技巧与问答

❖ 安全系统检测到一个对服务器ldap/server.hsw.local的身份验证错误怎么办？

在运行Dcpromo.exe实用程序将基于Windows Server http://www.aliyun.com/zixun/aggregation/19058.html”>2003的计算机提升为域控制器后，重新启动该服务器，在系统事件日志中会出现警告事件。

当重新启动被提升为域控制器的服务器时，会发生此问题。在这种情况下，Windows时间服务（W32Time）会在目录服务启动之前尝试进行身份验证。遇到“症状”部分所述警告事件的计算机不会受到负面影响。

解决办法：先把“Windows时间服务”的启动类型设置成手动，系统重启后再手动启动该服务，然后再把该服务的启动类型设置成自动，最后再重启，LSASRV 40960警告事件消失，问题解决。

❖ SSL工作原理是什么？

SSL是一个安全协议，它提供使用TCP/IP的通信应用程序间的隐私与完整性。互联网的超文本传输协议（HTTP）使用SSL来实现安全的通信。

在客户端与服务器间传输的数据是通过使用对称算法（如DES或RC4）进行加密的。公用密钥算法（通常为RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL协议的版本1和版本2只提供服务器认证，版本3添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

SSL连接总是由客户端启动的，在SSL会话开始时执行SSL握手，此握手产生会话的密码参数。关于如何处理SSL握手的简单概述，如图4-23所示。此示例假设已在Web浏览器和Web服务器间建立了SSL连接。

（1）客户端发送列出客户端密码能力的客户端“您好”消息（以客户端首选项顺序排序），如SSL的版本、客户端支持的密码对（加密套件）和客户端支持的数据压缩方法（哈希函数）。消息也包含28字节的随机数。

（2）服务器以服务器“您好”消息响应，此消息包含密码方法（密码对）和由服务器选择的数据压缩方法，以及会话标识和另一个随机数。

（3）服务器发送其SSL数字证书（服务器使用带有SSL的X.509 V3数字证书）。

如果服务器使用SSL V3，而服务器应用程序（如Web服务器）需要数字证书进行客户端认证，则客户端会发出“数字证书请求”消息。在 “数字证书请求”消息中，服务器发出支持的客户端数字证书类型的列表和可接受的CA的名称。

（4）服务器发出服务器“您好完成”消息并等待客户端响应。

（5）一接到服务器“您好完成”消息，客户端（Web浏览器）将验证服务器的SSL数字证书的有效性并检查服务器的“您好”消息参数是否可以接受。

如果服务器请求客户端数字证书，客户端将发送其数字证书；或者，如果没有合适的数字证书是可用的，客户端将发送“没有数字证书”警告。此警告仅仅是警告而已，但如果客户端数字证书认证是强制性的话，服务器应用程序将会使会话失败。

（6）客户端发送“客户端密钥交换”消息。此消息包含pre-master secret（一个用在对称加密密钥生成中的46字节的随机数字）和消息认证代码（MAC）密钥（用服务器的公用密钥加密的）。

如果客户端发送客户端数字证书给服务器，客户端将发出签有客户端的专用密钥的“数字证书验证”消息。通过验证此消息的签名，服务器可以显示验证客户端数字证书的所有权。

（7）客户端使用一系列加密运算将pre-master secret转化为master secret，其中将派生出所有用于加密和消息认证的密钥。然后，客户端发出“更改密码规范” 消息将服务器转换为新协商的密码对。客户端发出的下一个消息（“未完成”的消息）为用此密码方法和密钥加密的第一条消息。

（8）服务器以自己的“更改密码规范”和“已完成”消息响应。

（9）SSL握手结束，且可以发送加密的应用程序数据。

❖ 如何设置高强度密码？

（1）密码长度尽量设置为8位或以上。

（2）使用“英文+数字”形式且包含英文大小写；如果网站允许，请务必尽可能加上特殊符号（如 ！@#$%^等）。

（3）密码没有明显的规则和组成规律。

（4）好的密码是自己能轻易记住但别人看起来是毫无意义的乱码（防止被别人轻易记住）。