IDC资讯中心
網站如何加入ssl安全傳輸功能呢?
如何於您的網站加入ssl(secure sockets layer)安全傳輸功能呢?
網路上的傳輸資料,都可能被攔截、竄改。首先我們先看看,如何將資料安全的傳輸呢?
甚麼是對稱金鑰(session key)法、公開金鑰(public key)法、ssl(secure sockets layer)呢?
對稱金鑰(session key)法
最簡單的方法,為傳送者將待傳送的資料使用一把對稱金鑰(session key)加密,傳送當中的資料為亂碼,不怕被人攔截,接收者收到資料後使用同一把對稱金鑰(session key)解密。
所謂的金鑰(key)並不是真的是一把鑰匙,而是一個加解密的運算法則,譬如將每一個資料加2,2即為一把金鑰。
對稱金鑰(session key)法的問題,為如何於網路上安全地交付這一把加解密的鑰匙?這一把鑰匙於網路上傳送交付,也可能被攔截、竄改。
公開金鑰(public key)法
於是,有人發明公開金鑰(public key)法,傳送者將待傳送的資料使用接收者的公開金鑰(public key)加密,傳送當中的資料為亂碼,不怕被人攔截,接收者收到資料後使用另外一把接收者的的私密金鑰(private key)解密。
由於公開金鑰(public key)不怕知道,因此適合於網路上安全地交付這一把加密用的公開金鑰(public key)。
由於對稱金鑰(session key)法的運算較複雜,運算速度比對稱金鑰(session key)法慢上數千倍。
ssl(secure sockets layer)
ssl(secure sockets layer),則融合對稱金鑰(session key)法、和公開金鑰(public key)法的優點。
瀏覽器會先產生一把對稱金鑰(session key),將待傳送的資料使用這一把對稱金鑰(session key)加密,再使用接收者的公開金鑰(public key)將這一把對稱金鑰(session key)加密,傳送當中的資料為亂碼,接收者收到資料後使用另外一把接收者的私密金鑰(private key)先將對稱金鑰(session key)解密,再使用這一把對稱金鑰(session key)將傳送的資料解密。
公開金鑰(public key)法的問題,為如何確認這一把加密用接收者的公開金鑰(public key)的正確性?這一把接收者的公開金鑰(public key)於網路上傳送交付,也可能被攔截、竄改。
因此必須有一個具備公信力的認證中心即所謂的ca(certificate authority),對接收者的即網站伺服器來核發一個伺服器認證,以證實這一把加密用接收者的公開金鑰(public key)確定為此伺服器所有。
ssl(secure sockets layer),於網路上溝通的流程,如下:
首先瀏覽器發出https:// 的ssl要求。
網站伺服器回應伺服器認證,包括伺服器的公開金鑰(public key)、認證中心ca和其數位簽章、效期、序號、使用者,確定為此伺服器所有。
瀏覽器會先產生一把對稱金鑰(session key),再使用伺服器的公開金鑰(public key)將這一把對稱金鑰(session key)加密,伺服器收到後使用另外一把伺服器的私密金鑰(private key)先解密出對稱金鑰(session key)。
瀏覽器將待傳送的資料使用這一把對稱金鑰(session key)加密,伺服器收到資料後,再使用這一把對稱金鑰(session key)將傳送的資料解密。
certificate server安裝
於windows nt option pack當中,包括microsoft certificate server,提供認證中心ca的功能。對伺服器核發伺服器認證,可以提供ssl安全傳輸的功能。
若要安裝certificate server,執行windows nt option pack的安裝程式,選擇 [新增/移除],勾選 [certificate server]。
輸入資料庫和記錄的安裝路徑,和認證中心的描述,即可將certificate serve安裝好。
申請伺服器認證
前面談到必須有一個具備公信力的認證中心ca,對網站伺服器來核發一個伺服器認證,以證實公開金鑰(public key)確定為此伺服器所有。
您可以挑選具公信力的認證中心ca,對網站伺服器來核發一個伺服器認證。也可以使用windows nt option pack的microsoft certificate server,自己成立一個認證中心ca,就可以對伺服器核發伺服器認證,以提供ssl安全傳輸的功能。
登記為「可信任」的ca
安裝好certificate server的伺服器認證後,第二個步驟,為於瀏覽器登記認證中心ca為「可信任」的ca,執行 http://localhost/certsrv/ certenroll/cacerts.htm,按下 [certificate for lisa\actif ca]。
選擇開啟這個檔案,即可將certificate server的認證中心ca加到受信任發照者清單中,如。
於瀏覽器的 [internet選項] 的 [內容] 之 認證 [機構] 中,可以看到已經將certificate server的認證中心ca加到受信任機構清單中。
使用ssl(secure sockets layer)
接著即可使用ssl(secure sockets layer)了,將瀏覽器傳送的資料加密,使用https://執行。
asp程式碼,如下:
<% if ucase(request.servervariables("https")) = "on" then %>
<form action="ssl2.asp" method="get">
使用者: <input type=text name=name1 value=<% =request("name1") %>><br>
密碼: <input type=text name=password1 value=<% =request("password1") %>>
<input type=submit value="寫完了">
</form>
<hr>
<% else %>
須使用https://
<% end if %>
其中使用ucase(request.servervariables("https")) = "on"檢查是否使用https,若未使用則不允許輸入。
