China°beo 第25章证书的使用 在前面的章节中,研究了许多基于web的应用程序的安全技术。这些技术都是用于处理 Internet上的安全问题。在网上,一些用户能够很容易地访问和操纵数据,而不需要任何事先 的验证。这些安全系统通过对非授权用户隐藏信息和在公用网上(如 Internet)建立虚拟的专 用网来工作。 然而,对访问数据的限制只是整个问题的一部分。在我们处理一些敏感数据传输时,我 们需要保证这些数据能安全到达其目的地,而不发生改变或在途中丢失数据。例如,从 dell. com网站购买一台新型电脑,用户不希望他们的信用卡号以明码传送。以这种方式传送的 信息,对于知道如何分析TCP数据包的应用程序(例如微软的 Netmon产品)而言,是完全可 以浏览的。使用类似于 NewMen的工具,可非常容易地读取这样的原始数据。因此可同时让零 售商和用户以加密的格式传送数据,以致于这种证书包除了他们,别人都不能破译数据的信 息。通信过程中证书的使用就是这样一种方式,可以确保客户和服务器之间的通信都是以安 全的方式进行的 在本章中,我们将研究证书( Certificate)如何验证用户确实是他声称的那个人,如何确 保在 Internet上传送的数据不被篡改。本章主要涉及证书的一些基本技术、证书的工作方式和 如何融合到Web站点之中。我们讨论的主要内容是: 致性和可靠性的基本概念。 证书的类型和证书机构( Certificates Authoritie) 有关获取证书的信息。 获取证书的示例 怎样使用证书 怎样用ASP管理证书。 怎样用 MS Certificate Services建立一个证书机构。 本章所涉及的内容用于处理服务器证书管理,要求在 Windows2000 Server或 Advanced Server操作系统下运行。但不能用于 Windows2000工作站版本,因为工作站版本没有证书服 务器选项 25.1安全性、一致性和可靠性 敏感数据传送的机制要求满足以下三个方面: ·安全性( Security):数据不能被其他人读取。 一致性( Identity):通信中的对方确实是他声称的身份 可靠性( Authenticity):获得的数据与传送的一致 提供安全通信的技术必须基于具有上述三个特点的机制,通常这些技术依赖于加密算法 这些算法用一种既难又费时的方法加密数据。因此,实际上任何人都不可能只根据加密数据 推算出原始数据。目前最好的加密算法基于一种名为非对称密钥加密( asymmetric key下载 第25章 证书的使用 在前面的章节中，研究了许多基于 We b的应用程序的安全技术。这些技术都是用于处理 I n t e r n e t上的安全问题。在网上，一些用户能够很容易地访问和操纵数据，而不需要任何事先 的验证。这些安全系统通过对非授权用户隐藏信息和在公用网上（如 I n t e r n e t）建立虚拟的专 用网来工作。 然而，对访问数据的限制只是整个问题的一部分。在我们处理一些敏感数据传输时，我 们需要保证这些数据能安全到达其目的地，而不发生改变或在途中丢失数据。例如，从 d e l l . c o m网站购买一台新型电脑，用户不希望他们的信用卡号以明码传送。以这种方式传送的 信息，对于知道如何分析 T C P数据包的应用程序（例如微软的 N e t M o n产品）而言，是完全可 以浏览的。使用类似于 N e t M e n的工具，可非常容易地读取这样的原始数据。因此可同时让零 售商和用户以加密的格式传送数据，以致于这种证书包除了他们，别人都不能破译数据的信 息。通信过程中证书的使用就是这样一种方式，可以确保客户和服务器之间的通信都是以安 全的方式进行的。 在本章中，我们将研究证书（ C e r t i f i c a t e）如何验证用户确实是他声称的那个人，如何确 保在I n t e r n e t上传送的数据不被篡改。本章主要涉及证书的一些基本技术、证书的工作方式和 如何融合到We b站点之中。我们讨论的主要内容是： • 一致性和可靠性的基本概念。 • 证书的类型和证书机构（Certificates Authoritie）。 • 有关获取证书的信息。 • 获取证书的示例。 • 怎样使用证书。 • 怎样用A S P管理证书。 • 怎样用MS Certificate Services建立一个证书机构。 本章所涉及的内容用于处理服务器证书管理，要求在 Windows 2000 Server或A d v a n c e d S e r v e r操作系统下运行。但不能用于 Windows 2000 工作站版本，因为工作站版本没有证书服 务器选项。 25.1 安全性、一致性和可靠性 敏感数据传送的机制要求满足以下三个方面： • 安全性（S e c u r i t y）：数据不能被其他人读取。 • 一致性（I d e n t i t y）：通信中的对方确实是他声称的身份。 • 可靠性（A u t h e n t i c i t y）：获得的数据与传送的一致。 提供安全通信的技术必须基于具有上述三个特点的机制，通常这些技术依赖于加密算法， 这些算法用一种既难又费时的方法加密数据。因此，实际上任何人都不可能只根据加密数据 推算出原始数据。目前最好的加密算法基于一种名为非对称密钥加密（ asymmetric key