS＝-Xmx512m。 　　2)安装管理CA并初始化EJBcA系统。首先启动MySQL数据库，然后在％EJBCA_HOME％／下，运行以下命令：ant install，安装管理CA并初始化EABCA系统。安装时，将“CN＝AdminCAI，O＝EABCA Sample，c＝sE”设置为：“CN＝GDUFCA，O＝GDUF，C＝cN”；将“CN＝localhost，O＝EJBCA Sanrple，c＝sE”设置为：“cN＝localhost，O＝GDUF，c＝cN”。安装完毕，停止JBOSS。 　　3)重新部署整个系统。在％EJBCA HOME％目录下，运行命令：antdeploy。将重新部署整个系统，并用密钥库配置Sevlet容器。 　　4)安装管理员证书。将％EJBCA_HOME％／p12／superadmin.p12证书导入浏览器，默认密码是ejbca。方法为：选择证书文件，并单击右键，在弹出的对话框中选择“安装PFX”，就会打开导入证书的对话框。 　　5)重新启动JBOSS。登录http：／／localhost：8080／ejbca／。如果可以进入管理员(administrator)页面(要提示证书)说明安装成功。管理地址为：https：／／localhost：8443／ejbca／adminweb／index，jsp。分别单击左侧的“系统配置”、“个人选项”，在右侧的管理员首选项中设置Web界面默认语言为“zH”(中文)。 　　下面，以广东金融学院内某系的网站服务器为例进行安全网站设置。 　　 　　2　提交服务器证书请求文件 　　 　　在Windows xP中，打开Internet信息服务管理器，然后打开要为之申请证书的站点的属性。 　　1)准备证书请求。以本地机器为例，选择“默认web站点”，点击右键，在弹出的菜单中选择“属性”，出现属性对话框。找到“目录安全性”对话框。如果以前从未用过这项，“编辑”显示为灰色。选择“服务器证书”按钮，根据服务器证书的状态，选择“下一步”。在出现的选项中，选择“新建证书”。点击“下一步”。 　　2)设置名称和安全性设置。在这一步，要选择密钥的长度，位长越长，安全性越