服务器通信安全 服务间通信安全

fabric之使用传输层安全性（TLS）保护通信安全

Fabric支持使用TLS在节点之间进行安全通信。 TLS通信可以使用单向（仅服务器）和双向（服务器和客户端）身份验证。

成都创新互联"三网合一"的企业建站思路。企业可建设拥有电脑版、微信版、手机版的企业网站。实现跨屏营销，产品发布一步更新，电脑网络+移动网络一网打尽，满足企业的营销需求！成都创新互联具备承接各种类型的成都网站建设、网站制作项目的能力。经过10多年的努力的开拓，为不同行业的企事业单位提供了优质的服务，并获得了客户的一致好评。

peer节点既是TLS服务器又是TLS客户端。 当另一个peer节点，应用程序或CLI与其建立连接时，它是前者， 在与另一个peer节点或orderer建立连接时他是后者。

在peer节点上启用TLS，需要 设置以下属性：

默认情况下，peer点上启用TLS时，将关闭TLS客户端身份验证。 这意味着peer节点在TLS握手期间不会验证客户端（另一个peer节点，应用程序或CLI）的证书。 要在peer节点上启用TLS客户端身份验证，请将peer配置属性peer.tls.clientAuthRequired设置为true，并将peer.tls.clientRootCAs.files属性设置为包含CA证书链的CA链文件 为你的组织的客户颁发TLS证书。

通过设置以下环境变量，也可以启用具有客户端身份验证的TLS：

在peer节点上启用客户端身份验证时，客户端需要在TLS握手期间发送其证书。 如果客户端未发送其证书，则握手将失败，并且peer将关闭连接。

当peer加入通道时，从通道的配置块读取通道成员的根CA证书链，并将其添加到TLS客户端和服务器根CA数据结构中。 因此，peer对peer通信，peer对orderer通信应该无缝地工作。

要在orderer节点上启用TLS，请设置以下orderer配置属性：

默认情况下，在orderer上关闭TLS客户端身份验证，就像peer一样。 要启用TLS客户端身份验证，请设置以下配置属性：

通过设置以下环境变量，也可以启用具有客户端身份验证的TLS：

对启用TLS的peer节点运行peer CLI 命令时，必须设置以下环境变量：

如果在远程服务器上也启用了TLS客户端身份验证，则除上述变量外，还必须设置以下变量：

如何在win2k3上为IIS服务器配置SSL服务！

分类: 电脑/网络 操作系统/系统故障

问题描述:

想在win2k3上为IIS服务器配置SSL服务，求教配置的过程 有追加奖励！！

解析:

随着Windows Server 2003操作系统的推出，Windows平台的安全性和易用性大大增强，然而，在默认情况下，IIS使用HTTP协议以明文形式传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护局域网中的这些重要数据呢?下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

一、什么是SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“网站域名”。

二、安装证书服务

要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。

进入“控制面板”，运行“添加或删除程序”，接着进入“Windows组件向导”对话框，勾选“证书服务”选项，点击“下一步”按钮，接着选择CA类型。这里选择“独立根CA”，点击“下一步”按钮，为自己的CA服务器取个名字，设置证书的有效期限，最后指定证书数据库和证书数据库日志的位置，就可完成证书服务的安装。

三、配置SSL网站

1.创建请求证书文件

完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”，运行“Inter 信息服务-IIS 管理器”，在管理器窗口中展开“网站”目录，右键点击要使用SSL的网站，选择“属性”选项，在网站属性对话框中切换到“目录安全性”标签页（图1），然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”，点击“下一步”按钮，选择“现在准备证书请求，但稍后发送”。在“名称”输入框中为该证书取名，然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息，最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。

2.申请服务器证书

完成上述设置后，还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“/CertSrv/default”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，接下来在证书申请类型中点击“高级证书申请”链接，然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10....”链接，再打开刚刚生成的“certreq.txt”文件，将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。

3.颁发服务器证书

点击“控制面板→管理工具”，运行“证书颁发机构”。在主窗口中展开树状目录，点击“挂起的申请”项（图2），找到刚才申请的证书，然后右键点击该项，选择“所有任务→颁发”。颁发成功后，点击树状目录中的“颁发的证书”项，双击刚才颁发的证书，在弹出的“证书”对话框的“详细信息”标签页中，点击“复制到文件”按钮，弹出证书导出向导，连续点击“下一步”按钮，并在“要导出的文件”对话框中指定文件名，最后点击“完成”。

4.安装服务器证书

重新进入IIS管理器的“目录安全性”标签页，点击“服务器证书”按钮，弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”按钮，指定刚才导出的服务器证书文件的位置，接着设置SSL端口，使用默认的“443”即可，最后点击“完成”按钮。

可以参照WIN2K来设置:

下面，我就介绍一下如何在Windows2000server/.NET中开启CA服务。

1、首先请确认您的服务器已经安装配置了Active Directory服务，这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件，如果仅仅左测试使用，您可以不安装AD服务；

2、确保在您的Windows2000server/.NET中开启IIS服务，并且支持ASP，这样您的CA服务可以通过WEB在INTERNET/INTRANET发布；

3、开始--设置--控制面板--添加/删除程序--添加/删除Windows组件--选中证书服务；

4、然后选择合适的CA类型，这里我们选择独立的根CA；

5、如果你要改变微软的默认密钥设置，你可以选中高级选项；一般，我们直接进入下一步；

6、在这里输入您这个CA的详细信息；

7、然后指定存储配置数据、数据库和日志的位置；

8、完成安装向导，系统开始安装CA服务；

然后，您可以通过如下方式访问认证服务器：

安装认证服务器IP地址/certsrv

在这里，您可以申请一张证书，查看证书请求状态还有下载根证书。

当您完成证书申请之后，您可以通过打开IE--工具--INTERNET选项--内容--证书--个人查看您个人证书。

当然你也可以通过把证书服务加入到MMC来进行证书服务管理，方法如下：

开始--运行--mmc--文件--添加/删除插件--添加--证书

）。单击"下一步"。

8.在名字和安全设置对话框中，接受缺省选项。单击"下一步"。

9.在下一个页面上， 输入您的信息，单击"下一步"。

10.在"通用名"文本框中输入您的服务器名字。它可以是DNS名、NetBIOS名称或LOCALHOST。输入您的选择，单击"下一步"。

11.在下一个页面上，输入您的信息，单击"下一步"。

12.如果在域里面已经有了企业CA，并且您可以从那里申请到Web服务器证书，那么您将可以看到它列在那里。

（如果没有CA，如果CA没有配置成可以发布Web服务器证书，或如果您没有权限申请一个Web服务器证书，列表将会是空的。您必须有一个CA来完成这个部分。）选择您要使用的CA，单击"下一步"。

13.就会出现证书请求提交页面。单击"下一步"。

14.单击"完成"。现在服务器就有了一个WEB服务器证书。

15.您将注意到在"安全通信"下面的"编辑"可以使用了，单击"编辑"。

16.进入安全通信对话框，在需要安全通道（SSL）前打上勾。

17.如果你希望以后客户端浏览器和WEB通信的时候需要128位对称加密，那么你就在需要128位加密前打上勾。

18.在客户端证书中有三种选择：忽略客户证书、接收客户证书和申请客户证书。选择第一第二种仅仅是开启SSL单向认证，选择第三种着开启SSL双向认证。

19.选择"接受客户端证书"，"接受客户端证书"设置需要在客户端证书和浏览器之间进行协商。您也必须选中"申请安全通道（SSL）"选项框。如果失败了，它不允许退回到另一个验证方法。需要安全通道意味着Web站点将不能通过HTTP协议进行访问，只可以通过HTTPS协议进行访问。单击"确定"。单击"应用"并且单击"确定"。

20.单击确定，好了，您的SSL通道开启了。

以后你就可以通过访问WEB服务了。

服务器与服务器之间的通信安全么

服务器之间通信安全与否，这要看你如何使用了。现在真正安全的产品不常见，建议用云锁，在服务器上部署一个轻量级的agent就行啦。然后我们可以通过远程控制台（PC、网页、手机）实现对服务器的批量远程管理。

TLS安全通信

TLS其实是SSL，可能更正式的说法已经不用SSL了。TLS是一套基于非对称加密算法的安全传输协议，更严格来说，TLS先是通过非对称加密方式交换对称加密秘钥，然后采用对称加密算法进行安全传输。

非对称加密是这样的一把锁，有两把钥匙，任意一把钥匙可以把锁锁上，只有另一把钥匙才能将锁打开。这两把钥匙是成对的，可以互相解密。其中一把是公开的公钥，另一把是服务器持有的私钥。

任何人都可以用公钥加密一段消息发送给服务器，做到安全发送。另一方面，服务器可以用私钥加密一段消息，将消息明文和密文发送给接收者，以此证明自己的真实身份，这叫做签名。当然，现实中，是对消息的摘要进行签名加密，因为摘要比较小。

TLS的第一步，就是让发送者持有服务器的公钥。通常获得服务器公钥的方式，都是向服务器进行询问，然后由服务器明文发送过来的。为了保证这一步的安全性，确保明文发送过来的公钥没有被串改，我们又发明了证书。

证书由服务器名称信息和服务器公钥组成，然后加上证书签发机构CA和签发机构对前面信息的签名。改用证书机制后，服务器以明文发送自己的证书信息，使用者用CA的公钥验证证书签名，核对相关的服务器信息，然后就可以信任服务器的公钥了。

至于CA公钥的传递方式，一般是内置的或者通过实体进行传递。

一般服务器是不限制使用者访问的，所以服务器配置了证书和私钥，让发送者能够安全的从第一步开始建立加密通信机制。即使使用者不验证服务器证书，TLS仍旧是以加密方式进行，虽然安全度不是最高，但是屏蔽掉无聊的阿猫阿狗访问已经足够了。

更进一步，服务器可以配置双向认证，配置CA证书并要求认证使用者的证书。那么使用者在访问前就要配置由CA签发的个人证书和私钥，在第一步开始时把自己的证书和随机签名发过去让服务器进行认证。

使用双向认证的时候，通信的安全性已经足够高了：消息是加密的，并且不太容易在某个环节被串改，而使用者必须经过服务器用自己的CA签发授权证书后才能访问服务。

TLS的运用其实应该非常广，只要不是内网服务，而是向不安全的互联网公开的服务，并且在通信上没有使用任何加密手段，也没有特别有效的客户鉴权，都应该使用TLS。

比如有时候因为某种原因，不得不向互联网暴露mysql，redis或者其他开源软件的服务端口，这种大作死的行为，软件自带的脆弱的客户鉴权机制就跟杂草一样一踩就倒，已经是业界人尽皆知的情形。

如果能为这些开放的服务端口加上TLS双向认证通信，基本能把侵害排除99%了吧。那如何给这些服务增加TLS安全通信呢？

首先， 把公开的服务改成内网服务 。

第二， 在服务器和客户端之间配置TLS tunnel ，通过tunnel转发客户端和服务器之间流量。有很多TLS tunnel客户端可以使用，这种方式也不会对原系统造成任何改动，所谓各司其职。

新闻名称：服务器通信安全 服务间通信安全
当前链接：http://6mz.cn/article/dddidos.html