重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
Fabric支持使用TLS在节点之间进行安全通信。 TLS通信可以使用单向(仅服务器)和双向(服务器和客户端)身份验证。
成都创新互联"三网合一"的企业建站思路。企业可建设拥有电脑版、微信版、手机版的企业网站。实现跨屏营销,产品发布一步更新,电脑网络+移动网络一网打尽,满足企业的营销需求!成都创新互联具备承接各种类型的成都网站建设、网站制作项目的能力。经过10多年的努力的开拓,为不同行业的企事业单位提供了优质的服务,并获得了客户的一致好评。
peer节点既是TLS服务器又是TLS客户端。 当另一个peer节点,应用程序或CLI与其建立连接时,它是前者, 在与另一个peer节点或orderer建立连接时他是后者。
在peer节点上启用TLS,需要 设置以下属性:
默认情况下,peer点上启用TLS时,将关闭TLS客户端身份验证。 这意味着peer节点在TLS握手期间不会验证客户端(另一个peer节点,应用程序或CLI)的证书。 要在peer节点上启用TLS客户端身份验证,请将peer配置属性peer.tls.clientAuthRequired设置为true,并将peer.tls.clientRootCAs.files属性设置为包含CA证书链的CA链文件 为你的组织的客户颁发TLS证书。
通过设置以下环境变量,也可以启用具有客户端身份验证的TLS:
在peer节点上启用客户端身份验证时,客户端需要在TLS握手期间发送其证书。 如果客户端未发送其证书,则握手将失败,并且peer将关闭连接。
当peer加入通道时,从通道的配置块读取通道成员的根CA证书链,并将其添加到TLS客户端和服务器根CA数据结构中。 因此,peer对peer通信,peer对orderer通信应该无缝地工作。
要在orderer节点上启用TLS,请设置以下orderer配置属性:
默认情况下,在orderer上关闭TLS客户端身份验证,就像peer一样。 要启用TLS客户端身份验证,请设置以下配置属性:
通过设置以下环境变量,也可以启用具有客户端身份验证的TLS:
对启用TLS的peer节点运行peer CLI 命令时,必须设置以下环境变量:
如果在远程服务器上也启用了TLS客户端身份验证,则除上述变量外,还必须设置以下变量:
分类: 电脑/网络 操作系统/系统故障
问题描述:
想在win2k3上为IIS服务器配置SSL服务,求教配置的过程 有追加奖励!!
解析:
随着Windows Server 2003操作系统的推出,Windows平台的安全性和易用性大大增强,然而,在默认情况下,IIS使用HTTP协议以明文形式传输数据,没有采取任何加密措施,用户的重要数据很容易被窃取,如何才能保护局域网中的这些重要数据呢?下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。
一、什么是SSL
SSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。
SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。
提示:SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“网站域名”。
二、安装证书服务
要想使用SSL安全机制功能,首先必须为Windows Server 2003系统安装证书服务。
进入“控制面板”,运行“添加或删除程序”,接着进入“Windows组件向导”对话框,勾选“证书服务”选项,点击“下一步”按钮,接着选择CA类型。这里选择“独立根CA”,点击“下一步”按钮,为自己的CA服务器取个名字,设置证书的有效期限,最后指定证书数据库和证书数据库日志的位置,就可完成证书服务的安装。
三、配置SSL网站
1.创建请求证书文件
完成了证书服务的安装后,就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”,运行“Inter 信息服务-IIS 管理器”,在管理器窗口中展开“网站”目录,右键点击要使用SSL的网站,选择“属性”选项,在网站属性对话框中切换到“目录安全性”标签页(图1),然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”,点击“下一步”按钮,选择“现在准备证书请求,但稍后发送”。在“名称”输入框中为该证书取名,然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息,最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。
2.申请服务器证书
完成上述设置后,还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“/CertSrv/default”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接,接下来在证书申请类型中点击“高级证书申请”链接,然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10....”链接,再打开刚刚生成的“certreq.txt”文件,将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。
3.颁发服务器证书
点击“控制面板→管理工具”,运行“证书颁发机构”。在主窗口中展开树状目录,点击“挂起的申请”项(图2),找到刚才申请的证书,然后右键点击该项,选择“所有任务→颁发”。颁发成功后,点击树状目录中的“颁发的证书”项,双击刚才颁发的证书,在弹出的“证书”对话框的“详细信息”标签页中,点击“复制到文件”按钮,弹出证书导出向导,连续点击“下一步”按钮,并在“要导出的文件”对话框中指定文件名,最后点击“完成”。
4.安装服务器证书
重新进入IIS管理器的“目录安全性”标签页,点击“服务器证书”按钮,弹出“挂起的证书请求”对话框,选择“处理挂起的请求并安装证书”选项,点击“下一步”按钮,指定刚才导出的服务器证书文件的位置,接着设置SSL端口,使用默认的“443”即可,最后点击“完成”按钮。
可以参照WIN2K来设置:
下面,我就介绍一下如何在Windows2000server/.NET中开启CA服务。
1、首先请确认您的服务器已经安装配置了Active Directory服务,这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件,如果仅仅左测试使用,您可以不安装AD服务;
2、确保在您的Windows2000server/.NET中开启IIS服务,并且支持ASP,这样您的CA服务可以通过WEB在INTERNET/INTRANET发布;
3、开始--设置--控制面板--添加/删除程序--添加/删除Windows组件--选中证书服务;
4、然后选择合适的CA类型,这里我们选择独立的根CA;
5、如果你要改变微软的默认密钥设置,你可以选中高级选项;一般,我们直接进入下一步;
6、在这里输入您这个CA的详细信息;
7、然后指定存储配置数据、数据库和日志的位置;
8、完成安装向导,系统开始安装CA服务;
然后,您可以通过如下方式访问认证服务器:
安装认证服务器IP地址/certsrv
在这里,您可以申请一张证书,查看证书请求状态还有下载根证书。
当您完成证书申请之后,您可以通过打开IE--工具--INTERNET选项--内容--证书--个人查看您个人证书。
当然你也可以通过把证书服务加入到MMC来进行证书服务管理,方法如下:
开始--运行--mmc--文件--添加/删除插件--添加--证书
)。单击"下一步"。
8.在名字和安全设置对话框中,接受缺省选项。单击"下一步"。
9.在下一个页面上, 输入您的信息,单击"下一步"。
10.在"通用名"文本框中输入您的服务器名字。它可以是DNS名、NetBIOS名称或LOCALHOST。输入您的选择,单击"下一步"。
11.在下一个页面上,输入您的信息,单击"下一步"。
12.如果在域里面已经有了企业CA,并且您可以从那里申请到Web服务器证书,那么您将可以看到它列在那里。
(如果没有CA,如果CA没有配置成可以发布Web服务器证书,或如果您没有权限申请一个Web服务器证书,列表将会是空的。您必须有一个CA来完成这个部分。)选择您要使用的CA,单击"下一步"。
13.就会出现证书请求提交页面。单击"下一步"。
14.单击"完成"。现在服务器就有了一个WEB服务器证书。
15.您将注意到在"安全通信"下面的"编辑"可以使用了,单击"编辑"。
16.进入安全通信对话框,在需要安全通道(SSL)前打上勾。
17.如果你希望以后客户端浏览器和WEB通信的时候需要128位对称加密,那么你就在需要128位加密前打上勾。
18.在客户端证书中有三种选择:忽略客户证书、接收客户证书和申请客户证书。选择第一第二种仅仅是开启SSL单向认证,选择第三种着开启SSL双向认证。
19.选择"接受客户端证书","接受客户端证书"设置需要在客户端证书和浏览器之间进行协商。您也必须选中"申请安全通道(SSL)"选项框。如果失败了,它不允许退回到另一个验证方法。需要安全通道意味着Web站点将不能通过HTTP协议进行访问,只可以通过HTTPS协议进行访问。单击"确定"。单击"应用"并且单击"确定"。
20.单击确定,好了,您的SSL通道开启了。
以后你就可以通过访问WEB服务了。
服务器之间通信安全与否,这要看你如何使用了。现在真正安全的产品不常见,建议用云锁,在服务器上部署一个轻量级的agent就行啦。然后我们可以通过远程控制台(PC、网页、手机)实现对服务器的批量远程管理。
TLS其实是SSL,可能更正式的说法已经不用SSL了。TLS是一套基于非对称加密算法的安全传输协议,更严格来说,TLS先是通过非对称加密方式交换对称加密秘钥,然后采用对称加密算法进行安全传输。
非对称加密是这样的一把锁,有两把钥匙,任意一把钥匙可以把锁锁上,只有另一把钥匙才能将锁打开。这两把钥匙是成对的,可以互相解密。其中一把是公开的公钥,另一把是服务器持有的私钥。
任何人都可以用公钥加密一段消息发送给服务器,做到安全发送。另一方面,服务器可以用私钥加密一段消息,将消息明文和密文发送给接收者,以此证明自己的真实身份,这叫做签名。当然,现实中,是对消息的摘要进行签名加密,因为摘要比较小。
TLS的第一步,就是让发送者持有服务器的公钥。通常获得服务器公钥的方式,都是向服务器进行询问,然后由服务器明文发送过来的。为了保证这一步的安全性,确保明文发送过来的公钥没有被串改,我们又发明了证书。
证书由服务器名称信息和服务器公钥组成,然后加上证书签发机构CA和签发机构对前面信息的签名。改用证书机制后,服务器以明文发送自己的证书信息,使用者用CA的公钥验证证书签名,核对相关的服务器信息,然后就可以信任服务器的公钥了。
至于CA公钥的传递方式,一般是内置的或者通过实体进行传递。
一般服务器是不限制使用者访问的,所以服务器配置了证书和私钥,让发送者能够安全的从第一步开始建立加密通信机制。即使使用者不验证服务器证书,TLS仍旧是以加密方式进行,虽然安全度不是最高,但是屏蔽掉无聊的阿猫阿狗访问已经足够了。
更进一步,服务器可以配置双向认证,配置CA证书并要求认证使用者的证书。那么使用者在访问前就要配置由CA签发的个人证书和私钥,在第一步开始时把自己的证书和随机签名发过去让服务器进行认证。
使用双向认证的时候,通信的安全性已经足够高了:消息是加密的,并且不太容易在某个环节被串改,而使用者必须经过服务器用自己的CA签发授权证书后才能访问服务。
TLS的运用其实应该非常广,只要不是内网服务,而是向不安全的互联网公开的服务,并且在通信上没有使用任何加密手段,也没有特别有效的客户鉴权,都应该使用TLS。
比如有时候因为某种原因,不得不向互联网暴露mysql,redis或者其他开源软件的服务端口,这种大作死的行为,软件自带的脆弱的客户鉴权机制就跟杂草一样一踩就倒,已经是业界人尽皆知的情形。
如果能为这些开放的服务端口加上TLS双向认证通信,基本能把侵害排除99%了吧。那如何给这些服务增加TLS安全通信呢?
首先, 把公开的服务改成内网服务 。
第二, 在服务器和客户端之间配置TLS tunnel ,通过tunnel转发客户端和服务器之间流量。有很多TLS tunnel客户端可以使用,这种方式也不会对原系统造成任何改动,所谓各司其职。