運(yùn)維服務(wù)器的人都知道,為了保障服務(wù)器數(shù)據(jù)的安全,需要進(jìn)行服務(wù)器加密設(shè)置,其中包括,IIS加密,服務(wù)器網(wǎng)關(guān)加密及可選的加密服務(wù)提供程序,本文詳細(xì)的介紹下它們是如何進(jìn)行加密設(shè)置的。
IIS加密
SSL確認(rèn)網(wǎng)站的真實(shí)性同時(shí)可有選擇地確認(rèn)正在訪問受限制網(wǎng)站用戶的身份。證書包括用于建立SSL安全連接的“密鑰”。“密鑰”是在建立SSL連接時(shí)驗(yàn)證服務(wù)器和客戶端的唯一值。“公鑰”和“私鑰”組成SSL“密鑰對”。Web服務(wù)器使用此密鑰對與用戶Web瀏覽器協(xié)商建立安全的連接,確定保護(hù)通訊所需的加密級別。
對于此類型的連接,Web服務(wù)器和用戶瀏覽器都應(yīng)該具有一致的加密、解密能力。在交換過程中,將創(chuàng)建加密密鑰或“會話”密鑰。服務(wù)器和Web瀏覽器都使用會話密鑰加密、解密傳輸信息。會話密鑰的加密程度或“強(qiáng)度”是使用“位”來測量的。最大的位號由會話密鑰、加密和安全的最大級組成。
盡管這些最大加密密鑰強(qiáng)度提供了最大的安全性,他們還是需要更多的服務(wù)器資源去實(shí)現(xiàn)。通常Web服務(wù)器的會話密鑰長度為40位,但是根據(jù)所需的安全等級也可以是128位。
服務(wù)器網(wǎng)關(guān)加密
服務(wù)器網(wǎng)關(guān)加密(SGC)使用128位加密為金融機(jī)構(gòu)提供了全球金融交易解決方案。SGC是安全套接字層(SSL)的擴(kuò)展,它允許擁有IIS出口版本的金融機(jī)構(gòu)可使用強(qiáng)加密。
SGC不要求在客戶瀏覽器上運(yùn)行應(yīng)用程序,并且可由IIS4.0或更高版本的標(biāo)準(zhǔn)出口版本使用。為SGC配置的服務(wù)器可以增強(qiáng)128位和40位的加密會話,所以不要求多個(gè)IIS版本。雖然SGC功能已內(nèi)建到IIS4.0及以后版本中,但是使用SGC時(shí)還需要特殊的SGC證書。
可選的加密服務(wù)提供程序
IIS通過使用可選的加密服務(wù)提供程序(CSP),可以選擇Microsoft或第三方加密提供程序來處理加密和證書管理。每個(gè)加密提供程序可以創(chuàng)建一個(gè)公鑰和私鑰來加密發(fā)送到Web服務(wù)器和從中發(fā)送的數(shù)據(jù)。
私鑰存儲在硬件的服務(wù)器端、PCI卡、智能卡或者注冊表中,這是因?yàn)樗糜贛icrosoft安裝的兩個(gè)默認(rèn)提供程序:MicrosoftDHSChannel加密提供程序和MicrosoftRSASChannel加密提供程序。每個(gè)提供程序的Microsoft加密API(CryptoAPI)包含相同的方法和屬性。因此,可以在提供程序之間切換,而無需重新編寫代碼。
京公網(wǎng)安備 11010502049343號