分类
知识中心

LYNC系统SSL证书解决方案

在微软系统LYNC上面如果要安装证书的话,那么需要使用多域名证书,由于该系统本身的边缘服务器并不支持服务器的通配符证书,所以如果要申请SSL证书对系统做加密的话,需要申请多域名ssl证书

还有就是Exchange server 2007 同样在某些版本也不支持通配符证书,所以建议在exchange server 2007上要部署SSL证书的话,同样建议使用多域名SSL证书;不过在Exchange server 2010 里解决了该问题,在2010的版本里使用通配符ssl证书,或是多域名ssl证书都可以;

分类
知识中心

Vista 64位驱动数字签名

关于Vista 64位驱动进行数字签名,根据您发送来的文档,与在微软官网查询Vista 64位数字签名方法与Signtool工具签名命令选项,“/ph”选项是给签名文件添加hash值,根据文档说明,在系统加载时会被读取到内存;

签名操作命令为:

Test-signing example:

Signtool sign /v /ph /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.verisign.com/scripts/timestamp.dll c:\app.exe

Release-signing example:

Signtool sign /v /ph /ac MSCV-VSClass3.cer /s my /n contoso.com /t http://timestamp.verisign.com/scripts/timestamp.dll c:\app.exe

 

该命令选项,根据以上显示是为在exe等PE文件进行数字签名时所需参数,并且在Signtool的官方说明里也有简单说明,改命令选项无需对非PE文件签名时选用:

http://msdn.microsoft.com/en-us/library/windows/desktop/aa387764(v=vs.85).aspx

/ph If supported, generates page hashes for executable files. This option is ignored for non-PE files

 

根据以上相关资料推荐您在签名时,可按照下面操作方式进行数字签名

1 给sys文件签名时命令:

SignTool sign /v /ac CrossCertificateFile /s SPCCertificateStore /n SPCSubjectName /t http://timestamp.verisign.com/scripts/timestamp.dll winloaddriver.sys

可参考下面链接:http://msdn.microsoft.com/en-us/library/bb530195.aspx#digitalsigskernmodules_topic4

 

2 给编译输出exe等PE文件签名时可选用下面面命令:

Release-signing example:

Signtool sign /v /ph /ac MSCV-VSClass3.cer /s my /n contoso.com /t http://timestamp.verisign.com/scripts/timestamp.dll c:\app.exe

分类
知识中心

Apache上配置ssl证书,http强制转为https页面访问

配置Apache服务器证书

1

在httpd.conf文件里使下面模块生效

LoadModule rewrite_module modules/mod_rewrite.so

2

httpd.conf配置文件或者是在httpd-vhost.conf文件里修改

<Directory “C:/Apache2.2/docs/1.com”>

Options Indexes FollowSymLinks

AllowOverride All

# 上面是http-https时需要添加的语句

Order allow,deny

Allow from all

</Directory>

3

在网站根目录下面添加该文件“.htaccess” 目录访问控制文件,并添加如下内容:

#———————————

RewriteEngine on #开启重定向引擎

RewriteBase / #可以不设置

RewriteCond %{SERVER_PORT} !^443$ #非443端口的数据全部进行重定向

RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R] #把需要重定向的内容重定向到https

#———————————-

.htaccess文件不能在win平台下自己创建,可以使用下面链接在线生成该文件:http://www.wangqu.org/htaccess/#a_WWW

#———————————-

RewriteEngine on #开启重定向引擎

RewriteBase / #可以不设置

RewriteCond %{SERVER_PORT} !^443(或者其他端口)$ #非443端口的数据全部进行重定向

RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R] #把需要重定向的内容重定向到https

#如果是默认不是443端口,那么可以在最后一行写成这样

RewriteRule ^.*$ https://www.domain.com:8443

#当然如果默认是443的话,也可以这么写

RewriteRule ^.*$ https://www.domain.com

#该 .htaccess 需要放置在网站的根目录下面才可以生效

#———————————-

含义是这样的:为了让用户访问传统的http://转到https://上来,用了一下rewrite规则:

第一句:启动rewrite引擎

第二句:rewrite的条件是访问的服务器端口不是443端口

第三句:这是正则表达式,^是开头,$是结束,/?表示有没有/都可以(0或1个),(.*)是任何数量的任意字符

整句的意思是讲:启动rewrite模块,将所有访问非443端口的请求,url地址内容不变,将http://变成https://。

5、查看一下httpd.conf,如果以下几项给注释掉了,就打开这些选项:

LoadModule rewrite_module libexec/mod_rewrite.so

AddModule mod_rewrite.c

 

分类
知识中心

TOMCAT上配置ssl证书,http强制转换为https

配置TOMCAT服务器证书

(1) 如果你是在Windows环境中生成证书文件,则需要将生成的证书tomcat.keystore拷贝到Tomcat将要引用的位置,假设tomcat的应用证书的路径是“/etc/tomcat.keystore”,则需要将证书文件拷贝到“etc/”下;如果是在Linux环境按照上述介绍的步骤生成证书文件的话,此时证书文件已经在“etc/”下。

(2) 配置Tomcat,打开$CATALINA_HOME/conf/server.xml,修改如下,

<Connector port=”8080″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”8443″ />

修改参数=>

<Connector port=”80″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”443″ />

 

<!–

<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS”/>

–>

去掉注释且修改参数=>

<Connector port=”443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS” keystoreFile=”/etc/tomcat.keystore” keystorePass=”www.gbcom.com.cn”/>

注释:标识为淡蓝色的两个参数,分别是证书文件的位置和<tomcat>的主密码,在证书文件生成过程中做了设置

 

<!–

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”8443″ />

–>

修改参数=>

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”443″ />

(3) 打开$CATALINA_HOME/conf/web.xml,在该文件末尾增加:

<security-constraint>

<web-resource-collection >

<web-resource-name >SSL</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

 

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

3、上述配置完成后,重启TOMCAT后即可以使用SSL证书。IE地址栏中可以直接输入地址不必输入“http://” 或者 “https://” ;也可以输入 “http:// ” 会跳转成为 “https://” 来登录

分类
知识中心

租用型CRM的安全性

租用型CRM服务的安全性是用户最为看重的,服务商对安全的重视,是责无旁贷的。用户可以通过以下方面了解:

一、传输协议加密

首先,要看租用CRM提供使用的协议,是https://还是一般的http://,别小看这个s,这表明所有的数据在传输过程中都是加密的。如果不加密,网上可能有很多“嗅探器”软件能够轻松的获得您的数据,甚至是您的用户名和密码;实际上网上很多聊天软件帐号被盗大多数都是遭到“嗅探器”的“招”了。

其次,传输协议加密还要看是否全程加密,即软件的各个部分都是https://协议访问的,有部分软件只做了登录部分,这是远远不够的。

二、服务器安全证书

服务器安全证书是用户识别服务器身份的重要标示,有些不正规的服务厂商并没有使用全球认证的服务器安全证书。用户对服务器安全证书的确认,表示服务器确实是用户访问的服务器,此时可以放心的输入用户名和密码,彻底避免“钓鱼”型网站,大多数银行卡密码泄漏都是被“钓鱼”站钓上的。

三、数据的备份机制

服务商的数据备份应该是完善的,用户必须了解自己服务商为您提供了什么样的数据备份机制,一旦出现重大问题,如何恢复数据等。99CRM每天夜间,备份系统自动启动,备份用户的当日的新数据。

四、运营服务系统的安全

在评估租用型产品安全度的时侯,最重要的是看公司对于服务器格局的设置,只有这样的格局才是可以信任的,包括:运营服务器与网站服务器分离。

服务器的专用是服务器安全最重要的保证。试想,如果一台服务器安装了租用系统,但同时又安装了网站系统、邮件系统、论坛系统……他还能安全吗?在黑客角度来说,越多的系统就意味着越多的漏洞,况且大多数网站使用的网站系统、邮件系统和论坛系统都是在网上能够找到源代码的免费产品,有了源代码,黑客就可以很容易攻入。

因此,我们认为一个优秀的软件租用运营商,运营服务器和网站服务器应该完全隔离的,甚至域名也应该分开

分类
安全播报

恶意PPT文件夹带漏洞攻击和后门程序

趋势科技发现有一个恶意PowerPoint文件,会以邮件附件的形式攻击用户。这个文件内嵌一个Flash内容,会利用特定版本Flash Player的漏洞(CVE-2011-0611)将后门程序植入用户计算机内。

一旦用户者打开恶意PPT文件,就会触发Flash内的Shellcode,并利用CVE-2011-0611漏洞展开攻击,将“Winword.tmp”文件保存到Temp文件夹。同时还会产生一个非恶意的PowerPoint文件“Powerpoint.pps”以蒙骗用户认为这只是一般的PPT简报。根据趋势科技的分析,“Winword.tmp”是一个后门程序,可以连到远程服务器,并与幕后黑手通讯。此外该程序还可以下载并执行其他恶意软件,让受感染系统面临更可怕的威胁,例如运行进行数据外泄数据窃取的恶意软件。

趋势科技将这个恶意PowerPoint文件命名为TROJ_PPDROP.EVL,产生的后门程序命名为BKDR_SIMBOT.EVL。根据报导以及趋势科技的分析都可以看出,以往的目标攻击也用过这类恶意软件。

目前最新的的威胁已经不再只是将恶意软件伪装成一般的二进制文件(例如EXE文件),并夹带到电子邮件中。这些特制的文件可以嵌入到一般常用的PDF、DOC、PPT或XLS文件中。在这种攻击手法里,用户往往不会察觉,因为TROJ_PPDROP.EVL也会展示非恶意的PowerPoint文件作为攻击的烟幕弹。

  可靠的漏洞:有效的感染关口

这起案例也显示出,网络犯罪份子会不停地利用常见软件的旧漏洞(例如MS Office或是Flash等),在之前的文章里,我们发现有些已经被上报过的旧软件漏洞,例如CVE-2010-3333和CVE-2012-0158仍然被攻击者利用着。这些发现告诉了我们两件事:首先,可靠漏洞的攻击码仍然是有效的网络犯罪工具;其次,大多数用户都不会经常给系统安装最新得升级程序和补丁,而这也解释了为什么攻击者可以不断地利用这些旧的系统漏洞。

趋势科技会通过趋势科技云计算安全技术保护用户,封锁相关的电子邮件和网址,并且查杀TROJ_PPDROP.EVL和BKDR_SIMBOT.EVL。在这个只要借助简单的文件即可能导致数据外泄的年代,用户在打开电子邮件附件的时候一定要非常小心,特别是来自未知发件人的邮件。此外用户也应该经常更新安全补丁程序,将系统维护在最新状态。

分类
公司新闻

赛诺菲大学开通VeriSign SSL证书网站可信服务

2007年,赛诺菲大学在中国成立,五年历程,已经赢得“2012中国人才管理奖”的殊荣。

2009年底,赛诺菲网络大学扬帆启航,2年半时间,十余万人次学习,200门课程开通,将学习变得随时随地。赛诺菲大学尝试着在赛诺菲网络大学,把elearning这个学习与发展的工具,从最初的在线学习带入新的高度,新的平台,将逐步实现:在线学习+学习管理+培训管理+知识管理。

天威诚信为菲大学网站提供了针对性的网站可信服务,天威诚信将VeriSign SSL证书部署于菲大学网站,通过SSL技术实现数据信息在线的高强度加密传输,确保个人数据信息在传输过程中不被窃取、截获及篡改,有效保护用户登录、注册时提交信息的安全

赛诺菲大学开通VeriSign SSL证书网站可信服务-1

  同时,VeriSign SSL证书的根证书已经预埋到IE、NetScape、Firefox、Opera等一些标准的浏览器中,所以在登陆部署了VeriSign SSL证书的网站时,用户无需另外下载安装任何程序、无需额外认证环节即可轻松进入高强度信息加密环境,大大提升了用户体验。

此外,部署VeriSign SSL证书后,付费通网站在反击钓鱼网站仿冒方面得到了大幅提升:地址“https”开头、金色锁形安全标记,点击锁形标记后可查验服务器证书及颁发机构信息。这些无法仿冒的安全特征帮助用户更好的了解网站真实身份,同时为访问者区分网站真伪提供了有力支持,降低用户遭遇钓鱼网站恶意欺诈的风险。

VeriSign是全球数字认证领域最知名的品牌,受到众多世界百强企业及大型银行的信赖。在中国,VeriSign SSL证书已广泛应用于国内许多涉及用户敏感信息传输的网站。天威诚信作为国内权威认证机构同时也是VeriSign中国大陆区的首要合作伙伴,可提供VeriSign全系列证书产品以及专业的本土化服务团队。在双方超过11年的稳定合作中,已为国内上百家知名企业提供了网站可信服务