天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

阿利谈安全之在 SAVCE使用安全套接字层

2008-2-18赛迪网佚名

  1.SSL(安全套接字层)基本概念

  1.1私钥和公钥

  非对称密钥和算法使用公钥和私钥两个密钥。公钥加密的内容私钥可以解开,私钥加密的内容公钥可以解开。公钥发给你信任的需要和你通信的一方,私钥自己保存。这样,你就可以和需要通信的一方,通过这一对密钥,加密发送的内容,解密接受到的内容,达到安全通信的目的。

  1.2数字签名

  单向散列算法根据长度可变的信息内容,生成一个固定长度的散列值。如果更改信息中的某一位,重新运行该散列算法,将得到不同的散列值。现在使用的单向散列算法包括 MD4、MD5 和 SHA等。用私钥加密过的散列值称为数字签名,加密操作称为签名。

  1.3数字证书

  数字证书是包含下列内容的文件:公钥;证书的声明所有者的标识信息;一个用声明所有者的私钥加密过的单向散列(数字签名);其他信息,如单向散列算法的名称、非对称加密长度等。

  1.4CA分层结构

  根证书颁发机构 (CA) 向申请并购买证书的人颁发数字证书。根 CA 可以创建和签署这样的证书:它们允许其他 CA 也创建证书,如此就构成了 CA 分层结构。根 CA始终位于该分层结构的顶端,并且根 CA 始终都签署自己的证书,这样的证书称为自签名证书。

  1.5SSL 协议

  由Netscape开发的SSL目的是确保Web服务器和浏览器之间通信的安全。SSL使用公钥基础结构 (PKI)、数字证书和加密技术。SSL使用公钥、私钥及数字证书协商出一种对称密钥和算法,以便加密这两者之间的通信。不过,大多数 Web 浏览器很少向根 CA 查询证书是否有效。它们验证的是:根 CA 的证书是否安装在本地、是否有效。浏览器将收到的证书与安装的证书进行比较,以验证数字签名是否匹配。

  在Internet Explorer中可以查看与之一起安装的受信任的根证书列表,依次选中“工具”、“Internet 选项”、“内容”、“证书”、“受信任根证书授权机构”,还可以查看证书的内容。

  2.SAV中SSL的应用

  2.1SAV中SSL的使用情况

  SAV在客户端、服务器和 SSC之间通信使用SSL 协议。

  SAV使用内部根CA,每个服务器组中的一级服务器都执行根 CA 活动。一级服务器创建充当最高信任级别的自签名证书,该证书的有限期为 10 年。SAV不使用 RA(注册机构) 或 CRL(证书吊销列表),但使用 CSR(证书签名申请)。

  证书名称包含全局唯一标识符 (GUID)。GUID 是安装在每台计算机上的唯一 ID,用于防止名称冲突,以便客户端在服务器组间移动服务器。默认情况下根证书以本地方式安装在客户端上。

  2.2服务器组根证书信任链的建立

  每个服务器组中的一级服务器都会创建和管理一个自签名的根证书。该证书称为服务器组根证书,是同一服务器组中各服务器和客户端相互信任的基础。所有服务器(包括一级和二级)都拥有一个服务器终端实体证书。每个服务器在安装期间都是首先生成该证书并进行自签名,然后生成CSR,并将这两者提交给一级服务器进行处理和签名。一级服务器会处理 CSR,创建新服务器证书并进行数字签名,然后将证书名称的数值计数器值增加 1,之后将其返回服务器。现在,新服务器终端实体证书已建立了服务器组根证书的信任链。

  2.3PKI目录结构

  PKI目录称为证书存储区,典型安装会创建名称为certs、private-keys、cert-signing-requests 和 roots的目录,这些目录的作用分别为存储证书、私钥和证书签名申请 (CSR)根证书的子目录。pki文件夹要妥善备份,以便系统遇到问题时及时恢复。

  2.4支持SSL的新版SAV与旧版的差别

  现在,客户端和服务器之间的所有通信(只有一种通信例外)都通过 TCP 进行,而旧通信则继续通过 UDP 进行。通信例外是:“搜索”仍旧通过 UDP 端口 38293 进行。

  服务器当将旧版一级管理服务器迁移到这一版的 SAV 时,如果它的服务器组包含旧版服务器和客户端,则迁移的一级管理服务器将继续通过UDP 支持旧版服务器和客户端。

  如果使用这一版的 SAV 创建了新的服务器组和一级管理服务器,默认情况下会在该服务器组中禁用通过 UDP 的旧版支持。在 SSC使用“服务器调整选项”对话框,可以启用该服务器组中的旧版支持。

  无法使用旧版服务器组或旧版 SSC控制台,管理新安装的服务器和客户端。

  组中未同步的计算机系统时钟,可能会因时差禁止服务器和客户端验证用户登录证书。这个时差默认是24小时,可以在SSC中更改。

  3.两个具体问题

  3.1恢复备份的文件夹PKI

  重新安装SAV系统后,要保证机器使用相同的IP地址,计算机名,服务器组名。然后恢复pki文件夹,首先要停止Symantec AntiVirus服务,用备份的pki文件夹替换掉新生成的pki文件夹,然后要更改注册表里两处GUID值,这一点很重要,再启用Symantec AntiVirus服务即可。

  实际操作中遇到过修改GUID值后,解锁服务器时说用户名密码错误无法解锁。用了SSC中提供的重设密码工具后,就正常了。

  3.2将其它服务器组的一级服务器设为病毒定义源

  比如A要以B为源更新病毒定义,首先要保证AB间防火墙相应端口打开,然后把B的证书复制到A的roots目录中即可。如果设源时找不到,可以先查找一下计算机,再设置就可以选择了。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行