技巧與問答

? 安全系統(tǒng)檢測(cè)到一個(gè)對(duì)服務(wù)器ldap/server.hsw.local的身份驗(yàn)證錯(cuò)誤怎么辦？

在運(yùn)行Dcpromo.exe實(shí)用程序?qū)⒒赪indows Server http://www.aliyun.com/zixun/aggregation/19058.html”>2003的計(jì)算機(jī)提升為域控制器后，重新啟動(dòng)該服務(wù)器，在系統(tǒng)事件日志中會(huì)出現(xiàn)警告事件。

當(dāng)重新啟動(dòng)被提升為域控制器的服務(wù)器時(shí)，會(huì)發(fā)生此問題。在這種情況下，Windows時(shí)間服務(wù)（W32Time）會(huì)在目錄服務(wù)啟動(dòng)之前嘗試進(jìn)行身份驗(yàn)證。遇到“癥狀”部分所述警告事件的計(jì)算機(jī)不會(huì)受到負(fù)面影響。

解決辦法：先把“Windows時(shí)間服務(wù)”的啟動(dòng)類型設(shè)置成手動(dòng)，系統(tǒng)重啟后再手動(dòng)啟動(dòng)該服務(wù)，然后再把該服務(wù)的啟動(dòng)類型設(shè)置成自動(dòng)，最后再重啟，LSASRV 40960警告事件消失，問題解決。

? SSL工作原理是什么？

SSL是一個(gè)安全協(xié)議，它提供使用TCP/IP的通信應(yīng)用程序間的隱私與完整性。互聯(lián)網(wǎng)的超文本傳輸協(xié)議（HTTP）使用SSL來實(shí)現(xiàn)安全的通信。

在客戶端與服務(wù)器間傳輸?shù)臄?shù)據(jù)是通過使用對(duì)稱算法（如DES或RC4）進(jìn)行加密的。公用密鑰算法（通常為RSA）是用來獲得加密密鑰交換和數(shù)字簽名的，此算法使用服務(wù)器的SSL數(shù)字證書中的公用密鑰。有了服務(wù)器的SSL數(shù)字證書，客戶端也可以驗(yàn)證服務(wù)器的身份。SSL協(xié)議的版本1和版本2只提供服務(wù)器認(rèn)證，版本3添加了客戶端認(rèn)證，此認(rèn)證同時(shí)需要客戶端和服務(wù)器的數(shù)字證書。

SSL連接總是由客戶端啟動(dòng)的，在SSL會(huì)話開始時(shí)執(zhí)行SSL握手，此握手產(chǎn)生會(huì)話的密碼參數(shù)。關(guān)于如何處理SSL握手的簡(jiǎn)單概述，如圖4-23所示。此示例假設(shè)已在Web瀏覽器和Web服務(wù)器間建立了SSL連接。

（1）客戶端發(fā)送列出客戶端密碼能力的客戶端“您好”消息（以客戶端首選項(xiàng)順序排序），如SSL的版本、客戶端支持的密碼對(duì)（加密套件）和客戶端支持的數(shù)據(jù)壓縮方法（哈希函數(shù)）。消息也包含28字節(jié)的隨機(jī)數(shù)。

（2）服務(wù)器以服務(wù)器“您好”消息響應(yīng)，此消息包含密碼方法（密碼對(duì)）和由服務(wù)器選擇的數(shù)據(jù)壓縮方法，以及會(huì)話標(biāo)識(shí)和另一個(gè)隨機(jī)數(shù)。

（3）服務(wù)器發(fā)送其SSL數(shù)字證書（服務(wù)器使用帶有SSL的X.509 V3數(shù)字證書）。

如果服務(wù)器使用SSL V3，而服務(wù)器應(yīng)用程序（如Web服務(wù)器）需要數(shù)字證書進(jìn)行客戶端認(rèn)證，則客戶端會(huì)發(fā)出“數(shù)字證書請(qǐng)求”消息。在 “數(shù)字證書請(qǐng)求”消息中，服務(wù)器發(fā)出支持的客戶端數(shù)字證書類型的列表和可接受的CA的名稱。

（4）服務(wù)器發(fā)出服務(wù)器“您好完成”消息并等待客戶端響應(yīng)。

（5）一接到服務(wù)器“您好完成”消息，客戶端（Web瀏覽器）將驗(yàn)證服務(wù)器的SSL數(shù)字證書的有效性并檢查服務(wù)器的“您好”消息參數(shù)是否可以接受。

如果服務(wù)器請(qǐng)求客戶端數(shù)字證書，客戶端將發(fā)送其數(shù)字證書；或者，如果沒有合適的數(shù)字證書是可用的，客戶端將發(fā)送“沒有數(shù)字證書”警告。此警告僅僅是警告而已，但如果客戶端數(shù)字證書認(rèn)證是強(qiáng)制性的話，服務(wù)器應(yīng)用程序?qū)?huì)使會(huì)話失敗。

（6）客戶端發(fā)送“客戶端密鑰交換”消息。此消息包含pre-master secret（一個(gè)用在對(duì)稱加密密鑰生成中的46字節(jié)的隨機(jī)數(shù)字）和消息認(rèn)證代碼（MAC）密鑰（用服務(wù)器的公用密鑰加密的）。

如果客戶端發(fā)送客戶端數(shù)字證書給服務(wù)器，客戶端將發(fā)出簽有客戶端的專用密鑰的“數(shù)字證書驗(yàn)證”消息。通過驗(yàn)證此消息的簽名，服務(wù)器可以顯示驗(yàn)證客戶端數(shù)字證書的所有權(quán)。

（7）客戶端使用一系列加密運(yùn)算將pre-master secret轉(zhuǎn)化為master secret，其中將派生出所有用于加密和消息認(rèn)證的密鑰。然后，客戶端發(fā)出“更改密碼規(guī)范” 消息將服務(wù)器轉(zhuǎn)換為新協(xié)商的密碼對(duì)。客戶端發(fā)出的下一個(gè)消息（“未完成”的消息）為用此密碼方法和密鑰加密的第一條消息。

（8）服務(wù)器以自己的“更改密碼規(guī)范”和“已完成”消息響應(yīng)。

（9）SSL握手結(jié)束，且可以發(fā)送加密的應(yīng)用程序數(shù)據(jù)。

? 如何設(shè)置高強(qiáng)度密碼？

（1）密碼長(zhǎng)度盡量設(shè)置為8位或以上。

（2）使用“英文+數(shù)字”形式且包含英文大小寫；如果網(wǎng)站允許，請(qǐng)務(wù)必盡可能加上特殊符號(hào)（如 ！@#$%^等）。

（3）密碼沒有明顯的規(guī)則和組成規(guī)律。

（4）好的密碼是自己能輕易記住但別人看起來是毫無意義的亂碼（防止被別人輕易記住）。