【51CTO.com独家特稿】网络钓鱼攻击一直是Internet中最严重的安全威胁之一,发展到现在已经存在许多种不同的钓鱼攻击方式。其中最主要的一种就是通过网页伪装手段冒充企业的电子商务网站,然后通过各种手段欺骗用户登录至冒牌的网站上进行商务交易,并以此来获取受骗用户的登录帐号和密码,使用户遭受金钱和名誉的双重损失。如此一来,就严重降低了用户对电子商务的信任感,使得许多用户开始排斥电子商务的交易方式,也就使原本就处于信任危机边缘的电子商务的发展趋势变得更加严峻。因此,广大的电子商务网站迫切需要一种能够提高其信任度的解决方法。
正是在电子交易网站的这种非常严峻的情势下,2007年2月,一种叫做扩展SSL认证(Extended Validation SSL Certificate)的认证方式出现在人们的视野中。这种扩展SSL认证方式首先就是由VeriSign公司提出,通常将它简称为EV-SSL。
EV-SSL是在SSL的基础上发展而来的,它是全球领先的数字证书颁发机构和主流的WEB浏览器厂商共同制定的一个新的SSL认证标准。EV-SSL证书由受信任的第三方证书颁发机构颁发,在与WEB服务器进行无缝集成后,不仅可以为用户和WEB服务器之间的网络通信数据提供128位或256位SSL链路级加密,又可以通过此证书机构颁发的中间级证书来验证WEB服务器身份的真实性。
一旦某个WEB站点使用了EV-SSL认证,当用户浏览此WEB站点时,就会在用户的WEB浏览器中显示出此证书的颁发机构标志。并且,现在一些主流的WEB浏览器,例如IE7、Firefox3.0和Maxthon2.5.1等,会将通过EV-SSL认证的WEB站点的URL地址在其地址栏中显示为绿色。如图1所示。这样就让用户一眼就知道当前浏览的网站是安全的和真实可靠的。
 |
| 图1 |
Resin是一个非常好用的JSP运行平台,深受广大WEB站点的喜爱。鉴于目前电子商务网站反网络钓鱼攻击的要求,在本文中,我将向大家描述如何用EV-SSL认证,来为使用Resin的WEB服务器打造一条与用户之间的绿色安全的电子商务通道。
与应用传统的第三方SSL认证一样,EV-SSL的应用也需要经过生成证书请求文件、注册购买证书、安装证书和备份/恢复证书这一系列的过程。接下来,我们就来具体了解这一过程中每个步骤所必需完成的任务。
1、生成EV-SSL认证的私钥
想要Resin可以响应EV-SSL请求,我们就必需保证WEB服务器上已经安装好了相关的SSL套件。对于中小企业来说,开源免费的OpenSSL提供与SSL相同的认证功能。
OpenSSL的Linux版本可以在www.openssl.org网站上下载。现在它的最新版本是OpenSSL 0.9.8j。Linux系统下的Resin是通过libexec/libresinssl.so JNI库文件提供对OpenSSL的支持。
如果我们是在Windows系统中使用Resin,那么,我们同样需要在此操作系统下先安装好OpenSSL。Windows下的OpenSSL在www.slproweb.com/products/Win32OpenSSL.html下载,它的最新安装文件是Win32OpenSSL-0_9_8j.exe,其大小为7MB左右。在Windows系统下,Resin的resinssl.dll文件中包含提供对OpenSSL支持的代码。因此,在Windows系统下只需要安装好OpenSSL就可以让Resin使用它了。OpenSSL在Windows系统下很容易安装,就如同安装其它的应用程序一样简单。
不过,在Windows系统下安装完OpenSSL后,还应当将一些需要的DLL文件复制到Resin的根目录当中。现在假设Resin安装在c:\resin-pro-3.2.1目录,OpenSSL安装在c:\Program Files\GnuWin32目录。现在打开系统开始菜单的“运行”对话框,在运行框中输入CMD命令,回车后进入命令行终端界面。然后在命令行终端下就可以通过下列所示的命令将OpenSSL安装目录下的相关文件复制到Resin的根目录下:
cd resin-pro-3.2.1 copy c:\Program Files\GnuWin32\bin\libssl32.dll c:\ resin-pro-3.2.1\libssl32.dll copy c:\Program Files\GnuWin32\bin\libeay32.dll c:\ resin-pro-3.2.1\libeay32.dll |
当OpenSSL安装和配置好以后,就可以通过它来为EV-SSL认证生成私钥,生成后的私钥文件应当保存到相应的Resin目录中。因此,在生成密钥前,我们可以在Resin根目录中创建一个keys子目录用来保存将要创建的私钥文件。
在生成私钥时,OpenSSL会根据其配置文件中设置的内容来生成。在类Linux系统下,这个缺省的配置文件可能在usr/ssl/openssl.cnf或/usr/share/ssl/openssl.cnf下。而Windows系统中不存在这样的文件。
在WEB服务器上创建私钥时,会要求我们输入相应的密码,这个密码将会在我们使用创建的私钥时要求被输入。因此要牢记这个密码并妥善地保管它。我们还必需将这个密码加入到Resin的配置文件当中。
在Windows系统下创建私钥时,先打开系统开始菜单中的“运行”对话框,在其中输入CMD,回车后进入系统的命令行终端窗口。然后用CD命令切换到OpenSSL安装目录,再用下列命令产生私钥:
keytool –genkey –alias myevssl –keyalg RSA –keysize 1024 –keystore c:\ resin-pro-3.2.1\key\myprikey.key |
其中,-genkey参数为产生密钥对;-alias参数后为私钥别名; -keyalg参数后为密钥算法;-keysize参数后为密钥位数;-keystore参数后为私钥存储路径和文件名。
输入上述命令后按回车键就会开始EV-SSL私钥的生成过程,在私钥生成过程中会出现在些需要我们输入相应内容的提示,例如网站域名及密码等,这些都必需根据提示真实输入。在本例中,完成私钥生成后,私钥文件就会以命令中指定的myprikey.key文件名保存到指定的c:\ resin-pro-3.2.1\key目录中。#p#
2、成证书请求文件(CSR)
得到EV-SSL认证的私钥后,接下来就是要生成一个申请第三方EV-SSL认证证书的证书请求文件(Certificate Sign Request),简称CSR。证书请求文件中包含有EV-SSL证书的公钥、名称、加密位数、地址和网站域名等信息。这个证书请求文件我们将会在注册购买EV-SSL证书时提交给证书颁发机构,而证书的私钥将由我们自己保管在WEB服务器上。
在Windows系统下创建证书请求文件时,先要打开系统开始菜单中的“运行”对话框,在其中输入CMD,回车后进入系统的命令行终端窗口。然后用CD命令切换到OpenSSL安装目录,再用下列命令生成EV-SSL的证书请求文件:
keytool –certreq –alias myevsslcsr –sigalg MD5withRSA –file c:\ resin-pro-3.2.1\key\myevssl.csr –keypass password –keystore c:\ resin-pro-3.2.1\key\myprikey.key –storepass password |
其中,-certreq参数指生成证书请求文件;-alias参数后为证书别名;-sigalg参数后为密钥算法;-file参数后为证书请求文件的输出路径和文件名;-keypass参数后为密钥保护密码;-keystore参数后为私钥存储路径及文件名;-storepass参数后为存储密码。
同样,在生成证书请求文件的过程中会要求我们按提示输入相关信息,这些需要我们输入的信息必需按要求真实输入。在本例中,完成证书请求文件的生成工作后,就会在c:\ resin-pro-3.2.1\key目录下得到一个名为myevssl.csr的证书请求文件。
3、注册和购买EV-SSL证书
生成完证书请求文件后,接下来就是选择一个第三方证书颁发机构注册并购买其证书。在本文中我将以向天威诚信注册VeriSign的128位EV-SSL证书为例做具体的介绍说明。一个具体的EV-SSL注册购买过程需要经过确认域名、确认付款方式、生成证书请求文件、提交证书请求文件和完成注册这5个步骤。
下面就是具体的注册和购买EV-SSL证书的过程:
首先,在WEB浏览器地址栏中输入:https://digitalid.itrus.com.cn/GlobalServer/globalserver/index.html,就可以进入如图2所示的天威诚信公司网站的128位EV-SSL证书注册页面。
 |
| 图2 |
图2 EV-SSL证书开始注册界面
在此EV-SSL证书的注册和购买过程的最初两个步骤中,当我们按网站提供的注册要求完成域名验证和填写付款方式后,就会出现如图3所示的生成证书请求(CSR)界面。由于我们已经通过WEB服务器生成了证书请求文件,那么,现在就可以直接单击此界面中的“下一步”按钮继续下一步的注册过程。
 |
| 图3 |
图3 生成证书请求界面
接下来就会出现一个如图4所示的提交证书请求文件界面。此时,我们先用记事本打开前面已经生成的证书请求文件,在本文中就是“c:\ resin-pro-3.2.1\key\myevssl.csr”文件。然后将其中所有的内容全部复制到证书请求文件提交界面中的文本框中。完成后单击“下一步”按钮继续其注册过程。
 |
| 图4 |
图4 提交证书请求文件界面
此时,就会出现一个完成注册的界面。在此界面中通过下拉条往下拉,当出现如图5界面所示的位置时,在选择服务器软件供应下拉框中选择WEB服务器软件的供应商。例如,IIS6的软件供应商就是Microsoft(微软)。在这个注册步骤,我们必需正确地选择WEB服务器的软件供应商,这样,证书颁发机构才能将与WEB服务器兼容的正确证书颁发给我们。
 |
| 图5 |
图5 选择服务器软件供应商界面
完成服务器软件供应商的选择后,继续向下拉下拉条。接下来会依次出现要求输入技术联系人信息、输入单位联系人信息和输入付款联系人信息的部分。在这些需要填入相应联系人信息的位置,我们都必需按要求填入真实有效的联系人信息,以便证书能正确送达。其中的技术联系人信息一定填写一个真实可靠的E-Mail地址,以便在注册后证书颁发机构能够将确认邮件发送给技术人员确认,以及此邮箱将最终接收证书颁发机构发送过来的EV-SSL证书。
完成三种联系人信息的输入后继续往下拉,就会出现如图6所示的要求输入企业机构代码的界面。在此界面中,我们必需在“代码”文本框中正确输入组织机构代码证上的代码,此代码是一个由9位数据组成数字串。
图6 输入组织机构代码界面
当完成注册界面中的所有工作全部完成后,单击此界面中的“接受”按钮就可以完成整个EV-SSL证书的申请注册和购买过程。
如果我们真的在天威诚信网站完成了EV-SSL证书的注册申请工作,天威诚信将经过1-3个工作日来核实和确认付款等工作。天威诚信会在EV-SSL证书的注册申请提交后,给我们填写的技术联系人的电子邮箱中发送一封确认购买证书的邮件,技术联系人必需按邮件中提示的内容进行相应的确认。如果技术联系人没有按邮件中内容的要求确信证书购买,那么,天威诚信将不会将证书颁发给我们。同时,在这封确认证书购买的邮件中,还包含了购买证书的个人身份证号码(PIN),我们可以通过它去确认当前的证书订单状态。#p#
4、获取EV-SSL证书
当我们所有的证书注册工作正确完成,并按要求付款后,证书机构(本例中为天威诚信)就会将一封包含有EV-SSL证书的电子邮件发送到技术联系人的邮箱当中。我们现在要做的,就是打开电子邮件,将此邮件内容中从“-----BEGIN CERTIFICATE-----”字段开始(包括此字段)到“-----END CERTIFICATE-----”字段(包括此字段)止的所有文本内容复制好,然后粘贴到记事本中,并以“myevssl.crt”的EV-SSL证书名保存到“c:\ resin-pro-3.2.1\key”目录下。当然,此证书文件的名称可以由我们自由决定。
5、安装EV-SSL根证书
现在我们已经得到了EV-SSL证书,接下来的工作就是将其安装到我们所使用的WEB服务器当中。在本文中就是安装到使用IIS6的WEB服务器中。
打开IIS6服务器的管理控制台,右键网站的域名,在弹出的右键菜单中选择“属性”菜单进入其属性界面。然后在属性界面中单击“目录安全性”选项框,在随即出现的界面中单击“服务器证书”按钮,就会开始一个IIS6证书向导。在此证书向导的第一个界面中选择“挂起证书请求”单项选择项,然后单击“下一步”按钮就会出现如图7所示的挂起证书请求的界面。在此界面中选择“处理挂起的请求并安装证书”单项选择项,然后单击下一步按钮继续下一步的证书安装过程。
 |
| 图7 |
图7 挂起证书请求界面
接下来就会出现如图8所示的要求输入要安装的EV-SSL证书的界面。在此界面中单击“浏览”按钮,导航到我们保存的证书的位置,并选择获得的EV-SSL证书文件(在本文中就是c:\ resin-pro-3.2.1\key\ myevssl.crt)。完成后单击“下一步”按钮继续安装证书的过程。
 |
| 图8 |
图8 指定EV-SSL根证书文件界面
此时,就会出现一个如图9所示的指定SSL连接端口的界面。SSL默认的端口是443,此端口可以保护默认,以便不了解的用户可以直接通过此默认端口连接服务器。在此界面中单击“下一步”按钮就可以完成EV-SSL的安装过程。
 |
| 图9 |
图9 指定SSL连接端口界面
6、安装中间级证书
在安装完EV-SSL根证书后,要想WEB服务器能够被用户浏览器所信任,我们就必需再为此WEB服务器安装一个中间级证书。安装这个中间级证书的作用就是以此来形成一个证书链,使浏览器信任这个WEB服务器。
首先,从http://www.itrus.com.cn/products/server/golbalmediumca.asp 得到天威诚信提供的服务器中间证书,并保存为一个“crt”类型的文件,例如本文中的myiterevssl.crt,同样,文件名可以由我们自己决定。
得到中间证书后,接下来就是将它导入到证书管理器中。仍以IIS6服务器为例说明。先打开Windows系统开始菜单中的“运行”对话框,在其中输入“MMC”后回车就可以进入系统控制台。进入系统控制台后,通过控制台文件菜单中的“添加/删除管理单元”添加证书管理控制台。图10就是证书管理控制台的界面。
 |
| 图10 |
图10 证书管理控制台界面
在证书管理控制台界面中展开“中级证书颁发机构”,在打开的下级菜单中右击“证书”,在弹出的右键菜单中选择“所有任务”—“导入”菜单,就可以打开一个证书导入向导。按证书导入向导的提示将上面保存好的中间级证书“myiterevssl.crt”导入即可完成中间级证书的安装工作。
7、修改Resin配置文件
要想Resin能够使用EV-SSL认证,我们还必需对其配置文件resin.conf做相应的设置。具体要配置的内容包括:
...
|
其中,
8、备份和恢复EV-SSL证书
当WEB服务器操作系统或软件出现故障需要重新安装操作系统或软件时,为了免除每次安装两个证书的过程,我们就有必要将EV-SSL证书和中间级证书都进行备份,以便不时之需。下面的说明仍以IIS6服务器为例。
(1)、EV-SSL和中间级证书的备份
EV-SSL和中间级证书的备份都可以在证书系统管理控制台中完成。具体操作如下:
在系统开始菜单的“运行”框中输入“MMC”打开系统管理控制台,通过其“文件”菜单中的“添加/删除管理单元”菜单项将“证书”管理控制单元添加进来。
在证书管理控制单元中展开“个人”证书,单击个人证书下的“证书”菜单,然后在证书管理控制台右边界面中用鼠标右键单击我们安装的EV-SSL证书。在弹出的右键菜单中选择“导出”,就可以开始一个证书导出向导。
在进行证书导出时,我们必需将私钥一起导出,并且还可以将证书所有路径中的证书一起导出,然后再为备份的证书设置一个密码。这样,备份的证书将保存为一个“pfx”类型的文件。
中间级证书的备份在证书管理控制台的“中间级证书颁发机构”项中选择并导出,其具体的操作过程与上述方式相同。
(2)恢复EV-SSL和中间级证书
当我们备份好EV-SSL和中间级证书后,如果需要重新安装它们,就可以直接在IIS6的管理控制台中完成。我们可以打开IIS6管理控制台,进入“目录安全性”页面,在其中单击“服务器证书”按钮,在打开的证书向导中选择“从.pfx文件导入证书”的单项选择项,然后按提示将保存的证书备份导入即可。
在导入证书备份文件时需要我们指定证书备份文件的具体位置,以及输入备份证书时设置的密码,剩下的工作与安装新证书时相同。
到这里,配置使用Resin的WEB站点使用EV-SSL的应用就全部完成。写本文的目的就是为了让一些使用Resin的中小企业电子商务网站能够用EV-SSL,来开辟一条电子商务的绿色安全通道。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】
