網(wǎng)絡(luò)釣魚攻擊一直是Internet中最嚴(yán)重的安全威脅之一����,發(fā)展到現(xiàn)在已經(jīng)存在許多種不同的釣魚攻擊方式。其中最主要的一種就是通過網(wǎng)頁偽裝手段冒充企業(yè)的電子商務(wù)網(wǎng)站�,然后通過各種手段欺騙用戶登錄至冒牌的網(wǎng)站上進(jìn)行商務(wù)交易,并以此來獲取受騙用戶的登錄帳號(hào)和密碼���,使用戶遭受金錢和名譽(yù)的雙重?fù)p失。
正是在電子交易網(wǎng)站的這種非常嚴(yán)峻的情勢(shì)下����,2007年2月,一種叫做擴(kuò)展SSL認(rèn)證(Extended Validation SSL Certificate)的認(rèn)證方式出現(xiàn)在人們的視野中���。EV-SSL是在SSL的基礎(chǔ)上發(fā)展而來的���,它是全球領(lǐng)先的數(shù)字證書頒發(fā)機(jī)構(gòu)和主流的WEB瀏覽器廠商共同制定的一個(gè)新的SSL認(rèn)證標(biāo)準(zhǔn)。EV-SSL證書由受信任的第三方證書頒發(fā)機(jī)構(gòu)頒發(fā)�,在與WEB服務(wù)器進(jìn)行無縫集成后,不僅可以為用戶和WEB服務(wù)器之間的網(wǎng)絡(luò)通信數(shù)據(jù)提供128位或256位SSL鏈路級(jí)加密�����,又可以通過此證書機(jī)構(gòu)頒發(fā)的中間級(jí)證書來驗(yàn)證WEB服務(wù)器身份的真實(shí)性����。
一旦某個(gè)WEB站點(diǎn)使用了EV-SSL認(rèn)證���,當(dāng)用戶瀏覽此WEB站點(diǎn)時(shí),就會(huì)在用戶的WEB瀏覽器中顯示出此證書的頒發(fā)機(jī)構(gòu)標(biāo)志�����。并且�����,現(xiàn)在一些主流的WEB瀏覽器�����,例如IE7及以上�����、Firefox3.0及以上等���,會(huì)將通過EV-SSL認(rèn)證的WEB站點(diǎn)的URL地址在其地址欄中顯示為綠色����。如圖1所示���。這樣就讓用戶一眼就知道當(dāng)前瀏覽的網(wǎng)站是安全的和真實(shí)可靠的�����。
圖1以綠色顯示的IE7地址欄
在本文中�,我將以Resin為例向大家描述如何使用EV-SSL認(rèn)證。與應(yīng)用傳統(tǒng)的第三方SSL認(rèn)證一樣�,EV-SSL的應(yīng)用也需要經(jīng)過生成證書請(qǐng)求文件���、注冊(cè)購買證書��、安裝證書和備份/恢復(fù)證書這一系列的過程��。
1���、生成EV-SSL認(rèn)證的私鑰
想要Resin可以響應(yīng)EV-SSL請(qǐng)求,我們就必需保證WEB服務(wù)器上已經(jīng)安裝好了相關(guān)的SSL套件�。對(duì)于中小企業(yè)來說,開源免費(fèi)的OpenSSL提供與SSL相同的認(rèn)證功能���。
OpenSSL的Linux版本可以在www.openssl.org網(wǎng)站上下載��,F(xiàn)在它的最新版本是OpenSSL 0.9.8j����。Linux系統(tǒng)下的Resin是通過libexec/libresinssl.so JNI庫文件提供對(duì)OpenSSL的支持。
如果我們是在Windows系統(tǒng)中使用Resin���,那么���,我們同樣需要在此操作系統(tǒng)下先安裝好OpenSSL。Windows下的OpenSSL在www.slproweb.com/products/Win32OpenSSL.html下載��,它的最新安裝文件是Win32OpenSSL-0_9_8j.exe��,其大小為7MB左右�。在Windows系統(tǒng)下,Resin的resinssl.dll文件中包含提供對(duì)OpenSSL支持的代碼���。因此��,在Windows系統(tǒng)下只需要安裝好OpenSSL就可以讓Resin使用它了���。OpenSSL在Windows系統(tǒng)下很容易安裝,就如同安裝其它的應(yīng)用程序一樣簡單�。
不過,在Windows系統(tǒng)下安裝完OpenSSL后�����,還應(yīng)當(dāng)將一些需要的DLL文件復(fù)制到Resin的根目錄當(dāng)中。現(xiàn)在假設(shè)Resin安裝在c:\resin-pro-3.2.1目錄���,OpenSSL安裝在c:\Program Files\GnuWin32目錄����,F(xiàn)在打開系統(tǒng)開始菜單的“運(yùn)行”對(duì)話框����,在運(yùn)行框中輸入CMD命令��,回車后進(jìn)入命令行終端界面��。然后在命令行終端下就可以通過下列所示的命令將OpenSSL安裝目錄下的相關(guān)文件復(fù)制到Resin的根目錄下:
cd resin-pro-3.2.1
copy c:\Program Files\GnuWin32\bin\libssl32.dll c:\ resin-pro-3.2.1\libssl32.dll
copy c:\Program Files\GnuWin32\bin\libeay32.dll c:\ resin-pro-3.2.1\libeay32.dll
當(dāng)OpenSSL安裝和配置好以后�,就可以通過它來為EV-SSL認(rèn)證生成私鑰,生成后的私鑰文件應(yīng)當(dāng)保存到相應(yīng)的Resin目錄中����。因此,在生成密鑰前�,我們可以在Resin根目錄中創(chuàng)建一個(gè)keys子目錄用來保存將要?jiǎng)?chuàng)建的私鑰文件。
在生成私鑰時(shí)�����,OpenSSL會(huì)根據(jù)其配置文件中設(shè)置的內(nèi)容來生成。在類Linux系統(tǒng)下���,這個(gè)缺省的配置文件可能在usr/ssl/openssl.cnf或/usr/share/ssl/openssl.cnf下����。而Windows系統(tǒng)中不存在這樣的文件�����。
在WEB服務(wù)器上創(chuàng)建私鑰時(shí)����,會(huì)要求我們輸入相應(yīng)的密碼,這個(gè)密碼將會(huì)在我們使用創(chuàng)建的私鑰時(shí)要求被輸入�。因此要牢記這個(gè)密碼并妥善地保管它。我們還必需將這個(gè)密碼加入到Resin的配置文件當(dāng)中���。
在Windows系統(tǒng)下創(chuàng)建私鑰時(shí)����,先打開系統(tǒng)開始菜單中的“運(yùn)行”對(duì)話框,在其中輸入CMD���,回車后進(jìn)入系統(tǒng)的命令行終端窗口�����。然后用CD命令切換到OpenSSL安裝目錄��,再用下列命令產(chǎn)生私鑰:
keytool –genkey –alias myevssl –keyalg RSA –keysize 1024 –keystore c:\ resin-pro-3.2.1\key\myprikey.key
其中�����,-genkey參數(shù)為產(chǎn)生密鑰對(duì);-alias參數(shù)后為私鑰別名; -keyalg參數(shù)后為密鑰算法;-keysize參數(shù)后為密鑰位數(shù);-keystore參數(shù)后為私鑰存儲(chǔ)路徑和文件名�����。
輸入上述命令后按回車鍵就會(huì)開始EV-SSL私鑰的生成過程�,在私鑰生成過程中會(huì)出現(xiàn)在些需要我們輸入相應(yīng)內(nèi)容的提示��,例如網(wǎng)站域名及密碼等��,這些都必需根據(jù)提示真實(shí)輸入���。在本例中,完成私鑰生成后,私鑰文件就會(huì)以命令中指定的myprikey.key文件名保存到指定的c:\ resin-pro-3.2.1\key目錄中�����。2�、成證書請(qǐng)求文件(CSR)
得到EV-SSL認(rèn)證的私鑰后,接下來就是要生成一個(gè)申請(qǐng)第三方EV-SSL認(rèn)證證書的證書請(qǐng)求文件(Certificate Sign Request)��,簡稱CSR��。證書請(qǐng)求文件中包含有EV-SSL證書的公鑰���、名稱���、加密位數(shù)、地址和網(wǎng)站域名等信息���。這個(gè)證書請(qǐng)求文件我們將會(huì)在注冊(cè)購買EV-SSL證書時(shí)提交給證書頒發(fā)機(jī)構(gòu)����,而證書的私鑰將由我們自己保管在
WEB服務(wù)器上��。
在Windows系統(tǒng)下創(chuàng)建證書請(qǐng)求文件時(shí)�����,先要打開系統(tǒng)開始菜單中的“運(yùn)行”對(duì)話框,在其中輸入CMD�����,回車后進(jìn)入系統(tǒng)的命令行終端窗口���。然后用CD命令切換到OpenSSL安裝目錄���,再用下列命令生成EV-SSL的證書請(qǐng)求文件:
keytool –certreq –alias myevsslcsr –sigalg MD5withRSA –file c:\ resin-pro-3.2.1\key\myevssl.csr –keypass password –keystore c:\ resin-pro-3.2.1\key\myprikey.key –storepass password
其中,-certreq參數(shù)指生成證書請(qǐng)求文件;-alias參數(shù)后為證書別名;-sigalg參數(shù)后為密鑰算法;-file參數(shù)后為證書請(qǐng)求文件的輸出路徑和文件名;-keypass參數(shù)后為密鑰保護(hù)密碼;-keystore參數(shù)后為私鑰存儲(chǔ)路徑及文件名;-storepass參數(shù)后為存儲(chǔ)密碼��。
同樣�,在生成證書請(qǐng)求文件的過程中會(huì)要求我們按提示輸入相關(guān)信息,這些需要我們輸入的信息必需按要求真實(shí)輸入����。在本例中,完成證書請(qǐng)求文件的生成工作后��,就會(huì)在c:\ resin-pro-3.2.1\key目錄下得到一個(gè)名為myevssl.csr的證書請(qǐng)求文件��。
3��、 注冊(cè)和購買EV-SSL證書
生成完證書請(qǐng)求文件后�����,接下來就是選擇一個(gè)第三方證書頒發(fā)機(jī)構(gòu)注冊(cè)并購買其證書��。在本文中我將以向天威誠信注冊(cè)VeriSign的128位EV-SSL證書為例做具體的介紹說明�����。一個(gè)具體的EV-SSL注冊(cè)購買過程需要經(jīng)過確認(rèn)域名�、確認(rèn)付款方式、生成證書請(qǐng)求文件����、提交證書請(qǐng)求文件和完成注冊(cè)這5個(gè)步驟。
下面就是具體的注冊(cè)和購買EV-SSL證書的過程:
首先�����,在WEB瀏覽器地址欄中輸入:https://digitalid.itrus.com.cn/GlobalServer/globalserver/index.html���,就可以進(jìn)入如圖2所示的天威誠信公司網(wǎng)站的128位EV-SSL證書注冊(cè)頁面��。
圖2 EV-SSL證書開始注冊(cè)界面
在此EV-SSL證書的注冊(cè)和購買過程的最初兩個(gè)步驟中�,當(dāng)我們按網(wǎng)站提供的注冊(cè)要求完成域名驗(yàn)證和填寫付款方式后,就會(huì)出現(xiàn)如圖3所示的生成證書請(qǐng)求(CSR)界面�。由于我們已經(jīng)通過WEB服務(wù)器生成了證書請(qǐng)求文件,那么����,現(xiàn)在就可以直接單擊此界面中的“下一步”按鈕繼續(xù)下一步的注冊(cè)過程。
圖3 生成證書請(qǐng)求界面
接下來就會(huì)出現(xiàn)一個(gè)如圖4所示的提交證書請(qǐng)求文件界面���。此時(shí)�����,我們先用記事本打開前面已經(jīng)生成的證書請(qǐng)求文件����,在本文中就是“c:\ resin-pro-3.2.1\key\myevssl.csr”文件���。然后將其中所有的內(nèi)容全部復(fù)制到證書請(qǐng)求文件提交界面中的文本框中����。完成后單擊“下一步”按鈕繼續(xù)其注冊(cè)過程��。
圖4 提交證書請(qǐng)求文件界面
此時(shí)�����,就會(huì)出現(xiàn)一個(gè)完成注冊(cè)的界面�。在此界面中通過下拉條往下拉,當(dāng)出現(xiàn)如圖5界面所示的位置時(shí)��,在選擇服務(wù)器軟件供應(yīng)下拉框中選擇WEB服務(wù)器軟件的供應(yīng)商���。例如����,IIS6的軟件供應(yīng)商就是Microsoft(微軟)����。在這個(gè)注冊(cè)步驟,我們必需正確地選擇WEB服務(wù)器的軟件供應(yīng)商����,這樣,證書頒發(fā)機(jī)構(gòu)才能將與WEB服務(wù)器兼容的正確證書頒發(fā)給我們����。
圖5 選擇服務(wù)器軟件供應(yīng)商界面
完成服務(wù)器軟件供應(yīng)商的選擇后,繼續(xù)向下拉下拉條�����。接下來會(huì)依次出現(xiàn)要求輸入技術(shù)聯(lián)系人信息、輸入單位聯(lián)系人信息和輸入付款聯(lián)系人信息的部分����。在這些需要填入相應(yīng)聯(lián)系人信息的位置,我們都必需按要求填入真實(shí)有效的聯(lián)系人信息���,以便證書能正確送達(dá)����。其中的技術(shù)聯(lián)系人信息一定填寫一個(gè)真實(shí)可靠的E-Mail地址���,以便在注冊(cè)后證書頒發(fā)機(jī)構(gòu)能夠?qū)⒋_認(rèn)郵件發(fā)送給技術(shù)人員確認(rèn)��,以及此郵箱將最終接收證書頒發(fā)機(jī)構(gòu)發(fā)送過來的EV-SSL證書��。
完成三種聯(lián)系人信息的輸入后繼續(xù)往下拉���,就會(huì)出現(xiàn)如圖6所示的要求輸入企業(yè)機(jī)構(gòu)代碼的界面。在此界面中����,我們必需在“代碼”文本框中正確輸入組織機(jī)構(gòu)代碼證上的代碼�����,此代碼是一個(gè)由9位數(shù)據(jù)組成數(shù)字串���。
圖6 輸入組織機(jī)構(gòu)代碼界面
當(dāng)完成注冊(cè)界面中的所有工作全部完成后�,單擊此界面中的“接受”按鈕就可以完成整個(gè)EV-SSL證書的申請(qǐng)注冊(cè)和購買過程。
如果我們真的在天威誠信網(wǎng)站完成了EV-SSL證書的注冊(cè)申請(qǐng)工作���,天威誠信將經(jīng)過1-3個(gè)工作日來核實(shí)和確認(rèn)付款等工作���。天威誠信會(huì)在EV-SSL證書的注冊(cè)申請(qǐng)?zhí)峤缓螅o我們填寫的技術(shù)聯(lián)系人的電子郵箱中發(fā)送一封確認(rèn)購買證書的郵件��,技術(shù)聯(lián)系人必需按郵件中提示的內(nèi)容進(jìn)行相應(yīng)的確認(rèn)����。如果技術(shù)聯(lián)系人沒有按郵件中內(nèi)容的要求確信證書購買,那么�,天威誠信將不會(huì)將證書頒發(fā)給我們。同時(shí)��,在這封確認(rèn)證書購買的郵件中�,還包含了購買證書的個(gè)人身份證號(hào)碼(PIN)�����,我們可以通過它去確認(rèn)當(dāng)前的證書訂單狀態(tài)���。4、 獲取EV-
SSL證書
當(dāng)我們所有的證書注冊(cè)工作正確完成�,并按要求付款后,證書機(jī)構(gòu)(本例中為天威誠信)就會(huì)將一封包含有EV-SSL證書的電子郵件發(fā)送到技術(shù)聯(lián)系人的郵箱當(dāng)中�����。我們現(xiàn)在要做的���,就是打開電子郵件����,將此郵件內(nèi)容中從“-----BEGIN CERTIFICATE-----”字段開始(包括此字段)到“-----END CERTIFICATE-----”字段(包括此字段)止的所有文本內(nèi)容復(fù)制好�����,然后粘貼到記事本中�����,并以“myevssl.crt”的EV-SSL證書名保存到“c:\ resin-pro-3.2.1\key”目錄下。當(dāng)然�,此證書文件的名稱可以由我們自由決定。
5���、 安裝EV-SSL根證書
現(xiàn)在我們已經(jīng)得到了EV-SSL證書�����,接下來的工作就是將其安裝到我們所使用的WEB服務(wù)器當(dāng)中。在本文中就是安裝到使用IIS6的WEB服務(wù)器中�。
打開IIS6服務(wù)器的管理控制臺(tái),右鍵網(wǎng)站的域名���,在彈出的右鍵菜單中選擇“屬性”菜單進(jìn)入其屬性界面���。然后在屬性界面中單擊“目錄安全性”選項(xiàng)框,在隨即出現(xiàn)的界面中單擊“服務(wù)器證書”按鈕�����,就會(huì)開始一個(gè)IIS6證書向?qū)��。在此證書向?qū)У牡谝粋(gè)界面中選擇“掛起證書請(qǐng)求”單項(xiàng)選擇項(xiàng),然后單擊“下一步”按鈕就會(huì)出現(xiàn)如圖7所示的掛起證書請(qǐng)求的界面�。在此界面中選擇“處理掛起的請(qǐng)求并安裝證書”單項(xiàng)選擇項(xiàng),然后單擊下一步按鈕繼續(xù)下一步的證書安裝過程����。
圖7 掛起證書請(qǐng)求界面
接下來就會(huì)出現(xiàn)如圖8所示的要求輸入要安裝的EV-SSL證書的界面。在此界面中單擊“瀏覽”按鈕��,導(dǎo)航到我們保存的證書的位置��,并選擇獲得的EV-SSL證書文件(在本文中就是c:\ resin-pro-3.2.1\key\ myevssl.crt)���。完成后單擊“下一步”按鈕繼續(xù)安裝證書的過程����。
圖8 指定EV-SSL根證書文件界面
此時(shí)����,就會(huì)出現(xiàn)一個(gè)如圖9所示的指定SSL連接端口的界面。SSL默認(rèn)的端口是443�����,此端口可以保護(hù)默認(rèn)��,以便不了解的用戶可以直接通過此默認(rèn)端口連接服務(wù)器。在此界面中單擊“下一步”按鈕就可以完成EV-SSL的安裝過程���。
圖9 指定SSL連接端口界面6��、 安裝中間級(jí)證書
在安裝完EV-SSL根證書后����,要想WEB服務(wù)器能夠被用戶瀏覽器所信任��,我們就必需再為此WEB服務(wù)器安裝一個(gè)中間級(jí)證書����。安裝這個(gè)中間級(jí)證書的作用就是以此來形成一個(gè)證書鏈,使瀏覽器信任這個(gè)WEB服務(wù)器����。
首先��,從http://www.itrus.com.cn/products/server/golbalmediumca.asp 得到天威誠信提供的服務(wù)器中間證書��,并保存為一個(gè)“crt”類型的文件��,例如本文中的myiterevssl.crt�,同樣,文件名可以由我們自己決定。
得到中間證書后���,接下來就是將它導(dǎo)入到證書管理器中����。仍以IIS6服務(wù)器為例說明���。先打開Windows系統(tǒng)開始菜單中的“運(yùn)行”對(duì)話框�����,在其中輸入“MMC”后回車就可以進(jìn)入系統(tǒng)控制臺(tái)�。進(jìn)入系統(tǒng)控制臺(tái)后��,通過控制臺(tái)文件菜單中的“添加/刪除管理單元”添加證書管理控制臺(tái)��。圖10就是證書管理控制臺(tái)的界面��。
圖10 證書管理控制臺(tái)界面
在證書管理控制臺(tái)界面中展開“中級(jí)證書頒發(fā)機(jī)構(gòu)”�,在打開的下級(jí)菜單中右擊“證書”,在彈出的右鍵菜單中選擇“所有任務(wù)”—“導(dǎo)入”菜單�,就可以打開一個(gè)證書導(dǎo)入向?qū)А0醋C書導(dǎo)入向?qū)У奶崾緦⑸厦姹4婧玫闹虚g級(jí)證書“myiterevssl.crt”導(dǎo)入即可完成中間級(jí)證書的安裝工作��。
7、 修改Resin配置文件
要想Resin能夠使用EV-SSL認(rèn)證�,我們還必需對(duì)其配置文件resin.conf做相應(yīng)的設(shè)置。具體要配置的內(nèi)容包括:
...
c:\ resin-pro-3.2.1\key\ myevssl.crt
c:\ resin-pro-3.2.1\key\myprikey.key
password
其中���,中的內(nèi)容表示EV-SSL連接使用的默認(rèn)端口號(hào)����,如果沒有特別要求�,可以保持默認(rèn)。和之間的內(nèi)容填入Resin可以使用的EV-SSL認(rèn)證公鑰��,在這里為c:\ resin-pro-3.2.1\key\ myevssl.crt����。和之間的內(nèi)容填入Resin可以使用的私鑰,在本文中為c:\ resin-pro-3.2.1\key\myprikey.key�����。至于 和之間就是填入我們?cè)趧?chuàng)建私鑰時(shí)設(shè)置的密碼��。8����、備份和恢復(fù)EV-SSL證書
當(dāng)WEB服務(wù)器操作系統(tǒng)或軟件出現(xiàn)故障需要重新安裝操作系統(tǒng)或軟件時(shí),為了免除每次安裝兩個(gè)證書的過程�����,我們就有必要將EV-SSL證書和中間級(jí)證書都進(jìn)行備份����,以便不時(shí)之需。下面的說明仍以IIS6服務(wù)器為例����。
(1)、EV-SSL和中間級(jí)證書的備份
EV-SSL和中間級(jí)證書的備份都可以在證書系統(tǒng)管理控制臺(tái)中完成�。具體操作如下:
在系統(tǒng)開始菜單的“運(yùn)行”框中輸入“MMC”打開系統(tǒng)管理控制臺(tái),通過其“文件”菜單中的“添加/刪除管理單元”菜單項(xiàng)將“證書”管理控制單元添加進(jìn)來��。
在證書管理控制單元中展開“個(gè)人”證書���,單擊個(gè)人證書下的“證書”菜單����,然后在證書管理控制臺(tái)右邊界面中用鼠標(biāo)右鍵單擊我們安裝的EV-SSL證書��。在彈出的右鍵菜單中選擇“導(dǎo)出”�����,就可以開始一個(gè)證書導(dǎo)出向?qū)А?/P>
在進(jìn)行證書導(dǎo)出時(shí),我們必需將私鑰一起導(dǎo)出���,并且還可以將證書所有路徑中的證書一起導(dǎo)出��,然后再為備份的證書設(shè)置一個(gè)密碼��。這樣���,備份的證書將保存為一個(gè)“pfx”類型的文件。
中間級(jí)證書的備份在證書管理控制臺(tái)的“中間級(jí)證書頒發(fā)機(jī)構(gòu)”項(xiàng)中選擇并導(dǎo)出����,其具體的操作過程與上述方式相同。
(2)恢復(fù)EV-SSL和中間級(jí)證書
當(dāng)我們備份好EV-SSL和中間級(jí)證書后���,如果需要重新安裝它們��,就可以直接在IIS6的管理控制臺(tái)中完成�。我們可以打開IIS6管理控制臺(tái)��,進(jìn)入“目錄安全性”頁面���,在其中單擊“服務(wù)器證書”按鈕�,在打開的證書向?qū)е羞x擇“從.pfx文件導(dǎo)入證書”的單項(xiàng)選擇項(xiàng)���,然后按提示將保存的證書備份導(dǎo)入即可��。
在導(dǎo)入證書備份文件時(shí)需要我們指定證書備份文件的具
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營銷知識(shí)
常見技術(shù)問題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)
