用SSL技术保护Apache服务器通信

核心提示： 在SSL通信中，首先采用非对称加密交换信息，用SSL技术保护Apache服务器通信(3)，使得服务器获得浏览器端提供的对称加密的密钥，然后利用该密钥进行通信过程中信息的加密和解密，验证过程类似于服务器身份的验证过程，而在通常情况下，为了保证消息在传递过程中没有被篡改，可以加密Hash编码来确保信

在SSL通信中，首先采用非对称加密交换信息，使得服务器获得浏览器端提供的对称加密的密钥，然后利用该密钥进行通信过程中信息的加密和解密。为了保证消息在传递过程中没有被篡改，可以加密Hash编码来确保信息的完整性。

服务器数字证书主要颁发给Web站点或其他需要安全鉴别的服务器，证明服务器的身份信息，同样客户端数字证书用于证明客户端的身份。

使用公用密钥的方式可以保证数据传输没有问题，但如果浏览器客户访问的站点被假冒，这也是一个严重的安全问题。这个问题不属于加密本身，而是要保证密钥本身的正确性问题。要保证所获得的其他站点公用密钥为其正确的密钥，而非假冒站点的密钥，就必须通过一个认证机制，能对站点的密钥进行认证。当然即使没有经过认证，仍然可以保证信息传输安全，只是客户不能确信访问的服务器没有被假冒。如果不是为了提供电子商务等方面对安全性要求很高的服务，一般不需要如此严格的考虑。

下面给出使用SSL进行通信的过程：

● 客户端向服务器端发起对话，协商传送加密算法。例如:对称加密算法有DES、RC5，密钥交换算法有RSA和DH，摘要算法有MD5和SHA。

● 服务器向客户端发送服务器数字证书。比如：使用DES－RSA－MD5这对组合进行通信。客户端可以验证服务器的身份，决定是否需要建立通信。

● 客户端向服务器传送本次对话的密钥。在检查服务器的数字证书是否正确，通过CA机构颁发的证书验证了服务器证书的真实有效性之后，客户端生成利用服务器的公钥加密的本次对话的密钥发送给服务器。

● 服务器用自己的私钥解密获取本次通信的密钥。

● 双方的通信正式开始。

在一般情况下，当客户端是保密信息的传递者时，不需要数字证书验证自己身份的真实性，如我们通常使用的网上银行交易活动，客户需要将自己的隐秘信息如账号和密码发送给银行，因此银行的服务器需要安装数字证书来表明自己身份的有效性，否则将会使得信息泄露。当然，在某些安全性要求极高地B2B应用，服务器端也需要对客户端的身份进行验证，这时客户端也需要安装数字证书以保证通信时服务器可以辨别出客户端的身份，验证过程类似于服务器身份的验证过程。而在通常情况下，浏览器都会通过交互的方式来完成上述的通信过程。