1.SSL(安全套接字层)基本概念

　　1.1私钥和公钥

　　非对称密钥和算法使用公钥和私钥两个密钥。公钥加密的内容私钥可以解开，私钥加密的内容公钥可以解开。公钥发给你信任的需要和你通信的一方，私钥自己保存。这样，你就可以和需要通信的一方，通过这一对密钥，加密发送的内容，解密接受到的内容，达到安全通信的目的。

　　1.2数字签名

　　单向散列算法根据长度可变的信息内容，生成一个固定长度的散列值。如果更改信息中的某一位，重新运行该散列算法，将得到不同的散列值。现在使用的单向散列算法包括 MD4、MD5 和 SHA等。用私钥加密过的散列值称为数字签名，加密操作称为签名。

　　1.3数字证书

　　数字证书是包含下列内容的文件：公钥；证书的声明所有者的标识信息；一个用声明所有者的私钥加密过的单向散列(数字签名)；其他信息，如单向散列算法的名称、非对称加密长度等。

　　1.4CA分层结构

　　根证书颁发机构 (CA) 向申请并购买证书的人颁发数字证书。根 CA 可以创建和签署这样的证书：它们允许其他 CA 也创建证书，如此就构成了 CA 分层结构。根 CA始终位于该分层结构的顶端，并且根 CA 始终都签署自己的证书，这样的证书称为自签名证书。

　　1.5SSL 协议

　　由Netscape开发的SSL目的是确保Web服务器和浏览器之间通信的安全。SSL使用公钥基础结构 (PKI)、数字证书和加密技术。SSL使用公钥、私钥及数字证书协商出一种对称密钥和算法，以便加密这两者之间的通信。不过，大多数 Web 浏览器很少向根 CA 查询证书是否有效。它们验证的是：根 CA 的证书是否安装在本地、是否有效。浏览器将收到的证书与安装的证书进行比较，以验证数字签名是否匹配。

　　在Internet Explorer中可以查看与之一起安装的受信任的根证书列表，依次选中“工具”、“Internet 选项”、“内容”、“证书”、“受信任根证书授权机构”，还可以查看证书的内容。

　　2.SAV中SSL的应用

　　2.1SAV中SSL的使用情况

　　SAV在客户端、服务器和 SSC之间通信使用SSL 协议。

　　SAV使用内部根CA，每个服务器组中的一级服务器都执行根 CA 活动。一级服务器创建充当最高信任级别的自签名证书，该证书的有限期为 10 年。SAV不使用 RA(注册机构) 或 CRL(证书吊销列表)，但使用 CSR(证书签名申请)。

　　证书名称包含全局唯一标识符 (GUID)。GUID 是安装在每台计算机上的唯一 ID，用于防止名称冲突，以便客户端在服务器组间移动服务器。默认情况下根证书以本地方式安装在客户端上。

　　2.2服务器组根证书信任链的建立

　　每个服务器组中的一级服务器都会创建和管理一个自签名的根证书。该证书称为服务器组根证书，是同一服务器组中各服务器和客户端相互信任的基础。所有服务器（包括一级和二级）都拥有一个服务器终端实体证书。每个服务器在安装期间都是首先生成该证书并进行自签名，然后生成CSR，并将这两者提交给一级服务器进行处理和签名。一级服务器会处理 CSR，创建新服务器证书并进行数字签名，然后将证书名称的数值计数器值增加 1，之后将其返回服务器。现在，新服务器终端实体证书已建立了服务器组根证书的信任链。

　　2.3PKI目录结构

　　PKI目录称为证书存储区，典型安装会创建名称为certs、private-keys、cert-signing-requests 和 roots的目录，这些目录的作用分别为存储证书、私钥和证书签名申请 (CSR)根证书的子目录。pki文件夹要妥善备份，以便系统遇到问题时及时恢复。

　　2.4支持SSL的新版SAV与旧版的差别

　　现在，客户端和服务器之间的所有通信（只有一种通信例外）都通过 TCP 进行，而旧通信则继续通过 UDP 进行。通信例外是：“搜索”仍旧通过 UDP 端口 38293 进行。

　　服务器当将旧版一级管理服务器迁移到这一版的 SAV 时，如果它的服务器组包含旧版服务器和客户端，则迁移的一级管理服务器将继续通过UDP 支持旧版服务器和客户端。

　　如果使用这一版的 SAV 创建了新的服务器组和一级管理服务器，默认情况下会在该服务器组中禁用通过 UDP 的旧版支持。在 SSC使用“服务器调整选项”对话框，可以启用该服务器组中的旧版支持。

　　无法使用旧版服务器组或旧版 SSC控制台，管理新安装的服务器和客户端。

　　组中未同步的计算机系统时钟，可能会因时差禁止服务器和客户端验证用户登录证书。这个时差默认是24小时，可以在SSC中更改。

　　3.两个具体问题

　　3.1恢复备份的文件夹PKI

　　重新安装SAV系统后，要保证机器使用相同的IP地址，计算机名，服务器组名。然后恢复pki文件夹，首先要停止Symantec AntiVirus服务，用备份的pki文件夹替换掉新生成的pki文件夹，然后要更改注册表里两处GUID值，这一点很重要，再启用Symantec AntiVirus服务即可。

　　实际操作中遇到过修改GUID值后，解锁服务器时说用户名密码错误无法解锁。用了SSC中提供的重设密码工具后，就正常了。

　　3.2将其它服务器组的一级服务器设为病毒定义源

　　比如A要以B为源更新病毒定义，首先要保证AB间防火墙相应端口打开，然后把B的证书复制到A的roots目录中即可。如果设源时找不到，可以先查找一下计算机，再设置就可以选择了。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: