SSL和数字证书的概念及Web应用.doc

SSL和数字证书的概念及Web应用 陕西省数字证书认证中心 SSL和数字证书的概念及Web应用 安全对于WEB的应用非常重要。无论是应用于金融、商业还是个人信息的交流，人们都希望能够知道他们是在和谁交流，这就是所谓的验证，人们也希望别人所收到的就是他们所寄出的，这就是所谓的完整性，另外他们还希望这样的信息即使被别人截获，也无法被破译，这就是所谓的机密。Secure Sockets Layer协议（即SSL）就提供了满足这些要求的一个解决方案。在这个附录中，我们将重点讨论SSL的概念、数字证书的内容以及通过SSL实现SSL的方案，而至于涉及到SSL实现的加密技术、邮件文摘等概念，在前面的正文中已经介绍过了，在这里就不多说了。 一、简介 因为在这里主要介绍SSL技术在Web的应用，我们假设读者都是熟悉Web，HTTP以及Web服务器技术的人员。而我们在后面的介绍中主要应用的是Apache服务器系统的SSL实现。 SSL技术涉及到加密技术、邮件文摘和数字签名的技术，这三个技术分别可以用于实现机密性、完整性以及认证的功能。 1．数字证书 我们在前面讲过，数字证书是用于在INTERNET上标识个人或者机构身份的一种技术手段，它通过由一些公认的权威机构所认证，从而可以保证其安全地被应用在各种场合。 一份数字证书包括了公钥、个人、服务器或者其它机构的身份信息（称之为主题，如下格式所示）： Subject: Distinguished Name, Public Key Issuer: Distinguished Name, Signature Period of Validity: Not Before Date, Not After Date Administrative Information: Version, Serial Number Extended Information: Basic Contraints, Netscape Flags, etc. 主题的内容包括标识信息（唯一名称）、公匙，当然也包括签发该证书的证书认证机构以及证书有效时间，同时也包括另外一些信息，如序列号等。 唯一名称用特定的格式标识一个身份，此特定的格式由X.509（/pub/ OSIdirectory/ITUnov96/X.509/97x509final.doc）标准所确定，它由几个字段组成，其格式如下所示： 　 字段名：Common Name 缩写：CN 内容：需要认证的名称 示例：CN=Joe Average 　 字段名：Organization or Company 缩写：O 内容：该名称所属的机构 示例：O=Snake Oil, Ltd. 　 字段名：Organizational Unit 缩写：OU 内容：机构的单元 示例：OU=Research Institute 　 字段名：City/Locality 缩写：L 内容：所居住的城市 示例：L=Snake City 　 字段名：State/Province 缩写：ST 内容：省份或者州 示例：ST=Desert 　 字段名：Country 缩写：C 内容：国家名(ISO 号) 示例：C=XZ 　 证书权威机构可以定义这些字段中哪些是必需的，哪些是可选的。证书的二进制格式使用ASN.1（X.208标准：/pub/itu/x.series/x208.ps）格式。该格式定义了如何定义信息、编码规则，证书的二进制的编码使用基于Basic Encoding Rules (BER) 基础上的Distinguished Encoding（DER），对于某些不能传送二进制编码的系统，则使用base64编码，其版本为PEM编码。一个用PEM编码方式的证书如下： -----BEGIN CERTIFICATE----- MIIC7jCCAlegAwIBAgIBATANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCWFkx FTATBgNVBAgTDFNuYWtlIERlc2VydDETMBEGA1UEBxMKU25ha2UgVG93bjEXMBUG A1UEChMOU25ha2UgT2lsLCBMdGQxHjAcBgNVBAsTFUNlcnRpZmljYXRlIEF1dGhv cml0eTEVMBMGA1UEAxMMU25ha2UgT2lsIENBMR4wHAYJKoZIhvcNAQkBFg9jYUBz bmFrZW9pbC5kb20wHhcNOTgxMDIxMDg1ODM2WhcNOTkxMDIxMDg1ODM2WjCBpzEL MAkGA1UEBhMCWFkxFTATBgNVBAgTDFNuYWtlIERlc2VydDETMBEGA1