【51CTO.com獨(dú)家特稿】網(wǎng)絡(luò)釣魚攻擊一直是Internet中最嚴(yán)重的安全威脅之一，發(fā)展到現(xiàn)在已經(jīng)存在許多種不同的釣魚攻擊方式。其中最主要的一種就是通過網(wǎng)頁偽裝手段冒充企業(yè)的電子商務(wù)網(wǎng)站，然后通過各種手段欺騙用戶登錄至冒牌的網(wǎng)站上進(jìn)行商務(wù)交易，并以此來獲取受騙用戶的登錄帳號和密碼，使用戶遭受金錢和名譽(yù)的雙重?fù)p失。如此一來，就嚴(yán)重降低了用戶對電子商務(wù)的信任感，使得許多用戶開始排斥電子商務(wù)的交易方式，也就使原本就處于信任危機(jī)邊緣的電子商務(wù)的發(fā)展趨勢變得更加嚴(yán)峻。因此，廣大的電子商務(wù)網(wǎng)站迫切需要一種能夠提高其信任度的解決方法。

正是在電子交易網(wǎng)站的這種非常嚴(yán)峻的情勢下，2007年2月，一種叫做擴(kuò)展SSL認(rèn)證（Extended Validation SSL Certificate）的認(rèn)證方式出現(xiàn)在人們的視野中。這種擴(kuò)展SSL認(rèn)證方式首先就是由VeriSign公司提出，通常將它簡稱為EV-SSL。

EV-SSL是在SSL的基礎(chǔ)上發(fā)展而來的，它是全球領(lǐng)先的數(shù)字證書頒發(fā)機(jī)構(gòu)和主流的WEB瀏覽器廠商共同制定的一個(gè)新的SSL認(rèn)證標(biāo)準(zhǔn)。EV-SSL證書由受信任的第三方證書頒發(fā)機(jī)構(gòu)頒發(fā)，在與WEB服務(wù)器進(jìn)行無縫集成后，不僅可以為用戶和WEB服務(wù)器之間的網(wǎng)絡(luò)通信數(shù)據(jù)提供128位或256位SSL鏈路級加密，又可以通過此證書機(jī)構(gòu)頒發(fā)的中間級證書來驗(yàn)證WEB服務(wù)器身份的真實(shí)性。

一旦某個(gè)WEB站點(diǎn)使用了EV-SSL認(rèn)證，當(dāng)用戶瀏覽此WEB站點(diǎn)時(shí)，就會在用戶的WEB瀏覽器中顯示出此證書的頒發(fā)機(jī)構(gòu)標(biāo)志。并且，現(xiàn)在一些主流的WEB瀏覽器，例如IE7、Firefox3.0和Maxthon2.5.1等，會將通過EV-SSL認(rèn)證的WEB站點(diǎn)的URL地址在其地址欄中顯示為綠色。如圖1所示。這樣就讓用戶一眼就知道當(dāng)前瀏覽的網(wǎng)站是安全的和真實(shí)可靠的。

圖1

Resin是一個(gè)非常好用的JSP運(yùn)行平臺，深受廣大WEB站點(diǎn)的喜愛。鑒于目前電子商務(wù)網(wǎng)站反網(wǎng)絡(luò)釣魚攻擊的要求，在本文中，我將向大家描述如何用EV-SSL認(rèn)證，來為使用Resin的WEB服務(wù)器打造一條與用戶之間的綠色安全的電子商務(wù)通道。

與應(yīng)用傳統(tǒng)的第三方SSL認(rèn)證一樣，EV-SSL的應(yīng)用也需要經(jīng)過生成證書請求文件、注冊購買證書、安裝證書和備份/恢復(fù)證書這一系列的過程。接下來，我們就來具體了解這一過程中每個(gè)步驟所必需完成的任務(wù)。

1、生成EV-SSL認(rèn)證的私鑰

想要Resin可以響應(yīng)EV-SSL請求，我們就必需保證WEB服務(wù)器上已經(jīng)安裝好了相關(guān)的SSL套件。對于中小企業(yè)來說，開源免費(fèi)的OpenSSL提供與SSL相同的認(rèn)證功能。

OpenSSL的Linux版本可以在www.openssl.org網(wǎng)站上下載。現(xiàn)在它的最新版本是OpenSSL 0.9.8j。Linux系統(tǒng)下的Resin是通過libexec/libresinssl.so JNI庫文件提供對OpenSSL的支持。

如果我們是在Windows系統(tǒng)中使用Resin，那么，我們同樣需要在此操作系統(tǒng)下先安裝好OpenSSL。Windows下的OpenSSL在www.slproweb.com/products/Win32OpenSSL.html下載，它的最新安裝文件是Win32OpenSSL-0_9_8j.exe，其大小為7MB左右。在Windows系統(tǒng)下，Resin的resinssl.dll文件中包含提供對OpenSSL支持的代碼。因此，在Windows系統(tǒng)下只需要安裝好OpenSSL就可以讓Resin使用它了。OpenSSL在Windows系統(tǒng)下很容易安裝，就如同安裝其它的應(yīng)用程序一樣簡單。

不過，在Windows系統(tǒng)下安裝完OpenSSL后，還應(yīng)當(dāng)將一些需要的DLL文件復(fù)制到Resin的根目錄當(dāng)中?，F(xiàn)在假設(shè)Resin安裝在c:\resin-pro-3.2.1目錄，OpenSSL安裝在c:\Program Files\GnuWin32目錄?，F(xiàn)在打開系統(tǒng)開始菜單的“運(yùn)行”對話框，在運(yùn)行框中輸入CMD命令，回車后進(jìn)入命令行終端界面。然后在命令行終端下就可以通過下列所示的命令將OpenSSL安裝目錄下的相關(guān)文件復(fù)制到Resin的根目錄下：

cd resin-pro-3.2.1

copy c:\Program Files\GnuWin32\bin\libssl32.dll c:\ resin-pro-3.2.1\libssl32.dll

copy c:\Program Files\GnuWin32\bin\libeay32.dll c:\ resin-pro-3.2.1\libeay32.dll

當(dāng)OpenSSL安裝和配置好以后，就可以通過它來為EV-SSL認(rèn)證生成私鑰，生成后的私鑰文件應(yīng)當(dāng)保存到相應(yīng)的Resin目錄中。因此，在生成密鑰前，我們可以在Resin根目錄中創(chuàng)建一個(gè)keys子目錄用來保存將要?jiǎng)?chuàng)建的私鑰文件。

在生成私鑰時(shí)，OpenSSL會根據(jù)其配置文件中設(shè)置的內(nèi)容來生成。在類Linux系統(tǒng)下，這個(gè)缺省的配置文件可能在usr/ssl/openssl.cnf或/usr/share/ssl/openssl.cnf下。而Windows系統(tǒng)中不存在這樣的文件。
   
在WEB服務(wù)器上創(chuàng)建私鑰時(shí)，會要求我們輸入相應(yīng)的密碼，這個(gè)密碼將會在我們使用創(chuàng)建的私鑰時(shí)要求被輸入。因此要牢記這個(gè)密碼并妥善地保管它。我們還必需將這個(gè)密碼加入到Resin的配置文件當(dāng)中。

在Windows系統(tǒng)下創(chuàng)建私鑰時(shí)，先打開系統(tǒng)開始菜單中的“運(yùn)行”對話框，在其中輸入CMD，回車后進(jìn)入系統(tǒng)的命令行終端窗口。然后用CD命令切換到OpenSSL安裝目錄，再用下列命令產(chǎn)生私鑰：

keytool –genkey –alias myevssl –keyalg RSA –keysize 1024 –keystore 

c:\ resin-pro-3.2.1\key\myprikey.key 

其中，-genkey參數(shù)為產(chǎn)生密鑰對；-alias參數(shù)后為私鑰別名； -keyalg參數(shù)后為密鑰算法；-keysize參數(shù)后為密鑰位數(shù)；-keystore參數(shù)后為私鑰存儲路徑和文件名。

輸入上述命令后按回車鍵就會開始EV-SSL私鑰的生成過程，在私鑰生成過程中會出現(xiàn)在些需要我們輸入相應(yīng)內(nèi)容的提示，例如網(wǎng)站域名及密碼等，這些都必需根據(jù)提示真實(shí)輸入。在本例中，完成私鑰生成后，私鑰文件就會以命令中指定的myprikey.key文件名保存到指定的c:\ resin-pro-3.2.1\key目錄中。#p#

2、成證書請求文件（CSR）

得到EV-SSL認(rèn)證的私鑰后，接下來就是要生成一個(gè)申請第三方EV-SSL認(rèn)證證書的證書請求文件（Certificate Sign Request），簡稱CSR。證書請求文件中包含有EV-SSL證書的公鑰、名稱、加密位數(shù)、地址和網(wǎng)站域名等信息。這個(gè)證書請求文件我們將會在注冊購買EV-SSL證書時(shí)提交給證書頒發(fā)機(jī)構(gòu)，而證書的私鑰將由我們自己保管在WEB服務(wù)器上。

在Windows系統(tǒng)下創(chuàng)建證書請求文件時(shí)，先要打開系統(tǒng)開始菜單中的“運(yùn)行”對話框，在其中輸入CMD，回車后進(jìn)入系統(tǒng)的命令行終端窗口。然后用CD命令切換到OpenSSL安裝目錄，再用下列命令生成EV-SSL的證書請求文件：

keytool –certreq –alias myevsslcsr –sigalg MD5withRSA –file 

c:\ resin-pro-3.2.1\key\myevssl.csr –keypass password –keystore 

c:\ resin-pro-3.2.1\key\myprikey.key –storepass password 

其中，-certreq參數(shù)指生成證書請求文件；-alias參數(shù)后為證書別名；-sigalg參數(shù)后為密鑰算法；-file參數(shù)后為證書請求文件的輸出路徑和文件名；-keypass參數(shù)后為密鑰保護(hù)密碼；-keystore參數(shù)后為私鑰存儲路徑及文件名；-storepass參數(shù)后為存儲密碼。

同樣，在生成證書請求文件的過程中會要求我們按提示輸入相關(guān)信息，這些需要我們輸入的信息必需按要求真實(shí)輸入。在本例中，完成證書請求文件的生成工作后，就會在c:\ resin-pro-3.2.1\key目錄下得到一個(gè)名為myevssl.csr的證書請求文件。

3、注冊和購買EV-SSL證書

生成完證書請求文件后，接下來就是選擇一個(gè)第三方證書頒發(fā)機(jī)構(gòu)注冊并購買其證書。在本文中我將以向天威誠信注冊VeriSign的128位EV-SSL證書為例做具體的介紹說明。一個(gè)具體的EV-SSL注冊購買過程需要經(jīng)過確認(rèn)域名、確認(rèn)付款方式、生成證書請求文件、提交證書請求文件和完成注冊這5個(gè)步驟。

下面就是具體的注冊和購買EV-SSL證書的過程：

首先，在WEB瀏覽器地址欄中輸入：https://digitalid.itrus.com.cn/GlobalServer/globalserver/index.html，就可以進(jìn)入如圖2所示的天威誠信公司網(wǎng)站的128位EV-SSL證書注冊頁面。

圖2

圖2 EV-SSL證書開始注冊界面

在此EV-SSL證書的注冊和購買過程的最初兩個(gè)步驟中，當(dāng)我們按網(wǎng)站提供的注冊要求完成域名驗(yàn)證和填寫付款方式后，就會出現(xiàn)如圖3所示的生成證書請求（CSR）界面。由于我們已經(jīng)通過WEB服務(wù)器生成了證書請求文件，那么，現(xiàn)在就可以直接單擊此界面中的“下一步”按鈕繼續(xù)下一步的注冊過程。

圖3

圖3 生成證書請求界面

接下來就會出現(xiàn)一個(gè)如圖4所示的提交證書請求文件界面。此時(shí)，我們先用記事本打開前面已經(jīng)生成的證書請求文件，在本文中就是“c:\ resin-pro-3.2.1\key\myevssl.csr”文件。然后將其中所有的內(nèi)容全部復(fù)制到證書請求文件提交界面中的文本框中。完成后單擊“下一步”按鈕繼續(xù)其注冊過程。

圖4

圖4 提交證書請求文件界面

此時(shí)，就會出現(xiàn)一個(gè)完成注冊的界面。在此界面中通過下拉條往下拉，當(dāng)出現(xiàn)如圖5界面所示的位置時(shí)，在選擇服務(wù)器軟件供應(yīng)下拉框中選擇WEB服務(wù)器軟件的供應(yīng)商。例如，IIS6的軟件供應(yīng)商就是Microsoft（微軟）。在這個(gè)注冊步驟，我們必需正確地選擇WEB服務(wù)器的軟件供應(yīng)商，這樣，證書頒發(fā)機(jī)構(gòu)才能將與WEB服務(wù)器兼容的正確證書頒發(fā)給我們。

圖5

圖5 選擇服務(wù)器軟件供應(yīng)商界面

完成服務(wù)器軟件供應(yīng)商的選擇后，繼續(xù)向下拉下拉條。接下來會依次出現(xiàn)要求輸入技術(shù)聯(lián)系人信息、輸入單位聯(lián)系人信息和輸入付款聯(lián)系人信息的部分。在這些需要填入相應(yīng)聯(lián)系人信息的位置，我們都必需按要求填入真實(shí)有效的聯(lián)系人信息，以便證書能正確送達(dá)。其中的技術(shù)聯(lián)系人信息一定填寫一個(gè)真實(shí)可靠的E-Mail地址，以便在注冊后證書頒發(fā)機(jī)構(gòu)能夠?qū)⒋_認(rèn)郵件發(fā)送給技術(shù)人員確認(rèn)，以及此郵箱將最終接收證書頒發(fā)機(jī)構(gòu)發(fā)送過來的EV-SSL證書。

完成三種聯(lián)系人信息的輸入后繼續(xù)往下拉，就會出現(xiàn)如圖6所示的要求輸入企業(yè)機(jī)構(gòu)代碼的界面。在此界面中，我們必需在“代碼”文本框中正確輸入組織機(jī)構(gòu)代碼證上的代碼，此代碼是一個(gè)由9位數(shù)據(jù)組成數(shù)字串。

圖6

圖6 輸入組織機(jī)構(gòu)代碼界面

當(dāng)完成注冊界面中的所有工作全部完成后，單擊此界面中的“接受”按鈕就可以完成整個(gè)EV-SSL證書的申請注冊和購買過程。

如果我們真的在天威誠信網(wǎng)站完成了EV-SSL證書的注冊申請工作，天威誠信將經(jīng)過1-3個(gè)工作日來核實(shí)和確認(rèn)付款等工作。天威誠信會在EV-SSL證書的注冊申請?zhí)峤缓?，給我們填寫的技術(shù)聯(lián)系人的電子郵箱中發(fā)送一封確認(rèn)購買證書的郵件，技術(shù)聯(lián)系人必需按郵件中提示的內(nèi)容進(jìn)行相應(yīng)的確認(rèn)。如果技術(shù)聯(lián)系人沒有按郵件中內(nèi)容的要求確信證書購買，那么，天威誠信將不會將證書頒發(fā)給我們。同時(shí)，在這封確認(rèn)證書購買的郵件中，還包含了購買證書的個(gè)人身份證號碼（PIN），我們可以通過它去確認(rèn)當(dāng)前的證書訂單狀態(tài)。#p#

4、獲取EV-SSL證書

當(dāng)我們所有的證書注冊工作正確完成，并按要求付款后，證書機(jī)構(gòu)（本例中為天威誠信）就會將一封包含有EV-SSL證書的電子郵件發(fā)送到技術(shù)聯(lián)系人的郵箱當(dāng)中。我們現(xiàn)在要做的，就是打開電子郵件，將此郵件內(nèi)容中從“-----BEGIN CERTIFICATE-----”字段開始（包括此字段）到“-----END CERTIFICATE-----”字段（包括此字段）止的所有文本內(nèi)容復(fù)制好，然后粘貼到記事本中，并以“myevssl.crt”的EV-SSL證書名保存到“c:\ resin-pro-3.2.1\key”目錄下。當(dāng)然，此證書文件的名稱可以由我們自由決定。

5、安裝EV-SSL根證書

現(xiàn)在我們已經(jīng)得到了EV-SSL證書，接下來的工作就是將其安裝到我們所使用的WEB服務(wù)器當(dāng)中。在本文中就是安裝到使用IIS6的WEB服務(wù)器中。

打開IIS6服務(wù)器的管理控制臺，右鍵網(wǎng)站的域名，在彈出的右鍵菜單中選擇“屬性”菜單進(jìn)入其屬性界面。然后在屬性界面中單擊“目錄安全性”選項(xiàng)框，在隨即出現(xiàn)的界面中單擊“服務(wù)器證書”按鈕，就會開始一個(gè)IIS6證書向?qū)?。在此證書向?qū)У牡谝粋€(gè)界面中選擇“掛起證書請求”單項(xiàng)選擇項(xiàng)，然后單擊“下一步”按鈕就會出現(xiàn)如圖7所示的掛起證書請求的界面。在此界面中選擇“處理掛起的請求并安裝證書”單項(xiàng)選擇項(xiàng)，然后單擊下一步按鈕繼續(xù)下一步的證書安裝過程。

圖7

圖7 掛起證書請求界面

接下來就會出現(xiàn)如圖8所示的要求輸入要安裝的EV-SSL證書的界面。在此界面中單擊“瀏覽”按鈕，導(dǎo)航到我們保存的證書的位置，并選擇獲得的EV-SSL證書文件（在本文中就是c:\ resin-pro-3.2.1\key\ myevssl.crt）。完成后單擊“下一步”按鈕繼續(xù)安裝證書的過程。

圖8

圖8 指定EV-SSL根證書文件界面

此時(shí)，就會出現(xiàn)一個(gè)如圖9所示的指定SSL連接端口的界面。SSL默認(rèn)的端口是443，此端口可以保護(hù)默認(rèn)，以便不了解的用戶可以直接通過此默認(rèn)端口連接服務(wù)器。在此界面中單擊“下一步”按鈕就可以完成EV-SSL的安裝過程。

圖9

圖9 指定SSL連接端口界面

6、安裝中間級證書

在安裝完EV-SSL根證書后，要想WEB服務(wù)器能夠被用戶瀏覽器所信任，我們就必需再為此WEB服務(wù)器安裝一個(gè)中間級證書。安裝這個(gè)中間級證書的作用就是以此來形成一個(gè)證書鏈，使瀏覽器信任這個(gè)WEB服務(wù)器。

首先，從http://www.itrus.com.cn/products/server/golbalmediumca.asp 得到天威誠信提供的服務(wù)器中間證書，并保存為一個(gè)“crt”類型的文件，例如本文中的myiterevssl.crt，同樣，文件名可以由我們自己決定。

得到中間證書后，接下來就是將它導(dǎo)入到證書管理器中。仍以IIS6服務(wù)器為例說明。先打開Windows系統(tǒng)開始菜單中的“運(yùn)行”對話框，在其中輸入“MMC”后回車就可以進(jìn)入系統(tǒng)控制臺。進(jìn)入系統(tǒng)控制臺后，通過控制臺文件菜單中的“添加/刪除管理單元”添加證書管理控制臺。圖10就是證書管理控制臺的界面。

圖10

圖10 證書管理控制臺界面

在證書管理控制臺界面中展開“中級證書頒發(fā)機(jī)構(gòu)”，在打開的下級菜單中右擊“證書”，在彈出的右鍵菜單中選擇“所有任務(wù)”—“導(dǎo)入”菜單，就可以打開一個(gè)證書導(dǎo)入向?qū)А０醋C書導(dǎo)入向?qū)У奶崾緦⑸厦姹４婧玫闹虚g級證書“myiterevssl.crt”導(dǎo)入即可完成中間級證書的安裝工作。

7、修改Resin配置文件

要想Resin能夠使用EV-SSL認(rèn)證，我們還必需對其配置文件resin.conf做相應(yīng)的設(shè)置。具體要配置的內(nèi)容包括：

...

  

    
c:\ resin-pro-3.2.1\key\ myevssl.crt
    
 c:\ resin-pro-3.2.1\key\myprikey.key
    
password
  

其中，中的內(nèi)容表示EV-SSL連接使用的默認(rèn)端口號，如果沒有特別要求，可以保持默認(rèn)。和之間的內(nèi)容填入Resin可以使用的EV-SSL認(rèn)證公鑰，在這里為c:\ resin-pro-3.2.1\key\ myevssl.crt。和之間的內(nèi)容填入Resin可以使用的私鑰，在本文中為c:\ resin-pro-3.2.1\key\myprikey.key。至于和之間就是填入我們在創(chuàng)建私鑰時(shí)設(shè)置的密碼。

8、備份和恢復(fù)EV-SSL證書

當(dāng)WEB服務(wù)器操作系統(tǒng)或軟件出現(xiàn)故障需要重新安裝操作系統(tǒng)或軟件時(shí)，為了免除每次安裝兩個(gè)證書的過程，我們就有必要將EV-SSL證書和中間級證書都進(jìn)行備份，以便不時(shí)之需。下面的說明仍以IIS6服務(wù)器為例。

（1）、EV-SSL和中間級證書的備份

EV-SSL和中間級證書的備份都可以在證書系統(tǒng)管理控制臺中完成。具體操作如下：

在系統(tǒng)開始菜單的“運(yùn)行”框中輸入“MMC”打開系統(tǒng)管理控制臺，通過其“文件”菜單中的“添加/刪除管理單元”菜單項(xiàng)將“證書”管理控制單元添加進(jìn)來。

在證書管理控制單元中展開“個(gè)人”證書，單擊個(gè)人證書下的“證書”菜單，然后在證書管理控制臺右邊界面中用鼠標(biāo)右鍵單擊我們安裝的EV-SSL證書。在彈出的右鍵菜單中選擇“導(dǎo)出”，就可以開始一個(gè)證書導(dǎo)出向?qū)А?/P>

在進(jìn)行證書導(dǎo)出時(shí)，我們必需將私鑰一起導(dǎo)出，并且還可以將證書所有路徑中的證書一起導(dǎo)出，然后再為備份的證書設(shè)置一個(gè)密碼。這樣，備份的證書將保存為一個(gè)“pfx”類型的文件。

中間級證書的備份在證書管理控制臺的“中間級證書頒發(fā)機(jī)構(gòu)”項(xiàng)中選擇并導(dǎo)出，其具體的操作過程與上述方式相同。

（2）恢復(fù)EV-SSL和中間級證書
   
當(dāng)我們備份好EV-SSL和中間級證書后，如果需要重新安裝它們，就可以直接在IIS6的管理控制臺中完成。我們可以打開IIS6管理控制臺，進(jìn)入“目錄安全性”頁面，在其中單擊“服務(wù)器證書”按鈕，在打開的證書向?qū)е羞x擇“從.pfx文件導(dǎo)入證書”的單項(xiàng)選擇項(xiàng)，然后按提示將保存的證書備份導(dǎo)入即可。

在導(dǎo)入證書備份文件時(shí)需要我們指定證書備份文件的具體位置，以及輸入備份證書時(shí)設(shè)置的密碼，剩下的工作與安裝新證書時(shí)相同。

到這里，配置使用Resin的WEB站點(diǎn)使用EV-SSL的應(yīng)用就全部完成。寫本文的目的就是為了讓一些使用Resin的中小企業(yè)電子商務(wù)網(wǎng)站能夠用EV-SSL，來開辟一條電子商務(wù)的綠色安全通道。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 用SSL安全協(xié)議實(shí)現(xiàn)WEB服務(wù)器的安全性
2. 如何在Web服務(wù)器上設(shè)置SSL