3.5电子商务安全协议.ppt

1、第第3章章电子商务安全协议电子商务安全协议电子商务的电子商务的SSL、SET协议协议7.1 SSL提供网上购物安全的协议提供网上购物安全的协议安全套接层安全套接层(Secure Sockets Layer，SSL)是一是一种传输层技术，可以实现浏览器和服务器之间种传输层技术，可以实现浏览器和服务器之间的安全通信。的安全通信。SSL协议是目前网上购物网站中协议是目前网上购物网站中常使用的一种安全协议。常使用的一种安全协议。所谓所谓SSL就是在和另一方通信前先讲好的一套就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信

2、道，确保电子商务的安全商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。线路传输，也不必担心别人的偷窥。SSL标准主要提供了标准主要提供了3种服务：数据加密服务、种服务：数据加密服务、认证服务与数据完整性服务。认证服务与数据完整性服务。1.数据加密服务：采用的是对称加密技术与公开数据加密服务：采用的是对称加密技术与公开密钥加密技术。密钥加密技术。2.认证服务：认证服务：SSL客户机与服务器都有各自的识别客户机与服务

3、器都有各自的识别号，这些识别号使用公开密钥进行加密。号，这些识别号使用公开密钥进行加密。3.数据完整性服务：采用哈希函数和机密共享的数据完整性服务：采用哈希函数和机密共享的方法提供完整信息性的服务，在客户机与服务方法提供完整信息性的服务，在客户机与服务器之间建立安全通道，以保证数据在传输中完器之间建立安全通道，以保证数据在传输中完整地到达目的地。整地到达目的地。SSL标准的工作流程主要包括以下几步：标准的工作流程主要包括以下几步：1.SSL客户机向客户机向SSL服务器发出连接建立请求，服务器发出连接建立请求，SSL服服务器响应务器响应SSL客户机的请求；客户机的请求；2.SSL客户机与客户机与

4、SSL服务器交换双方认可的密码，一般服务器交换双方认可的密码，一般采用的加密算法是采用的加密算法是RSA算法；算法；3.检验检验SSL服务器得到的密码是否正确，并验证服务器得到的密码是否正确，并验证SSL客客户机的可信程度；户机的可信程度；SSL客户机与客户机与SSL服务器交换结束的服务器交换结束的信息。信息。A B (1)要求进行身份认证 (2)同意进行认证 (3)互相确认身份(4)核查身份 确认无误 SSL安全协议也有它的缺点，主要有：不安全协议也有它的缺点，主要有：不能自动更新证书；认证机构编码困难；能自动更新证书；认证机构编码困难；浏览器的口令具有随意性；不能自动检浏览器的口令具有随意

5、性；不能自动检测证书撤销表；用户的密钥信息在服务测证书撤销表；用户的密钥信息在服务器上是以明文方式存储的。客户的数据器上是以明文方式存储的。客户的数据都完全暴露在商家的面前。都完全暴露在商家的面前。但因操作容易，成本低，而且又在不断但因操作容易，成本低，而且又在不断改进，所以在欧美的商业网站上的应用改进，所以在欧美的商业网站上的应用是较广泛的。是较广泛的。7.2 SET提供安全的电子商务数据交换提供安全的电子商务数据交换 对安全有非常高的要求敏感的部门，对安全有非常高的要求敏感的部门，SSL安全协议有缺点，不足以担此重任。安全协议有缺点，不足以担此重任。提出了有重大实用价值和深远影响的安提出了

6、有重大实用价值和深远影响的安全电子交易全电子交易(Secure Electronic Transaction，SET)。SET协议得到了许协议得到了许多大公司的支持，已成为事实上的工业多大公司的支持，已成为事实上的工业标准。标准。SET是是一一种种以以信信用用卡卡为为基基础础的的、在在因因特特网网上上交交易易的的付付款款协协议议书书，是是授授权权业业务务信信息息传传输输安安全全的的标标准准，它它采采用用RSA密密码码算算法法，利利用用公公钥钥体体系系对对通通信信双双方方进进行行认认证证，用用DES等等标标准准加加密密算算法法对对信信息息加加密密传传输输，并用散列函数来鉴别信息的完整性。并用散列

7、函数来鉴别信息的完整性。在在SET的的交交易易环环境境中中，比比现现实实社社会会中中多多一一个个电电子子商商务务的的安安全全性性认认证证中中心心电电子子商商务务的的安安全全性性CA参参与与其其中中，在在SET交易中认证是很关键的。交易中认证是很关键的。1.SET的主要目标的主要目标(1)信息传输的安全性：信息在因特网上安全传信息传输的安全性：信息在因特网上安全传输，保证不被外部或内部窃取。输，保证不被外部或内部窃取。(2)信息的相互隔离：订单信息和个人账号信息信息的相互隔离：订单信息和个人账号信息的隔离。的隔离。(3)多方认证的解决：多方认证的解决：要对消费者的信用卡认要对消费者的信用卡认证；

8、证；要对网上商店进行认证；要对网上商店进行认证；消费者、商消费者、商店与银行之间的认证。店与银行之间的认证。(4)效仿效仿EDI贸易形式，要求软件遵循相同协议贸易形式，要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和报文格式，使不同厂家开发的软件具有兼容和互操作功能。和互操作功能。(5)交易的实时性：所有的支付过程都是在线的。交易的实时性：所有的支付过程都是在线的。2.SET的交易成员的交易成员(1)持卡人持卡人消费者：持信用卡购买商品的人，消费者：持信用卡购买商品的人，包括个人消费者和团体消费者，按照网上商店包括个人消费者和团体消费者，按照网上商店的表单填写，通过由发卡银行发行

9、的信用卡进的表单填写，通过由发卡银行发行的信用卡进行付费。行付费。(2)网上商家：在网上的符合网上商家：在网上的符合SET规格的电子商规格的电子商店，提供商品或服务，它必须是具备相应电子店，提供商品或服务，它必须是具备相应电子货币使用的条件，从事商业交易的公司组织。货币使用的条件，从事商业交易的公司组织。(3)收单银行：通过支付网关处理持卡人和商店收单银行：通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送之间的交易付款问题事务。接受来自商店端送来的交易付款数据，向发卡银行验证无误后，来的交易付款数据，向发卡银行验证无误后，取得信用卡付款授权以供商店清算。取得信用卡付款授权以

10、供商店清算。(4)支付网关：这是由支付者或指定的第三方完支付网关：这是由支付者或指定的第三方完成的功能。为了实现授权或支付功能，支付网成的功能。为了实现授权或支付功能，支付网关将关将SET和现有的银行卡支付的网络系统作为和现有的银行卡支付的网络系统作为接口。接口。(5)发卡银行发卡银行在交易过程开始前，发卡银行在交易过程开始前，发卡银行负责查验持卡人的数据，如果查验有效，整个负责查验持卡人的数据，如果查验有效，整个交易才能成立。在交易过程中负责处理电子货交易才能成立。在交易过程中负责处理电子货币的审核和支付工作。币的审核和支付工作。(6)认证中心认证中心CA可信赖、公正的组织：接受可信赖、公正

11、的组织：接受持卡人、商店、银行以及支付网关的数字认证持卡人、商店、银行以及支付网关的数字认证申请书，并管理数字证书的相关事宜。申请书，并管理数字证书的相关事宜。3.SET安全协议工作原理安全协议工作原理(1)消费者选购商品，下电子订单消费者选购商品，下电子订单(2)网上商场做出应答，返回订单情况网上商场做出应答，返回订单情况(3)消费者选择付款方式，确认订单，签发付款消费者选择付款方式，确认订单，签发付款指令指令(4)消费者对订单和付款指令进行数字签名，利消费者对订单和付款指令进行数字签名，利用双重签名技术使商家看不到账号信息用双重签名技术使商家看不到账号信息(5)向消费者所在银行请求支付认可

12、，返回确认向消费者所在银行请求支付认可，返回确认信息给在线商店信息给在线商店(5)在线商店发送订单确认信息给消费者，消费在线商店发送订单确认信息给消费者，消费者进行电子记录者进行电子记录(6)在线商店发送货物提供服务，通知发卡银行在线商店发送货物提供服务，通知发卡银行进行支付进行支付4.SET的技术范围的技术范围SET的技术范围包括以下几方面。的技术范围包括以下几方面。(1)加密算法。加密算法。(2)证书信息和对象格式。证书信息和对象格式。(3)购买信息和对象格式。购买信息和对象格式。(4)认可信息和对象格式。认可信息和对象格式。(5)划账信息和对象格式。划账信息和对象格式。(6)对话实体之间

13、消息的传输协议。对话实体之间消息的传输协议。6.SET协议的安全技术协议的安全技术SET有一个开放工具有一个开放工具SET Toolkit，任何，任何电子商务系统都可以利用它来处理操作电子商务系统都可以利用它来处理操作过程中的安全和保密问题。过程中的安全和保密问题。其中支付其中支付(Payment)和认证和认证(Certificate)是是SET Toolkit向系统开向系统开始者提供的两大主要功能。始者提供的两大主要功能。目前的主要安全保障来自以下目前的主要安全保障来自以下3个方面：个方面：(1)将所有消息文本用双钥密码体制加密。将所有消息文本用双钥密码体制加密。(2)将上述密钥的公钥和私钥

14、的字长增加到将上述密钥的公钥和私钥的字长增加到512B2 048B。(3)采用联机动态的授权采用联机动态的授权(Authority)和认证检查和认证检查(Certificate)，以确保交易过程的安全可靠。，以确保交易过程的安全可靠。上述有上述有3个安全保障措施的技术基础如下所述：个安全保障措施的技术基础如下所述：(1)通过加密方式确保信息机密性。通过加密方式确保信息机密性。(2)通过数字化签名确保数据的完整性。通过数字化签名确保数据的完整性。(3)通过数字化签名和商家认证确保交易各方身份的真实通过数字化签名和商家认证确保交易各方身份的真实性。性。(4)通过特殊的协议和消息形式确保动态交互式系

15、统的可通过特殊的协议和消息形式确保动态交互式系统的可操作性。操作性。通通常常网网站站上上标标明明所所采采用用的的付付款款系系统统，如如SSL、SET，但但这这样样是是可可靠靠的的吗吗？如如何何可可以以确确切切地地知知道道某某个个网网站站是是否否支支持持SET交易呢？交易呢？真真正正的的SET网网站站，必必须须经经过过专专门门的的测测试试和和鉴鉴别别，并并给给予予一一个个SET特特约约商商店店的的商商标标。检检查查SET商商店店的的商商标标就就成成为为到到SET商店安全地购物的重要手段。商店安全地购物的重要手段。7.3 证书服务的安装与管理证书服务的安装与管理实训内容实训内容:1.证书服务的安装

16、与管理证书服务的安装与管理2.建立建立SSL网站网站环境要求如下：环境要求如下：(1)Web服务器：服务器：IIS 6.0，IP地址为地址为192.168.20.124，计算机名为，计算机名为SZY。(2)证书服务器：证书服务器：SZY的独立根的独立根CA，与，与Web服务器在同一台物理计算机上。服务器在同一台物理计算机上。(3)浏览器：浏览器：IE 6.0，与，与Web服务器在同一服务器在同一物理计算机上。物理计算机上。1.证书服务的安装与管理证书服务的安装与管理(1)打开控制面板，单击打开控制面板，单击“添加添加/删除程序删除程序”按钮，再单击按钮，再单击“添加添加/删除删除Windows

17、组组件件”按钮，弹出图示的按钮，弹出图示的“Windows组件向组件向导导”对话框，选中对话框，选中“证书服务证书服务”复选框。复选框。（2）弹出图示的提示信息对话框，提示安装证书服务后，弹出图示的提示信息对话框，提示安装证书服务后，计算机名称和域成员身份将不可再改变，单击计算机名称和域成员身份将不可再改变，单击“是是”按钮。按钮。（3）再单击再单击“详细信息详细信息”按钮，出现证书服务界面，安按钮，出现证书服务界面，安装证书服务时有两个选项。装证书服务时有两个选项。证书服务证书服务CA电子商务的安全性：构建电子商务的安全性：构建CA的证书服务。的证书服务。证书服务证书服务Web注册支持电子商

18、务的安全性：客户机通注册支持电子商务的安全性：客户机通过过Web页面提交数字证书申请，获取数字证书的页面提交数字证书申请，获取数字证书的Web网站。网站。(4)单击单击“下一步下一步”按钮，出现图所示的按钮，出现图所示的“CA类型类型”对话对话框，有框，有4种类型。种类型。企业根企业根CA：安装企业根：安装企业根CA，如果服务器是域控制器，如果服务器是域控制器，且安装且安装Active Directory，该选项将被激活。，该选项将被激活。企业从属企业从属CA：安装企业从属：安装企业从属CA，如果服务器是域成，如果服务器是域成员服务器，该选项将被激活。员服务器，该选项将被激活。独立根独立根CA

19、：安装独立根：安装独立根CA。独立从属独立从属CA：安装独立从属：安装独立从属CA。选中选中“独立根独立根CA”单选按钮，选中单选按钮，选中“用自定义设置生成用自定义设置生成密钥对和密钥对和CA证书证书”复选框表明自定义复选框表明自定义CA的密钥生成的密钥生成算法，单击算法，单击“下一步下一步”按钮。按钮。(5)出现出现“公钥公钥/私钥私钥”对话框，可以进行对话框，可以进行的设置包括以下几方面。的设置包括以下几方面。在在CSP列表框中选择加密服务提供程序列表框中选择加密服务提供程序(CSP)，默认值为：，默认值为：Microsoft Strong Cryptographic Provider。

20、在在“散列算法散列算法”列表框中选择要使用的列表框中选择要使用的散列算法，默认值为散列算法，默认值为SHA-1。(6)设置好后，单击设置好后，单击“下一步下一步”按钮，出按钮，出现图所示的现图所示的“CA识别信息识别信息”对话框，输对话框，输入识别入识别CA的信息，的信息，(7)出现图示的出现图示的“证书数据库设置证书数据库设置”对话对话框，用于配置服务器上的数字证书数据框，用于配置服务器上的数字证书数据库、数据库日志和配置信息的存放位置，库、数据库日志和配置信息的存放位置，按照默认设置就可以。单击按照默认设置就可以。单击“下一步下一步”按钮。按钮。(8)出现图出现图6.11所示的提示信息安装

21、过程中所示的提示信息安装过程中必须暂时停止必须暂时停止IIS服务，单击服务，单击“是是”按钮。按钮。(6)成功安装数字证书服务后出现完成界成功安装数字证书服务后出现完成界面，单击面，单击“完成完成”按钮，这样一个独立按钮，这样一个独立的要的要CA就构建完成。就构建完成。2.生成生成Web服务器数字证书申请文件服务器数字证书申请文件首先要生成使用首先要生成使用SSL的的Web服务器数字证书申请文件。服务器数字证书申请文件。(1)在在桌桌面面上上单单击击“开开始始”按按钮钮，在在弹弹出出的的菜菜单单中中执执行行“程程序序”“管管理理工工具具”“Internet信信息息服服务务管管理理器器”命命令令

22、，选选择择相相应应的的站站点点后后右右击击它它，在在出出现现的的快快捷捷菜菜单单中中执执行行“属属性性”命命令令，弹弹出出图图6.12所所示示的的“默默认认网网站站属属性性”对对话话框框，打打开开“目目录录安安全全性性”选选项项卡卡，单单击击“安全通信安全通信”区域中的区域中的“服务器证书服务器证书”按钮。按钮。(2)出现出现Web服务器证书向导的欢迎界面，服务器证书向导的欢迎界面，提示提示Web服务器没有安装证书，单击服务器没有安装证书，单击“下一步下一步”按钮。按钮。(3)出现图出现图6.13所示的所示的“服务器证书服务器证书”对话对话框，有框，有5种获取服务器证书的方法。种获取服务器证书

23、的方法。新建证书：新建立一个证书申请。新建证书：新建立一个证书申请。分配现有证书：为站点分配一个已经存在的证分配现有证书：为站点分配一个已经存在的证书。书。从密钥管理器备份文件导入证书：从密钥管理器备份文件导入证书：从密钥备从密钥备份文件导入证书。份文件导入证书。从从.pfx文件导入证书：从一种特定的证书文件文件导入证书：从一种特定的证书文件导入证书。导入证书。将远程服务器站点的证书复制或移动到此站点：将远程服务器站点的证书复制或移动到此站点：复制或移动远程服务器站点的证书。复制或移动远程服务器站点的证书。这里选中这里选中“新建证书新建证书”单选按钮，单击单选按钮，单击“下一下一步步”按钮。按

24、钮。(4)出现图出现图6.14所示的所示的“延迟或立即请求延迟或立即请求”对话框，用于选择发送证书请求的方法。对话框，用于选择发送证书请求的方法。选中选中“现在准备证书请求，但稍后发送现在准备证书请求，但稍后发送”单选按钮，单击单选按钮，单击“下一步下一步”按钮。按钮。(5)出现图出现图6.15所示的所示的“名称和安全性设置名称和安全性设置”对话框，在对话框，在“名称名称”文本框中输入文本框中输入Web服务器的数字证书名称，服务器的数字证书名称，在在“位长位长”下拉列表框中选择生成的公钥和私钥的位下拉列表框中选择生成的公钥和私钥的位长，默认长，默认1024 位，选中位，选中“选择证书的加密服务

25、提供程选择证书的加密服务提供程序序(CSP)”复选框自行选择复选框自行选择CSP，单击，单击“下一步下一步”按钮。按钮。注意：位越长，密钥越安全，但过长的位长将导致性能注意：位越长，密钥越安全，但过长的位长将导致性能下降。可选的位长为下降。可选的位长为512、1024、2048、4096、8192、16348(位为单位位为单位)。(6)弹出图弹出图6.16所示的所示的“可用提供程序可用提供程序”对话框，在对话框，在“选选择提供程序择提供程序”列表框中选择一个列表框中选择一个CSP程序。默认有两程序。默认有两个个CSP程序：程序：Microsoft DH Schannel Cryptograph

26、ic ProviderMicrosoft RSA Schannel Cryptographic Provider完成选择后单击完成选择后单击“下一步下一步”按钮。按钮。(7)弹弹出出图图6.17所所示示的的“单单位位信信息息”对对话话框框，在在“单单位位”和和“部部门门”文文本本框框中中按按照照需需要要设设置置，单击单击“下一步下一步”按钮。按钮。(8)弹出图弹出图6.18所示的所示的“站点公用名称站点公用名称”对话框。在对话框。在“公公用名称用名称”文本框中输入有效的文本框中输入有效的DNS域名或者域名或者NetBIOS名称，该名称与站点是唯一对应的，如果站点名称发名称，该名称与站点是唯一对

27、应的，如果站点名称发生变化，必须申请新的数字证书，完成设置后单击生变化，必须申请新的数字证书，完成设置后单击“下一步下一步”按钮。按钮。(6)弹出图弹出图6.19所示的所示的“地理信息地理信息”对话框，对话框，在在“国家国家(地区地区)”下拉列表框中选择下拉列表框中选择“CN(中国中国)”，在，在“省省/自治区自治区”和和“市市县县”文本框中按照需要设置，单击文本框中按照需要设置，单击“下下一步一步”按钮。按钮。(10)弹出图弹出图6.20所示所示“证书请求文件名证书请求文件名”对话框。在对话框。在“文件名文件名”文本框中输入保文本框中输入保存证书请求的文件路径及名称，完成设存证书请求的文件路

28、径及名称，完成设置后单击置后单击“下一步下一步”按钮。按钮。(11)弹出图弹出图6.21所示的所示的“请求文件摘要请求文件摘要”对话框，列举了证书的设置参数，确认对话框，列举了证书的设置参数，确认无误后单击无误后单击“下一步下一步”按钮。按钮。(12)弹出图弹出图6.22所示的证书请求完成对话所示的证书请求完成对话框，单击框，单击“完成完成”按钮。按钮。(13)打开证书请求文件，如图打开证书请求文件，如图6.23所示，所示，图中所示为加密后的信息。图中所示为加密后的信息。3.申请申请Web服务器数字证书服务器数字证书(1)在在浏浏览览器器中中访访问问http:/192.168.20.124/c

29、ertsrv，出出现现图图6.24所所示示的的证证书书服服务务页页面面，单单击击“申申请请一一个个证证书书”超超链链接接，再再单单击击“高高级级证证书书申申请请”超链接。超链接。(2)出现图出现图6.25所示的所示的“高级证书申请高级证书申请”页面，有两种高级证书申请页面，有两种高级证书申请方法。方法。创建并向此创建并向此CA提交一个申请：通过浏览器生成各种证书请求文件，提交一个申请：通过浏览器生成各种证书请求文件，并向并向CA提交申请。提交申请。使用使用base64编码的编码的CMC或或PKCS#10文件提交一个证书申请，或文件提交一个证书申请，或使用使用base64编码的编码的PKCS#7

30、文件续订证书申请：向文件续订证书申请：向CA提交已生成提交已生成的申请文件。的申请文件。选择第选择第2种。种。(3)出出现现图图6.26所所示示的的提提交交证证书书申申请请页页面面，将将图图所所示示的的全全部部文文本本内内容容复复制制到到“保保存存的申请的申请”文本框中，单击文本框中，单击“提交提交”按钮。按钮。(4)出现图出现图6.27所示的成功提交证书申请页所示的成功提交证书申请页面。面。4 颁发颁发Web服务器数字证书服务器数字证书数字证书服务器的管理员可以按照数字证书服务器的管理员可以按照6.4.1小节介绍的方法颁发小节介绍的方法颁发Web服务器证书。服务器证书。实例中颁发后的证书如图

31、实例中颁发后的证书如图6.28所示。所示。5.获取获取Web服务器的数字证书服务器的数字证书访问访问http:/192.168.20.124/certsrv，在出现的页面中单，在出现的页面中单击击“下载下载CA证书、证书链或证书、证书链或CRL”超链接，出现图超链接，出现图6.29所示的界面。在所示的界面。在“CA证书证书”列表框中选中列表框中选中“Web服服务器证书务器证书”，单击，单击“下载下载CA证书证书”超链接就可以将数超链接就可以将数字证书保存在本机上，默认的数字证书文件名为字证书保存在本机上，默认的数字证书文件名为certnew.cer。(1)在在桌桌面面上上单单击击“开开始始”按

32、按钮钮，在在弹弹出出的的菜菜单单中中执执行行“程程序序”“管管理理工工具具”“Internet信信息息服服务务管管理理器器”命命令令，选选择择相相应应的的站站点点后后右右击击，在在出出现现的的快快捷捷菜菜单单中中执执行行“属属性性”命命令令，弹弹出出图图6.30所所示示的的“默默认认网网站站属属性性”对对话话框框，打打开开“目目录录安安全全性性”选选项项卡卡，单单击击“安安全全通信通信”区域中的区域中的“服务器证书服务器证书”按钮。按钮。6.安装安装Web服务器数字证书服务器数字证书(2)弹弹出出图图6.31所所示示的的Web服服务务器器证证书书向向导导的的欢欢迎迎界界面面，提提示示Web服服

33、务务器器存存在在挂挂起起的证书请求，单击的证书请求，单击“下一步下一步”按钮。按钮。(3)弹弹出出图图6.32所所示示的的“挂挂起起的的证证书书请请求求”对对话话框框，选选中中“处处理理挂挂起起的的证证书书请请求求并并安安装装证证书书”单单选选按按钮钮，单单击击“下下一一步步”按钮。按钮。(4)弹弹出出图图6.33所所示示“处处理理挂挂起起的的请请求求”对对话话框框，在在“路路径径和和文文件件名名”文文本本框框中中输输入入Web服服务务器器所所在在证证书书的的完完整整的的路路径径，单击单击“下一步下一步”按钮。按钮。(5)弹弹出出图图6.34所所示示的的“SSL端端口口”对对话话框框，在在“此

34、此网网站站应应该该使使用用的的SSL端端口口”文文本本框框中中输输入入SSL端端口口号号，默默认认为为443，一一般般无无须更改。单击须更改。单击“下一步下一步”按钮。按钮。(6)弹弹出出图图6.35所所示示的的“证证书书摘摘要要”对对话话框框，显显示示证证书书文文件件的的详详细细信信息息，确确认认无无误误后后单击单击“下一步下一步”按钮。按钮。(7)弹弹出出图图6.36所所示示的的证证书书向向导导完完成成界界面面，提提示示此此服服务务器器上上已已经经成成功功安安装装证证书书，单单击击“完成完成”按钮。按钮。7.7 在在Web服务器上设置服务器上设置SSL(1)正常情况下，正常情况下，SSL已

35、经被成功地设置到已经被成功地设置到Web服务器。服务器。图图6.37所示为启用所示为启用SSL后的后的“默认网站属性默认网站属性”对话框的对话框的“目录安全性目录安全性”选项卡，单击选项卡，单击“安全通信安全通信”区域的区域的“查看证书查看证书”按钮可以查看安装在按钮可以查看安装在Web服务器上的服务服务器上的服务器证书。如果没有安装证书，该按钮不能被激活。器证书。如果没有安装证书，该按钮不能被激活。(2)图图6.38所所示示为为启启用用SSL后后的的“默默认认网网站站属属性性”对对话话框框“网网站站”选选项项卡卡，在在“SSL端端口口”文文本本框框中中可可以以修修改改SSL端口设置。端口设置

36、。注注意意：这这样样Web站站点点就就具具备备了了SSL通通信信的的功功能能。一一种种方方法法是是以以http：/开开头头的的通通信信连连接接，这这样样是是普普通通的的Web访访问问；一一种种是是以以https开开头头的的通通信信连连接接，这这是是启启用用SSL安安全全通通信的连接。信的连接。(3)在在图图6.30所所示示对对话话框框中中单单击击“安安全全通通信信”区区域域的的“编编辑辑”按按钮钮，弹弹出出图图6.39所所示示的的“安安全全通通信信”对对话话框框，可可以以对对Web服服务务器器和和浏浏览览器器之之间间的的通通信信进进行行进进一一步步的的设设置。置。7.8 浏览器的浏览器的SSL

37、配置配置Web服务器证书让客户机可以鉴别服务服务器证书让客户机可以鉴别服务器的身份，如果服务器也需要鉴别客户器的身份，如果服务器也需要鉴别客户机的身份，那么需要在浏览器申请并安机的身份，那么需要在浏览器申请并安装数字证书。装数字证书。9.请浏览器数字证书请浏览器数字证书(1)在浏览器中访问在浏览器中访问http:/192.168.20.124/certsrv，出现证书服务页面，单击，出现证书服务页面，单击“申请一个证书申请一个证书”超链接，出现图超链接，出现图6.40所示的页面，单击所示的页面，单击“Web浏浏览器证书览器证书”超链接。超链接。(2)出出现现图图6.41所所示示的的识识别别信信

38、息息页页面面，在在“姓姓名名”、“电电子子邮邮件件”、“公公司司”、“部部门门”、“市市/县县”、“省省”和和“国国家家”文文本本框框中中按按照照自自己己的的实实际际情情况况设设置置，单单击击“提交提交”按钮。按钮。(3)成成功功提提交交浏浏览览器器数数字字证证书书申申请请后后的的页页面如图面如图6.42所示。所示。10.颁发浏览器数字证书颁发浏览器数字证书实例中管理员颁发的浏览器数字证书如实例中管理员颁发的浏览器数字证书如图图6.43所示。所示。11.获取及安装浏览器数字证书获取及安装浏览器数字证书(1)访问访问http:/192.168.20.124/certsrv，在出现的页面中单击在出

39、现的页面中单击“查看挂起的证书查看挂起的证书申请的状态申请的状态”超链接，出现图超链接，出现图6.44所示的所示的页面，单击页面，单击“Web浏览器证书浏览器证书”超链接。超链接。(2)出出现现图图6.45所所示示的的界界面面，单单击击“安安装装此此证证书书”超超链链接接将将在在浏浏览览器器上上安安装装数数字字证证书。书。(3)成成功功安安装装浏浏览览数数字字证证书书后后，出出现现图图6.46所示的页面。所示的页面。12.浏览器数字证书的管理浏览器数字证书的管理(1)在在IE浏览器的菜单栏执行浏览器的菜单栏执行“工具工具”“Internet”命令，弹出命令，弹出“Internet选项选项”对话

40、框，打开对话框，打开“内容内容”选项卡，单击选项卡，单击“证书证书”按钮，如图按钮，如图6.47所示。所示。(2)出现如图出现如图6.48所示的所示的“证书证书”对话框，对话框，打开打开“个人个人”选项卡，列举了颁发的个选项卡，列举了颁发的个人证书，表明该数字证书已经安装到浏人证书，表明该数字证书已经安装到浏览器上。览器上。(3)选选中中个个人人证证书书，单单击击“查查看看”按按钮钮可可以以查查看看浏浏览览器器的的数数字字证证书书，出出现现图图6.49所所示的示的“常规常规”选项卡。选项卡。在在图图6.48所所示示选选项项卡卡中中选选中中个个人人证证书书，单单击击“导导出出”按按钮钮可可以以将

41、将数数字字证证书书导导出出到扩展名为到扩展名为CER的数字证书文件中保存。的数字证书文件中保存。在在图图6.48所所示示选选项项卡卡中中选选中中个个人人证证书书，单单击击“删删除除”按按钮钮可可以以将将浏浏览览器器中中安安装装的数字证书删除。的数字证书删除。在在图图6.48所所示示选选项项卡卡中中单单击击“导导入入”按按钮可以将数字证书文件安装到浏览器上钮可以将数字证书文件安装到浏览器上 13.在浏览器上设置在浏览器上设置SSL默认情况下，默认情况下，IE浏览器是支持浏览器是支持SSL的，不需要用户进的，不需要用户进行设置。浏览器是否启用行设置。浏览器是否启用SSL可在图可在图6.50所示的所

42、示的“Internet选项选项”对话框的对话框的“高级高级”选项卡中进行设选项卡中进行设置。置。在在“设置设置”列表框的列表框的“安全安全”区域下有关区域下有关SSL的设置有的设置有两个。两个。使用使用SSL 2.0：支持：支持SSL 2.0版本。版本。使用使用SSL 3.0：支持：支持SSL 3.0版本。版本。需要将这两个选项都选上，浏览器才会启用需要将这两个选项都选上，浏览器才会启用SSL。14.访问访问SSL站点站点 访问，访问，http:/192.168.20.124/certsrv，出现如图，出现如图6.51所所示的界面。尽管网面的内容仍然和没有启动示的界面。尽管网面的内容仍然和没有

43、启动SSL以前的以前的内容一样，但网页内容的背后，所有的请示的数据已内容一样，但网页内容的背后，所有的请示的数据已经经过数字证书交换后产生的会话密钥进行了加密，经经过数字证书交换后产生的会话密钥进行了加密，只不过用户感觉不到只不过用户感觉不到SSL协议在后面的工作过程。安全协议在后面的工作过程。安全套接层套接层SSL协议好比是在协议好比是在HTTP协议上面接了一层安全协议上面接了一层安全保护层，由保护层，由SSL来完成数据的加密和鉴别的过程来完成数据的加密和鉴别的过程。小小 结结 本本章章主主要要介介绍绍了了电电子子商商务务的的安安全全问问题题，由由此此产产生生了了电电子子商商务务安安全全需需

44、求求。着着重重介介绍绍了了保保障障电电子子商商务务安安全全的的技技术术协协议议SSL与与SET，并并介介绍绍了了基基于于SSL协协议议网网站站的的构构建建过程过程.习习 题题 1.SSL加密协议的用途是什么？加密协议的用途是什么？2.SSL的工作原理与过程是什么？的工作原理与过程是什么？3.SET是如何保护在因特网上付款的交易安全？是如何保护在因特网上付款的交易安全？4.SET安全协议要达到的目标有哪安全协议要达到的目标有哪5个？个？5.基于基于SET协议的电子商务系统的业务过程有哪协议的电子商务系统的业务过程有哪几个？几个？6.要想安全地进行网上购物，如何识别基于要想安全地进行网上购物，如何识别基于SSL的安全性商业网站？的安全性商业网站？