更改端口号方式
TCP端口号是客户机浏览器与Web服务器之间的信息通道,TCP端口号可以多达四位数。每种网络服务都需要在服务器端指定一个TCP端口号,客户机只有指定了同一端口号之后才能与服务器建立通信联系。那么,为什么我们通常浏览Web网站时不必输入端口号呢,这是因为普通的Internet服务拥有固定的缺省端口号,例如WWW服务的缺省端口号为80,FTP服务的缺省端口号为21。当我们在浏览器中输入站点地址时,即使不指定80位端口号,浏览器仍然自动的以TCP端口80与服务器进行通信。
端口号与IP地址同样是用于区分站点的唯一性标识,这样,即使两个站点拥有同样的IP地址,但只要给它们指定不同的TCP端口号就可以将它们区分开来。但是,一旦将端口号从默认的80更改为其他数值,客户浏览器并不能直接以更改过的端口打开网页,客户必须手工指定它TCP端口号,就是在浏览器地址栏中输入域名之后加上":"和端口号数值。例如,在同一台服务器上有两个网站
www.Site1.com和www.Site2.com,它们共用一个IP地址168.192.3.15,我们配制
www.Site1.com使用默认端口号80,而
www.Site2.com的端口号为8088,那么我们在浏览器地址栏中输入地址168.192.3.15得到的是Site1,要想访问Site2就要输入168.192.3.15:8088。
数字认证与SSL
前述基于公钥、私钥的数字加密方式只是在原理的层面上解决了数据加密问题,那么这种数据加密方式是如何在技术上实现的呢,我们在本小节讨论这个问题。
公钥和私钥的产生并不是在网络中每台计算机上独立完成的,因为既然我们无法信任计算机本身,自然无法信任由它自己生成的公钥和私钥。所以,Internet中存在许多专门负责密钥认证的权威机构,这些认证机构称为CA。所有需要密钥对的计算机向CA申请数字证书,数字证书中包含认证信息和一对公钥/私钥,CA负责验证申请者的真实身份,在确认无误之后颁发数字证书。每个数字证书都有自己的有效期限,过期需要重新申请。由于我们信任这些CA(就象现实生活中我们信任公正机构一样),我们也就信任由CA颁发的数字证书及其包含的密钥对。
使用上述密钥对加密/解密的数据安全传送方式又称为安全套接层(SSL),SSL能够确保网络中传送的数据流都是经过加密的。在客户机和服务器之间的SSL工作流程为:
1.客户浏览器与Web服务器之间建立通信连接。
2.Web服务器将自己的公钥发送给客户浏览器,同时发送的还有一组证明的附件,用于客户机验证服务器公钥的有效性。
3.服务器和浏览器之间进行加密等级协商,由于目前流行的加密方式有128位和40位两种,前者的安全等级更高(破译起来更加困难),但是美国政府禁止将128位加密技术用于北美之外的地区,国内的用户更是无缘使用了。因此,服务器和客户机需要就此达成共识,使用双方都认可的最高级别加密方式。
安装服务器证书的步骤与此相似,具体如下:
1.在站点WWW属性表单中单击【目录安全性】选项卡。
2.在【安全通信】栏中单击【服务器证书】打开Web服务器证书先导。
3.在服务器证书向导欢迎对话框中单击【下一步】。
4.选择【处理挂起的请求并安装证书】,单击【下一步】。
5.选择从CA获得(通过e_mail等方式)的证书文件(.cer文件),单击【下一步】。
6.单击【完成】结束配置。