服务器如何进行加密设置

运维服务器的人都知道，为了保障服务器数据的安全，需要进行服务器加密设置，其中包括，IIS加密，服务器网关加密及可选的加密服务提供程序，本文详细的介绍下它们是如何进行加密设置的。

IIS加密

SSL确认网站的真实性同时可有选择地确认正在访问受限制网站用户的身份。证书包括用于建立SSL安全连接的“密钥”。“密钥”是在建立SSL连接时验证服务器和客户端的唯一值。“公钥”和“私钥”组成SSL“密钥对”。Web服务器使用此密钥对与用户Web浏览器协商建立安全的连接，确定保护通讯所需的加密级别。

对于此类型的连接，Web服务器和用户浏览器都应该具有一致的加密、解密能力。在交换过程中，将创建加密密钥或“会话”密钥。服务器和Web浏览器都使用会话密钥加密、解密传输信息。会话密钥的加密程度或“强度”是使用“位”来测量的。最大的位号由会话密钥、加密和安全的最大级组成。

尽管这些最大加密密钥强度提供了最大的安全性，他们还是需要更多的服务器资源去实现。通常Web服务器的会话密钥长度为40位，但是根据所需的安全等级也可以是128位。

服务器网关加密

服务器网关加密(SGC)使用128位加密为金融机构提供了全球金融交易解决方案。SGC是安全套接字层(SSL)的扩展，它允许拥有IIS出口版本的金融机构可使用强加密。

SGC不要求在客户浏览器上运行应用程序，并且可由IIS4.0或更高版本的标准出口版本使用。为SGC配置的服务器可以增强128位和40位的加密会话，所以不要求多个IIS版本。虽然SGC功能已内建到IIS4.0及以后版本中，但是使用SGC时还需要特殊的SGC证书。

可选的加密服务提供程序

IIS通过使用可选的加密服务提供程序(CSP)，可以选择Microsoft或第三方加密提供程序来处理加密和证书管理。每个加密提供程序可以创建一个公钥和私钥来加密发送到Web服务器和从中发送的数据。

私钥存储在硬件的服务器端、PCI卡、智能卡或者注册表中，这是因为它用于Microsoft安装的两个默认提供程序：MicrosoftDHSChannel加密提供程序和MicrosoftRSASChannel加密提供程序。每个提供程序的Microsoft加密API(CryptoAPI)包含相同的方法和属性。因此，可以在提供程序之间切换，而无需重新编写代码。

本文转自d1net（转载）