|
安全连接保障工具 |
|
安装Dr.Web服务器时创建以下保障反病毒网络各组件间安全连接的工具: 1.服务器加密私钥drwcsd.pri。 保存在服务器,不分发给反病毒网络其他组件。 如丢失私钥需手动恢复反病毒网络各组件间的连接(创建所有密钥和证书并将其分发到网络所有组件)。 以下情况使用私钥: 加密公钥和证书在安装服务器过程中自动从私钥创建。私钥可以是新创建的,也可以为已有私钥(如上一服务器私钥)可随时使用服务器工具drwsign创建加密密钥和证书(参见 附录中的 H9.1.数字密钥和证书生成工具)。 公钥和证书介绍见下。 b)服务器验证。 远程客户端进行服务器验证使用的是电子数字签名(每次连接进行一次)。 服务器使用私钥为通知进行数字签名后将通知发送给客户端。客户端利用证书检查通知签名。 c)数据解密。 服务器和客户端间流量加密时客户端发送给服务器的数据利用私钥在服务器解密。 2.服务器加密公钥drwcsd.pub。 反病毒网络所有组件均可访问。公钥从私钥创建(见上)。从同一私钥每次生成的公钥相同。 从服务器版本11开始公钥用于连接老版本的客户端。其他功能由证书取代,证书中包含加密公钥。 3.服务器证书drwcsd-certificate.pem。 反病毒网络所有组件均可访问。证书中包含加密公钥。证书从私钥创建(见上)。从同一私钥每次生成的新的证书。 连接服务器的客户端与具体证书对应,因此如某客户端丢失证书,则只有当网络中还有另一组件也使用同一证书的情况下才有可能找回证书:可从服务器或另一客户端将证书复制到丢失证书的客户端。 以下情况使用证书: a)服务器验证。 远程客户端进行服务器验证使用的是电子数字签名(每次连接进行一次)。 服务器使用私钥为通知进行数字签名后将通知发送给客户端。客户端利用证书检查通知签名(具体是利用证书中包含的公钥)。之前的服务器版本是直接利用公钥。 要求客户端具备来自其要连接的服务器的一个或几个可信任证书。 b)数据解密。 服务器和客户端间流量加密时客户端发送给服务器的数据利用公钥在客户端解密。 c)实现服务器与远程客户端之间的TLS对话。 d)代理服务器验证。 远程客户端进行代理服务器验证使用的是电子数字签名(每次连接进行一次)。 代理服务器使用Dr.Web服务器私钥和证书为自己的证书签名。信任Dr.Web服务器证书的客户端会自动信任使用这一证书签名的证书。 4.Web服务器私钥。 保存在服务器,不分发给反病毒网络其他组件。详细介绍见下。 5.Web服务器证书。 反病毒网络所有组件均可访问。 用于实现Web服务器与浏览器之间的TLS对话(按照HTTPS)。 以Web服务器私钥为基础安装服务器时生成自签名证书,由于此证书不是知名证书中心发布,因此浏览器不会接受。 要使用受保护的连接(HTTPS),需执行以下一种操作: •将自签名证书添加到所有工作站和打开管理中心的浏览器的可信任证书或排除项。 •获取由知名证书中心发布的证书。 |