1. 首页
  2. 客户端 相关的文章

使用签名证书部署自SSL非常不安全

Sun Java System Message Queue 3.7 UR1 管理指南

使用署名证书

署名证书可以提供比自署名证书更精密的服务器验证。您只能在客户端与代理之间实现署名证书,而不能在聚集中的多个代理之间实现署名证书。除了上面介绍的设置自署名证书的步骤外,使用署名证书还需要其他一些步骤(见下文)。以下各节更具体地介绍了这些步骤。

使用署名证书

    在密钥库中安装证书。

    设置 Message Queue 客户端,使其在与代理创建基于 SSL 的连接时请求署名证书。

获取和安装署名证书

以下過逞说明怎样获取和安装署名证书。

获取署名证书

  1. 使用 J2SE keytool 下令为上一节中天生的自署名证书天生一个证书署名请求 (Certificate Signing Request, CSR)。

    有关 keytool 下令的信息,可以参考

    http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html

    下面是一个示例:


    keytool -certreq -keyalg RSA -alias imq -file certreq.csr -keystore /etc/imq/keystore -storepass myStorePassword

    这将天生一个 CSR,它将证书封装到指定的文件中(本例中是文件 certreq.csr )。

  2. 使用 CSR 天生或请求署名证书。

    您可以通过以下两种方法之一完成:

      由众所周知的证书颁发机构 (Certificate Authority, CA) 签订证书,如 Thawte 或 Verisign。有关怎样操作的具体信息,请拜见 CA 的文档。

    • 使用 SSL 署名软件包亲身对质书进行署名。

      最终的署名证书是一个 ASCII 字符序列。假如从 CA 收到署名证书,它大概是电子邮件附件或消息文本。

  3. 将署名证书保存到文件中。

    以下说明使用示例名 broker.cer 来表现代理证书。

安装署名证书

  1. 检察 J2SE 是否默认支持您的证书颁发机构。

    此下令列出系统密钥库中的根 CA:

    keytool -v -list -keystore $JAVA_HOME/lib/security/cacerts

    假如您的 CA 已列出,请跳过下一步。

  2. 假如 J2SE 不支持您的证书颁发机构,请将 CA 的根证书导入到 Message Queue 密钥库中。

    下面是一个示例:

    keytool -import -alias ca -file ca.cer -noprompt -trustcacerts -keystore /etc/imq/keystore -storepass myStorePassword

    此中 ca.cer 是包含从 CA 获取的根证书的文件。

    假如您使用的是 CA 测试证书,则大概需要导入测试 CA 根证书。您的 CA 应提供有关怎样获取副本的说明。

  3. 将署名证书导入到密钥库中以更换原来的自署名证书。

    下面是一个示例:

    keytool -import -alias imq -file broker.cer -noprompt -trustcacerts -keystore /etc/imq/keystore -storepass myStorePassword

    此中 broker.cer 是包含从 CA 收到的署名证书的文件。

    Message Queue 密钥库如今包含一个用于 SSL 连接的署名证书。

设置 Message Queue 客户端运行时环境以请求署名证书

如今,您必须将 Message Queue 客户端运行时环境设置为请求署名证书,并确保客户端信托对该证书进行署名的证书颁发机构。

要设置客户端运行时环境以请求署名证书

  1. 将连接工场的 imqSSLIsHostTrusted 属性设置为 false

    默认环境下,客户端用来创建代理连接的连接工场对象的 imqSSLIsHostTrusted 属性被设置为 true ,表现客户端运行时环境将担当提供应它的任何证书。您必须将此值变动为 false ,这样客户端运行时环境将实验验证全部提供应它的证书。 假如证书签订人不在客户端的信托库中,验证将会失败。

  2. 验证署名机构是否已在客户端的信托库中注册。

    要测试客户端是否会担当由您的证书颁发机构署名的证书,请实验创建 SSL 连接,如上文 设置并运行基于 SSL 的客户端 中所述。假如 CA 在客户端的信托库中,连接将会成功,您可以跳过下一步。假如连接由于证书验证错误而失败,请实行下一步。

  3. 在客户端的信托库中安装署名 CA 的根证书。

    默认环境下,客户端搜索密钥库文件 cacerts jssecacerts ,因此,假如您在两个文件中的任何一其中安装了证书,则无需进行进一步的设置。以下示例将文件 testrootca.cer 中的 Verisign 证书颁发机构的测试根证书安装到默认系统证书文件 cacerts 中。该示例假定 J2SE 安装在 $JAVA_HOME/usr/j2se 目次中:

    keytool -import -keystore /usr/j2se/jre/lib/security/cacerts -alias VerisignTestCA -file testrootca.cer -noprompt -trustcacerts -storepass myStorePassword

    还可以(并提议)将根证书安装到可选系统证书文件 jssecacerts 中:

    keytool -import -keystore /usr/j2se/jre/lib/security/jssecacerts -alias VerisignTestCA -file testrootca.cer -noprompt -trustcacerts -storepass myStorePassword

    第三种大概是将根证书安装到其他密钥库文件中,并设置客户端以使用该文件作为其信托库。以下示例将根证书安装到文件 /home/smith/.keystore 中:

    keytool -import -keystore /home/smith/.keystore -alias VerisignTestCA -file testrootca.cer -noprompt -trustcacerts -storepass myStorePassword

    默认环境下,客户端不搜索此密钥库,因此您必须明白地向客户端提供其位置,将其用作信托库。您可以在客户端运行后,通过设置 Java 系统属性 javax.net. ssl.trustStore 实行此操作:

    javax.net.ssl.trustStore=/home/smith/.keystore

acgpower自签证书是什么

为什么"自署名SSL证书"不安全?

现在,有很多重要的公网可以访问的网站系统(如网银系统)都在使用 自签SSL证书 ,即自建PKI系统颁发的SSL证书,而不是摆设 支持browser的SSL证书 ,这绝对是得不偿失的重大决议失误,自签证书广泛存在严峻的安全问题,极易受到打击。重要问题有:

1. 自签证书最轻易被冒充和伪造,而被敲诈网站所使用

所谓自签证书,就是自己做的证书,既然你可以自己做,那别人可以自己做,可以做成跟你的证书千篇一律,就非常方便地伪造成为有一样证书的冒充网银网站了。

而使用支持browser的SSL证书就不会有被伪造的问题,颁发给用户的证书是环球唯一的可以信托的证书,是不可以伪造的,一旦敲诈网站使用伪造证书(证书信息一样),由于browser有一套可靠的验证机制,会主动辨认出伪造证书而告诫用户此证书不受信托,大概试图诱骗您或截获您向服务器发送的数据!

2. 自签证书最轻易受到SSL中间人打击

自签证书是不会被browser所信托的证书,用户在访问自签证书时,browser会告诫用户此证书不受信托,需要人工确认是否信托此证书。全部使用自签证书的网站都明白地告诉用户出现这种环境,用户必须点信托并继续欣赏!这就给中间人打击造成了可之机。

典型的SSL中间人打击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通讯,从而截获用户输入的秘密信息。假如服务器摆设的支持browser的可信的SSL证书,则browser在收到假的证书时会有安全告诫,用户会觉察不对而放弃连接,从而不会被受到打击。但是,假如服务器使用的是自签证书,用户会以为是网站又要他点信托而麻痹所在信托了打击者的假证书,这样用户的秘密信息就被打击者得到,如网银密码等,则非常危险,以是,重要的网银系统绝对不能用自签SSL证书!

点评 :第1点和第2点都是由于自签证书不受browser信托,而网站告诉用户要信托而造成!以是,作为用户,万万不要继续欣赏browser有种类如下告诫的网站;而作为网站主人,万万不要由于摆设了自签证书而让广博用户遭受被敲诈网站所打击的危险,小则丢失密码而为你增长找回密码的客服工作量,大则大概让用户银行账户不翼而飞,大概要补偿用户的丧失!

大概你要么你的系统集成商会说:这不是什么大不了的事,只要用户安装了我的根证书,下次就不会提示了。理论上是的,但是,由于用户有过要求点击信托证书的经历,再次碰到要求点击信托证书时肯定会继续点信托而遭遇了上了黑客的当!

纵然你是在给用户安装USB Key管理软件时静静安装你的根证书,也是有问题的,自签证书无法保证证书的唯一性,你的自签根证书和用户证书一样有大概被黑客伪造。

不但如此,除了以上两个大问题外,由于用户自己开发的证书颁发系统或使用其他公司的证书颁发系统并非不具有完备的PKI专业知识,并没有跟踪最新的PKI技能发展,还存在其他重要安全漏洞。

3. 自签证书支持不安全的SSL通讯重新协商机制

经我公司专家检测,大概全部使用自签SSL证书的服务器都存在不安全的SSL通讯重新协商安全问题,这是SSL协议的安全问题,由于自签证书系统并没有跟踪最新的技能而没有实时补漏!此漏洞会被黑客使用而截获用户的加密信息,如银行账户和密码等,非常危险,肯定要实时修补。 请参考文章《 SSL密钥重新协商机制有最大安全问题,急需用户升级补漏 》

4. 自签证书支持非常不安全的SSL V2.0协议

这也是摆设自签SSL证书服务器中广泛存在的问题,由于SSL v2.0协议是最早出台的协议,存在很多安全问题问题,现在种种新版browser都已经不支持不安全的SSL v2.0协议 。而由于摆设自签SSL证书而无法得到专业SSL证书提供商的专业引导,以是,一样平常都没有封闭不安全的SSL v2.0协议。

5. 自签证书没有可访问的吊销列表

这也是全部自签SSL证书广泛存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,此中一个须要功能是证书中带有browser可访问的证书吊销列表,假如没有有用的吊销列表,则假如证书丢失或被盗而无法吊销,就极有大概被用于非法用途而让用户遭受丧失。同时,browser在访问时会有安全告诫:吊销列表不可用,是否继续?而且会大大延伸browser的处置时间,影响网页的流量速率。请参考 什么是证书吊销列表(CRL)

6. 自签证书使用不安全的1024位非对称密钥对

1024位RSA非对称密钥对已经变得不安全了,以是,美国国度尺度技能研究院( NIST )要求停止使用不安全的1024位非对称加密算法。微软已经要求全部受信托的根证书颁发机构必须于2010年12月31日之前升级!其不安全的1024位根证书到2048位和停止颁发不安全的1024位用户证书,12 月 31 日之后会把不安全都全部 1024 位根证书从 Windows 受信托的根证书颁发机构列表中删除!

而现在大概全部自签证书都是1024位,自签根证书也都是1024位,固然都是不安全的。还是那句话:由于摆设自签SSL证书而无法得到专业SSL证书提供商的专业引导,根本就不知道1024位已经不安全了。

7. 自签证书证书有用期太长

自签证书中另有一个广泛的问题是证书有用期太长,短则5年,长则20年、30年的都有,而且还都是使用不安全1024位加密算法。大概是自签证书制作时横竖又不要钱,就多发几年吧,而根本不知道PKI技能尺度中为何要限定证书有用期的基本原理是:有用期越长,就越有大概被黑客破解,由于他有充足长的时间(20年)来破解你的加密。

大概你会问,为何全部Windows受信托的根证书有用期都是20年或30年?好问题!由于:一是根证书密钥天生后是离线锁保险柜的,并不像用户证书一样不停挂在网上;其二是根证书接纳更高的密钥长度和更安全的专用硬件加密模块。

总之 ,为了您的重要系统安全,请万万不要使用自签的SSL证书,从而带来巨大的安全隐患和安全风险,特殊是重要的网银系统、网上证券系统和电子商务系统。欢迎选购WoSign品牌全线支持2048位加密长度的 SSL证书 !

当browser(比方 Internet Explorer (IE) 或 Fir!efox)向 ePO 服务器进行身份验证时,可以使用自定义 SSL 证书而不是默认的自签证书。

本文说明了创建由第三方证书颁发机构 (CA)(比方 V!erisign)署名的自定义 SSL 证书的一种方法。

留意: ePO 平台提供技能机制以支持第三方证书的集成,但 支持第三方证书的天生、验证或故障清除。

本文网址: http://www.6vho.com/page/2021218172622_9422_2973125464/home