注意 最后,证书验证成功与否取决于接收证书的一方是否信任颁发证书的机构,以及该机构是否正确核实证书拥有者的身份。但是,除了信任之外,证书并不提供关于用户或服务器身份、可信性或意图的决定性依据。证书包含通过网络确定身份(即称为身份验证的过程)所使用的信息。与验证的常见形式一样,证书使 Web 服务器和用户在建立连接前能够互相进行身份验证。证书也包含加密值,或“密钥”,它们用于在客户和服务器之间建立安全套接字层 (SSL) 连接。通过此连接发送的信息(例如信用卡号码)将被加密,这样未经授权的一方就不能截取和使用它。
在 SSL 中使用的证书有两种类型,每种类型的证书具有自己的格式和用途:服务器证书和客户端证书。“服务器证书”包含关于服务器的信息,该信息允许客户在共享敏感信息之前对服务器进行确认性识别。“客户端证书”包含关于请求访问站点的客户的个人信息,在允许客户访问站点之前,可以使用此证书对客户进行有效的标识。
本主题包括下列信息:
可以从互相信任的第三方商业机构[称为“证书颁发机构”(CA)]处获取客户端证书。CA 的主要职责是确认申请证书一方的身份,从而确保证书中包含的标识信息是有效的。
在签发证书之前,CA 要求您提供标识信息,如名称、地址和机构名等。这些信息的范围可以根据证书的标识保证要求而有所不同。如果需要使用证书对您的身份提供绝对的担保,则 CA 将要求您提供真实的信息,收集这些信息可能要求您与 CA 进行个人会面并得到公证人的认可。
有关证书颁发机构的列表,请参阅获取和安装服务器证书。
注意 最后,证书验证成功与否取决于接收证书的一方是否信任颁发证书的机构,以及该机构是否正确核实证书拥有者的身份。但是,除了信任之外,证书并不提供关于用户或服务器身份、可信性或意图的决定性依据。
要激活 Web 服务器的 SSL 安全功能,必须获得并安装有效的服务器证书。服务器证书即为数字标识,其中包含关于 Web 服务器以及赞助服务器 Web 内容的机构的信息。用户可使用服务器证书来验证您的服务器,检查 Web 内容的有效性,以及建立安全连接。服务器证书还包含“公钥”,它用于创建客户端和服务器之间的安全连接。
作为一种标识方法,服务器证书成功与否取决于用户是否相信证书中所包含信息的有效性。例如,登录到您公司网站的用户可能犹豫是否提供信用卡信息,尽管他(她)已经看到了公司服务器证书的内容。如果贵公司是一家新公司并且尚不知名,这种现象尤其明显。如果是这种情况,请考虑从证书颁发机构获取服务器证书。
另外,根据您的机构与网站用户的关系,可以发布自己的服务器证书。例如,在大企业 Intranet 中处理雇员薪水册和福利信息,公司管理人员决定采用一种证书服务,这种服务具有验证标识信息和签发服务器证书的功能。详细信息,请参阅获取和安装服务器证书。
服务器网关加密 (SGC) 使用 128 位加密为金融机构提供了全球金融交易解决方案。SGC 是安全套接字层 (SSL) 的扩展,它允许拥有 IIS 出口版本的金融机构可使用强加密。
SGC 不要求在客户端浏览器上运行应用程序,并且可由 IIS 4.0 或更高版本的标准出口版本使用。为 SGC 配置的服务器可以增强 128 位和 40 位的加密会话,所以不要求多个 IIS 版本。虽然 SGC 功能已内建到 IIS 4.0 及以后版本中,但是使用 SGC 时还需要特殊的 SGC 证书。联系证书颁发机构以获取可用信息。有关 SGC 的详细信息,请参阅 Server-Gated Cryptography (SGC) 网站中的题为“Secured online banking goes global!”的文章。
注意 如果打开 SGC 证书,则可能会在“常规”选项卡上收到以下通知:“证书无法检验其所有的预定用途”。该通知的签发是由于 SGC 证书与 Windows 2000 交互的方式而造成的,但该通知并不表示证书一定无法正常工作。
通过使用可选的加密服务提供程序 (CSP),可以选择 Microsoft 或第三方加密提供程序来处理加密和证书管理。每个加密提供程序可以创建一个公钥和私钥来加密发送到 Web 服务器和从中发送的数据。私钥存储在硬件的服务器端、PCI 卡、智能卡或者注册表中,这是因为它用于 Microsoft 安装的两个默认提供程序:Microsoft DH SChannel 加密提供程序和 Microsoft RSA SChannel 加密提供程序。每个提供程序的 Microsoft 加密 API (CryptoAPI) 包含相同的方法和属性。因此,您可以在提供程序之间切换,而无需重新编写代码。有关 CSP 和管理安装的第三方加密提供程序的详细信息,请参阅 MSDN Web Workshop 上的 Microsoft CryptoAPI Overview。有关支持 IIS 的最新加密服务提供程序列表,请在该页上选择“Endorsements”。
客户端证书是包含客户信息的电子文档。这些证书和服务器证书一样,不仅包含该信息,而且还包含构成 IIS 的 SSL 安全功能一部分的加密密钥。由于有了来自服务器和客户端证书的公钥或加密代码,对在开放网络(如 Internet)上传输数据进行加密和解密变得更为容易。有关加密的详细信息,请参阅关于加密。
典型的客户端证书包含下面几项信息:用户的标识、证书颁发机构的标识、用于建立安全通讯的“公钥”以及确认信息(如截止日期和序列号等)。证书颁发机构提供不同类型的客户端证书,这些证书包含不同数量的信息(取决于要求的验证级别)。有关详细信息,请参阅获取客户端证书。
持有证书信任列表 (CTL),网站管理员便可以根据预先确定的可信证书颁发机构列表自动检验客户端证书。
例如,Intranet 管理员可以为网络上的各部门创建不同的可信证书颁发机构列表。IIS 将只接受该部门 CTL 中证书颁发机构提供的客户端证书。有关详细信息,请参阅使用证书信任列表。
大多数著名的证书颁发机构保留一个证书吊销列表 (CRL),这是在预定截止日期之前要吊销的当前客户端证书的列表。
例如,如果证书颁发机构 (CA) 向用户颁发客户端证书,随后又确定用户提交了虚假的信息,则颁发机构可以吊销用户的客户端证书。但是,因为 CA 无法实际吊销客户端证书,所以它通过将吊销的客户端证书添加到 CRL 中以提醒 Web 管理员。默认情况下,IIS 检查 CRL,如果找到一个证书,则使用该证书。
有关吊销服务提供商的详细信息,请与证书颁发机构联系。有关 CRL 的详细信息,请参阅使用证书吊销列表。
© 1997-2003 Microsoft Corporation。保留所有权利。