SSL 简介
通过计算机网络发送的任何通信数据均有可能被截取、解密或修改。为保证网络通信的安全,建议使用安全套接字层 (SSL) 协议。SSL 是一项标准行业安全技术,用于在 web 服务器与 web 客户端(如 web 浏览器)之间建立加密连接。SSL 通过对服务器进行识别和验证以及确保所有传输数据的隐私和完整性来实现安全网络通信。由于 SSL 可防止窃听或篡改通过网络发送的信息,所以应对任何登录或身份验证机制以及任何包含保密信息或私有信息的网络通信应用 SSL。
创建 SSL 证书
要能够在 Web 服务器和客户端之间创建 SSL 连接,Web 服务器需要一个 SSL 证书。SSL 证书是一个数字文件,包含有关 Web 服务器标识的信息。它还包含建立 Web 服务器和客户端之间的安全通道时要使用的加密方法。SSL 证书必须由网站和数字签名的所有者创建。下面将介绍三种类型的证书 - CA 签名证书、域证书以及自签名证书。
CA 签名证书
证书颁发机构 (CA) 签名证书可用于生产系统,特别是用于组织外的用户访问 ArcGIS Server 部署。例如,如果服务器未设置防火墙保护且可经由 Internet 对其进行访问,则使用 CA 签名证书可向来自组织外部的客户端确保网站身份已进行过安全验证。
除了由网站所有者签名以外,SSL 证书还可由独立的 CA 进行签名。CA 通常是一个受信任的第三方机构,可用于证实网站的真实性。如果网站值得信任,CA 会将其自己的数字签名添加到该网站的自签名 SSL 证书。这可担保网站标识已经验证过的 Web 客户端。
使用由著名 CA 颁发的 SSL 证书时,服务器和 Web 客户端之间的安全通信将自动进行而无需用户执行任何特殊操作。由于网站已由 CA 进行验证,Web 浏览器中不会显示任何警告消息。
域证书
如果服务器已设置防火墙保护且无法使用 CA 签名证书,则使用域证书为可行的解决方案。域证书是由组织的证书颁发机构签名的内部证书。使用域证书有助于降低颁发证书的成本以及简化证书部署,因为证书可在组织内针对受信任的内部使用时快速生成。
域内用户通常不会收到与自签名证书相关的异常行为或警告消息,因为网站已由域证书进行过安全验证。但是,域证书并不是由外部 CA 进行验证,即访问站点的域外用户无法验证证书是否真的如所宣称那样代表某一方。外部用户将看到有关站点不受信任的浏览器警告,这可能导致用户认为正与恶意方进行通信从而退出您的站点。
自签名证书
只由网站所有者签名的 SSL 证书称为自签名证书。自签名证书通常用于仅对组织内部 (LAN) 网络上的用户可用的网站上。由于无需验证网站的标识,因此使用自签名证书可确保组织内的安全网络通信。
创建自签名证书不应视作生产环境的有效选项,因为这将导致结果异常以及所有网站用户体验不佳。
任何使用自签名 SSL 证书连接到网站的 Web 客户端(例如 Web 浏览器)都将显示一个警告,即该站点无法作为受信任的网站进行验证。有关如何禁止自签名证书警告的信息,请参阅禁止自签名证书的警告。