Securitatea datelor în rețele deschise de informații, cum ar fi Internetul, va exista întotdeauna o sursă de preocupare serioasă pentru dezvoltatori și clienții. Prin urmare, pentru orice produs pe care îl utilizați este foarte important pentru a crea un mediu de execuție sigur.
SSL (Secure Socket Layer - Secure Sockets Layer), dezvoltat în comun de Netscape Communications și RSA Data Security, se poate asigura în mod eficient o astfel de securitate. SSL oferă securitate, autentificare, securitate și coordonare pe bază de certificat pentru stabilirea unei conexiuni de rețea, astfel încât o mulțime de companii și produse adoptat SSL ca un protocol de comunicare.
În această serie, ne vom concentra pe două aspecte principale:
- Mai multe informații despre sistemul SSL de lucru;
- informatii detaliate despre suport SSL în versiunile 5.1 și 6.0.1 mediului ISC.
Acest articol explorează SSL și explică de ce este recomandat să pună în aplicare în mediul ISC. În al doilea și al treilea aspect ale acestei serii va oferi detaliate pas cu pas pentru punerea în aplicare și o conexiune SSL la ISC 5.1 și 6.0.1.
În primul rând, ceea ce este SSL?
Familiarizarea cu SSL
protocolul SSL asigură integritatea și confidențialitatea comunicării între două aplicații care comunică folosind TCP / IP. Datele care călătoresc între client și server este criptat algoritm simetric.
Pentru semnături digitale și schimbul de chei de criptare utilizate algoritm cheie publică (RSA). Criptarea cu cele două chei folosite chei publice, fiecare dintre acestea pot fi utilizate pentru a cripta mesaje. În cazul în care o cheie este utilizată pentru a cripta un mesaj, pentru decriptarea trebuie să utilizați un alt. Acest lucru vă permite să primiți mesaje securizate prin simpla publicare o cheie (deschis) și păstrarea celorlalte (secretă) cheia secretă.
certificatele digitale
Acest lucru ne aduce la o discuție a certificatelor digitale, care joacă un rol important în SSL. Certificatele digitale servesc în principal două scopuri:
- stabili identitatea proprietarului;
- pentru a pune la dispoziția titularului cheie primară.
Un certificat digital este emis dovedit organizație plenipotențiar - certificat de sursă (autoritate de certificare - CA) și se acordă numai pentru o perioadă limitată de timp. După expirarea certificatului trebuie să fie înlocuit. SSL utilizează certificate digitale pentru schimbul de chei, server de autentificare, și, dacă este necesar, pentru autentificarea clienților.
Un certificat digital conține următoarele informații despre identitatea titularului certificatului și sursa certificatelor:
- complet (unic) numele titularului certificatului;
- cheia publică a proprietarului;
- data eliberării certificatului digital;
- data expirării certificatului;
- complet (unic) numele editorului (certificat de sursă);
- semnătura digitală a editorului.
tipuri de certificate
SSL utilizează certificate pentru a verifica conexiunea. Aceste certificate SSL sunt localizate pe un server securizat și sunt utilizate pentru criptarea datelor și autentificare Web-site-ului. certificat SSL ajută pentru a confirma faptul că site-ul aparține de fapt persoana care se spune, și conține informații privind titularul certificatului, domeniul pentru care a fost emis certificatul, precum și numele sursei (CA), emitentul certificatului.
Există trei modalități de a obține SSL certificat:
- utilizați un certificat de la autoritatea de certificare;
- utilizați un certificat auto-semnat;
- utilizare certificat de „gol“
Utilizarea unui certificat de autoritate de certificare
Certificatele Surse (CA) - sunt organizații care sunt de încredere de întreaga industrie și sunt angajate în eliberarea certificatelor de Internet. De exemplu, un astfel de certificat poate fi obținut de la compania VeriSign. Pentru a obține un certificat semnat de sursă, trebuie să furnizați informații suficiente pentru sursa, astfel încât să poată verifica identitatea. Apoi, sursa va crea un nou certificat, semnați-l și-l va trimite. Populare browsere web sunt pre-configurate pentru a avea încredere în certificatele emise de anumite surse, așa că nu are nevoie de nici o configurare suplimentară pentru conexiuni client prin SSL la server pentru care a fost eliberat certificatul.
Folosind un certificat auto-semnat
semnat-Auto certificat - un certificat care este creat de către utilizator. Dacă utilizați un astfel de certificat de la editor se potrivește deținătorul certificatului. Frumusetea acestei soluții este că, pentru a crea un certificat auto-semnat durează mai puțin timp decât pentru a obține un certificat semnat de către sursa de certificat. Cu toate acestea, certificat semnat impune ca orice client de conectare la server prin SSL, pentru a stabili un astfel de certificat a fost configurat pentru a credita certificatul semnat. Având în vedere că certificatul a fost semnat de către utilizator, o astfel de semnătură nu este probabil să fie în lista clientului de fișier surse de încredere și, prin urmare, trebuie să fie adăugate. În cazul în care accesul la acest fișier, orice client nu este posibil, nu utilizați această configurație, este mai bine pentru a obține un certificat de la o sursă de încredere. Certificatele semnate pe cont propriu sunt utile numai atunci când fiecare client interacționează cu serverul poate fi configurat pentru a credita certificatul.
Utilizarea certificatului de „gol“
Această decizie nu este diferită în funcționalitate de cel anterior. În general, „goale“ certificate fictive conțin informații care este utilizat ca o soluție temporară pentru a configura SSL și testa funcționarea acestuia într-un anumit mediu. aplicarea CSA prevede un certificat de „gol“, împreună cu cheile și o sursă de încredere pentru fișierele server și client.
Deci, ce să facă după ce a primit certificatul?
Autentificarea pe partea de client sau server
După ce certificatul a fost obținut, este necesar să se stabilească autenticitatea acesteia (autentificată). În protocolul SSL, există două tipuri de autentificare:
- autentificarea pe partea de client;
- autentificarea pe partea de server.
autentificarea SSL-server permite clientului să verifice identitatea serverului. Software-ul client care acceptă SSL, poate fi prin tehnici standard de criptografie cu cheie publica pentru a verifica dacă certificatul de server și cheia publică sunt valabile și au fost emise de o sursă situată în lista de surse de încredere că certificatele de client. Această confirmare poate fi important dacă utilizatorul, de exemplu, trimite numărul cardului de credit în rețea și vrea să verifice autenticitatea serverului de destinație.
autentificarea SSL-client permite unui server pentru a verifica identitatea utilizatorului. Folosind aceleași tehnici ca și în cazul serverul de autentificare, software-ul de server cu suport SSL poate verifica dacă certificatul clientului și cheia publică sunt valabile și au fost emise de CA, care este disponibil în lista de surse de încredere de servere. Această confirmare poate fi important dacă, de exemplu, serverul - este o bancă trimiterea de informații financiare confidențiale către client, și el vrea să verifice identitatea destinatarului.
Figura 1 este o diagramă care ilustrează acest proces.
Figura 1. Procesul de autentificare între client și server
Fișierul cheie și un fișier cu o listă de surse de încredere
Punerea în aplicare a protocolului SSL utilizat în WebSphere Application Server, stochează certificatele personale într-un fișier cheie SSL și certificatul editorului într-un fișier cu o listă de surse de încredere. Fișierul cheie conține o colecție de certificate, fiecare dintre care pot fi prezente în timpul instalării conexiunii SSL pentru autentificare. Într-un fișier cu o listă de surse de încredere o colecție de certificate, care sunt considerate a fi corecte și să fie comparat cu certificatul prezentat în timpul instalării SSL conexiune pentru autentificare.
SSL și WebSphere Application Server
Un bun exemplu de implementare a protocolului SSL este suportul pentru IBM WebSphere Application Server. sistemul de securitate server are o arhitectură stratificată prezentată în figura 2.
Figura 2. securitate multi-nivel WebSphere Application Server
nivelul de securitate de rețea oferă autentificare la nivel de transport, integritatea și criptarea mesajelor. Comunicarea între WebSphere Application Server diferite servere pot fi configurate pentru a utiliza protocoalele SSL și HTTPS. Pentru protecție suplimentară pentru mesajele Puteți utiliza, de asemenea, protocoale de securitate IP și VPN (Virtual Private Network - VPN).
Protocolul SSL oferă Transport Layer Security: autentificarea, integritatea și confidențialitatea pentru o conexiune sigură între un client și un server în WebSphere Application Server. Acest protocol ruleaza pe partea de sus a TCP / IP și sub protocoalele de aplicații, cum ar fi HTTP, LDAP, IIOP, oferind acuratețea și confidențialitatea datelor transmise. În funcție de configurația SSL pentru client și server poate fi setat diferite niveluri de fiabilitate, integritatea datelor și a vieții private. Înțelegerea de bază de funcționare a protocolului SSL este foarte important pentru configurarea corectă și pentru a atinge nivelul dorit de protecție a datelor pentru client și aplicații.
Câteva dintre caracteristicile de securitate oferite de SSL:
- Criptarea datelor pentru a preveni expunerea datelor sensibile în timpul transmiterii.
- Semnarea de date pentru a preveni modificarea neautorizată a datelor în timpul transmiterii.
- Autentificarea clientului și server. asigură comunicarea se realizează cu corespunzătoare umane sau a unui calculator.
Protocolul SSL poate fi un mijloc eficient de asigurare a securității mediului informațional al organizației.
Protocolul SSL este utilizat de către diverse componente în cadrul WebSphere Application Server pentru a asigura autenticitatea și confidențialitatea. Aceste componente includ: un built-in HTTP de transport, ORB și sigur LDAP-client.
punerea în aplicare SSL utilizat în WebSphere Application Server, - aceasta este fie o extensie Java - IBM Java ™ Secure Sockets Extension (IBM JSSE), sau IBM System SSL. furnizor de IBM JSSE include o implementare de referință, suportă SSL și TLS (Transport Layer Security - Transport Layer Security) și API pentru integrare. Cu furnizor IBM JSSE vine, de asemenea, furnizor de standard, care oferă suport RSA pentru funcționalitatea unei semnături digitale a bibliotecii ACJ (Java Criptografie Arhitectura - Arhitectura de criptare pentru Java) pentru platforma Java 2, suitele cifru standard pentru SSL și TLS, managerii de încredere surse de certificate și chei folosind tehnologia X509, și punerea în aplicare PKCS12 a tehnologiei pentru stocarea certificatelor digitale ACJ.
JSSE configurațiilor furnizorului este foarte similar cu configurația majorității celorlalte implementări SSL, cum ar fi GSKit, dar ar trebui să fie evidențiat câteva diferențe:
- furnizor JSSE acceptă stocarea propriul certificat de certificat și editor în fișierul cheie SSL, dar sprijină, de asemenea, un fișier separat, așa-numitul certificate de fișier sursă (fișier de încredere). Acest fișier poate conține numai surse de certificate. Puteți pune propriile certificate în emitenții de fișiere și de certificat de cheie SSL - în încredere-fișier. Acest lucru poate fi necesar, de exemplu, în cazul în care hardware-ul ieftin dispozitiv criptografic, în care numai memorie suficient pentru a stoca certificat personal. În acest caz, punctele cheie fișier la un dispozitiv hardware, și puncte de încredere-fișier într-un fișier de pe disc care conține toate certificatul editorului.
- furnizor de JSSE nu recunoaște formatul special SSL fișierul cheie utilizat de plugin - fișiere cu extensia .kdb. furnizor de JSSE recunoaște doar formatele de fișiere standard, cum ar fi Java Key Store (JKS - Java magazin cheie). Partajarea fișierelor cheie SSL și plug-in aplicatii server este imposibil. Mai mult decât atât, aplicațiile cheie de management de server și de încredere-fișierul pe care doriți să utilizați diferite implementări ale utilitarului de gestionare a cheilor.
SSL și Soluții Consola integrată
aplicatie ISC - este un singur mediu consola administrativ bazat pe Web pentru implementarea și integrarea modulelor console, permițând clienților să gestioneze soluții mai degrabă decât produse specifice IBM. Acest mediu include Portlet container, Java componente (JMX) module de gestionare aplicație și de referință Eclipse.
protocolul SSL poate fi utilizat pentru punerea în aplicare a vieții private și de criptare. Cu SSL, puteți proteja interacțiunea dintre browser-ul de utilizator bazat pe Web și serverul ISC. Criptarea este important, deoarece se folosește autentificarea CSA, pe baza formularelor; cu ID-ul de utilizator și parola pentru a intra în sistem nu sunt criptate în tranzit prin rețea. Dacă modulul consola necesită acces la resurse interne, printr-o conexiune securizată, portlet-urile sale pot folosi SSL.
Care sunt avantajele utilizării SSL?
De ce este acest lucru atât de important? transmisie sigură și eficientă a datelor privind canalele de comunicare deschise - este o componentă esențială pentru a asigura funcționarea unui sistem informatic modern și protocolul SSL asigură securitatea. Cu toate acestea, conexiunea SSL pentru mediu ISC poate fi o sarcină complexă și consumatoare de timp. Care este complexitatea acestei probleme? Problema securității datelor la Web-based mediu aplicații, cum ar fi mediul Soluții integrate Consola, poate părea un pic neclare pentru incepatori, deoarece securitatea IT în sine - o arie extrem de largă, care acoperă multe aspecte diferite în rețelele de comunicații deschise.
Obțineți produse și tehnologii
- Descărcați versiunea de soluții integrate console și citiți mai departe pentru mai multe informații cu privire la acest produs în Setul de instrumente Computing autonomǎ. (RO)
- WebSphere Application Server 6.1 - este o platformă pentru aplicații bazate pe Java 2 Enterprise Edition și servicii bazate pe Web. În plus față de versiunea normală, de asemenea, versiunea disponibilă de Express (inclusiv server de aplicatii J2EE, exemple de aplicații, instrumente de dezvoltare, și vrăjitori), precum și o versiune simplificată a unei ediții comunitare libere. (RO)