您目前已離線,請等候您的網際網路重新連線

SSL 信號交換時的伺服器驗證處理說明

結論
本文將告訴您,在 Secure Sockets Layer (SSL) 信號交換時的伺服器驗證處理。
其他相關資訊
在 SSL 信號交換時,伺服器會傳送一個可以自我驗證的憑證給用戶端。 用戶端使用憑證來驗證憑證所代表的身分。

啟用 SSL 的伺服器會進行下列步驟來驗證伺服器的身份:
  1. 今天的日期是否在有效期間內? 用戶端會檢查伺服器憑證的有效期間。 如果目前的日期和時間超出範圍,這個驗證處理就不會繼續下去。 如果目前的日期和時間在憑證的有效期間之內,用戶端會執行步驟 2。

  2. 發行的 CA 是否是信任的 CA? 每個啟用 SSL 的用戶端都有一個信任的 CA 清單。 這個清單決定哪個伺服器憑證用戶端會接受。 如果發行 CA 的辨識名稱 (DN) 符合用戶端上信任之 CA 清單的 DN 名稱,這就是信任的 CA ,然後用戶端會繼續執行步驟 3。如果發行的 CA 不在清單上,除非用戶端可以確認 CA 中的憑證鏈結尾在信任的 CA 清單上,否則伺服器不會被授權。

  3. 發行 CA 的公開金鑰是否可以驗證發行者的數位簽章? 用戶端會使用 CA 憑證的公開金鑰 (由步驟 2 信任的 CA 清單中找出) 來驗證現有伺服器憑證上的 CA 數位簽章。 如果伺服器憑證的資訊在 CA 簽發之後被更改,或是如果 CA 憑證中的公開金鑰無法與 CA 簽發伺服器憑證的私密金鑰配對的話,用戶端是不會驗證使用者的身分的。 如果 CA 的數位簽章可以被驗證,用戶端會將伺服器的憑證視為從 CA 來的有效 "介紹信",然後會繼續處理。 此時,用戶端已經確定伺服器憑證是有效的。 用戶端必須在執行步驟 5 之前,先執行步驟 4。

  4. 伺服器憑證中的網域名稱是否符合伺服器自己的網域名稱? 這個步驟會確保伺服器實際上位於與伺服器認證中網域名稱所指定的同一網路位址上。 雖然步驟 5 技術上不是 SSL 通訊協定的一部分,但它還是對中間人攻擊法 (Man-in-the-Middle Attack) 這項安全性上的攻擊,提供了保護。 用戶端必須執行這個步驟,而且如果網域名稱不相符,用戶端就必須拒絕驗證伺服器或是建立連結。 如果伺服器的真實網域名稱符合伺服器憑證上的網域名稱,用戶端會執行步驟 5。

  5. 伺服器已驗證。 用戶端會繼續 SSL 信號交換。 如果因為任何理由用戶端而沒有執行到步驟 5,表示憑證所代表的使用者無法通過驗證,同時該使用者會被警告有這個問題出現,而加密和認證連結都不會建立。
参考
如需其他資訊,請按一下下面的文件編號,檢視 Microsoft Knowledge Base 中的文件:
257591 Description of the Secure Sockets Layer (SSL) Handshake
內容

文章識別碼:257587 - 最後檢閱時間:12/04/2007 20:04:00 - 修訂: 3.1

Microsoft Internet Information Services 6.0, Microsoft Internet Information Server 4.0, Microsoft Internet Information Services 5.0

  • kbinfo KB257587
意見反應
"; var Ctrl = ""; document.write("