Administrator's Guide
110 安全措施建议
安全套接层
(SSL)
证书
借助于
SSL
证书,
Web
服务器和用户在建立连接以创建更安全的通信之前,可以相互验证对方。证书
包含用于在网络上建立系统标识的信息。这一识别过程称为验证。尽管验证类似于传统的识别方式,
但借助于
SSL
证书,
Web
服务器和用户在建立连接以创建更安全的通信之前,可以相互验证对方。证
书还包含用于在客户机与服务器之间建立
SSL
连接的加密值或密钥。通过这种连接发送的信息 (如信
用卡号码)是加密的,因此不会被未经授权的用户截取或使用。
SSL
使用两种类型的证书,每种类型有自己的格式和用途:
•
客户机证书
-
包括有关请求访问站点的客户机的个人信息,通过这些信息,系统可以在允许客户
机访问站点之前准确地识别这些客户机。
•
服务器证书
-
包括有关服务器的信息,通过这些信息,客户机可在允许服务器共享敏感信息之
前,准确地识别服务器。
服务器证书
要激活
Web
服务器的
SSL 3.0
安全功能,必须获得并安装有效的服务器证书。服务器证书是数字标
识,其中包含有关
Web
服务器的信息以及有关主办服务器
Web
内容的机构的信息。通过服务器证
书,用户可以验证服务器,检查
Web
内容的有效性,并建立安全连接。服务器证书还包含用于在客户
机与服务器之间建立安全连接的公共密钥。
服务器证书能否成功地作为一种识别手段,取决于用户是否信任证书中所含信息的有效性。例如,登
录到贵公司网站的用户在提供自己的信用卡信息时可能会犹豫不决,尽管该用户已经查看了贵公司服
务器证书的内容。如果贵公司是一个新公司,并不广为人知,则这种情况就更为突出。
出于这一原因,证书有时由双方信任的第三方机构
(称作证书颁发机构)签发和签署。证书颁发机构
的主要职责是确认寻求证书的当事方的身份,以确保证书中所含标识信息的有效性。
此外,根据您的组织与其网站用户的关系,您也可以签发自己的服务器证书。例如,某个大公司通过
内部网处理员工工资册和福利信息,公司管理层可能决定维护一个证书服务器,并承担验证标识信息
有效性和签发服务器证书的责任。
Microsoft Baseline Security Analyzer
(
Microsoft
基准安全分析器)
使用
Microsoft
基准安全分析器
(MBSA)
可以搜索任何安全漏洞。
MBSA
对基于
Windows
的服务器进
行扫描,以搜索常规的安全性错误配置。此工具可以扫描操作系统和安装的其它组件,如
Internet
信
息服务
(IIS)
。
MBSA
还可以对系统进行检查,以查明是否缺少安全增补软件,并建议安装关键的安全
增补软件和修补程序。