Сам по себе сертификат содержит некоторую идентифицирующую информацию. Он подписывается защищенным ключом СА, что гарантирует его аутентичность и отсутствие модификаций. Промышленный стандарт сертификатов, известный как x.509v3, включает следующую базовую информацию:

• Имя, название организации и адрес держателя.
• Открытый ключ держателя, который будет использоваться для реализации ключа SSL-сеансов для шифрования коммуникаций.
• Даты проверки сертификата.
• Серийный номер сертификата.

В дополнение сертификат также может включать специфичную для бизнеса информацию — такую как отрасль промышленности держателя, длительность присутствия его на рынке и тому подобное.

Двумя крупнейшими центрами сертификации являются:

• Thawte — http://www.thawte.com.
• VeriSign — http://www.verisign.com.

Если вам не нужно идентифицировать функцию проверки СА (например, если ваши сертификаты будут использоваться только в intranet-сети), вы можете создавать и использовать свои собственные сертификаты, и настроить все клиенты, чтобы они доверяли им. Для этого потребуется служба Active Directory и сервер Certificate Server (которые встроены в версии Windows Server 2003 и Windows 2000 Server). За более подробной информацией обращайтесь к специальным книгам по администрированию сетей Windows.

Понятие SSL

Как было описано в предыдущем разделе, каждый сертификат включает открытый ключ. Открытый ключ — часть асимметричной пары ключей. Основная идея в том, что открытый ключ свободно предоставляется всем, кто в нем заинтересован. Соответствующий секретный ключ хранится под замком, и доступен только серверу. Трюк заключается в том, что все, что зашифровано одним из этих ключей, поддается расшифровке с помощью другого. Это значит, что клиент может получить открытый ключ и использовать его для кодирования секретного сообщения, которое может быть расшифровано с помощью соответствующего секретного ключа. Другими словами, клиент может создавать сообщения, которые сможет прочесть только сервер.

Этот процесс называется асимметричным шифрованием, и он является базовым строительным блоком SSL. Важный принцип асимметричного шифрования состоит в том, что вы не можете реконструировать секретный ключ, анализируя соответствующий ему открытый ключ. Сделать это было бы чрезвычайно дорого в плане вычислительных ресурсов (даже сложнее, чем взломать одно из зашифрованных сообщений). Однако асимметричное шифрование также имеет свои ограничения, а именно — оно намного медленнее и генерирует большие по объему сообщения, чем в случае с симметричным шифрованием.

Симметричное шифрование — это разновидность шифрования, с которым интуитивно знакомо большинство людей. В нем один и тот же секретный ключ используется для шифрования и расшифровки сообщения.

предыдущая    следующая страница    вначало главы    оглавление

814