CA

Windows 2003的完整建站 11. 概述 22. 系统架构 32.1 网站架构 43. 网站的建立（MS IIS6） 43．1 配置IIS6 83．2 Web 服务器上设置 SSL 83.2.1 Web 服务器的证书请求 133.2.2 WEB服务器安装服务器证书 184. CA中心建设 194．1 安装独立的根证书颁发机构 214．4 启动或停止证书颁发机构 214．5 设置收到证书申请时的默认动作 244．6 设置安全性以访问证书颁发机构 Web 页 244．7 吊销已颁发的证书 254．8 安排证书吊销列的发布日程 254．9 CA证书的颁发 254．9．1 普通/高级证书的颁发 264．9．2 颁发WEB 服务器证书 284．9．3 检索证书颁发机构证书 285．0．0 申请个人证书 1. 概述 随着计算机技术和现代通信技术的迅猛发展，尤其是互联网（Internet）服务的触角已迅速伸向了大众生活的每个角落，使信息的沟通和传递达到了空前的快捷和通畅。 基于互联网的“电子商务”也在这个时候演变为汹涌的新经济浪潮，并将“商务”概念延伸到制造业、零售业、服务业、金融业，从而使传统经济模式下的连锁企业、跨国企业在网络面前变得黯然失色。 在中国，随着加入WTO脚步的临近，面对“网络经济”的低成本，高成长和由此导致的“本土”与“非本土”经济的平等竞争，国内企业应在这块发展中的“处女地”上迅速树立“品牌”，并以高新技术完善服务。 由于互联网具有充分开放、管理分散和不设防三大特点，因而实现网上支付关键的问题是信息的安全性，主要包括三个方面：一是信息的保密性，只有有合法的接收实体，才能解读信息；二是信息的完整性，即接收到的信息确实是由合法的发送实体发出，没有被篡改或被替换；三是信息的不可否认，即发送实体日后不可否认已经发出的信息。 由此，我们提出Windows 2003的完整建站方案。 2. 系统架构 本系统基于Internet技术构建，用户通过ISP接入访问网站，利用网站提供的服务功能完相关操作。 2.1 网站架构 网站硬件主要由两台服务器构成，其中包括Web Server、CA Server。（可选：辅助设备包括DB Server、Proxy Server、处理加密数据的加密机及用于日常数据备份的磁带机。） 1. Web Server，用于发布网页，（可选：连接DB Server，将校验无误的数据登录数据库；）支持容错机制，保证高峰期运行和数据安全。 2. CA Server，可选择独立于网站安装，是系统为服务端及用户端提供认证服务的公共受信任机构，其负责签发系统内各单元的数字证书并提供一系列包括证书管理在内的安全服务； 3. 系统中其他的辅助设备，用于日常数据的管理，操作，备份等。 网站软件部分采用的商业软件产品主要包括操作系统；Web服务前端软件；邮件服务软件；后台数据库软件；代理及防火墙、防病毒软件；CA系统软件等。 · 操作系统目前以MS Windows2003 Server为主； · Web服务前端软件为MS IIS6； · CA系统采用MS Windows2003 CA； 3. 网站的建立（MS IIS6） 3．1 配置IIS6 · 安装MS Windows2003 Server （如果要在本计算机上安装MS Windows2003 CA，则本计算机磁盘分区中一定要有一个分区为NTFS分区）。 · 进入Windows2003 Server 的“控制面板”中，打开“添加/删除程序”选择“添加/删除windows”项。在弹出的界面中选择“INTERNET　信息服务”项，点击”下一步”完成安装。 如图： · 进入Windows2003 Server 的“管理工具”中，打开“INTERNET 服务管理器”，进入INTERNET　信息服务界面。选择“默认WEB 站点”，选择“属性”。 如图： · 在弹出的“默认WEB 站点属性”界面中，选择“主目录”项，在“本地路径”中输入要发布的网页目录。 · 在“默认WEB 站点属性”界面中，选择“目录安全性”项，在“本地路径”中输入要发布的网页目录。 3．2 Web 服务器上设置 SSL 3.2.1 Web 服务器的证书请求 Web 服务器要求有效的服务器证书以建立 SSL 通信。使用 Web 服务器证书向导生成发送到证书颁发机构的证书请求文件（默认情况下为 NewKeyRq.txt），或生成对联机证书颁发机构（如 Microsoft 证书服务）的请求。 · 使用 Web 服务器证书向导生成发送到证书颁发机构的证书请求文件。进入Windows2003 Server 的“管理工具”中，打开“INTERNET 服务管理器”，进入INTERNET　信息服务界面。选择“默认WEB 站点”，选择“属性”。选择“目录安全性”，点击“服务器证书”。 如图： · 在弹出的“IIS 证书向导”界面中，选择“创建一个新证书”项。点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中，选择“现在准备请求，但稍后发送”项。点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中，输入新证书的名称，选择加密钥的位长。点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中，输入组织和组织部门的名称，点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中，输入公用名称（建议输入本机的IP地址），点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中，输入一些相关的地理信息，点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中，输入请求文件的名称，点击“下一步”。IIS 证书向导会弹出一个信息界面。 如图： · 点击“下一步”，完成证书请求向导。 3.2.2 WEB服务器安装服务器证书 CA接到WEB服务器的证书请求后，将审查，批准证书请求（此过程参考CA架设过程细节描述4.9.2部分），返回处理后的WEB服务器的证书请求。 接收到服务器证书文件后，可以使用向导安装它。安装进程将证书附加或“绑定”到 Web 站点。 注意 每个 Web 站点只能有一个服务器证书。 · 在 Internet 信息服务管理单元中，选择需使用 SSL 保护的 Web 站点并打开其属性页。在“Web 站点”属性页的“Web 站点标识”下，选择“高级”。 在“高级多 Web 站点配置”对话框的“此 Web 站点的多个 SSL 标识”下，确保 Web 站点 IP 地址分配到端口 443，即安全通信的默认端口。 每个 Web 站点可以有多个 SSL 端口。要配置更多的 SSL 端口，单击“此 Web 站点的多个 SSL 身份”下的“添加”。 · 进入Windows2003 Server 的“管理工具”中，打开“INTERNET 服务管理器”，进入INTERNET　信息服务界面。选择“默认WEB 站点”，选择“属性”。选择“目录安全性”，点击“服务器证书”。 如图： · 在弹出的“IIS 证书向导”界面中，选择“处理挂起的请求并安装证书”项。点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中，输入CA已批准的WEB服务器的证书请求。点击“下一步”。 如图： · 在弹出的下一个“IIS 证书向导”界面中会显示出已经得到的证书摘要，点击“下一步”，完成。 如图： · 进入Windows2003 Server 的“管理工具”中，打开“INTERNET 服务管理器”，进入INTERNET　信息服务界面。选择“默认WEB 站点”，选择“属性”。选择“目录安全性”（点击“查看证书”可以查看证书）。在“安全通信”下，单击“编辑”。 如图： · 在弹出的下一个“IIS 证书向导”，在“安全通信”对话框中，将 Web 服务器配置为需要安全频道。选择“申请安全通道SSL”项。（如果要求 128 位的密钥加密，请确保用户的 Web 浏览器支持 128 位加密。）在客户证书处选择“要求客户证书”，点击“确定”。完成WEB服务器安装服务器证书。 如图： 4. CA中心建设 CA中心的主要是颁发和管理系统主机、用户的数字证书。数字证书的基本目的是将单元的一些基本信息与该单元的公钥绑定。 CA中心实现了类似于现实生活中的身份认证过程，是发放证书的权威机构，是被信任的对象。系统的CA中心可自行建设。 证书的登记、审批、发放、废止、查询、管理等，由安全要求非常高的CA系统承担。最小的CA系统通常应有3个模块： (1)存放公钥的数字库模块； (2)数字证书生成模块(加密设备)； (3)数字证书作废模块。 在受理审批证书时，要正确了解CA服务对象、面对的用户，必须仔细检查交易会员证书申请者的身份及一些必要的信息，以保证物理认证的正确无误。CA机构应包括两大部门。一是审核授权部门(Registry Authority，RA)，它负责对证书申请客户进行资格审查。另一个是证书操作部门(Certificate Processor，CP)，负责为已授权的申请客户制作、发放和管理证书。 本系统采用MS Windows2000 CA 是考虑其成熟软件产品的特征及与操作系统良好的兼容性，并目前系统的用户量和开展业务的复杂程度，使用该CA产品。 4．1 安装独立的根证书颁发机构 · 以管理员身份登录到系统。或者，如果您装有 Active Directory，则以域管理员身份登录到系统。 单击“开始”，指向“设置”，然后单击“控制面板”。 双击“添加/删除程序”并单击“添加/删除 Windows 组件”。 在“Windows 组件向导”中，选中“证书服务”复选框。 · 屏幕上将出现一个对话框，通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。单击“是”，然后单击“下一步”。 · 单击“独立根 CA”。完成后请单击“下一步”。 · 键入证书颁发机构的名称和其他必要信息。在CA 设置完成后这些信息都不能改变。 在“有效持续时间”中，指定根CA 的有效持续时间。单击“下一步”。 · 指定证书数据库日志和共享文件夹的存储位置。单击“下一步”。 如果正在运行 WWW 发布服务，则您会遇到一条要求在安装之前停止此项服务的请求信息。单击“确定”。 如果出现提示，则键入证书服务安装文件的路径。 4．4 启动或停止证书颁发机构 · 以备份操作员或管理员身份登录到系统。 · 打开 证书颁发机构。在控制台树中，单击证书颁发机构 (CA) 的名称。 · 在“操作”菜单上，指向“所有任务”，然后单击“启动服务”以启动服务，或者单击“停止服务”以停止服务。 4．5 设置收到证书申请时的默认动作 · 以管理员身份登录到系统。 · 打开“证书颁发机构”。在控制台树中，单击证书颁发机构 (CA) 的名称。 · · 在“操作”菜单上，单击“属性”。 如图： · 在“策略模块”选项卡上，单击“配置”。如图： · 使证书颁发机构管理员在颁发证书之前审阅每一份证书申请。 单击“将证书申请状态设成挂起”。 · 使证书颁发机构在接受到证书申请时始终颁发证书。 单击“如果可以的话，……始终颁发证书”。(在测试中，建议使用此选项。) 4．6 设置安全性以访问证书颁发机构 Web 页 · 以管理员身份登录到系统。 · 单击“开始”，指向“程序”，指向“管理工具”，然后单击“Internet 服务管理器”。 · 在控制台树中，用右键单击“CertSrv”，再单击“属性”。 · 在“目录安全性”选项卡的“匿名访问和身份验证控制”下，单击“编辑”。 清除除“集成的 Windows 身份验证”之外的其他所有复选框。 4．7 吊销已颁发的证书 · 以管理员身份登录到系统。 · 打开证书颁发机构。在控制台树中，单击“颁发的证书”。在详细信息窗格中，单击想要吊销的证书。在“操作”菜单上，指向“所有任务”，然后单击“吊销证书”。 如图： · 选择吊销证书的原因并单击“是”。 · 注意 · 要打开“证书颁发机构”，请单击“开始”，指向“程序”，指向“管理工具”，然后单击“证书颁发机构”。 · 证书标记为已吊销并被移到“吊销的证书”文件夹。下次发布这个吊销的证书时，它将出现在证书吊销列表 (CRL) 中。 4．8 安排证书吊销列表的发布日程 · 以管理员身份登录到系统。 · 打开 证书颁发机构。在控制台树中，单击“吊销的证书”。 · 在“发布间隔”中，键入自动发布证书吊销列表 (CRL) 所使用的时间间隔并单击时间单位。 · 注意： · 要打开“证书颁发机构”，请单击“开始”，指向“程序”，指向“管理工具”，然后单击“证书颁发机构”。 · CRL 发布于： Systemroot\system32\CertSrv\CertEnroll\ 4．9 CA证书的颁发 4．9．1 普通/高级证书的颁发 · 打开 Internet Explorer。 · 在 Internet Explorer 中，连接到 http://servername/certsrv，其中 servername 是要访问的证书颁发机构 (CA) 所在的 Windows 2003 Web 服务器的名称。 · 单击“申请证书”，然后单击“下一步”。 · 选择要进行的申请证书类型，然后单击“下一步”。 如图： · 按照页面的提示输入一些相关的将出现在证书中的信息，完成证书的申请后，安装证书。 如图： 4．9．2 颁发WEB 服务器证书 · 打开 Internet Explorer。 · 在 Internet Explorer 中，连接到 http://servername/certsrv，其中 servername 是要访问的证书颁发机构 (CA) 所在的 Windows 2000 Web 服务器的名称。 · 单击“申请证书”，然后单击“下一步”。 · 选择“高级申请”，然后单击“下一步”。 · 在高级证书申请中，选择“使用 base64 编码的 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件更新证书申请”项，然后单击“下一步”。 如图： · 在提交一个保存的申请页面的“Base64 编码 证书申请 (PKCS #10 或 #7)”栏中，将WEB 服务器已经提交的请求文件中的全部内容拷贝到此处。然后单击“提交”。 如图： · 在证书已发布页面中的选择“下载CA证书路径”。 如图： 4．9．3 检索证书颁发机构证书 · 打开 Internet Explorer。 · 在 Internet Explorer 中，连接到 http://servername/certsrv，其中 servername 是要访问的证书颁发机构 (CA) 所在的 Windows 2000 Web 服务器的名称。 · 单击“检索 CA 证书或证书吊销列表”，然后单击“下一步”。 · 进行以下某项操作： · 如果要信任所有由此证书颁发机构 (CA) 所颁发的证书，请单击“安装此 CA 证书路径”。 · 如果要CA 所颁发的最新的证书吊销列表，请单击“下载最新的证书吊销列表”。 · 如果已完成使用证书服务 Web 页，请关闭 Internet Explorer。 注意 · 要打开 Internet Explorer，请单击“开始”，指向“程序”，然后单击“Internet Explorer”。 · 当需要在从属 CA 中建立信任时，选择“安装此 CA 证书路径”是很有用的，但是当前的证书存储区中没有证书树状结构根 CA 证书。 5．0．0 申请个人证书 a) IE地址输入http://10.0.11.32/CERTSRV，打开申请证书的页面： b) 点“申请证书”，转到下页： c) 点“WEB浏览器证书” 依次点开“更多选项”和“请使用高级证书申请窗体”，如下： 填写注册的信息。注意：1）识别信息里填入真实的个人信息，便于以后管理； 2）“需要的证书类型”选择为“客户端身份验证证书”； 3）CSP必须选择为我们key对应的CSP类型，“Watchdata CSP v3.3”。 4）其他可以为默认。 插入要申请证书的USBkey。点击“提交”。弹出警告窗口，点“是”，出现如下窗口： 输入你的key口令，开始创建证书。完成后如下： 点“安装此证书”。弹出提示，点击“是”。安装完成。 至此该UKEY申请证书过程全部完成。 申请过程中请注意：申请证书的客户端浏览器应该确认如下设置： 1） IE浏览器————工具————选项————高级，将“使用ssl2.0”“使用ssl3.0”选中。（如下图） � EMBED Visio.Drawing.5 ��� 输入要发布的网页目录 点击 点击 WEB 服务器提交的请求文件中拷贝到此处 查看证书 点击 PAGE 1 _1064959531.vsd