伺服器如何建立安全通道
⑴ 如何在Web伺服器上設置SSL
採用SSL實現加密傳輸(1) 在默認情況下,IIS使用HTTP協議以明文形式傳輸數據,Web Service就是使用HTTP協議進行數據傳輸的。Web Service傳輸的數據是XML格式的明文。沒有採取任何加密措施,用戶的重要數據很容易被竊取,如何才能保護網路中傳遞的這些重要數據呢? SSL(Security Socket Layer)的中文全稱是加密套接字協議層,它位於HTTP協議層和TCP協議層之間,用於建立用戶與伺服器之間的加密通信,確保所傳遞信息的安全性,同時SSL安全機制是依靠數字證書來實現的。 SSL基於公用密鑰和私人密鑰,用戶使用公用密鑰來加密數據,但解密數據必須使用相應的私人密鑰。使用SSL安全機制的通信過程如下:用戶與IIS伺服器建立連接後,伺服器會把數字證書與公用密鑰發送給用戶,用戶端生成會話密鑰,並用公共密鑰對會話密鑰進行加密,然後傳遞給伺服器,伺服器端用私人密鑰進行解密,這樣,用戶端和伺服器端就建立了一條安全通道,只有SSL允許的用戶才能與IIS伺服器進行通信。 注意SSL網站不同於一般的Web站點,它使用的是"HTTPS"協議,而不是普通的"HTTP"協議。因此它的URL(統一資源定位器)格式為"https://網站域名"。 下面講解如何使用SSL來增強IIS伺服器和Web Service的通信安全。 實現步驟如下。 1.為伺服器安裝證書服務 要想使用SSL安全機制功能,首先必須為Windows Server 2003系統安裝證書服務。進入"控制面板",運行"添加或刪除程序",接著進入"Windows組件向導"對話框,如圖7-13所示。 圖7-13 Windows組件向導 勾選"證書服務"選項,單擊"下一步"按鈕。 接著選擇CA類型。這里選擇"獨立根CA"選項,如圖7-14所示。單擊"下一步"按鈕,為自己的CA伺服器起名,並設置證書的有效期限,如圖7-15所示。 圖7-14 選擇CA類型 圖7-15 設置CA信息 最後指定證書資料庫和證書資料庫日誌的位置,如圖7-16所示,單擊"下一步"按鈕。 圖7-16 指定證書資料庫 因為需要復制系統文件,所以需要插入Windows的安裝光碟,如圖7-17所示。安裝證書服務需要停止當前的IIS運行,所以要單擊"是"按鈕。 圖7-17 復制系統文件 最後,顯示完成了證書服務的安裝,單擊"完成"按鈕,如圖7-18所示。 圖7-18 安裝完成 7.9.2 採用SSL實現加密傳輸(2) 2.配置SSL網站 1)創建請求證書文件 要想讓Web Service使用SSL安全機制,首先需將Web Service配置為網站。然後為該網站創建請求證書文件。 依次單擊"控制面板"→"管理工具"按鈕,運行"Internet 信息服務(IIS)管理器",在管理器窗口中展開"網站"目錄,用滑鼠右鍵單擊要使用SSL的Web Service網站,在彈出的快捷菜單中選擇"屬性"命令,在網站屬性對話框中切換到"目錄安全性"選項卡,如圖7-19所示, 圖7-19 網站屬性 然後單擊"伺服器證書"按鈕,彈出"IIS證書向導"對話框。 在"IIS證書向導"對話框中選擇"新建證書"選項,單擊"下一步"按鈕,如圖7-20所示。 圖7-20 伺服器證書 選擇"現在准備證書請求,但稍後發送"選項。單擊"下一步"按鈕,如圖7-21所示。 圖7-21 證書向導 在"名稱"輸入框中為該證書取名,然後在"位長"下拉列表中選擇密鑰的位長(默認為1024,長度越長保密性越好,但性能會越差)。單擊"下一步"按鈕,如圖7-22所示。 圖7-22 設置證書名稱 設置單位信息,如圖7-23所示,然後單擊"下一步"按鈕。設置公共名稱,如圖7-24所示。 圖7-23 設置單位信息 圖7-24 設置公共名稱 注意 公共名稱必須輸入為訪問站點的域名,例如要想用地址 https://www.maticsoft.com 訪問Web Service,則此處必須填寫為" www.maticsoft.com ",否則將提示使用了不安全的證書,導致站點無法訪問。並且切記, www.maticsoft.com 和 www.maticsoft.com:8001 帶埠的訪問也是不同的,如果設置的是 www.maticsoft.com ,則網站設置為 www.maticsoft.com:8001 來訪問也是無法使用的。 然後,單擊"下一步"按鈕,設置國家地區,如圖7-25所示。 圖7-25 設置國家地區 設置證書的單位、部門、站點公用名稱和地理信息,一路單擊"下一步"按鈕。 最後指定請求證書文件的保存位置。這樣就完成了請求證書文件的創建。 7.9.2 採用SSL實現加密傳輸(3) 2)申請伺服器證書 完成上述設置後,還要把創建的請求證書文件提交給證書伺服器。 在伺服器端的IE瀏覽器地址欄中輸入"http://localhost/CertSrv/default.asp"。 在"Microsoft 證書服務"歡迎窗口中單擊"申請一個證書"鏈接,如圖7-26所示。 接下來在證書申請類型中單擊"高級證書申請"鏈接,如圖7-27所示。 圖7-26 申請證書 圖7-27 選擇證書類型 然後在高級證書申請窗口中單擊"使用base64編碼的CMC或PKCS#10……"鏈接,如圖7-28所示。 圖7-28 選擇編碼 接下來在新打開的窗口中,打開剛剛生成的"certreq.txt"文件,將其中的內容復制到"保存的申請"中,如圖7-29所示。 圖7-29 提交證書申請 單擊"提交"按鈕,顯示"證書掛起"頁面,如圖7-30所示。 圖7-30 證書掛起 7.9.2 採用SSL實現加密傳輸(4) 3)頒發伺服器證書 提交證書申請以後,還需要頒發伺服器證書。依次選擇"開始"→"設置"→"控制面板",雙擊"管理工具",再雙擊"證書頒發機構",在打開的對話框中選擇"掛起的申請"選項,如圖7-31所示。 (點擊查看大圖)圖7-31 掛起的申請 找到剛才申請的證書,然後用滑鼠右鍵單擊該項,在彈出的快捷菜單中選擇"所有任務"→"頒發"命令,如圖7-32所示。 頒發成功後,選擇"頒發的證書"選項,雙擊剛才頒發的證書,在彈出的"證書"對話框中的"詳細信息"標簽頁中,單擊"復制到文件"按鈕,如圖7-33所示。 圖7-32 頒發證書 圖7-33 復制到文件 彈出"證書導出向導"對話框,連續單擊"下一步"按鈕,選擇"Base64編碼X.509"選項,如圖7-34所示。 (點擊查看大圖)圖7-34 選擇導出文件格式 單擊"下一步"按鈕,並在"要導出的文件"對話框中指定文件名,最後單擊"完成"按鈕。 4)安裝Web伺服器證書 重新進入IIS管理器的"目錄安全性"標簽頁,單擊"伺服器證書"按鈕,彈出"掛起的證書請求"對話框,選擇"處理掛起的請求並安裝證書"選項,單擊"下一步"按鈕,如圖7-35所示。 (點擊查看大圖)圖7-35 處理掛起的證書 指定剛才導出的伺服器證書文件的位置,如圖7-36所示。 (點擊查看大圖)圖7-36 選擇導出位置 接著設置SSL埠,使用默認的"443"即可,最後單擊"完成"按鈕。 7.9.2 採用SSL實現加密傳輸(5) 5)配置網站啟用SSL通道 在網站屬性"目錄安全性"標簽頁中單擊安全通信欄的"編輯"按鈕,然後,勾選"要求安全通道(SSL)"選項,如圖7-37所示。 (點擊查看大圖)圖7-37 啟用網站SSL通道 忽略客戶端證書:選擇該選項可以允許用戶不必提供客戶端證書就可訪問該站點。 接受客戶端證書:選擇該選項可以允許具有客戶端證書的用戶進行訪問,證書不是必需的。具有客戶端證書的用戶可以被映射;沒有客戶端證書的用戶可以使用其他身份驗證方法。 要求客戶端證書:選擇該選項則僅允許具有有效客戶端證書的用戶進行連接。沒有有效客戶端證書的用戶被拒絕訪問該站點。選擇該選項從而在要求客戶端證書前,必須選擇"要求安全通道(SSL)"選項。 最後單擊"確定"按鈕,即完成啟用SSL了。在完成了對SSL網站的配置後,用戶只要在IE瀏覽器中輸入"https://網站域名"就能訪問該網站。 注意 勾選上SSL後,必須用HTTPS來訪問,而訪問網站的埠也會使用SSL埠,默認為443。 如果在你訪問站點的過程中出現無法正常訪問的情況,那麼請檢查伺服器防火牆是否禁止對SSl埠443的訪問,這點比較容易被忽視,當然你也可以自己修改埠。 如果還是不能訪問,出現提示"你試圖從目錄中執行 CGI、ISAPI 或其他可執行程序,但該目錄不允許執行程序。HTTP錯誤403.1-禁止訪問:執行訪問被拒絕。"那麼請檢查網站主目錄的執行許可權,將執行許可權設置為純腳本即可,如圖7-38所示。 圖7-38 設置執行許可權 6)客戶端安裝證書 如果IIS伺服器設置了"要求客戶端證書",則其他機器或用戶想通過HTTPS訪問和調用該Web服務,就需要將CA的根證書導入到客戶端證書的可信任機構中,客戶端才可以正常訪問Web服務。 (1)選擇"開始"→"運行"命令,在彈出的對話框中輸入"mmc",出現如圖7-39所示的界面。 圖7-39 啟動控制台 (2)選擇"文件"→"添加/刪除管理單元"命令,出現如圖7-40所示的界面。 圖7-40 添加/刪除管理單元 (3)單擊"添加"按鈕,在可用獨立管理單元列表中選擇"證書"選項,出現如圖7-41所示的界面。 (4)選擇"計算機賬戶"選項,單擊"下一步"按鈕,選擇"本地計算機"選項,然後依次單擊"完成"→"關閉"→"確定"按鈕。 圖7-41 添加證書管理單元 進入當前用戶的證書管理單元,界面如圖7-42所示。 (點擊查看大圖)圖7-42 選擇證書導入位置 選中"個人"下的"證書節點"選項,單擊滑鼠右鍵,在彈出的快捷菜單中選擇"所有任務"→"導入"命令,如圖7-43所示。 (點擊查看大圖)圖7-43 導入證書 選擇我們剛才頒發的伺服器證書cert.cer,將其導入到個人的存儲位置,導入後如圖7-44所示。 (點擊查看大圖)圖7-44 導入到證書 7)SSL的優點與缺點 優點:它對Web服務提供的數據完整性沒有任何影響,當值返回給客戶時,值還是保持原樣,並沒有因在傳輸過程中使用了加密技術而發生變化。 缺點:它對站點的整體性能有影響,因為它需要進行很多加解密的數據處理。 0 0 0 (請您對文章做出評價)
⑵ WEB伺服器如何配置SSL
隨著Windows Server 2003操作系統的推出,Windows平台的安全性和易用性大大增強,然而,在默認情況下,IIS使用HTTP協議以明文形式傳輸數據,沒有採取任何加密措施,用戶的重要數據很容易被竊取,如何才能保護區域網中的這些重要數據呢?下面筆者就介紹一下如何使用SSL增強IIS伺服器的通信安全。
一、什麼是SSL
SSL(Security Socket Layer)全稱是加密套接字協議層,它位於HTTP協議層和TCP協議層之間,用於建立用戶與伺服器之間的加密通信,確保所傳遞信息的安全性,同時SSL安全機制是依靠數字證書來實現的。
SSL基於公用密鑰和私人密鑰,用戶使用公用密鑰來加密數據,但解密數據必須使用相應的私人密鑰。使用SSL安全機制的通信過程如下:用戶與IIS伺服器建立連接後,伺服器會把數字證書與公用密鑰發送給用戶,用戶端生成會話密鑰,並用公共密鑰對會話密鑰進行加密,然後傳遞給伺服器,伺服器端用私人密鑰進行解密,這樣,用戶端和伺服器端就建立了一條安全通道,只有SSL允許的用戶才能與IIS伺服器進行通信。
提示:SSL網站不同於一般的Web站點,它使用的是「HTTPS」協議,而不是普通的「HTTP」協議。因此它的URL(統一資源定位器)格式為「https://網站域名」。
二、安裝證書服務
要想使用SSL安全機制功能,首先必須為Windows Server 2003系統安裝證書服務。
進入「控制面板」,運行「添加或刪除程序」,接著進入「Windows組件向導」對話框,勾選「證書服務」選項,點擊「下一步」按鈕,接著選擇CA類型。這里選擇「獨立根CA」,點擊「下一步」按鈕,為自己的CA伺服器取個名字,設置證書的有效期限,最後指定證書資料庫和證書資料庫日誌的位置,就可完成證書服務的安裝。
三、配置SSL網站
1.創建請求證書文件
完成了證書服務的安裝後,就可以為要使用SSL安全機制的網站創建請求證書文件。點擊「控制面板→管理工具」,運行「Internet 信息服務-IIS 管理器」,在管理器窗口中展開「網站」目錄,右鍵點擊要使用SSL的網站,選擇「屬性」選項,在網站屬性對話框中切換到「目錄安全性」標簽頁(圖1),然後點擊「伺服器證書」按鈕。在「IIS證書向導」對話框中選擇「新建證書」,點擊「下一步」按鈕,選擇「現在准備證書請求,但稍後發送」。在「名稱」輸入框中為該證書取名,然後在「位長」下拉列表中選擇密鑰的位長。接著設置證書的單位、部門、站點公用名稱和地理信息,最後指定請求證書文件的保存位置。這樣就完成了請求證書文件的創建。
2.申請伺服器證書
完成上述設置後,還要把創建的請求證書文件提交給證書伺服器。在伺服器端的IE瀏覽器地址欄中輸入「http://localhost/CertSrv/default.asp」。在「Microsoft 證書服務」歡迎窗口中點擊「申請一個證書」鏈接,接下來在證書申請類型中點擊「高級證書申請」鏈接,然後在高級證書申請窗口中點擊「使用BASE64編碼的CMC或PKCS#10....」鏈接,再打開剛剛生成的「certreq.txt」文件,將其中的內容復制到「保存的申請」輸入框後點擊「提交」按鈕即可。
3.頒發伺服器證書
點擊「控制面板→管理工具」,運行「證書頒發機構」。在主窗口中展開樹狀目錄,點擊「掛起的申請」項(圖2),找到剛才申請的證書,然後右鍵點擊該項,選擇「所有任務→頒發」。頒發成功後,點擊樹狀目錄中的「頒發的證書」項,雙擊剛才頒發的證書,在彈出的「證書」對話框的「詳細信息」標簽頁中,點擊「復制到文件」按鈕,彈出證書導出向導,連續點擊「下一步」按鈕,並在「要導出的文件」對話框中指定文件名,最後點擊「完成」。
4.安裝伺服器證書
重新進入IIS管理器的「目錄安全性」標簽頁,點擊「伺服器證書」按鈕,彈出「掛起的證書請求」對話框,選擇「處理掛起的請求並安裝證書」選項,點擊「下一步」按鈕,指定剛才導出的伺服器證書文件的位置,接著設置SSL埠,使用默認的「443」即可,最後點擊「完成」按鈕。
在「目錄安全性」標簽頁,點擊安全通信欄的「編輯」按鈕,勾選「要求安全通道(SSL)」選項,最後點擊「確定」按鈕即可啟用SSL。
在完成了對SSL網站的配置後,用戶只要在IE瀏覽器中輸入「https://網站域名」就能訪問該網站。
http://wenku..com/link?url=R-_
⑶ 如何在WEB瀏覽器和WEB伺服器之間建立安全通道實現高安全性
https,不過一般公司很少用。
⑷ 伺服器如何保護數據安全
伺服器安全這問題,很重要,之前伺服器被黑,在網上搜索了一些伺服器安全設置以及防黑的文章,對著文章,我一個一個的設置起來,費了好幾天的時間才設置完,原以為會防止伺服器再次被黑,沒想到伺服器竟然癱瘓了,網站都打不開了,無奈對伺服器安全也是一竅不通,損失真的很大,資料庫都損壞了,我哪個後悔啊。娘個咪的。最後還是讓機房把系統重裝了。找了幾個做網站伺服器方面的朋友,咨詢了關於伺服器被黑的解決辦法,他們都建議我找專業做伺服器安全的安全公司來給做安全維護,也一致的推薦了sinesafe,伺服器被黑的問題,才得以解決。
一路的走來,才知道,伺服器安全問題可不能小看了。經歷了才知道,伺服器安全了給自己帶來的也是長遠的利益。 希望我的經歷能幫到樓主,幫助別人也是在幫助我自己。
下面是一些關於安全方面的建議!
建站一段時間後總能聽得到什麼什麼網站被掛馬,什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未做好。
一:掛馬預防措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、定期對網站進行安全的檢測,具體可以利用網上一些工具,如sinesafe網站掛馬檢測工具!
序,只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程
二:掛馬恢復措施:
1.修改帳號密碼
不管是商業或不是,初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號
密碼就不要在使用以前你習慣的,換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用
SQL的話應該使用特別點的帳號密碼,不要在使用什麼什麼admin之類,否則很容易被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步:修改後台里的驗證文件的名稱。
第二步:修改conn.asp,防止非法下載,也可對資料庫加密後在修改conn.asp。
第三步:修改ACESS資料庫名稱,越復雜越好,可以的話將數據所在目錄的換一下。
4.限制登陸後台IP
此方法是最有效的,每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯,安全第一嘛。
5.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛,可能會向不明來意者傳送對方想要的信息。
6.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞,好壞你我心裡該有把秤。
7.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。
8. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐,不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次,下載了備份文件後應該及時刪除主機上的備份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理,查看所有目錄體積,最後修改時間以及文件數,檢查是文件是否有異常,以及查看是否有異常的賬號。
⑸ 如何用 SSL 加固網站安全
直接申請並安裝SSL證書就行了。
SSL安全證書簡單講HTTPS是一種加密傳輸、身份認證的網路通信協議,通過在客戶端瀏覽器與WEB伺服器之間建立一條SSL安全通道,其作用就是對網路傳輸中的數據進行記錄和加密,防止數據被截取或竊聽,從而保證網路數據傳輸的安全性。
1份SSL證書包括一個公共密鑰和一個私用密鑰:公共密鑰主要用於信息加密,私用密鑰主要用於解譯加密信息。當瀏覽器指向一個安全域時,安裝證書後SSL會同步確認客戶端和伺服器,並在兩者之間建立一種加密方式和一個唯一的會話密鑰,這樣便可保證通話雙方信息的完整性和保密性。現在互聯網中大部分還是傳統的HTTP傳輸協議,使用這類協議無法保證傳輸信息的安全性,相當於信息處於「裸奔」狀態中,這在當前的網路里具有非常大的安全隱患。而HTTPS協議能對傳輸的互聯網信息進行加密處理,從而在一定程度上保證了信息的安全性,也不會在傳輸過程中輕易被黑客獲取。
⑹ 如何建立安全的遠程訪問通道
1、打開抄anydesk軟體,在我們自己的ID下面找到工作台密碼更改,點擊這個超鏈接進入。
⑺ 如何在 Web 伺服器上建立 SSL
全套接字層 (SSL)
是一套提供身份驗證、保密性和數據完整性的加密技術。SSL 最常用來在
Web 瀏覽器和 Web
伺服器之間建立安全通信通道。它也可以在客戶端應用程序和 Web
服務之間使用。
為支持 SSL 通信,必須為 Web 伺服器配置 SSL
證書。本章介紹如何獲取 SSL 證書,以及如何配置 Microsoft Internet
信息服務 (IIS),以便支持 Web 瀏覽器和其他客戶端應用程序之間使用 SSL
安全地進行通信。
生成證書申請
此過程創建一個新的證書申請,此申請可發送到證書頒發機構 (CA)
進行處理。如果成功,CA 將給您發回一個包含有效證書的文件。
生成證書申請
1.
啟動 IIS Microsoft 管理控制台 (MMC) 管理單元。
2.
展開 Web 伺服器名,選擇要安裝證書的 Web 站點。
3.
右鍵單擊該 Web 站點,然後單擊「屬性」。
4.
單擊「目錄安全性」選項卡。
5.
單擊「安全通信」中的「伺服器證書」按鈕,啟動 Web
伺服器證書向導。
注意:如果「伺服器證書」不可用,可能是因為您選擇了虛擬目錄、目錄或文件。返回第
2 步,選擇 Web 站點。
6.
單擊「下一步」跳過歡迎對話框。
7.
單擊「創建一個新證書」,然後單擊「下一步」。
8.
該對話框有以下兩個選項:
"
「現在准備申請,但稍後發送」
該選項總是可用的。
"
「立即將申請發送到在線證書頒發機構」
僅當 Web 伺服器可以在配置為頒發 Web 伺服器證書的 Windows 2000
域中訪問一個或多個 Microsoft
證書伺服器時,該選項才可用。在後面的申請過程中,您有機會從列表中選擇將申請發送到的頒發機構。
單擊「現在准備申請,但稍後發送」,然後單擊「下一步」。
9.
在「名稱」欄位中鍵入證書的描述性名稱,在「位長」欄位中鍵入密鑰的位長,然後單擊「下一步」。
向導使用當前 Web
站點名稱作為默認名稱。它不在證書中使用,但作為友好名稱以助於管理員識別。
10.
在「組織」欄位中鍵入組織名稱(例如
Contoso),在「組織單位」欄位中鍵入組織單位(例如「銷售部」),然後單擊「下一步」。
注意:這些信息將放在證書申請中,因此應確保它的正確性。CA
將驗證這些信息並將其放在證書中。瀏覽您的 Web
站點的用戶需要查看這些信息,以便決定他們是否接受證書。
11.
在「公用名」欄位中,鍵入您的站點的公用名,然後單擊「下一步」。
重要說明:公用名是證書最後的最重要信息之一。它是 Web
站點的 DNS
名稱(即用戶在瀏覽您的站點時鍵入的名稱)。如果證書名稱與站點名稱不匹配,當用戶瀏覽到您的站點時,將報告證書問題。
如果您的站點在 Web 上並且被命名為
www.contoso.com,這就是您應當指定的公用名。
如果您的站點是內部站點,並且用戶是通過計算機名稱瀏覽的,請輸入計算機的
NetBIOS 或 DNS 名稱。
12.
在「國家/地區」、「州/省」和「城市/縣市」等欄位中輸入正確的信息,然後單擊「下一步」。
13.
輸入證書申請的文件名。
該文件包含類似下面這樣的信息。
-----BEGIN NEW CERTIFICATE REQUEST-----
...
-----END NEW CERTIFICATE REQUEST-----
這是您的證書申請的 Base 64
編碼表示形式。申請中包含輸入到向導中的信息,還包括您的公鑰和用您的私鑰簽名的信息。
將此申請文件發送到 CA。然後 CA
會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA
也驗證申請中提供的信息。
當您將申請提交到 CA 後,CA
將在一個文件中發回證書。然後您應當重新啟動 Web 伺服器證書向導。
14.
單擊「下一步」。該向導顯示證書申請中包含的信息概要。
15.
單擊「下一步」,然後單擊「完成」完成申請過程。
證書申請現在可以發送到 CA 進行驗證和處理。當您從 CA
收到證書響應以後,可以再次使用 IIS 證書向導,在 Web
伺服器上繼續安裝證書。
提交證書申請
此過程使用 Microsoft
證書服務提交在前面的過程中生成的證書申請。
"
提交證書申請
1.
使用「記事本」打開在前面的過程中生成的證書文件,將它的整個內容復制到剪貼板。
2.
啟動 Internet Explorer,導航到
http://hostname/CertSrv,其中 hostname 是運行
Microsoft 證書服務的計算機的名稱。
3.
單擊「申請一個證書」,然後單擊「下一步」。
4.
在「選擇申請類型」頁中,單擊「高級申請」,然後單擊「下一步」。
5.
在「高級證書申請」頁中,單擊「使用 Base64 編碼的 PKCS#10
文件提交證書申請」,然後單擊「下一步」。
6.
在「提交一個保存的申請」頁中,單擊「Base64 編碼的證書申請(PKCS
#10 或 #7)」文本框,按住
CTRL+V,粘貼先前復制到剪貼板上的證書申請。
7.
在「證書模板」組合框中,單擊「Web 伺服器」。
8.
單擊「提交」。
9.
關閉 Internet Explorer。
頒發證書
"
頒發證書
1.
從「管理工具」程序組中啟動「證書頒發機構」工具。
2.
展開您的證書頒發機構,然後選擇「掛起的申請」文件夾。
3.
選擇剛才提交的證書申請。
4.
在「操作」菜單中,指向「所有任務」,然後單擊「頒發」。
5.
確認該證書顯示在「頒發的證書」文件夾中,然後雙擊查看它。
6.
在「詳細信息」選項卡中,單擊「復制到文件」,將證書保存為 Base-64
編碼的 X.509 證書。
7.
關閉證書的屬性窗口。
8.
關閉「證書頒發機構」工具。
在 Web 伺服器上安裝證書
此過程在 Web 伺服器上安裝在前面的過程中頒發的證書。
"
在 Web 伺服器上安裝證書
1.
如果 Internet 信息服務尚未運行,則啟動它。
2.
展開您的伺服器名稱,選擇要安裝證書的 Web 站點。
3.
右鍵單擊該 Web 站點,然後單擊「屬性」。
4.
單擊「目錄安全性」選項卡。
5.
單擊「伺服器證書」啟動 Web 伺服器證書向導。
6.
單擊「處理掛起的申請並安裝證書」,然後單擊「下一步」。
7.
輸入包含 CA 響應的文件的路徑和文件名,然後單擊「下一步」。
8.
檢查證書概述,單擊「下一步」,然後單擊「完成」。
現在,已在 Web 伺服器上安裝了證書。
將資源配置為要求 SSL 訪問
此過程使用 Internet 服務管理器,將虛擬目錄配置為要求 SSL
訪問。您可以為特定的文件、目錄或虛擬目錄要求使用
SSL。客戶端必須使用 HTTPS 協議訪問所有這類資源。
"
將資源配置為要求 SSL 訪問
1.
如果 Internet 信息服務尚未運行,則啟動它。
2.
展開您的伺服器名稱和 Web 站點。(這必須是已安裝證書的 Web
站點)
3.
右鍵單擊某個虛擬目錄,然後單擊「屬性」。
4.
單擊「目錄安全性」選項卡。
5.
單擊「安全通信」下的「編輯」。
6.
單擊「要求安全通道 (SSL)」。
現在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。
7.
單擊「確定」,然後再次單擊「確定」關閉「屬性」對話框。
8.
關閉 Internet 信息服務。
⑻ 如何構建安全的遠程登錄伺服器(上)
這個文件的每一行包含「關鍵詞-值」的匹配,其中「關鍵詞」是忽略大小寫的。下面列出來的是最重要的關鍵詞,用man命令查看幫助頁(sshd (8))可以得到詳細的列表。編輯「sshd_config」文件(vi /etc/ssh/sshd_config),加入或改變下面的參數: 下面逐行說明上面的選項設置: Port 22 :「Port」設置sshd監聽的埠號。 ListenAddress 192.168.1.1 :「ListenAddress」設置sshd伺服器綁定的IP地址。 HostKey /etc/ssh/ssh_host_key :「HostKey」設置包含計算機私人密匙的文件。 ServerKeyBits 1024:「ServerKeyBits」定義伺服器密匙的位數。 LoginGraceTime 600 :「LoginGraceTime」設置如果用戶不能成功登錄,在切斷連接之前伺服器需要等待的時間(以秒為單位)。 KeyRegenerationInterval 3600 :「KeyRegenerationInterval」設置在多少秒之後自動重新生成伺服器的密匙(如果使用密匙)。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。 PermitRootLogin no :「PermitRootLogin」設置root能不能用ssh登錄。這個選項盡量不要設成「yes」。 IgnoreRhosts yes :「IgnoreRhosts」設置驗證的時候是否使用「rhosts」和「shosts」文件。 IgnoreUserKnownHosts yes :「IgnoreUserKnownHosts」設置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的「$HOME/.ssh/known_hosts」 StrictModes yes :「StrictModes」設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的許可權和所有權。這通常是必要的,因為新手經常會把自己的目錄和文件設成任何人都有寫許可權。 X11Forwarding no :「X11Forwarding」設置是否允許X11轉發。 PrintMotd yes :「PrintMotd」設置sshd是否在用戶登錄的時候顯示「/etc/motd」中的信息。 SyslogFacility AUTH :「SyslogFacility」設置在記錄來自sshd的消息的時候,是否給出「facility code」。 LogLevel INFO :「LogLevel」設置記錄sshd日誌消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁,已獲取更多的信息。 RhostsAuthentication no :「RhostsAuthentication」設置只用rhosts或「/etc/hosts.equiv」進行安全驗證是否已經足夠了。 RhostsRSAAuthentication no :「RhostsRSA」設置是否允許用rhosts或「/etc/hosts.equiv」加上RSA進行安全驗證。 RSAAuthentication yes :「RSAAuthentication」設置是否允許只有RSA安全驗證。 PasswordAuthentication yes :「PasswordAuthentication」設置是否允許口令驗證。 PermitEmptyPasswords no:「PermitEmptyPasswords」設置是否允許用口令為空的帳號登錄。 AllowUsers admin :「AllowUsers」的後面可以跟著任意的數量的用戶名的匹配串(patterns)或user@host這樣的匹配串,這些字元串用空格隔開。主機名可以是DNS名或IP地址。 /etc/ssh/ssh_config 配置「/etc/ssh/ssh_config」文件是OpenSSH系統范圍的配置文件,允許你通過設置不同的選項來改變客戶端程序的運行方式。這個文件的每一行包含「關鍵詞-值」的匹配,其中「關鍵詞」是忽略大小寫的。 下面列出來的是最重要的關鍵詞,用man命令查看幫助頁(ssh (1))可以得到詳細的列表。 編輯「ssh_config」文件(vi /etc/ssh/ssh_config),添加或改變下面的參數: 下面逐行說明上面的選項設置: Host * :選項「Host」只對能夠匹配後面字串的計算機有效。「*」表示所有的計算機。 ForwardAgent no :「ForwardAgent」設置連接是否經過驗證代理(如果存在)轉發給遠程計算機。 ForwardX11 no :「ForwardX11」設置X11連接是否被自動重定向到安全的通道和顯示集(DISPLAY set)。 RhostsAuthentication no :「RhostsAuthentication」設置是否使用基於rhosts的安全驗證。 RhostsRSAAuthentication no :「RhostsRSAAuthentication」設置是否使用用RSA演算法的基於rhosts的安全驗證。 RSAAuthentication yes :RSAAuthentication」設置是否使用RSA演算法進行安全驗證。 PasswordAuthentication yes :「PasswordAuthentication」設置是否使用口令驗證。 FallBackToRsh no:「FallBackToRsh」設置如果用ssh連接出現錯誤是否自動使用rsh。 UseRsh no :「UseRsh」設置是否在這台計算機上使用「rlogin/rsh」。 BatchMode no :「BatchMode」如果設為「yes」,passphrase/password(互動式輸入口令)的提示將被禁止。當不能互動式輸入口令的時候,這個選項對腳本文件和批處理任務十分有用。 CheckHostIP yes :「CheckHostIP」設置ssh是否查看連接到伺服器的主機的IP地址以防止DNS欺騙。建議設置為「yes」。
⑼ 對於網路安全要求較高的伺服器(如銀行網上服務),如何設置HTTPS
HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容請看SSL。
它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。
它是由Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作,並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的安全套接字層(SSL)作為HTTP應用層的子層。(HTTPS使用埠443,而不是象HTTP那樣使用埠80來和TCP/IP進行通信。)SSL使用40 位關鍵字作為RC4流加密演算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證,如果需要的話用戶可以確認發送者是誰。
也就是說它的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。
限制
它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際加密演算法的支持.
一種常見的誤解是「銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊。」實際上,與伺服器的加密連接中能保護銀行卡號的部分,只有用戶到伺服器之間的連接及伺服器自身。並不能絕對確保伺服器自己是安全的,這點甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶數據時發生,攻擊者嘗試竊聽數據於傳輸中。
商業網站被人們期望迅速盡早引入新的特殊處理程序到金融網關,僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個資料庫里。那些資料庫和伺服器少數情況有可能被未授權用戶攻擊和損害。
國內相對比較的伺服器是 萬網的,要有錢可以買老外的伺服器
https 好象是收費的服務
⑽ 什麼是SSL如何使用
SSL證書,也稱為伺服器SSL證書,是遵守SSL協議的一種數字證書,由全球信任的證書頒發機構(CA)驗證伺服器身份後頒發。將SSL證書安裝在網站伺服器上,可實現網站身份驗證和數據加密傳輸雙重功能。
如何使用SSL:
SSL證書需要到CA機構申請,然後部署到網站的伺服器端,網站就可以實現ssl加密訪問了。