Administrator's Guide
166 安全建議
安全通訊端 (SSL) 證書
借助於
SSL
證書,
Web
伺服器和使用者在建立連接以建立更安全的通訊之前,可以相互驗證對方。證書
包含用於在網路上建立系統識別的資訊。這一辨識過程稱為驗證。儘管驗證類似於傳統的辨識方式,
但借助於
SSL
證書,
Web
伺服器和使用者在建立連接以建立更安全的通訊之前,可以相互驗證對方。
證書還包含用於在用戶端與伺服器之間建立
SSL
連接的加密值或金鑰。透過這種連接傳送的資訊
(
如信用卡號碼
)
是加密的,因此不會被未經授權的使用者截取或使用。
SSL
使用兩種類型的證書,每種類型有自己的格式和用途:
•
用戶端證書
—
包括有關請求存取站點的用戶端之個人資訊,透過這些資訊,系統可以在允許用戶
端存取網站之前準確地辨識這些用戶端。
•
伺服器證書
—
包括有關伺服器的資訊,透過這些資訊,用戶端可在允許伺服器共用敏感資訊之前,
準確地辨識伺服器。
伺服器證書
要啟動
Web
伺服器的
SSL 3.0
安全功能,必須獲得並安裝有效的伺服器證書。伺服器證書是數位識別,
其中包含有關
Web
伺服器的資訊以及有關主辦伺服器
Web
內容的機構的資訊。透過伺服器證書,使用
者可以驗證伺服器,檢查
Web
內容的有效性,並建立安全連接。伺服器證書還包含用於在用戶端與伺
服器之間建立安全連接的公共金鑰。
伺服器證書能否成功地作為一種辨識手段,取決於使用者是否信任證書中所含資訊的有效性。例如,
登入到貴公司網站的使用者在提供自己的信用卡資訊時可能會猶豫不決,儘管該使用者已經檢視了貴
公司伺服器證書的內容。如果貴公司是一個新公司,並不廣為人知,則這種情況就更為突出。
出於這一原因,證書有時由雙方信任的第三方機構
(
稱作證書頒發機構
)
簽發和簽署。證書頒發機構的
主要職責是確認尋求證書的當事方的身份,以確保證書中所含識別資訊的有效性。
此外,根據您的組織與其網站使用者的關係,您也可以簽發自己的伺服器證書。例如,某個大公司透過
內部網處理員工工資冊和福利資訊,公司管理層可能決定維護一個證書伺服器,並承擔驗證識別資訊有
效性和簽發伺服器證書的責任。
Microsoft Baseline Security Analyzer (Microsoft 基準安全分析器 )
使用
Microsoft
基準安全分析器
(MBSA)
可以搜尋任何安全漏洞。
MBSA
對基於
Windows
的伺服器進行
掃描,以搜尋一般的安全性錯誤配置。此工具可以掃描作業系統和安裝的其他元件,如
Internet
資訊
服務
(IIS)
。
MBSA
還可以對系統進行檢查,以查明是否缺少安全增補軟體,並建議安裝關鍵的安全增
補軟體和修補程式。