用EV-SSL为WEB站点打造绿色安全通道

发布者: 佚名 2012年02月01日围观次点赞:0

网络钓鱼攻击一直是Internet中最严重的安全威胁之一，发展到现在已经存在许多种不同的钓鱼攻击方式。其中最主要的一种就是通过网页伪装手段冒充企业的电子商务网站，然后通过各种手段欺骗用户登录至冒牌的网站上进行商务交易，并以此来获取受骗用户的登录帐号和密码，使用户遭受金钱和名誉的双重损失。

　　正是在电子交易网站的这种非常严峻的情势下，2007年2月，一种叫做扩展SSL认证(Extended Validation SSL Certificate)的认证方式出现在人们的视野中。EV-SSL是在SSL的基础上发展而来的，它是全球领先的数字证书颁发机构和主流的WEB浏览器厂商共同制定的一个新的SSL认证标准。EV-SSL证书由受信任的第三方证书颁发机构颁发，在与WEB服务器进行无缝集成后，不仅可以为用户和WEB服务器之间的网络通信数据提供128位或256位SSL链路级加密，又可以通过此证书机构颁发的中间级证书来验证WEB服务器身份的真实性。

　　一旦某个WEB站点使用了EV-SSL认证，当用户浏览此WEB站点时，就会在用户的WEB浏览器中显示出此证书的颁发机构标志。并且，现在一些主流的WEB浏览器，例如IE7及以上、Firefox3.0及以上等，会将通过EV-SSL认证的WEB站点的URL地址在其地址栏中显示为绿色。如图1所示。这样就让用户一眼就知道当前浏览的网站是安全的和真实可靠的。

　　图1以绿色显示的IE7地址栏

　　在本文中，我将以Resin为例向大家描述如何使用EV-SSL认证。与应用传统的第三方SSL认证一样，EV-SSL的应用也需要经过生成证书请求文件、注册购买证书、安装证书和备份/恢复证书这一系列的过程。

　　1、生成EV-SSL认证的私钥

　　想要Resin可以响应EV-SSL请求，我们就必需保证WEB服务器上已经安装好了相关的SSL套件。对于中小企业来说，开源免费的OpenSSL提供与SSL相同的认证功能。

　　OpenSSL的Linux版本可以在www.openssl.org网站上下载。现在它的最新版本是OpenSSL 0.9.8j。Linux系统下的Resin是通过libexec/libresinssl.so JNI库文件提供对OpenSSL的支持。

　　如果我们是在Windows系统中使用Resin，那么，我们同样需要在此操作系统下先安装好OpenSSL。Windows下的OpenSSL在www.slproweb.com/products/Win32OpenSSL.html下载，它的最新安装文件是Win32OpenSSL-0_9_8j.exe，其大小为7MB左右。在Windows系统下，Resin的resinssl.dll文件中包含提供对OpenSSL支持的代码。因此，在Windows系统下只需要安装好OpenSSL就可以让Resin使用它了。OpenSSL在Windows系统下很容易安装，就如同安装其它的应用程序一样简单。

　　不过，在Windows系统下安装完OpenSSL后，还应当将一些需要的DLL文件复制到Resin的根目录当中。现在假设Resin安装在c:\resin-pro-3.2.1目录，OpenSSL安装在c:\Program Files\GnuWin32目录。现在打开系统开始菜单的“运行”对话框，在运行框中输入CMD命令，回车后进入命令行终端界面。然后在命令行终端下就可以通过下列所示的命令将OpenSSL安装目录下的相关文件复制到Resin的根目录下：

　　cd resin-pro-3.2.1

　　copy c:\Program Files\GnuWin32\bin\libssl32.dll c:\ resin-pro-3.2.1\libssl32.dll

　　copy c:\Program Files\GnuWin32\bin\libeay32.dll c:\ resin-pro-3.2.1\libeay32.dll

　　当OpenSSL安装和配置好以后，就可以通过它来为EV-SSL认证生成私钥，生成后的私钥文件应当保存到相应的Resin目录中。因此，在生成密钥前，我们可以在Resin根目录中创建一个keys子目录用来保存将要创建的私钥文件。

　　在生成私钥时，OpenSSL会根据其配置文件中设置的内容来生成。在类Linux系统下，这个缺省的配置文件可能在usr/ssl/openssl.cnf或/usr/share/ssl/openssl.cnf下。而Windows系统中不存在这样的文件。

　　在WEB服务器上创建私钥时，会要求我们输入相应的密码，这个密码将会在我们使用创建的私钥时要求被输入。因此要牢记这个密码并妥善地保管它。我们还必需将这个密码加入到Resin的配置文件当中。

　　在Windows系统下创建私钥时，先打开系统开始菜单中的“运行”对话框，在其中输入CMD，回车后进入系统的命令行终端窗口。然后用CD命令切换到OpenSSL安装目录，再用下列命令产生私钥：

　　keytool –genkey –alias myevssl –keyalg RSA –keysize 1024 –keystore c:\ resin-pro-3.2.1\key\myprikey.key

　　其中，-genkey参数为产生密钥对;-alias参数后为私钥别名; -keyalg参数后为密钥算法;-keysize参数后为密钥位数;-keystore参数后为私钥存储路径和文件名。

　　输入上述命令后按回车键就会开始EV-SSL私钥的生成过程，在私钥生成过程中会出现在些需要我们输入相应内容的提示，例如网站域名及密码等，这些都必需根据提示真实输入。在本例中，完成私钥生成后，私钥文件就会以命令中指定的myprikey.key文件名保存到指定的c:\ resin-pro-3.2.1\key目录中。2、成证书请求文件(CSR)

　　得到EV-SSL认证的私钥后，接下来就是要生成一个申请第三方EV-SSL认证证书的证书请求文件(Certificate Sign Request)，简称CSR。证书请求文件中包含有EV-SSL证书的公钥、名称、加密位数、地址和网站域名等信息。这个证书请求文件我们将会在注册购买EV-SSL证书时提交给证书颁发机构，而证书的私钥将由我们自己保管在WEB服务器上。

　　在Windows系统下创建证书请求文件时，先要打开系统开始菜单中的“运行”对话框，在其中输入CMD，回车后进入系统的命令行终端窗口。然后用CD命令切换到OpenSSL安装目录，再用下列命令生成EV-SSL的证书请求文件：

　　keytool –certreq –alias myevsslcsr –sigalg MD5withRSA –file c:\ resin-pro-3.2.1\key\myevssl.csr –keypass password –keystore c:\ resin-pro-3.2.1\key\myprikey.key –storepass password

　　其中，-certreq参数指生成证书请求文件;-alias参数后为证书别名;-sigalg参数后为密钥算法;-file参数后为证书请求文件的输出路径和文件名;-keypass参数后为密钥保护密码;-keystore参数后为私钥存储路径及文件名;-storepass参数后为存储密码。

　　同样，在生成证书请求文件的过程中会要求我们按提示输入相关信息，这些需要我们输入的信息必需按要求真实输入。在本例中，完成证书请求文件的生成工作后，就会在c:\ resin-pro-3.2.1\key目录下得到一个名为myevssl.csr的证书请求文件。

　　3、注册和购买EV-SSL证书

　　生成完证书请求文件后，接下来就是选择一个第三方证书颁发机构注册并购买其证书。在本文中我将以向天威诚信注册VeriSign的128位EV-SSL证书为例做具体的介绍说明。一个具体的EV-SSL注册购买过程需要经过确认域名、确认付款方式、生成证书请求文件、提交证书请求文件和完成注册这5个步骤。

　　下面就是具体的注册和购买EV-SSL证书的过程：

　　首先，在WEB浏览器地址栏中输入：https://digitalid.itrus.com.cn/GlobalServer/globalserver/index.html，就可以进入如图2所示的天威诚信公司网站的128位EV-SSL证书注册页面。

　　图2 EV-SSL证书开始注册界面

　　在此EV-SSL证书的注册和购买过程的最初两个步骤中，当我们按网站提供的注册要求完成域名验证和填写付款方式后，就会出现如图3所示的生成证书请求(CSR)界面。由于我们已经通过WEB服务器生成了证书请求文件，那么，现在就可以直接单击此界面中的“下一步”按钮继续下一步的注册过程。

　　图3 生成证书请求界面

　　接下来就会出现一个如图4所示的提交证书请求文件界面。此时，我们先用记事本打开前面已经生成的证书请求文件，在本文中就是“c:\ resin-pro-3.2.1\key\myevssl.csr”文件。然后将其中所有的内容全部复制到证书请求文件提交界面中的文本框中。完成后单击“下一步”按钮继续其注册过程。

　　图4 提交证书请求文件界面

　　此时，就会出现一个完成注册的界面。在此界面中通过下拉条往下拉，当出现如图5界面所示的位置时，在选择服务器软件供应下拉框中选择WEB服务器软件的供应商。例如，IIS6的软件供应商就是Microsoft(微软)。在这个注册步骤，我们必需正确地选择WEB服务器的软件供应商，这样，证书颁发机构才能将与WEB服务器兼容的正确证书颁发给我们。

　　图5 选择服务器软件供应商界面

　　完成服务器软件供应商的选择后，继续向下拉下拉条。接下来会依次出现要求输入技术联系人信息、输入单位联系人信息和输入付款联系人信息的部分。在这些需要填入相应联系人信息的位置，我们都必需按要求填入真实有效的联系人信息，以便证书能正确送达。其中的技术联系人信息一定填写一个真实可靠的E-Mail地址，以便在注册后证书颁发机构能够将确认邮件发送给技术人员确认，以及此邮箱将最终接收证书颁发机构发送过来的EV-SSL证书。

　　完成三种联系人信息的输入后继续往下拉，就会出现如图6所示的要求输入企业机构代码的界面。在此界面中，我们必需在“代码”文本框中正确输入组织机构代码证上的代码，此代码是一个由9位数据组成数字串。

　　图6 输入组织机构代码界面

　　当完成注册界面中的所有工作全部完成后，单击此界面中的“接受”按钮就可以完成整个EV-SSL证书的申请注册和购买过程。

　　如果我们真的在天威诚信网站完成了EV-SSL证书的注册申请工作，天威诚信将经过1-3个工作日来核实和确认付款等工作。天威诚信会在EV-SSL证书的注册申请提交后，给我们填写的技术联系人的电子邮箱中发送一封确认购买证书的邮件，技术联系人必需按邮件中提示的内容进行相应的确认。如果技术联系人没有按邮件中内容的要求确信证书购买，那么，天威诚信将不会将证书颁发给我们。同时，在这封确认证书购买的邮件中，还包含了购买证书的个人身份证号码(PIN)，我们可以通过它去确认当前的证书订单状态。4、获取EV-SSL证书

　　当我们所有的证书注册工作正确完成，并按要求付款后，证书机构(本例中为天威诚信)就会将一封包含有EV-SSL证书的电子邮件发送到技术联系人的邮箱当中。我们现在要做的，就是打开电子邮件，将此邮件内容中从“-----BEGIN CERTIFICATE-----”字段开始(包括此字段)到“-----END CERTIFICATE-----”字段(包括此字段)止的所有文本内容复制好，然后粘贴到记事本中，并以“myevssl.crt”的EV-SSL证书名保存到“c:\ resin-pro-3.2.1\key”目录下。当然，此证书文件的名称可以由我们自由决定。

　　5、安装EV-SSL根证书

　　现在我们已经得到了EV-SSL证书，接下来的工作就是将其安装到我们所使用的WEB服务器当中。在本文中就是安装到使用IIS6的WEB服务器中。

　　打开IIS6服务器的管理控制台，右键网站的域名，在弹出的右键菜单中选择“属性”菜单进入其属性界面。然后在属性界面中单击“目录安全性”选项框，在随即出现的界面中单击“服务器证书”按钮，就会开始一个IIS6证书向导。在此证书向导的第一个界面中选择“挂起证书请求”单项选择项，然后单击“下一步”按钮就会出现如图7所示的挂起证书请求的界面。在此界面中选择“处理挂起的请求并安装证书”单项选择项，然后单击下一步按钮继续下一步的证书安装过程。