分类
公司新闻

网商银行与天威诚信,共同推进国密算法升级改造

《中华人民共和国密码法》的落地实施和一系列有关网络安全政策的密集出台,为信创领域基于国产商用密码的数字证书带来了更加广泛的使用空间,国产自主的商用密码体系建设也随之进入了新热潮,支持国密SM2算法的SSL证书已广泛应用于银行、政府、科研机构等领域。

  网商银行国密升级改造需求

网商银行是由蚂蚁集团发起成立、银保监会批准成立的中国首批民营银行之一,致力于解决小微企业、个体户、经营性农户等小微群体的金融需求。借助实践多年的无接触贷款模式,网商银行为更多小微经营者提供纯线上的金融服务。成立6年来,累计超过4000万小微经营者使用过网商银行的数字信贷服务。

为进一步提升网商银行的信息安全性,同时为贯彻国家密码管理局“实现金融领域信息安全核心产品及系统的自主可控”的精神,在新形势下,网商银行的网络系统亟需进行SM国密算法升级改造,在此过程中,如何合理规划以及安全有序的实施成为网商银行需要重点考虑的问题。

网商银行与天威诚信,共同推进国密算法升级改造

  天威诚信-网商银行SM国密改造方案

在天威诚信主导实施的网商银行SM国密改造过程中,天威诚信结合网商银行的平台特性和业务流程,为之量身定制了全生态一站式的国密算法证书改造方案。

改造方案以SM国密算法为核心,通过SM4这一金融行业国内通用的标准算法进行网络信息加密,同时使用SM3进行讯息身份验证并使用SM2作为密钥交换机制,从多个维度确保网商银行系统和客户端的信息安全。

方案覆盖了网商银行的手机银行、企业网银系统,对网商银行业务流程的关键环节进行了安全合规改造。通过使用天威诚信颁发的数字证书和紧密结合业务需求的改造方案,网商银行快速而稳健的完成了银行企业版和个人版SM国密改造工作,进一步保障了网商银行系统安全和数千万网商银行用户的金融信息安全。

考虑到网商银行广阔的业务应用场景和庞大的用户基数,为保障兼容性和高可用性,天威诚信同时为网商银行提供了vTrus RSA+SM2国密合规改造方案,实现网商银行业务在线双算法自适应切换模式,在满足国密算法改造的基础上进一步保障了业务的稳定性,真正做到无缝兼容和平稳过渡,提升了网商用户的使用体验。

  天威诚信在国密算法领域的优势

密码算法和密码产品的自主可控是确保我国信息安全的重中之重,作为国密算法改造工作的推进者,天威诚信积极响应国家政策,公司自主研发的支持国密SM2算法的vTrus SSL系列证书,已全部通过国家密码管理局的安全性审查,并实现了在360、红莲花、奇安信等国产浏览器预埋。

同时,天威诚信作为电子认证行业代表参与了《电子认证服务管理办法》和《电子政务电子认证服务管理办法》的起草,牵头实施《中国服务器证书信任体系研究课题》,并参与建设和维护中国最大的底层密码库开源社区——BabaSSL,展现了优于同行业其他机构的服务能力和水平。

结合多年来在金融行业的深厚积淀,天威诚信已经逐步探索出了可行的国密改造项目实施步骤,在以网商银行为代表的银行机构国密改造实践中得到了成功应用,受到客户的积极好评和充分肯定。

随着国密算法改造的应用日益深入,天威诚信将继续立足技术优势,扎实推进国密算法在我国银行等重点领域的推广和应用,从而在算法层面确保金融信息安全,为我国金融信息系统的安全自主可控做出积极贡献。

分类
公司新闻

天威诚信SSL证书30天内免费试用,保障网络安全!

最近,不管是网络媒体还是电视媒体我们都会看到各种各样的“诈骗”报道,不管是电话诈骗还是互联网诈骗,最终我们都会发现,问题的根源就是信息安全问题,“钓鱼”网站泛滥和信息泄露事件的频发,大批网站急需加强安全防护,而SSL证书就是一种可以大大增强网站安全力度的产品。

ssl证书,代码签名证书,服务器证书,ev代码签名证书

 

SSL证书是由权威、可信的第三方数字证书认证机构(CA)签发的、用来标记网站身份的数字证书。因其通常部署在网站服务器上,亦称服务器证书。SSL证书通过在客户端浏览器和网站服务器之间建立SSL安全通道对数据进行HTTPS加密,确保数据在传输过程中不被窃听、篡改和伪造,有效解决了网站身份的真实性和信息传输的保密性问题。

 

很多企业虽然知晓SSL证书的强大功能,但由于申请证书需要费用,这让部分企业担心购买证书后的实际效果。但现在,如果您希望免费体验SSL证书网站身份认证和信息传输加密的功能,您可以关注天威诚信官方网站,这里有全球最可信的SSL证书服务商赛门铁克,通过我们的工作人员帮您提交信息审核,经审核通过后即可获颁SSL证书30天的免费试用权。

 

天威诚信颁发的免费试用SSL证书和正式版SSL证书是没有功能区别的,支持30天内无条件全额退款。只要在证书签发后30天内撤销证书,将不会收取任何证书费用。您可以放心申请试用,不必担心项目上线之前的测试阶段有证书需求而又无法确认合适的产品了。

 

SSL服务器证书可每日进行恶意代码扫描服务,保护访客及您的网站免受恶意软件的攻击,每日检查您的网站,以防止网站被植入恶意软件,感染客户电脑,造成网站被列入搜索引擎黑名单而导致的网站访问量降低。

分类
知识中心

SSL证书利用密钥算法更安全

SSL证书对称密钥算法和MAC算法要求通信双方具有相同的密钥,否则解密或MAC值验证将失败。因此,要建立加密通道或验证消息完整性,必须先在通信双方部署一致的密钥。

SSL证书利用非对称密钥算法加密密钥的方法实现密钥交换,保证第三方无法获取该密钥。SSL客户端(如Web浏览器)利用SSL服务器(如Web服务器)的公钥加密密钥,将加密后的密钥发送给SSL服务器,只有拥有对应私钥的SSL服务器才能从密文中获取原始的密钥。SSL通常采用RSA算法加密传输密钥。

实际上,SSL客户端发送给SSL服务器的密钥不能直接用来加密数据或计算MAC值,该密钥是用来计算对称密钥和MAC密钥的信息,称为premaster secret。SSL客户端和SSL服务器利用premaster  secret计算出相同的主密钥(master secret),再利用master secret生成用于对称密钥算法、MAC算法等的密钥。premaster secret是计算对称密钥、MAC算法密钥的关键。

用来实现密钥交换的算法称为密钥交换算法。非对称密钥算法RSA用于密钥交换时,也可以称之为密钥交换算法。

利用非对称密钥算法加密密钥之前,发送者需要获取接收者的公钥,并保证该公钥确实属于接收者,否则,密钥可能会被非法用户窃取。如错误!未找到引用源。Cindy冒充Bob,将自己的公钥发给  Alice,Alice利用Cindy的公钥加密发送给Bob的数据,Bob由于没有对应的私钥无法解密该数据,而Cindy截取数据后,可以利用自己的私钥解密该数据。SSL证书利用PKI提供的机制保证公钥的真实性。

分类
知识中心

如何将IIS被删除的SSL服务器证书私钥重新恢复回来

IIS中,客户在使用中经常会出现生成了CSR文件后,将以前的证书请求删除,导致私钥丢失,颁发的证书无法导入服务器,最终只能重新替换SSL证书服务器证书。下面这个方法就可以解决这一问题,让被删除的私钥重新回来。(此问题在IIS7中不存在)

 

首先,我们新建一个证书请求(生成CSR文件):

 如何将IIS被删除的SSL服务器证书私钥重新恢复回来-1

(密钥长度现在均选择2048位)

填写完CSR里面的一些信息后,我们得到了一个证书请求文件certreq.txt的文件

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-2

通过修改文件后缀,我们得到了一个CSR文件。然后将其提交给天威诚信,证书签发后会邮件的形式发送给您。

问题举例:

这个时候如果由于认为的误操作导致这个请求被误删除,会同时删除这个请求中的私钥文件,其结果就是在我们的证书签发后您无法导入证书。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-1

问题解决方法:

 

1,    在“运行“中输入mmc,打开控制台

2,    添加/删除管理单元,“添加“——”证书“

3,    选择“计算机用户“,”本地计算机“,点击“完成”即可

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-2

然后,我们在个人——证书,右键“导入”,将由天威诚信签发的证书文件导入。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-5

选择证书,并按着默认顺序导入“个人”中:

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-6

我们双击这个新导入的服务器证书,详细信息——序列号,看到的是 00 f6,记下这个序列号,稍后恢复密钥有用的。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-1

然后通过命令行来恢复私钥:

1,     打开“运行“,输入cmd ,回车

2,     在命令行中输入 certutil –repairstore my<序列号> 如:certutil –repairstore my 00f6,回车

3,     出现这样的结果为,私钥恢复成功

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-8

接下来,我们就在服务器中分配证书吧。

1,      打开IIS服务器,在站点的属性中——目录安全性——服务器证书

2,      选择“分配现有证书“,选择我们导入的那个服务器证书,默认端口443,完成。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-4

3,      再打开目录安全性,查看证书

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-10

显示这个证书中已经是包含私钥的一个证书了,说明私钥已经在这个证书里面了,而这个格式的证书是IIS服务器可以正常使用的了,私钥恢复成功。

4,      在服务器证书中,也出现了“将当前证书导出到一个.pfx文件”这个选项。

5,      导出这个.pfx文件(不删除文件),记好文件保护,做好异地备份即可。(此文件默认为可导出)

分类
知识中心

用SSL证书解决假冒钓鱼网站

随着网络贸易的飞速发展,不仅让我们的生活发生了很大的改变,也给了很多不法分子利用钓鱼网站诈骗广大网民的钱财,要防止网站假冒的发生,需要在许多方面采取安全防范措施。有的需从管理方面着手,如域名注册的严格管理、实名制手机、安全防范教育等;有的需从技术方面入手,如确保域名解析系统的安全等。除了这些措施外,SSL服务器证书是目前防止网站假冒最有效的技术手段。

服务器证书是一个标识网站身份的电子身份凭证(electronic credential),它采用密码技术构造。安装了服务器证书的网站通过使用Secure Socket Layer(SSL)安全协议进行身份鉴别和数据保密传送,因此,服务器证书又称为SSL服务器证书,或SSL证书

这里的证书,又称为数字证书(digital certificate),是公开密钥基础设施(Public Key Infrastructure,PKI)安全技术和服务体系的一个重要要素,它由一个被称为证书认证机构(Certification Authority,CA)的独立第三方签发,用于标识最终实体的身份。这里的实体,可以是人、组织或设备(如Web服务器)。

SSL协议,又称为Transport Layer Security(TLS)协议,它基于密码学原理设计;在用户通过浏览器访问一个Web网站时,SSL协议可以基于数字证书进行单向(仅鉴别网站身份)或双向(同时鉴别用户和网站身份)的身份鉴别,并通过构建安全的加密通道,保证数据在互联网上传送时不被泄露、窃取。

在有了服务器证书后,一个用户可以根据如下两点来判断这个网站是否真实可信:1)这个网站是否安装了服务器证书?2)如果安装了,这个网站的服务证书是否可信和有效?

判断一个网站是否安装了服务器证书,可以看这个网站是否可以通过https:\\xxx形式的URL(Uniform Resource Locator)访问(URL,即是输入到浏览器地址栏的网站访问地址及访问方法信息),例如,https:\\www.icbc.com.cn。若是,则说明网站安装了服务器证书;否则,就没有。没有安装服务器证书的网站是通过http:\\xxx形式的URL访问的,例如,http:\\www.icbc.com.cn。二者的差别是,https比http多一个“s”。

即便网站安装了服务器证书,如果服务器证书不可信或无效,则在用户访问网站时,浏览器会弹出一个警告窗口,提示用户,比如该证书的签名无效,或者证书不是由一个可信的证书认证机构(CA)签发(即证书不可信),又或者该证书已过了有效期、证书上的主机域名与网站的域名不相符等等;如果证书可信并有效,则浏览器不会弹出警告信息。若证书可信并有效,则用户可以进一步通过点击浏览器右下角的黄色小锁,或地址  栏右边的黄色小锁,查看证书的详细信息(但用户通常不会这么做)。

如果网站安装了服务器证书,且证书可信并有效,那么,这个网站就基本上可以确定是真实可信的了。

分类
安全播报

春节火车票预售提前 如何提防钓鱼网站

从明日日起,春运正式开始,各大航空公司也纷纷推出春运机票预订优惠活动,但节前也是各类网络诈骗的高发期。据相关数据显示,近期火车票、机票类钓鱼网站日均新增上百家,相比平时订票淡季多出五倍。

钓鱼网站通过套用网页模板的方式,伪装为“铁道部火车票官方售票处”或“航空公司、旅行社、机票代售点”等网站页面,并在醒目位置贴出400、800等预订电话,安全防范意识不足的用户很容易被骗。

此外,钓鱼网站还会利用春运火车票紧张、提前预订可享受折扣等信息,催促用户尽快向指定银行卡号付款。如果受骗用户付款后发现没有机票订单,骗子还会借400等电话以“账户冻结”、“卡单”为由对用户进行二次欺诈。

“凡是需要向个人银行卡号汇款买票的网站,无疑都是钓鱼网站。”安全专家建议网民购买火车票时选择12306.cn官方网站,对于网址可疑的票务销售网站,应该鉴定网站鉴定网站可信度、确认安全后再付款买票。

那如何鉴定网站的可信度呢?主要通过以下三方面:

1. 网站地址栏为绿色地址栏

2.网站地址栏开头为“https”;

3.网站地址栏右侧有小金锁标志。

可能很多朋友对以上三点标志都不是很了解,这些都是钓鱼网站无法仿冒的安全网站标志,是网站部署了服务器证书之后的安全标志。

分类
网络新闻

Windows Server 2008中NAP FOR IPSEC企业的应用

集成TMG 2010,提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用。NAP 技术介绍:NAP从字面上理解是网络访问保护。NAP提供网络准入技术,允许符合要求的客户端进入企业内部网,限制不符合要求的客户端进入企业网络的隔离区。并为隔离区的客户端计算机提供自动修正和补救,一旦符合健康要求即可进入正常网络。NAP是由客户端健康策略创建、强制及补救技术组成。NAP定义了客户端操作系统和关键软件要求的配置和更新条件。NAP技术内置于Windows 操作系统中,属于内置功能。支持NAP的客户端操作操作系统有Windows XP SP3、Windows Vista、Windows 7,服务器端操作系统有Windows Server 2008。通过激活和配置管理,可实现NAP 技术。

NAP For IPSEC:NAP的技术的实现基于以下几种情形:DHCP、VPN、802.1X和IPSEC。假如客户端计算机是静态的IP参数,也不需要建立VPN,也不使用802.1X,那么剩下的就只有 NAP For IPSEC.下面就着重介绍NAP FOR IPSEC的概念和技术机制。 NAP FOR IPSEC涉及的概念和名词术语有:

SHA:System Health Agents,系统健康代理,产生入网客户端健康陈述(SoH),代表一个客户机健康状态的快照;

NAP Agent: NAP代理,收集和管理健康信息;

NAP EC: NAP Enforcement Client,NAP执行客户端,传递健康状态给NAP服务器,NAP服务器提供网络访问策略。对于不同的网络访问和通讯类型,都有NAP EC模块相匹配.例如,对于IPSEC通讯,就有对应的NAP EC FOR IPSEC;

NAP Enforcement Client:有NAP内置功能的客户端操作系统计算机 ,由SHA、NAP Agent 、NAP EC三个模块组成。只要计算机安装Windows XP SP3、Windows Vista、Windows 7就能满足这一要求;

SoH:英文全称为Statement of Health ,健康陈述(补丁状态和系统配置等);

SoHR: SoH Response ,对SoH的应答.应答有两种(YES /NO).YES-代表健康状态满足要求,同意颁发证书;No-代表不满足健康要求,提供修正指导,提供受限访问;

HRA 服务器:英文全称是Health Registration Authority Server ,健康注册授权机构。是服务器端NAP ES模块,与客户端NAP EC模块相匹配。向客户端提供一些所需的网络访问能力,传递客户端健康状态给网络策略服务器,执行网络限制访问;

SHV:英文全称是System health Validator,即系统健康验证器,是NAP平台架构的服务器端组件,与客户端的SHA相对应。SHV接受客户端SHA传来的SoH,返回SoH应答。通知客户端如果SHA不满足要求的健康状态,应如何执行的行为。

NPS: 英文全称是Network Policy Server,即网络策略服务器。由SHV、策略及NAP管理模块组成。策略定义了客户端的健康。NPS验证定义的健康策略。

企业安全网络:客户端符合健康策略,允许进入企业内部网络,授权完全的网络访问;

受限网络:客户端不符合健康策略,不允许进入企业网络,网络访问受到限制。客户端可以进行有限的访问,如可以访问救援服务器,安装所需的补丁,进行恰当的配置。通过补救,客户端可以恢复健康状态;

Remediation Servers: 可以翻译为救援、补救和修正服务器。客户端的SHA和救援服务器相对应。能从救援服务器下载最新的补丁和病毒更新;

Network Access Limitation Enforcement Methods:即网络访问限制执行方法。NAP for IPsec使用的方法是:在受限网络的客户计算机,不能获得证书机构颁发的健康证书。在同关键服务器通讯时,没有证书就无法建立IPSEC通讯;

NAP FOR IPSEC 技术机制:

1、 NAP 客户端请求网路访问,提供系统健康状态。发送SoH请求;

2、 HRA接受SoH请求,中继请求至策略服务器;

3、 依据健康策略,策略服务器SHV对SoH请求作出应答,返回给HRA;

4、 如果客户健康状态不符合健康策略要求,将被受限访问。HRA返回SoH请求应答给客户端, NAP客户端不能获得健康证书,客户端不能同后台服务器建立IPsec通讯。但可以同救援服务器通讯,恢复健康状态。在恢复健康状态后,可以重新申请健康证书;

5、 如果客户健康状态符合健康策略要求,HRA返回SoH请求应答给客户。HRA得到策略服务器的批准,替NAP客户端申请健康证书,颁发证书给符合要求的NAP客户端。有了健康证书的客户端就可以同后台的服务器建立IPSEC的通讯了。标志进入企业安全网络。

NAP FOR IPSEC在企业实施方案分析:

1、在微软提供的NAP解决方案中,有DHCP、802.1X、VPN及IPSEC。

2、在DHCP、802.1X、VPN情形中,有一个关键点和前提,就是客户端入网的第一步必须和DHCP、802.1X、VPN通讯,进而才能对客户端的健康状态加以评估,NAP机制才会起作用。如果没有这个前提,NAP机制就会被绕过,不会起作用。具体来讲,在NAP FOR DHCP技术方案中,关键点是DHCP服务器。在NAP FOR 802.1X 技术方案中,关键点是支持NAP的802.1X访问设备。在NAP FOR VPN技术方案中,关键点是VPN服务器。

3、在NAP FOR IPSEC情形下,问题比较复杂。缺乏一个关键点,客户端在企业网络里与那一台服务器通讯是随机的。我们必须保证基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器和客户端通讯是正常的,不能设置严格的IPSEC策略。因此不能将这一类服务器作为关键控制点。而每台客户端机器必须与之通讯的业务系统,可能是跨平台系统,不支持NAP技术,也作不成中心控制点;

4、引入微软网关产品TMG 2010,利用TMG 2010将网络分成微软企业内部网和业务系统网络。TMG是关键点,有两块网卡。一块连接企业内部网,另一块连接业务网络。所有客户端(B/S模式)要访问业务系统,必须先同TMG通讯(web 代理功能)。这样就形成以TMG为中心控制点;

5、有了TMG关键点后,就可以规划NAP FOR IPSEC方案了;

NAP FOR IPSEC解决方案实施步骤:

1、 在服务器上安装Windows Server 2008,部署AD 架构,配置DNS\AD DS\AD CS角色;

2、 在AD域上建立三个安全组:1、NAP IPSEC Client Computers ,包含所有满足健康策略接受健康证书的客户端计算机(Windows XP SP3、Windows Vista、Windows 7); 2、NAP IPSEC Boundary Computers ,能自动获得IPSEC健康证书,涵盖基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器,对这个组不采用严格的IPSEC策略; 3、NAP IPSEC Protected Computers,能自动获得健康证书,要求进站连接提供健康证书。这个组包含关键服务器,TMG服务器属于这个组。这个组采用严格的IPSEC策略;

3、 对网络中的计算机进行归属划分,加入相应的组里;

4、 在证书服务器创建新的健康证书模板,在证书模板的安全属性设置安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers对该模板有Read 、Allow Enroll 、Allow Autoenroll的权限;

5、 配置证书服务器颁发健康证书模板;

6、 在AD 上配置域缺省组策略,使得在域里的计算机能自动获得证书;

7、 从以上配置可以保证安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的计算机能获得健康证书,即企业内部网的所有的服务器都能获得健康证书。安全组NAP IPSEC Client Computers不能通过此方法获得证书,因为此组对新创建的健康证书模板没有Allow Enroll 、Allow Autoenroll的权限。安全组NAP IPSEC Client Computers是通过HRA获得证书的;

8、 配置HRA,HRA是一个WEB 应用程序,如果策略服务器判定客户端计算机是符合健康要求的,HRA将从证书服务器CA上为客户端计算机获得一个健康证书,并发送给客户端。建立HRA与CA服务器之间的关联,HRA就像一个证书代理机构,为符合要求的健康客户端提供健康证书。因此,在证书服务器上配置HRA所代表的帐户应有请求、颁发和管理证书的权限。在HRA上指向正确的证书服务器信息;

9、 配置策略服务器NPS,配置SHV、健康策略和网络连接策略。有两个策略,一个是符合健康要求的,另一个是不符合要求的;

10、 激活客户端计算机NAP For IPSEC模块。可通过组策略来实施。需要完成两项设置,  一是启用NAP For IPSEC,配置信任HRA服务器组,指向正确HRA URL地址.因为HRA提供的是一个WEB 应用程序服务。客户端NAP Agent根据SoH响应通过这个服务获得健康证书或取消健康证书;

11、 验证服务器证书机制起作用,查看在域中的服务器都能获得健康证书;

12、 验证客户端证书机制起作用,查看符合健康要求和不符合健康要求的情况;

13、 确认准备安装TMG 2010的机器已获得健康证书;

14、 利用组策略管理工具GPMC对三个安全组实施IPSEC 组策略。安全组NAP IPSEC Client Computers NAP和 IPSEC Protected Computers实施严格的IPSEC组策略:入站要求健康证书出站请求;安全组NAP IPSEC Boundary Computers实施包容性的IPSEC组策略:入站和出站请求健康证书;

15、 安装关键控制点TMG 2010,配置TMG 2010,TMG 服务器属于安全组IPSEC Protected Computers。所有计算机必须首先访问TMG,才能访问后台的业务系统。实现跨平台的NAP For IPSEC解决方案;

16、 测试集成TMG 2010的NAP For IPSEC效果。

实施方案问题探讨:

1、 TMG 2010安装完成后,会接管对应网络接口的管理策略,会不会同对应TMG服务器的NAP For IPSE组策略冲突?

答:通过做实验和部署,确认不会冲突,TMG 2010遵从NAP For IPSEC组策略。两者配合的很好。在做实验前,对这个问题一直没有把握。完成实验后,心里就踏实了。

2、 TMG 2010只能安装在64位Windows Server 2008 R2的机器上.64位Windows Server 2008 R2的机器能不能从在32位Windows Server 2008的CA服务器上获得证书?

答:结果出人意料。不能获得,但从道理上是可以的。需要进一步确认;

3、 对于Windows Server 2008 R2才有基于Windows 7的健康验证器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。

4、 Windows XP sp3 是否能接受来自Windows Server 2008 R2 基于高级防火墙配置的NAP For IPSEC组策略的设置?

答:实验结果是不能。需要在Windows XP sp3上手工配置IPSEC,健康证书移走后,IPSEC通讯不中断。需要重新启动IPSEC服务,才能看到效果。

分类
SSL证书

赛门铁克Symantec SSL证书产品及服务

在SSL证书市场,Symantec证书在全球具有绝对领先地位:

 

世界500强企业中93%的公司选择了赛门铁克Symantec的SSL证书服务;

世界100家最大的银行中97%的公司选择了VeriSign的SSL证书服务;

全球50大电子商务网站中的47个网站所选用VeriSign的SSL证书服务;

国内用户中包括四大商业银行、招商银行、中信银行、光大银行在内的主要商业银行均选用了赛门铁克Symantec的EV SSL证书服务。

 

赛门铁克Symantec SSL证书产品及服务-1

 

SSL数字证书

128位SSL强制型SSL证书(Secure Site Pro)和128位SSL支持型SSL证书(Secure Site)利用SSL技术保障客户在线输入的信用卡号、交易密码等机密信息的安全。

 

Symantec Secure Site Pro (128位强制型)

Symantec Secure Site (128位支持型)

赛门铁克Symantec SSL证书产品及服务-2 产品特性: 产品特性:
全球最为知名的数字证书品牌无法仿冒的动态即时安全标章

SGC128位强制加密技术

兼容所有的浏览器  赛门铁克Symantec SSL证书产品及服务-3

证书包含企业身份信息

价值 125万美元的安全担保

 

全球最为知名的数字证书品牌无法仿冒的动态即时安全标章

40/56/128/256 位自适用加密

兼容所有的浏览器  赛门铁克Symantec SSL证书产品及服务-3

证书包含企业身份信息

价值 100万美元的安全担保

 

赛门铁克Symantec SSL证书产品及服务-4    赛门铁克Symantec SSL证书产品及服务-3 赛门铁克Symantec SSL证书产品及服务-4    赛门铁克Symantec SSL证书产品及服务-3

 


EVSSL数字证书

128位强制型EV SSL证书(Secure Site Pro with EV)和128位支持型EV SSL证书(Secure Site with EV)作为国际反欺诈钓鱼行动的重要组成部分,通过展示绿色地址栏证实网站安全与可靠。

 

Symantec Secure Site Pro with EV(128位强制型EV)

Symantec Secure Site with EV(128位支持型EV)

赛门铁克Symantec SSL证书产品及服务-2 产品特性: 产品特性:

全球最为知名的数字证书品牌

SGC128位强制加密技术

兼容所有的浏览器赛门铁克Symantec SSL证书产品及服务-7

绿色地址栏,增加客户信赖度,带来更多交易

扩展验证功能帮助挫败欺诈钓鱼网站

价值150万美元的安全担保

全球最为知名的数字证书品牌

40/56/128/256 位自适用加密

兼容所有的浏览器  赛门铁克Symantec SSL证书产品及服务-7

绿色地址栏,增加客户信赖度,带来更多交易

扩展验证功能帮助挫败欺诈钓鱼网站

价值150万美元的安全担保

赛门铁克Symantec SSL证书产品及服务-4        赛门铁克Symantec SSL证书产品及服务-3     赛门铁克Symantec SSL证书产品及服务-4       赛门铁克Symantec SSL证书产品及服务-3

 


天威诚信Symantec证书产品服务

1.7×24小时电话及技术支持:采用专业的客服与技术人员进行分配调试,并且由专业客服一对一进行服务。

2.在线指导用户证书的安装、调试、备份

3.证书有效期内提供每年三次回访服务

 

SSL证书购买流程

赛门铁克Symantec SSL证书产品及服务-5

分类
知识中心

Apache上配置ssl证书,http强制转为https页面访问

配置Apache服务器证书

1

在httpd.conf文件里使下面模块生效

LoadModule rewrite_module modules/mod_rewrite.so

2

httpd.conf配置文件或者是在httpd-vhost.conf文件里修改

<Directory “C:/Apache2.2/docs/1.com”>

Options Indexes FollowSymLinks

AllowOverride All

# 上面是http-https时需要添加的语句

Order allow,deny

Allow from all

</Directory>

3

在网站根目录下面添加该文件“.htaccess” 目录访问控制文件,并添加如下内容:

#———————————

RewriteEngine on #开启重定向引擎

RewriteBase / #可以不设置

RewriteCond %{SERVER_PORT} !^443$ #非443端口的数据全部进行重定向

RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R] #把需要重定向的内容重定向到https

#———————————-

.htaccess文件不能在win平台下自己创建,可以使用下面链接在线生成该文件:http://www.wangqu.org/htaccess/#a_WWW

#———————————-

RewriteEngine on #开启重定向引擎

RewriteBase / #可以不设置

RewriteCond %{SERVER_PORT} !^443(或者其他端口)$ #非443端口的数据全部进行重定向

RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R] #把需要重定向的内容重定向到https

#如果是默认不是443端口,那么可以在最后一行写成这样

RewriteRule ^.*$ https://www.domain.com:8443

#当然如果默认是443的话,也可以这么写

RewriteRule ^.*$ https://www.domain.com

#该 .htaccess 需要放置在网站的根目录下面才可以生效

#———————————-

含义是这样的:为了让用户访问传统的http://转到https://上来,用了一下rewrite规则:

第一句:启动rewrite引擎

第二句:rewrite的条件是访问的服务器端口不是443端口

第三句:这是正则表达式,^是开头,$是结束,/?表示有没有/都可以(0或1个),(.*)是任何数量的任意字符

整句的意思是讲:启动rewrite模块,将所有访问非443端口的请求,url地址内容不变,将http://变成https://。

5、查看一下httpd.conf,如果以下几项给注释掉了,就打开这些选项:

LoadModule rewrite_module libexec/mod_rewrite.so

AddModule mod_rewrite.c

 

分类
知识中心

TOMCAT上配置ssl证书,http强制转换为https

配置TOMCAT服务器证书

(1) 如果你是在Windows环境中生成证书文件,则需要将生成的证书tomcat.keystore拷贝到Tomcat将要引用的位置,假设tomcat的应用证书的路径是“/etc/tomcat.keystore”,则需要将证书文件拷贝到“etc/”下;如果是在Linux环境按照上述介绍的步骤生成证书文件的话,此时证书文件已经在“etc/”下。

(2) 配置Tomcat,打开$CATALINA_HOME/conf/server.xml,修改如下,

<Connector port=”8080″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”8443″ />

修改参数=>

<Connector port=”80″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”443″ />

 

<!–

<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS”/>

–>

去掉注释且修改参数=>

<Connector port=”443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS” keystoreFile=”/etc/tomcat.keystore” keystorePass=”www.gbcom.com.cn”/>

注释:标识为淡蓝色的两个参数,分别是证书文件的位置和<tomcat>的主密码,在证书文件生成过程中做了设置

 

<!–

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”8443″ />

–>

修改参数=>

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”443″ />

(3) 打开$CATALINA_HOME/conf/web.xml,在该文件末尾增加:

<security-constraint>

<web-resource-collection >

<web-resource-name >SSL</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

 

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

3、上述配置完成后,重启TOMCAT后即可以使用SSL证书。IE地址栏中可以直接输入地址不必输入“http://” 或者 “https://” ;也可以输入 “http:// ” 会跳转成为 “https://” 来登录