使用管道层加密

    管道层加密-通常被称为SSL-是一种工业标准的加密方法。当服务器和客户端之间在网络线路上传输数据时,SSL会加密这些数据。服务器允许WEB站点用数字ID来认证自己和允许加密与客户的通讯。实际上,服务器数字ID是建立SSL链接所必须的。这些ID通过事务代理程序(例如:VerSign)来进行服务器认证。

    下面是一个认证过程的简单描述。 当一个加密事务初始化时,浏览器和服务器之间就会进行一次对话。浏览器接收服务器的ID和地址,然后进行授权的认证。如果认证程序使用ID时, 它会提供一个加密字符串,并开始一个加密事务。

注意

    密匙管理器(在下一部分会介绍)只管理服务器使用SSL加密的数字ID。 它不是用户端的认证。 这里有好几种密码认证的方式可以使用。这一章介绍服务器认证(也叫做站点认证)。以下就是两种客户端的认证方式,他们和密匙管理器毫无关系:

微软服务器认证的客户端私有协议。

使用服务器数字ID来进行用户认证的VerSign个人认证工具。

    你可以使用象VerSign这样的商业认证工具。他们在第一年需要你花几百美元,在以后会每年花费你一百美元左右。如果你在一个机器上允许不止一个站点, 你需要为每个站点分别进行认证。

技巧

    128位的加密技术是有出口限制的。 如果你想在美国国内和国外都使用军事级加密方式,你一定要确保你使用的国家没有在限制的范围内。使用这种加密的最好的两个国家就是以色列和新加坡。

    而40位的加密通常也是足够强大的,你可以有许多的合法理由来使用这个加密。 在1997年6月17号,有人破解了56位的加密方法, 这是一种全球的金融加密的标准。 既然40位和48位的加密在不久以前被破解了, 最好使用更安全的方式。

    如果你的加密信息很重要,有人想中途截取它。 你想向板主解释为什么一个新的竞争者会知道你的公司的最流行的产品的加密方式。

使用密匙管理器

    密匙管理器是用来安装和使用站点认证的。在你进行定购之前,你一定要仔细地考虑所有的信息,因为改变配置是很麻烦和昂贵的。

    使用密匙管理器有以下两步:申请一个认证,和安装这个认证程序。 我们在这里介绍申请认证的过程,认证程序的安装过程和你申请认证的方式有关,它按照以下的步骤进行。

    首先, 从MMC中右键站点,选择属性选项,然后启动密匙管理器,来申请一个认证。 在属性对话框中,点击目录加密的一页,然后点击配置通讯加密。 然后,另一个对话框出现了,在这里,你必须点击密匙管理器来启动密匙管理器应用程序。

    下一步,你可以选择密匙|生成新密匙。 这会调用一个向导对话框来收集信息。 向导的第一步会让你决定是实时申请认证,还是把信息存入到一个文本文件,日后再发送信息(见图2.9)。如果你没有已经链接到INTERNET上,这种批处理的发送是你的唯一选择。

图2.9 选择自动在线申请认证,还是以文本文件的方式,以后再申请。

 

 

 

 

 

 

 

 

 

     

 

     密匙向导的第二步会向你询问密匙的名字,密码,和密匙的大小(见图2.10):

密匙的名字只是为了方便使用,它可以给你提供一个友好的名字来找到这个密匙进行申请。

这个密码是很重要的。 最好选择一个既有数字,又有字母的密码, 而且你不要把这个密码不要作为其他的用处。这个密码将在以后每次访问时使用,所以最好写下密码,把他存在一个安全的地方。

缺省的密匙的长度是512位。 选择对话框中提供的最大值。

图2.10 向导的第二步向你询问会影响认证的重要的信息。

 

 

 

 

 

 

 

   

 

    第三步,会向你询问组织名称,组织单元,一般名称。我们将填写Soaring Society of American作为组织名称, 填写Internet Development作为组织单元名称,和填写www.ssa.org作为一般名称。最终的一般名称指的是你在INTERNET上使用的名称, 如果你的机器指在INTRANET上使用,你可以使用机器名称。

    第三步,会向你询问国家,州,和城市的名字,这里我们用两个字母的简写,(例如:US代表The Unite States,WA代表Washington), 我们这个例子把Redmond作为城市名字。