分类
解决方案

iOS7.1企业级应用(Enterprise App)分发SSL证书解决方案

苹果公司于2014年3月11号发布了适用于旗下智能手机和平板的最新iOS7.1正式版操作系统。这款移动应用系统不但增加了新的功能、用户界面的优化工具,还修复了上一版存在的许多问题。

同时这款最新版iOS7.1还新增了一项非常重要安全功能,要求企业级应用(Enterprise App)分发必须通过 https 方式的加密传输协议(SSL协议)下载到设备上。

iPhone4及其后版本的智能手机、iPad2及其后版本的平板和第五代iPod Touch均支持升级到最新版本的 iOS7.1。升级之后将无法再通过原http 方式下载安装企业级应用程序。

新版 iOS 通过 http下载安装企业级应用程序报错

 iOS7.1企业级应用(Enterprise App)分发SSL证书解决方案-1

针对客户iOS企业级应用(Enterprise App)分发需求,天威诚信面向国内提供Symantec VeriSign)旗下各品牌证书产品,帮助企业用户快速部署企业级App,并为App下载过程提供SSL传输加密服务保障,确保应用下载安全。

在国内,Symantec (VeriSign)证书市场份额中有95%来自天威诚信。天威诚信作为国家授权第三方电子认证服务机构,可以为客户提供全方位的数字证书安全产品。

从当前移动互联网的快速发展趋势来看,移动互联网在网络安全方面的发展将逐步与PC网络接轨,甚至对其重视程度有超过PC互联网趋势。在后续的iOS系统版本升级中,采用SSL证书实现的https方式企业级应用分发方式,将成为企业级应用发布渠道的标配。企业应用开发者除了要考虑在应用下载分发方式上配备 SSL 证书外,还需要尽量考虑在App内部与服务器通讯过程中,通过 https方式与服务器交互。不仅保障应用下载通道的安全性,同时为 App内部数据传输提供数据加密,确保App通讯安全、用户登陆密码安全及用户隐私数据安全。

北京天威诚信电子商务服务有限公司(iTruschina)是经信息产业部批准的全国性PKI/CA企业,是专门从事数字信任服务、PKI/CA建设服务、PKI/CA应用服务、PKI/CA运营管理咨询服务和PKI/CA体系整体规划服务的专业化信息安全技术与服务公司。

天威诚信已为国内数千家iOS企业级应用客户提供国际知名的Symantec SSL证书产品,为各大应用开发商解决iOS升级后的企业级应用分发难题,同时为企业级用户提供App内部数据传输及移动终端强身份认证安全解决方案。天威诚信将传统PC互联网PKI/CA信息安全技术解决方案技术优势无缝对接移动互联网,确保对安全性有特殊要求的企业级应用在移动互联网上能够达到与PC互联网完全相同的安全要求。

分类
解决方案

电子邮件系统SSL证书安全解决方案

电子邮件系统经过几十年的发展,已经成为现代人最重要和最不可缺少的个人生活和工作的通信工具之一。在使用邮件服务商提供的公用邮箱系统的同时,企业机构通过自建企业级邮件系统也逐渐成为企业IT系统良好发展和企业具有良好竞争力的身份标示。

 

在电子邮件系统高速发展的同时,电子邮件作为一种通讯方式在不断快速发展的同时,邮件系统的安全性越来越受到人们关注。在过去的几年当中,电子邮件用户和公司所面临的安全性风险变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。

 

而企业级邮件系统由于缺乏专业的安全指导,在电子邮件系统安全解决方案的实施中往往会落后与电子邮件服务商。使得企业级邮件系统中多发邮件内容被窃取、邮件内容遭篡改和合法用户身份被伪造等诸多安全问题,个人机密信息和公司商业机密面临遭泄露的风险。

 

企业级电子邮件系统面临三大安全威胁迫切需要解决:

 

(1) 垃圾邮件泛滥

垃圾邮件严重影响了电子邮件的正常使用。各电子邮件服务商和电子邮件客户端软件开发商已高度重视,并纷纷采用技术措施来拦截和过滤垃圾邮件;

 

(2) 电子邮件内容“裸奔”

各种“监控门”事件的曝光,使得电子邮件加密服务正在成为电子邮件系统的第一需求。电子邮件服务商已广泛采用安全邮件传输协议提供邮件收发服务。

 

(3) 假冒邮件和欺诈邮件猖獗

 

邮件中的欺诈网址使得毫无识别能力的普通网民频频上当,而流行的电子邮件客户端软件和Web登录方式的邮件服务在这方面都没有提供有效的解决方案,导致各种假冒银行、证券、电商的邮件不断在伤害用户;

 

做好邮件系统安全已成为各大电子邮件服务提供商提升竞争力的唯一技术手段,谁的电子邮件信息安全做得好,谁就能获得用户的青睐!

针对以上三大问题,参考国际主流邮件服务商安全方案,为企业级电子邮件系统提出如下解决方案:

 

1、结合电子邮件客户端软件,以及邮件防火墙技术实现

 

(1) 智能识别垃圾邮件;

 

(2) 采用云查杀技术实时识别邮件中网址是否是欺诈网站;

 

(3) 采用云查杀技术实时识别邮件附件是否为恶意代码。

 

2、采用全球最知名的SymantecVeriSign) 邮件服务器SSL证书,结合个人电子邮件证书,实现全程端到端的电子邮件加密解决方案,确保电子邮件内容的机密性和完整性。

 

电子邮件以明文方式在互联网上传输是非常危险的。邮件在传输过程中相当于一张“裸奔”的明信片。企业机密信息在不经加密的传输过程中极易被攻击者截获、窃取并篡改。邮件信息数据得不到任何的保护。我们推荐采用 PKI/CA技术,为企业级电子邮件系统配置证书。PKI/CA技术在安全电子邮件领域的应用包括:

 

(1) 电子邮件服务器部署SSL证书,并在企业级邮件系统中全面禁用非安全方式的 http 协议 Web 邮件收发。通过 https 安全通道确保用户Web邮件收发过程中的信息安全。

近年来,全球的电子邮件服务商都在升级完善电子邮件安全技术。包括谷歌邮箱、Windows Live邮箱,以及国内的QQ邮箱、网易邮箱、新浪邮箱等邮件系统,均使用邮件传输加密服务,确保在邮件收发过程中的邮件安全。

 

(2) 邮件客户端或 Web 邮件系统启用个人电子邮件证书,为用户提供S/MIME协议支持,确保可使用邮件签名防范可能的邮件地址伪造和邮件篡改。对更高级别的安全需求,处电子邮件签名外,还可使用个人电子邮件证书实现全程电子邮件加密,包括发件人发件箱及接收者的收件箱中的电子邮件存储均受到高级别的安全加密服务。

 

(3) 邮件接收服务器(POP3/IMAP) 和发送服务器(SMTP) 启用安全传输协议端口,并尽可能关闭非安全传输协议端口。

 

解决方案涉及到的产品:服务器证书(SSL证书)、个人电子邮件证书

分类
解决方案

虚拟主机SSL证书解决方案

由于全球互联网络的迅猛发展,IPv4资源逐渐成为一种稀缺资源。传统的SSL证书安装配置办法(也是目前最稳定的解决方法)就是为每个 https 主机使用不同的IP地址。

 

如果直接按照 http 主机的配置办法配置 https 主机,就会出现一个很普遍的问题:不论浏览器请求哪个主机,都只会收到默认主机(配置的第一个443端口的虚拟主机)的证书。这是由 SSL 协议本身的特性引起的——先建立SSL连接,再发送 https 请求(即加密主机头)。所以服务器端在与客户端建立SSL连接时不知道客户端所请求主机的名字,因此服务器端只会返回默认主机的证书。

 

目前已有两种可行的方案来实现多个 https 主机共享一个IP地址的443端口:

 

1. 使用支持多个域名的证书(多域名SSL证书 或 通配符SSL证书

多域名SAN(SubjectAltName)证书能够在一张证书中最多支持绑定25个域名。当需要为同一台物理服务器上的多个不同域名的主机配置SSL证书时,可通配置一张共享的多域名SSL证书来实现IP地址和端口的共享。只需将所有虚拟站点的域名绑定到这张多域名SSL证书中即可。

虚拟主机SSL证书解决方案-1

通配符SSL证书是在一个单一的证书中,通用名(域名)字段中包含一个“*”通配符字段(*.example.com)。这使得该证书可以支持无限制数量的多个子域名(主机)。这张通配符SSL证书也可作为虚拟主机的共享证书,为所有归属于同一域名下的二级域名实现https虚拟主机的IP地址共享。

 

对比多域名SSL证书和通配符SSL证书的产品特征可知,多域名SSL证书受到“SubjectAltName”字段的长度限制,最多支持25个域名。而通配符SSL证书虽然支持的域名数量不受限制,但只能支持同一域名下的二级子域名。在证书的应用中需要根据证书产品特点加以合理选择。

多域名SSL证书和通配符SSL证书在配置文件中的配置:

IIS上配置https虚拟主机共享443端口,微软官方资料参考:

http://technet.microsoft.com/zh-cn/library/cc756897.aspx

cscript.exe adsutil.vbs set /w3svc/ <site identifier> /SecureBindings “:443 :<host header>”

 

1.先设置为Web服务器和按照一般SSL证书的要求安装成功;

 

2.为了安全起见,请以一般用户(Users组)登录Windows 2003 Server,运行:

 

runas /profile /user: MyComputer  Administrator cmd

 

其中:MyComputer为服务器主机名,运行后会提示Administrator的密码,将以系统管理员身份运行DOS命令行。

 

3.在DOS命令行下运行:

 

cscript.exe adsutil.vbs set /w3svc/ <site identifier> /SecureBindings “:443:<host header> ”

 

其中: 可能需要明确指出adsutil.vbs的目录,如:C:InetpubAdminScripts,而<site identifier> 就是IIS自动分配给每个网站的网站标识符(默认站点为1,其他站点可在控制台中查询),<host header> 就是需要安装多域型SSL证书和通配型SSL证书的Web服务器域名。

 

4.退出DOS后,重启Web服务器后就已经生效了,可以都使用https://访问测试。

 

Apache配置https虚拟主机共享443端口:

Listen 443

NameVirtualHost *:443

SSLCertificateFile     common.crt;

SSLCertificateKeyFile  common.key;

SSLCertificateChainFile  ca.crt

 

<VirtualHost *:443>

……

ServerName www.example1.com

……

</VirtualHost>

<VirtualHost *:443>

……

ServerName www.example2.com

……

</VirtualHost>

 

Nginx配置https虚拟主机共享443端口:

ssl_certificate      common.crt;

ssl_certificate_key  common.key;

server {

listen          443;

server_name     www.example1.com;

ssl             on;

}

server {

listen          443;

server_name     www.example2.com;

ssl             on;

}

 

 

2.开启SNI支持

SNI 是“Server Name Indication”的缩写,全称“主机名称指示”。开启SNI,可以允许一个443端口共享给多个虚拟站点,并且每一个虚拟站点都允许独立配置其唯一的证书密钥对。其优点是每个站点独享唯一密钥对,更安全。缺点是SNI受客户端及服务端程序版本限制,部分客户端及服务端程序无法支持。

 

TLS主机名指示扩展(SNI,RFC6066)允许浏览器和服务器进行SSL握手时,将请求的主机名传递给服务器,因此服务器可以得知需要使用哪一个证书来服务这个连接。但SNI只得到有限的浏览器和服务器支持。

SNI 客户端支持

 

Firefox 2.0 及后续版本

Opera 8.0及后续版本

Internet Explorer 7.0及后续版本(要求Windows最低Vista系统)

Google Chrome 所有版本(Windows版要求最低Vista系统)

Safari 3.2.1及后续版本(Mac OS版要求最低X 10.5.6 ;Windows版要求最低Vista系统)

 

 

 

SNI 服务器端支持

 

Nginx 0.5.32及后续版本

Apache 2.2.12及后续版本

IBM Http Server 7.0及后续版本

 

Apache 、Nginx 要求安装 Openssl0.98f(0.98j开始默认支持SNI) 或更高版本的 Openssl 支持。

 

SNI的配置

 

在Apache中配置SNI

 

在Apache配置文件中通过使用为不同Web Server指定不同证书文件进行配置。

Listen 443

NameVirtualHost *:443

<VirtualHost *:443>

……

ServerName www.example1.com

SSLCertificateFile    www.example1.com.crt

SSLCertificateKeyFile  www.example1.com.key

SSLCertificateChainFile  ca.crt

 

……

</VirtualHost>

<VirtualHost *:443>

……

ServerName www.example2.com

SSLCertificateFile    www.example2.com.crt

SSLCertificateKeyFile  www.example2.com.key

 

……

</VirtualHost>

开启虚拟主机配置

 

 

在Nginx中配置SNI

Nginx 中通过 nginx -v 命令查询当前已安装的版本对 SNI 功能的支持。在配置文件中通过

 

server {

listen          443;

server_name     www.example1.com;

ssl             on;

ssl_certificate      server1.crt;

ssl_certificate_key  server1.key;

}

server {

listen          443;

server_name     www.example2.com;

ssl             on;

ssl_certificate      server2.crt;

ssl_certificate_key  server2.key;

 

}

开启SNI支持。

 

 

在IBM Http Server 7中配置SNI

IBM Http Server 7中配置SNI支持需要将多个证书密钥对合并到一个单独的kdb文件中来为不同虚拟站点配置使用不同证书。

 

使用 I Key Manager 工具打开 www.example1.com 的服务器证书 key.kdb 文件,切换到“个人证书”选项卡,选择“导入/导出”。然后选择证书导入密钥库,密钥库格式选择“CMS”格式,并选中 www.example2.com 的服务器证书 key.kdb 文件。将 www.example2.com 的服务器证书 key.kdb 中已存在的证书密钥对导入到 www.example1.com 的 key.kdb 文件中。导入过程中,修改导入的密钥对别名为 example2。

 

Listen *:443

NameVirtualHost *:443

<VirtualHost *:443>

ServerName www.example1.com

SSLEnable

SSLServerCert example1 # example1 是在 kdb 文件中,为 www. example1.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

 

<VirtualHost *:443>

ServerName www.example2.com

SSLEnable

SSLServerCert example2 # example2 是在 kdb 文件中,为 www. Example2.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

SSLDisable

KeyFile /opt/IBM/HTTPServer/key.kdb