SSL（Security Socket Layer）

Presentation on theme: "SSL（Security Socket Layer）"— Presentation transcript:

1 SSL（Security Socket Layer）
IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL (加密套接字协议层)安全机制使用数字证书。 SSL是一种保护WEB通讯的工业标准，位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。 SSL基于强公钥加密技术以及RSA的专用密钥序列密码(公钥和私钥)，能够对信用卡和个人信息、电子商务提供较强的加密保护。任何用户都可以获得公钥来加密数据，但解密数据必须要通过相应的私钥。

2 使用SSL时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公钥对会话密钥进行加密，再把会话密钥传递给服务器。而会话密钥只有在服务器端用私钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。 IIS中基于证书的SSL特性由服务器端证书、客户端证书和不同的数字密钥组成，可使用微软认证服务(Microsoft Certificate Services)创建这些证书或从可相互信任的第三方机构获得，该机构称为证书颁发机构(Certification Authority,CA)。 SSL的缺陷是只能保证传输过程的安全，无法知道在传输过程中是否受到窃听。新的SSL协议被命名为TLS（Transport Layer Security），安全可靠性可有所提高。

3 证书服务的安装思路 为本机WEB站点安装证书服务，主要进行以下步骤 在本机上注册CA机构 为WEB站点创建申请表
申请SSL安全通道 WEB站点与客户端通过HTTPS协议进行安全通信

4 1.在本机上注册CA机构

5

6

7

8

9

10

11 证书服务器完成安装后，在本地IIS里的默认WEB服务器里生成的几个虚拟目录。

12 2.为WEB站点创建申请表

13

14

15

16

17

18

19

20

21

22

23

24

25 3.将申请表提交给CA机构，为WEB站点申请证书

26

27

28

29

30 默认情况下，发送到 CA 的所有证书申请都被设置为搁置，直到独立 CA 的管理员验证申请者的身份并确认申请。这是出于安全性的考虑，因为证书申请者的凭证还没有被独立 CA 验证。

31 4.CA机构颁发证书

32

33

34

35

36

37

38

39

40

41

42 注意：此证书对于维护站点安全非常重要，一般要将其保存在其它安全的地方，以不被它人获得。

43 5.将证书安装到WEB站点上

44

45

46

47

48 6.申请SSL安全通道

49 默认安装结束后，SSL并未启动，需要手动申请站点SSL的加密通道

50

51 7.WEB站点与客户端通过HTTPS协议进行安全通信

52

53

54

55

56

57

58

59

60

61 这时我们看这个网站的时候所有信息在网上以加密的方式来传送，任何人都无法再轻易了解其中的内容。这是加密前后的两幅IRIS的监听结果：

62 加密过的SSL会比普通的没有加密的WEB浏览的时候慢一点，主要是因为加密的隧道额外还要占用一点CPU的资源，对于那些没有任何秘密可言的WEB站点没有需要用加密的SSL通道。只要对于那些重要的目录和站点才有这个必要性。