SL应用系列之一：CA证书颁发机构(中心)安装图文详解

CA机构介绍（CertificateAuthority域名SSL证书颁发机构）SSL证书机构即CA机构的全称为Certificate Authority证书认证中⼼，只有通过WebTrust国际安全审计认证，根证书才能预装到主流浏览器，成为全球可信的ssl证书颁发机构。

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为⽬标的 HTTP 通道，在HTTP的基础上通过传输加密和⾝份认证保证了传输过程的安全性。

HTTPS 在HTTP 的基础下加⼊SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要SSL。

HTTPS 存在不同于 HTTP 的默认端⼝及⼀个加密/⾝份验证层（在 HTTP与 TCP 之间）。

这个系统提供了⾝份验证与加密通讯⽅法。

⽬前全球主流的CA机构有Comodo、Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等，其中Symantec、GeoTrust都是DigiCert机构的⼦公司，⽬前市场上主流的ssl证书品牌是Comodo证书、Symantec证书、GeoTrust证书、Thawte证书和RapidSSL证书，还有⼀些不知名的证书机构也是可以颁发数字证书的。

DigiCertDigiCert 旗下拥有 DigiCert，Symantec，Geotrust，Thawte，Rapid 5⼤SSL证书品牌。

DigiCert SSL证书分为 OV 和 EV 两种验证级别，同时⽀持多域名和通配符功能，也是全球极少能⽀持 IP 直接申请证书的CA之⼀。

Symantec赛门铁克（Symantec）SSL证书前⾝为 Verisign，后于2017年12⽉被DigiCert收购，现在已经使⽤ DigiCert 根证书。

Symantec Secure Site SSL证书依然是各⾏业尤其是⾦融银⾏证券等⼤型企业认可的品牌。

CA认证的使用流程1. 什么是CA认证CA (Certificate Authority，证书授权机构)是一种数字证书的发行机构，负责颁发和管理数字证书，用于验证数据的完整性、真实性和可信度。

CA认证是指通过CA机构发行的数字证书，用于对用户身份进行验证和加密通信。

2. CA认证的重要性CA认证在互联网通信和交易中起到关键作用，它保障了数据的安全性和真实性。

以下是CA认证的重要性：•数据安全性：CA认证使用非对称加密技术，通过公钥和私钥对数据进行加密和解密，有效防止数据被篡改和泄露。

•真实性验证：CA认证对用户的身份进行验证，确保通信双方的真实身份，防止伪造和冒充。

•可信度建立：CA认证机构经过严格的审计和监管，其颁发的数字证书被广泛认可和信任，增加了通信和交易的可信度。

3. CA认证的使用流程CA认证的使用流程包括以下几个步骤：3.1 申请数字证书首先，用户需要向CA机构提交数字证书申请。

申请过程通常需要提供个人或机构的基本信息，如姓名、电子邮箱、身份证件等。

请确保提供的信息准确无误。

3.2 审核和审核费用支付CA机构会对申请信息进行审核，确认申请人的身份和合法性。

同时，用户需要支付一定的审核费用。

费用和审核时间根据不同的CA机构可能会有所不同。

3.3 验证身份为了确保申请人的身份的真实性，CA机构通常会要求申请人提供相关的身份证明文件或其他证明材料。

这些材料将被用于核实申请人的身份。

3.4 颁发数字证书经过审核和身份验证后，CA机构会根据申请人的要求，颁发相应的数字证书。

数字证书一般包括公钥、身份信息和CA机构的签名。

用户可以通过私钥使用该证书进行加密通信或数字签名。

3.5 安装和配置证书获取数字证书后，用户需要将证书安装到对应的设备或应用程序中。

具体的安装和配置方法请参考CA机构提供的相关文档或指南。

3.6 证书有效期和续期数字证书一般有一个有效期限，用户在使用证书过程中需要关注证书的有效期，并及时进行续期。

CA证书服务安装准备环境：windows server2008 X64 SP2，按照计算机命名规则更改计算机名并加入域，安装iis服务；安装步骤：1.在windows server 2008上，从“管理工具”中打开“服务器管理器”——“角色”——“添加角色”。

打开“添加角色向导”。

2.单击“下一步”，进入“选择服务器角色”窗口，选择“AD证书服务”，单击“下一步”；在“选择角色服务”的窗口中选择“证书颁发机构”和“证书颁发机构WEB注册”，3.在弹出的“添加角色向导”窗口点击“添加所需的角色服务”；单机“下一步”；4.在“指定安装类型”中选择“企业”，单击“下一步”；5.在“指定CA类型”中选择“根”，单击“下一步”；6.在“设置私钥”窗口中选择“新建私钥”；单击“下一步”；7.在“为CA配置加密”窗口中保持默认设置即可。

单击“下一步”；8.在“配置CA名称”窗口保持默认选项即可，单击“下一步”；9.在后续操作中保持默认，直接下一步；10.CA证书服务安装完成。

证书的申请与颁发1.在windows sercer 2008 打开“管理工具”——“internet信息服务管理器”，左侧选择服务器名称，双击中间窗格的“服务器证书”；2.点击右侧“创建证书申请”。

3.在“可分辨名称属性”窗口输入证书的必要信息；4.在“加密服务提供程序属性”窗口，保持默认单击“下一步”；5.在“文件名”窗口，为该证书申请指定一个文件名和保存位置，在C盘下建立文本文件，浏览选择即可。

单击“完成”；会提示已存在，单击覆盖；6.打开证书申请文件，可见证书申请文佳是Base-64编码；7.用IE打开证书申请页面，输入域用户名和密码。

在证书服务页面单击“申请证书”8.在“申请一个证书”页面中。

单击“申请高级证书”；9.在“高级证书申请”页面中，单击“使用Base64编码………”；10.在“提交一个证书申请或续订申请”页面中，“保存的申请”框中把文本文件中的内容复制粘贴进来，在“证书模版”中选择“WEB服务器”；单击“提交”；11.在“证书已颁发”界面中选择“Base64编码”，单击“下载证书”；将证书保存到本地；将证书下载到本地后，就可以为指定的web站点应用该证书。

下面安装配置CA服务器：首先打开“服务器管理器”→添加角色，选中“Acitve Directory证书服务”。

如下图所示单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。

后者主要是通过web界面来进行证书的相关操作。

如下图所示。

单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。

单击“下一步”，如下图所示，由于是企业中第一个证书服务器，所以我们选“根CA”。

单击“下一步”，如下图所示，选择“新建私钥”；单击“下一步”，如下图所示，这里就用默认的。

单击“下一步”，如下图所示，这边修改CA的公用名称为CA01，该名称无实际意义，随便取。

上图中的可分辨后缀名可不填写。

下面的操作全部默认，过程这里省略了。

安装IIS服务过程略过，但注意一定要选择""组件!下面配置web服务器首先安装好IIS和DNS组件，这里省略。

打开IIS，这里我们的加密网站就直接使用原来的默认网站了，当然新建网站也一样做。

首先修改C:\inetpub\wwwroot中的首页，把原来的文件删除，新建一个index.htm，内容任意。

并且测试下这个网页能被访问到，如下图所示：注意：新建网页的时候，我们一般是用记事本，然后另存为index.htm，这里注意和windows 2003不一样，需要打开后缀名。

否则另存为后的文件是index.htm.txt。

在这里把DNS也配好，添加主机记录，客户机的的DNS地址也要设置好，测试通过域名能访问该网站。

IIS服务器此时还不信任颁发证书的CA服务器。

解决办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构",在web服务器上打开http://1.1.1.1/certsrv/选择“下载CA证书、证书链或CRL”。

为了方便，下载保存到桌面上，然后双击安装。

安装过程中把证书导入到“受信任的根证书颁发机构”中，如下图：（这里最好勾选“显示物理存储区”，导入到local computer）接下来在网站中配置证书，打开IIS，选中“计算机名字”，在中间选中“服务器证书”如下图所示，在右边选中“创建证书申请”，如下图所示：输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO 3166-1 A2）：我们的证书是用于web服务的，所以这里一定要填网站的访问域名，比如,注意这里如果填，用就无法访问，会出现证书不是颁发给该网站之类的提示。

CA证书颁发机构（中心）安装图文详解如果你需要在组织里发布exchange，或者需要给IIS配置SSL的访问方式，则需要部署CA，关于CA的应用，后续会有几篇文章来专门叙述，本文仅仅介绍CA证书颁发机构的安装，这也是SSL应用的基础工作。

阅读本文，你将了解到以下内容◆什么是CA及CA的作用◆安装CA的准备条件◆如何CA安装◆何为根证书在安装CA前，我们需要了解什么是CA。

字面上理解，CA即Certificate Authority ，也就是证书授权中心，对于这6个字，如何理解？来帮大家逐字分析一下：中心：可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台授权：可以理解为，如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证，获得许可以后才可以继续操作。

证书：证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。

总结一下，为了实现证明及安全的目的，我们建立了一套系统或者平台，它可以用来证明某些事物的合法性和真实存在性，并且为此提供足够强的保护，从而来抵御外界的攻击。

这就是证书认证系统或者证书授权中心。

概念似乎很抽象，不过后面会讲到更多的应用，当你理解这些应用后，再回过头来看这段话就会觉得很好理解。

我们开始吧，首先介绍一下CA安装的基础环境。

基础环境：1、服务器版本操作系统，2000ser或2003 ser ,2008 ser等2、安装CA前，请先安装好IIS。

一、安装CA1、首先打开添加与删除程序，找到添加与删除组件，找到证书服务当我们选中证书服务的时候，系统会弹出一个提示大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中，所以装完CA后无法修改计算机名称，我们这里点击YES，这里有4种CA类型可供选择。

有2大类，企业根CA和独立根CA，各自又有一个从属的CA。

从属CA是为上级CA授权给下级CA机构来颁发证书准备的，就范围和功能性而言，企业CA较独立CA更广，更强大。

CA证书的使用流程什么是CA证书CA证书（Certificate Authority Certificate）是由可信任的证书颁发机构（Certificate Authority）签发的一种电子证书，用于证明一个实体的身份以及对数据进行加密和解密。

在互联网中，CA证书被广泛应用于网站安全、电子邮件加密等场景中。

CA证书的使用流程使用CA证书涉及以下几个主要步骤：1.生成证书请求2.提交证书请求3.核验证书请求4.签发证书5.安装证书生成证书请求生成证书请求是使用CA证书的第一步。

在生成证书请求之前，你需要先生成一个密钥对，包含公钥和私钥。

生成密钥对的方式可以是使用命令行工具，也可以是通过图形界面工具。

在生成证书请求时，你需要提供一些基本信息，例如：•组织名称•组织单位名称•国家/地区•省/州•城市•电子邮件地址提交证书请求生成证书请求后，你需要将证书请求文件提交给你所选择的CA机构。

通常，CA机构会要求你提供指定的文件格式，例如PKCS#10格式。

你可以通过将证书请求文件发送给CA机构的在线申请表格，或是使用命令行工具通过网络将请求提交给CA机构。

核验证书请求一旦你提交了证书请求，CA机构会对你的请求进行核验。

核验的方式通常包括验证你提供的基本信息的准确性，并确认你是否有权限申请该类型的证书。

根据不同的CA机构，核验过程可能需要一些时间，可能需要你提供一些额外的证明文件。

甚至在核验过程中，CA机构可能会和你进行一些额外的沟通。

签发证书核验通过后，CA机构会对你的证书请求进行签发，生成一个CA证书文件。

这个过程会使用CA机构的根证书和CA机构的私钥来对你的证书请求进行签名，以确保证书的合法性和真实性。

签发的证书文件通常包含以下信息：•证书序列号•证书有效期•证书持有者的公开密钥•签发机构的信息安装证书一旦你获得了签发的CA证书文件，你需要将证书文件安装在你的服务器或客户端上，以便进行后续的使用。

安装证书的方式取决于你要应用证书的具体场景。

企业数字证书安装使用手册版本：省工商网上年检V1.0四川省数字证书认证管理中心Sichuan Digital Certificate Authority目录一、使用环境说明.......................................................... 错误！未定义书签。

1、业务应用平台..................................................... 错误！未定义书签。

2、操作系统............................................................. 错误！未定义书签。

3、浏览器................................................................. 错误！未定义书签。

二、安装数字证书的驱动程序...................................... 错误！未定义书签。

三、使用数字证书登录网上年检系统.......................... 错误！未定义书签。

四、数字证书USBKey的维护保养 ............................. 错误！未定义书签。

1、使用保养............................................................. 错误！未定义书签。

2、维护流程............................................................. 错误！未定义书签。

3、联系方式............................................................. 错误！未定义书签。

五、证书使用常见问题.................................................. 错误！未定义书签。

CA证书使用手册1.1 系统管理系统管理模块下分为：角色管理、用户管理、业务管理和角色权限管理。

1.1.1角色管理1.1.1.1 功能说明在Easyca1.0系统中，可以执行的单个操作就是一个权限，一定的权限集合就是管理角色。

在Easyca1.0中，系统包含的管理角色有：证书管理角色、模板管理角色和权限管理角色。

一个管理员可以被授予一个或多个管理角色，以分权的形式对整个系统进行有效管理。

角色管理可以对角色列表中的角色进行添加、编辑和删除。

添加角色是添加新的角色，以便给新的用户添加权限。

编辑角色是编辑已有的角色的名称、编辑和角色描述。

删除角色将删除你所选择的角色。

图3-1：图3-11.1.2用户管理1.1.2.1 功能说明用户管理模块可以添加新的用户和删除现有的用户，并且在添加新的用户的时候同时分配用户权限，如图3-2：图3-2在Easyca1.0系统中，每个用户都必须对应一张系统预置证书角色模板下的有效证书，所以在增加新用户时，必须先得到一张“证书模板”下的，状态为有效的用户证书，然后才能对这张用户证书进行“授权用户权限”操作。

1.1.3业务管理1.1.3.1 功能说明业务管理是详细描述证书管理中操作对象（证书）的权限范围，此权限范围是所有证书的所属的内部操作和管理平台菜单组成。

因为证书业务权限信息是规定的证书管理的权限范围，所以只有管理员具有证书管理角色，才能对证书业务权限信息进行授权。

图3-3：图3-31.1.4角色权限管理1.1.4.1 功能说明给各个角色赋予各种权限，每个角色都可以拥有不同的权限。

sasyca1.0的权限分为两块:1、内部操作:包含所有业务的权限。

2、管理平台菜单：包含所有菜单权限。

在选择权限里面选择了“管理平台菜单”下的某个菜单权限，只能打开左侧相应的菜单，却不能有相应的业务操作。

只有在内部操作里面选择好相对应的业务权限。

才是一个完整的权限。

图3-4图3-41.2 证书管理在easyca1.0系统中，只有拥有证书管理角色的管理员才能进行证书和密钥管理的操作。

+CA认证和网上办事大厅客户端系统安装及使用手册市鄞州地方税务局2012目录1、容简介2、办理流程3、客户端系统—软件下载4、客户端系统—软件安装5、CA证书—软件安装6、CA证书—登录使用7、CA证书—常见问题8、客户端操作手册9、客户端常见问题10、技术服务附件资料一: 日常维护与服务说明附件资料二：关于在全市使用网上办税的纳税人中推广电子签名身份认证技术的通知（甬地税征（2010）218号）附件资料三： CA证书办理须知(一) 容简介CA数字证书简介政府机构或企业开发的业务系统大多是基于互联网的，需要通过广泛的、开放的互联网进行数据传输。

因此，不可避免地存在着由于互联网的广泛性、开放性所带来的安全隐患，例如：用户身份认证、信息的性、信息的完整性、信息的不可抵赖性等。

财税开发的网上办事大厅（客户端）、网上征管、个税全员申报、机打发票等互联网应用系统，涉及企业财务数据和国家财政收入等信息，因此，需要确保互联网数据传输的安全。

根据业界实践经验，使用CA数字证书是解决该问题的最佳选择。

使用CA证书将确保用户身份合法性和互联网数据安全根据国家电子签名法，CA电子签名可替代手写签名或盖章企业可以不再向财税局报送纸质报表（注：以局方通知为准）财税网上办事大厅（客户端）简介网上办事大厅（客户端）是市财税局推出的集纳税申报、财务报表、个税全员申报、所得税年报、机打发票等各种财税业务于一体的“一窗式”服务终端，是所有企业涉税信息的统一出入口。

“客户端”解决了企业电脑上浏览器版本众多带来的操作使用问题、大数据量在线填写导致的网络超时问题、以及企业端涉税软件统一管理和统一服务的问题，为广大纳税企业提供一体化、方便、安全的办税服务。

客户端实现了所有涉税软件的整合，提供“一窗式”服务有效避免了互联网浏览器版本不兼容问题，申报过程更稳定不存在网络超时问题，支持长时间操作，以及大数据量填报所有功能均支持CA数字证书，确保身份真实和数据传输安全随着纸质报表的取消，真正实现“足不出户”享受办税服务(二)办理流程学习参加税局组织的集中培训或自学，学习CA证书及客户端操作要点客户端软件服务商常年提供免费培训，具体参见服务商：/art/2011/6/2/art_1442_40000.html初次安装已经获取安装文件的企业，按税局通知要求自行完成软件安装软件安装步骤（含CA驱动）的具体说明参见“安装过程说明”培训现场未领取安装文件的企业，可到财税局自行下载：下载地址：https:///aWeb/spindex.doCA验证登录已经完成客户端安装的企业，在领取CA证书“天威盾”后，应在正式启用前验证CA证书能够正常登录网上办事大厅（客户端），具体操作步骤参见“CA验证登录步骤说明”。

下面安装配置CA服务器：首先打开“服务器管理器”→添加角色，选中“Acitve Directory证书服务”。

如下图所示单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。

后者主要是通过web界面来进行证书的相关操作。

如下图所示。

单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。

单击“下一步”，如下图所示，由于是企业中第一个证书服务器，所以我们选“根CA”。

单击“下一步”，如下图所示，选择“新建私钥”；单击“下一步”，如下图所示，这里就用默认的。

单击“下一步”，如下图所示，这边修改CA的公用名称为CA01，该名称无实际意义，随便取。

上图中的可分辨后缀名可不填写。

下面的操作全部默认，过程这里省略了。

安装IIS服务过程略过，但注意一定要选择""组件!下面配置web服务器首先安装好IIS和DNS组件，这里省略。

打开IIS，这里我们的加密网站就直接使用原来的默认网站了，当然新建网站也一样做。

首先修改C:\inetpub\wwwroot中的首页，把原来的文件删除，新建一个index.htm，内容任意。

并且测试下这个网页能被访问到，如下图所示：注意：新建网页的时候，我们一般是用记事本，然后另存为index.htm，这里注意和windows 2003不一样，需要打开后缀名。

否则另存为后的文件是index.htm.txt。

在这里把DNS也配好，添加主机记录，客户机的的DNS地址也要设置好，测试通过域名能访问该网站。

IIS服务器此时还不信任颁发证书的CA服务器。

解决办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构",在web服务器上打开http://1.1.1.1/certsrv/选择“下载CA证书、证书链或CRL”。

为了方便，下载保存到桌面上，然后双击安装。

安装过程中把证书导入到“受信任的根证书颁发机构”中，如下图：（这里最好勾选“显示物理存储区”，导入到local computer）接下来在网站中配置证书，打开IIS，选中“计算机名字”，在中间选中“服务器证书”如下图所示，在右边选中“创建证书申请”，如下图所示：输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO 3166-1 A2）：我们的证书是用于web服务的，所以这里一定要填网站的访问域名，比如,注意这里如果填，用就无法访问，会出现证书不是颁发给该网站之类的提示。

CA安装使用操作说明
一、相关知识准备
1、CA证书是什么：
证书是由数字证书颁发机构（CA）发放的，其主要用于网络通信的一种身份认证机制，能够有效地验证网站的可信性，提升用户的访问体验，使得网站主、网站访客以及网站服务的安全性得到显著的提升。

2、CA证书安装主要使用的工具：
（1）Openssl：OpenSSL是一款开源的安全套接字层密码库，它随附在许多的Unix系统之中，这也是它最大的优点，允许程序员和系统管理员在构建安全的网络服务器时免费使用。

（2）Certbot：Certbot是一种用于部署和管理TLS（SSL）证书的开源项目，由Let's Encrypt和EFF等团队开发维护。

它可以自动检测和配置Web服务器，从而使其可以使用Let's Encrypt提供的免费证书。

（3）Apache：Apache，全称Apache HTTP服务器，是一款非常流行的web服务器软件，它可以在大多数操作系统上运行，并且支持
Perl,PHP,Python和Tcl等许多动态脚本语言。

二、CA证书安装流程
1、安装OpenSSL
（1）使用root用户登录系统。

（2）输入以下命令，安装OpenSSL：
# yum install openssl -y
（3）检查OpenSSL是否已安装成功：
# openssl version
2、生成CA证书私钥
（1）切换到CA的保存目录：
# cd /etc/ssl/certs
（2）创建CA证书私钥文件：
# openssl genrsa -des3 -out ca.key 2048（3）为私钥文件设置密码。

linux ca证书详细介绍
CA（Certificate Authority，证书颁发机构）是为了解决公钥的
信任问题而存在的一种安全机构。

CA证书是由CA机构签发，用于确保网络通信中的身份认证
和数据加密。

它是基于数字证书技术的一种证明机制，通过使用公钥密码学，可以验证数字证书的真实性和合法性。

CA证书的核心内容包括：
1. 证书持有者的公钥：证书包含了一对密钥，其中一个是用来加密的公钥，该公钥会被写入证书中。

接收者可以使用该公钥对发送者的加密信息进行解密，从而保证通信安全。

2. 证书持有者的身份信息：证书包含了证书持有者的身份信息，例如域名、组织名称等。

这些信息可以用来验证证书持有者的身份，确保与其通信的安全性。

3. 证书的有效期：证书还包含了有效期信息，即证书的有效时间范围。

接收者可以根据这一信息来判断证书是否过期。

通过使用CA证书，可以实现网络通信的身份认证和数据加密，确保通信的安全性和可信性。

无论是网站访问、电子邮件发送还是文件传输等，都可以使用CA证书来加密通信内容，防止
被恶意第三方窃取或篡改。

同时，CA证书也可以用于 HTTPS 网站中，确保用户与网站之间的数据传输安全。

试验拓扑：
试验内容以及拓扑说明：
试验内容：独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请
试验拓扑说明：图中server1担任独立根CA服务器，server2担任独立从属CA服务器，另外三台客户机，分别为client1、client2和client3.
试验配置过程：
第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：
安装完成后，如图：
证书服务的安装过程：
安装完成后，客户端即可申请证书，由于是独立根CA，而且我们不是域环境，所以我们只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：
再由CA服务器的管理员手工颁发证书，打开证书服务器server1，选择管理工具---证书颁发机构，颁发证书：
可以通过Internet选项的“内容”或者MMC证书管理单元进行查看
安装独立从属CA，它必须先从独立根CA申请证书后才可以正常使用
证书请求文件已经生成，然后利用请求文件再向CA服务器发送证书请求，申请证书
选择“使用base64编码的那个选项”，然后把申请的请求文件（后缀为.req）使用记事本打开，并将内容全部复制到空白处，如下图：
本文出自“陈宣宋微软技术空间” 博客，请务必保留此出处。

SSL 证书安装过程第一步：安装mod_ssl[root@300second ~]# yum -y install mod_ssl第二步：HTTP 服务器上配置mod_ssl[1] 建立服务器密钥[root@300second ~]# cd /etc/pki/tls/certs/← 进入HTTP服务器配置文件所在目录[root@300second certs]# make server.key← 建立服务器密钥umask 77 ; \/usr/bin/openssl genrsa -des3 1024 > server.keyGenerating RSA private key, 1024 bit long modulus................++++++......++++++e is 65537 (0x10001)Enter pass phrase:← 在这里输入口令Verifying - Enter pass phrase:← 确认口令，再次输入[root@300second certs]# openssl rsa -in server.key -out server.key← 从密钥中删除密码（以避免系统启动后被询问口令）Enter pass phrase for server.key:← 输入口令writing RSA key[2] 建立服务器公钥[root@300second certs]# make server.cs r← 建立服务器密钥umask 77 ; \/usr/bin/openssl req -utf8 -new -key server.key -out server.csrYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [GB]:CN← 输入国名State or Province Name (full name) [Berkshire]:Fujian← 输入省名Locality Name (eg, city) [Newbury]:Quanzhou← 输入城市名Organization Name (eg, company) [My Company Ltd]:← 输入组织名（任意）Organizational Unit Name (eg, section) []:← 不输入，直接回车Common Name (eg, your name or your server's hostname) []:← 输入通称（任意）Email Address[]:*****************← 输入电子邮箱地址Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:← 不输入，直接回车An optional company name []: ← 不输入，直接回车[3] 建立服务器证书[root@300second certs]# openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365← 建立服务器证书Signature oksubject=/C=CN/ST=Fujian/L=Quanzhou/O=/CN=/emailAddress=30 ***************Getting Private key[root@300second certs]# chmod 400 server.* ← 修改权限为400[4] 设置SSL[root@300second certs]# vi /etc/httpd/conf.d/ssl.conf← 修改SSL的设置文件#DocumentRoot "/var/www/html"← 找到这一行，将行首的“#”去掉↓DocumentRoot "/var/www/html"← 变为此状态[5] 重新启动HTTP服务，让SSL生效[root@300second certs]# /etc/rc.d/init.d/httpd restart ← 重新启动HTTP服务器停止httpd: [ 确定 ]启动httpd:[ 确定]第三步：到StartSSL申请免费证书：StartSSL免费SSL证书成功申请-HTTPS让访问网站更安全一、StartSSL个人证书登录申请1、StartSSL官网：2、第一次用StartSSL，先进入控制面板，先点击注册。

CA驱动安装手册1、驱动下载在新疆兵团交易信息网进入投标单位（招标代理）登陆界面，然后选择证书登录：选择下方的驱动下载，把驱动下载下来下载下来的驱动图标如下：2、驱动安装2.1、新电脑、第一次安装双击点击上图的XJJGControl1.0.exe图标，进行安装。

注意：安装之前，拔掉CA锁，关闭浏览器、杀毒软件、防火墙，以及office 相关文档表格（word、excel等）在安装过程中，建议默认设置，只需点击“下一步”即可；安装的过程截图如下：2.2、已经安装过，需要重新安装此种情况，要先卸载原先安装的驱动，在进行安装卸载流程如下：打开控制面板，选择卸载程序：打开程序卸载页面，选择下图中的控件，右键卸载：全部卸载完成之后，按照2.1的方法，重新安装。

3、浏览器设置使用IE9及以上的浏览器；3.1 打开IE的Internet选项使用IE浏览器，打开公共资源交易信息网的登录页面，选择“工具→弹出窗口阻止程序→关闭弹出窗口阻止程序”具体如下图所示：3.2兼容性视图设置打开IE的Internet选项打开IE，选择“工具→兼容性视图设置→添加”具体如下图所示：3.3可信任站点打开IE的Internet选项打开IE，选择“工具→“Internet 选项（0）”，具体如下图所示：添加可信任站点在打开的页面选择“安全”→“受信任的站点”→“站点”，具体如下图所示：按照上图的步骤将新疆生产建设兵团公共资源交易信息网地址（/）添加至可信任站点。

3.4Activex控件和插件设置同样打开“工具→“Internet 选项（0）”→“安全”，选择“受信任的站点”，打开页面下方的“自定义级别”，具体如下图所示：打开“自定义级别”，将页面中的“Activex控件和插件”全部设置成启用，具体如下所示：3.5启用提示加载项上面操作全部完成之后，要刷新浏览器，进入登录界面如下图所示，点击右键加载运行提示的加载项，运行至直到不再提示即可登录。