服务器、CA数字证书应用图解(全)
ca证书的使用方法
ca证书的使用方法CA证书是一种数字证书,它是在互联网中用来验证身份和身份确认的一种加密技术。
CA证书通常在网站上使用,这些网站需要通过使用这种证书来确保客户的信息和交易的安全性。
在这篇文章中,我们将介绍使用CA证书的详细步骤和方法。
第一步:申请CA证书首先,您需要在CA机构申请CA证书。
需要提供证明您的身份的文件,并且需要支付一定的费用。
通常情况下,您可以选择一年或三年的证书。
在提交您的申请后,您需要等待CA机构进行审核,审核通过后就可以颁发证书给您了。
第二步:安装CA证书颁发CA证书之后,您需要将它安装到您的服务器上。
标准的安装步骤可能会因不同的操作系统有所不同。
在完成安装过程之后,您还需要安装所需的中间证书,这些证书可以在CA机构的网站上找到。
其中一些证书可能需要手动安装到您的服务器上。
第三步:配置SSL证书在安装中间证书后,您需要配置SSL证书。
SSL证书是流行的加密技术,可以用来保护客户端和服务器之间的通信。
在配置过程中,您需要指定几个密钥,包括证书密钥、中间证书和私有密钥。
这些密钥可用于加密/解密数据,并防止攻击者窥视或篡改数据。
第四步:测试CA证书在安装和配置CA证书之后,您需要进行一些测试,以确保所有内容都正确。
这通常意味着通过网络浏览器访问您的网站,并确认浏览器上的SSL锁定符号已处于打开状态。
在确认证书已成功安装后,您需要定期测试以确保其有效性。
结论CA证书是保护互联网安全和信息安全的一种强大工具。
学会了如何使用它,我们可以在互联网上放心地进行数据交换和电子商务活动。
如果您有任何问题或问题,请随时咨询CA机构或其他相关专业人员进行帮助和指导。
数字证书分类及应用28页PPT
谢谢!
数字证书分类及应用
•
46、寓形宇内复几时,曷不委心任去 留。
•
47、采菊东篱下,悠然见南山。
•
48、啸傲东轩下,聊复得此生。
•
49、勤学如春起之苗,不见其增,日 有所长 。
•
50、环堵萧然,不蔽风日;短褐穿结 ,箪瓢 屡空, 晏如也 。
61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒Fra bibliotek尔·乔治·S·巴顿
CA数字证书相关知识
证书机构CA用于创建和发布证书,通常安全域的优先群体发放证书。
创建证书的时候,CA系统首先获取用户的请求信息,其中包括用户公钥(公钥一般由用户端产生,如电子邮件程序或浏览器登),CA将根据用户的请求信息产生证书,并用自己的私钥对证书进行签名,其他用户、应用程序或实体将使用CA的公钥对证书进行验证。
如果一个系统是可信的,则验证证书的用户可以确信,他所验证的证书中的公钥属于证书所代表的那个实体。
一、CA整体框架一个典型的CA系统包括安全服务器,CA服务器、注册机构RA,LDAP服务器和数据库服务器等,如下图:1、安全服务器安全服务器面向普通用户,用于提供证书申请、浏览、证书撤销列表以及证书下载等安全服务。
安全服务器与用户的通信采取安全通信方式。
用户首先得到安全服务器的证书(该证书由CA颁发),然后用户与服务器之间的所有通信,包括用户填写的申请信息以及浏览器生成的公钥均以安全服务器的密钥进行加密传输,只有安全服务利用自己的私钥解密才能得到明文。
从而保证了证书申请和传输过程中的信息安全性。
2、CA服务器CA服务器是整个证书机构的核心,负责证书的签发。
CA首先产生自己的私钥和公钥,然后生成数字证书,并且将数字证书传输给安全服务器。
CA还负责为操作员、安全服务器以及注册机构服务器生成数字证书。
安全服务器的数字证书和私钥也需要传输给安全服务器。
CA服务器是整个结构中最为重要的部分,存在CA的私钥以及发行证书的脚本文件。
从安全考虑,应将CA服务器与其他服务器隔离,采用人工干预的方式,确保认证中心的安全。
3、注册机构RA登记中心服务器面向登记中心操作员,在CA体系结构中起着承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤销列表。
4、LDAP服务器提供目录浏览服务,负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。
这样用户通过访问LDAP服务器就能够得到其他用户的数字证书。
ca证书详解(一)
ca证书详解(一)详解CA证书什么是CA证书?CA证书(Certificate Authority),也称为数字证书,是一种用于验证和确认网络通信中信息的合法性和完整性的安全工具。
它基于公钥加密技术,由可信任的第三方机构——证书颁发机构(CA)签发并加密。
CA证书包含了包括公钥、数字签名、证书持有者的身份信息等内容。
CA证书的作用CA证书在网络通信中起到了至关重要的作用:1.身份验证:CA证书可以验证通信方的身份。
使用CA证书签发者可以确认通信方是可信任的,确保信息的发送和接收方是合法的。
2.数据完整性:CA证书通过数字签名来保证信息的完整性,任何篡改信息的行为都会导致数字签名的校验失败,从而保证数据不被篡改。
3.数据加密:CA证书可以用来加密通信的数据,通过为通信双方提供公钥和私钥,保障通信过程中的数据安全。
CA证书的结构一个完整的CA证书通常包含以下几个部分:1.证书持有者信息:包括证书持有者的名称、电子邮件地址等信息,用于确认通信方的身份。
2.证书公钥:用于对数据进行加密和解密。
3.数字签名:由CA机构用其私钥对证书进行签名,用来确保证书的完整性和来源的可信性。
4.证书颁发机构信息:包括证书颁发机构的名称、电子邮件地址等信息,用于确认CA机构的可信度。
5.有效期:证书的颁发和过期日期,过期后不再可信。
CA证书的获取与使用获取和使用CA证书通常需要以下步骤:1.选择信任的CA机构:选择一个可信任的CA机构,可以从CA机构的官方网站获取CA证书。
2.申请证书:在CA机构的官方网站上申请CA证书,填写相关的身份信息。
3.进行身份验证:CA机构会对申请者进行身份验证,确保申请者的身份信息的真实性。
4.获取证书:通过邮件或下载方式获取CA证书。
5.安装证书:将CA证书安装到相关的系统或应用中,例如浏览器、服务器等。
6.使用证书:在网络通信过程中,使用所安装的CA证书进行身份验证、数据加密和数据完整性的保护。
CA证书颁发机构(中心)安装图文详解
CA证书颁发机构(中心)安装图文详解如果你需要在组织里发布exchange,或者需要给IIS配置SSL的访问方式,则需要部署CA,关于CA的应用,后续会有几篇文章来专门叙述,本文仅仅介绍CA证书颁发机构的安装,这也是SSL应用的基础工作。
阅读本文,你将了解到以下内容◆什么是CA及CA的作用◆安装CA的准备条件◆如何CA安装◆何为根证书在安装CA前,我们需要了解什么是CA。
字面上理解,CA即Certificate Authority ,也就是证书授权中心,对于这6个字,如何理解?来帮大家逐字分析一下:中心:可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台授权:可以理解为,如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证,获得许可以后才可以继续操作。
证书:证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。
总结一下,为了实现证明及安全的目的,我们建立了一套系统或者平台,它可以用来证明某些事物的合法性和真实存在性,并且为此提供足够强的保护,从而来抵御外界的攻击。
这就是证书认证系统或者证书授权中心。
概念似乎很抽象,不过后面会讲到更多的应用,当你理解这些应用后,再回过头来看这段话就会觉得很好理解。
我们开始吧,首先介绍一下CA安装的基础环境。
基础环境:1、服务器版本操作系统,2000ser或2003 ser ,2008 ser等2、安装CA前,请先安装好IIS。
一、安装CA1、首先打开添加与删除程序,找到添加与删除组件,找到证书服务当我们选中证书服务的时候,系统会弹出一个提示大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中,所以装完CA后无法修改计算机名称,我们这里点击YES,这里有4种CA类型可供选择。
有2大类,企业根CA和独立根CA,各自又有一个从属的CA。
从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。
CA(证书颁发机构)服务器配置图解过程
试验拓扑:
试验内容以及拓扑说明:
试验内容:独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请
试验拓扑说明:图中server1担任独立根CA服务器,server2担任独立从属CA服务器,另外三台客户机,分别为client1、client2和client3.
试验配置过程:
第一步:构建独立根CA服务器,我需要先安装IIS(证书服务安装过程中会在IIS的默认网站中写入虚拟目录,如果没有IIS的话,无法通过web浏览器的方式申请证书),然后再安装证书服务,配置过程如下:
安装完成后,如图:
证书服务的安装过程:
安装完成后,客户端即可申请证书,由于是独立根CA,而且我们不是域环境,所以我们只能通过web浏览器申请证书:http://CA服务器的ip地址或者计算机名/certsrv,如图:
再由CA服务器的管理员手工颁发证书,打开证书服务器server1,选择管理工具---证书颁发机构,颁发证书:
可以通过Internet选项的“内容”或者MMC证书管理单元进行查看
安装独立从属CA,它必须先从独立根CA申请证书后才可以正常使用
证书请求文件已经生成,然后利用请求文件再向CA服务器发送证书请求,申请证书
选择“使用base64编码的那个选项”,然后把申请的请求文件(后缀为.req)使用记事本打开,并将内容全部复制到空白处,如下图:
本文出自“陈宣宋微软技术空间” 博客,请务必保留此出处。
数字证书ppt课件
7.证书废止列表CRL的管理。 8.CA本身的管理和CA自身密钥的管理。
证书的表现形式
证书的内容
它是电子商务和网上银行交易的权威性、可 信赖性及公正性的第三方机构。
公钥基础设施PKI
• PKI是用于发放公 开密钥的一种渠道。
• CA
• RA
• Directory —大量的查询操作 —少量的插入、删除
和修改
签发证书、证书回收列表
用户
证书服务—分层次的证书颁发体系ቤተ መጻሕፍቲ ባይዱ
CA的功能
1.证书的申请。在线申请或离线申请 2.证书的审批。在线审核或离线审核 3.证书的发放。在线发放和离线发放 4.证书的归档。 5证书的撤销。 6.证书的更新。人工密钥更新或自动密钥更
• CA数字证书服务 • CA服务器配置 • 证书申请及应用 • SSL协议 • SSL实现WEB加密通信 • SSL-VPN
本章目标
CA电子商务网络示意图
什么是CA
CA——认证中心 CA为电子政务、电子商务网络环境中各个实
体颁发数字证书,以证明身份的真实性, 并负责在交易中检验和管理证书;
CA对数字证书的签名使得第三者不能伪造和 篡改证书。
数字证书安装使用说明(PPT)
3. 完整性保护
通过数字签名技术,确保数据 在传输过程中没有被篡改或损 坏。
数字证书的原理
要点一
总结词
数字证书基于公钥基础设施(PKI)技术,通过建立信任链来 验证实体身份。
要点二
详细描述
数字证书基于公钥基础设施(PKI)技术,通过颁发权威认证 机构(CA)的根证书,建立起一个信任链。在这个信任链中, 每个实体都可以通过验证上一级证书颁发机构的签名来验证 自己的身份,从而建立起一个可信任的网络环境。数字证书 的原理主要依赖于加密算法和数字签名技术,确保了数据传 输的安全性和完整性。
定期检查服务器和客户端的 日志,以发现任何可疑活动 或攻击迹象。
05
数字证书的更新与维护
更新方法
自动更新
大多数数字证书提供自动更新功能, 用户只需在证书管理界面开启该功能, 系统将自动检测并下载最新证书。
手动更新
如需手动更新,用户需访问证书颁发 机构的官方网站,下载最新证书,然 后按照提示进行安装。
验证证书
在浏览器中访问网站时,验证数字证 书的有效性和可信度,确保与服务器
建立安全的连接。
导入证书
将数字证书导入到受信任的根证书颁 发机构中,以便在浏览器或其他应用 程序中使用。
使用证书
在需要加密通信的应用程序中使用数 字证书,如电子邮件、即时通讯工具 等。
使用场景
保护在线交易
在网购、在线银行等场景中,使用数字证书可 以确保交易信息的机密性和完整性。
保障数据安全
在传输敏感数据时,使用数字证书可以防止数 据被窃取或篡改。
身份验证
在登录网站或使用应用程序时,数字证书可以验证用户的身份,防止身份被冒 用。
使用注意事项
定期更新证书
数字证书分类及应用课件-PPT
j证注保miasn书:证cg,的 1给x5u打导其4n2l开i出他n2@1证/主导3s书8体i入9n管@ a颁即.理发q证q器数.书,字的选证备择书份当的/恢前认复用证户中的心个是人可证信书赖项的机构
❖❖ R自根以是作身认认可为颁证证信根发机路可认,构径靠证不上的R机 信需所构 任要 有,A验 认,法证 证A定机信受构任信及B任,其!B颁信其发任证证C书书,由都所 浏 证主注甲m第而在主注而=在=中子用注在用动c注以c在 第甲浏c在m企 主根如浏而中在如如R根如 亦注在根c1第证保用R软企1而主 中保m动= c用=而Rc第=注证企 c企第子用企中 在在根亦证而而主浏在中现 动第c在保m用保cooooooooo55作作作ssss览书要:公三软“要:软对电对级任A:开A感:w“二公览“业要认果览软级“果果认果称:开认三书证B件业软要级证感对R对软二身:书业业三任R业级““认称书软软要览开级在感三“电证A证mmmmmmmmm44cccc的的的的22e为 为 的 为 的, , , ,向)))器的 确 甲 司 步 件 帐 确 1件 称 邮 称 认 务 甲 始 地 1帐步 司 器 帐 通确 证 验 器 件 认 帐 验 验 证 验代 1始 证 步 的 给 ( 通 件 确认 给 地 称称 件 步 份 1的 通间 步 务 通 认帐 帐 证 代 的 件 件 确 器 始 认 用地 步 帐 邮 给 给((添((添22b5555证证证证根根证根证11方打打打打1向发发向“ 导保公雇:开户保开加客加证二公菜带户 :雇“户过 保机证“开证户证证机证 码菜机:导其开过开保 证其带加 加开:信导过 在:一过证 户户机码导开保“菜证带:户客其其4444乙乙加乙乙加335书书书书2222认认书认书式开开开开88乙送送乙工 出个司员安发”个发密户密机:司单用” 设员工”自 个构成工发机”成成构成 签单构安出他发自发个 机他用密 密发设息出自 进安:自机 ””构签出发个工单机D用安”户他他4公 公 到 公 公 到2222992来来来来要证证来证来1111访证证证证公一一公@ @ 具 /人雇(全者对人者+端+构发雇运户对 置(具对己 人(功具者构对功功(功 名运(全/主者己者人 构主户++者置+/己 行全发己构 对对(名/者人具运构户全对端主主2司司O司司O导导导导3333非非非 非非验验验验1机机验机验使问书书书书8888司封封司EE” 电员收则话电则软(送员行(话 ”话的 电,”则(话,,, 证行收体)的则电 (体(则的 交收送的( 话话证则则电”行(收话软体体1O1RRRORqq雇雇雇雇3入入入入9999qq55对对对 对对邮邮证证证证构构证构证))))用8uu邮管管管管雇机机雇@ @ @ @ 菜 子(发要框子要件加(框框 菜框网 子说菜要框说说说 书框发颁证网要子 颁要网 易发签网框框书要要子菜框发框件颁颁A1AA1AA1..44员员员员即即即即9tt333称称称 称称ll件件、BB、C、、 、B22,,,的的的AA的C箱理理理理oo@员密密员单 邮电向中邮向密中中 单中站 邮明单向中明明明 ,中电发书站向邮 发向站 时电名站中中,向向邮单中电中发发1O1Oqqqq777))))22证证证证的的的的的的oo的qqqq55加加加 加加帐帐BBBBB666法法法证证证证uu11,器器器器q(商商(kk- 件子软,件软邮输, -,, 件-软,证输子数的,软件 数软,子邮,,,证软软件-输子,数数ARBR....44000书书书书33tt) 证 证 ) ) )) 证证证证q证密密密 密密ll户户信信22EE定定定信 信书书书书888不,,,,oo88函函jj.-通邮件还通件件入还-还与通-件还明入邮字应与件通字件与其邮件与还还明件件通-入邮还字字ii22的的的的555aa的书书的的的 书xx书书书oo书99((( (任任受受受任任11能选选选选pp888nnkk@ @ 信件用可信用可 可公 信用可软件证用公用信 证用公 雇件公可可软用信件可证证IcIIcIcNNNN备备备备33证;;证证证 证;;;;rr,888ggeee公公公 公BCEE信信信AAee使择择择择88000、户以、户以 以众 、户以件书众户、 书户众 员众以以件户户、以书书TTTTqqxxrrr份份份份ss书!书书书 书xx!!!ttt必99uu111qq钥钥钥 钥EEEEmmm任任任ss用当当当当pp@ @ 网提查网提查 查进 网提查是的进提网 的提进 通进查查是提提网查的的nn)))..////RRRRrr须ggg恢恢恢恢加加加 加ll!!!ee证ii前前前前上供看上供看 看行 上供看安认行供上 认供行 常行看看安供供上看认认qqNNNNnnrrr在在在ss...要qq复复复复密密密 密@ @EEEEss书用用用用个软和个软和 和商 个软和全证商软个 证软商 要商和和全软软个和证证..““TTTT验))) )ss工工户户户户人件修人件修 修品 人件修可中品件人 中件品 使品修修可件件人修中中选 选选选iinn证具具的的的的aa金正改金正改 改交 金正改信心交正金 心正交 用交改改信正正金改心心项 项项项..C””个个个个融版已融版已 已易 融版已的是易版融 是版易 电易已已的版版融已是是- ---的菜菜人人人人与验有与验有 有, 与验有正可,验与 可验, 子,有有正验验与有可可- ---证单单证证证证支证邮支证邮 邮或 支证邮版信或证支 信证或 邮或邮邮版证证支邮信信““ “ “书——书书书书付的箱付的箱 箱向 付的箱软赖向的付 赖的向 件向箱箱软的的付箱赖赖内 内内内的帐帐项项项项的机帐的机帐 帐公 的机帐件的公机的 的机公 交公帐帐件机机的帐的的容 容容容可户户安制户安制户 户众 安制户机众制安 机制众 换众户户制制安户机机” ”””靠——全的全的 的提 全的构提全 构提 大提的的全的构构标 标标标性““帐帐属属 属供 属供供 量供属属属签 签签签户户性性 性服 性服服 的服性性性- ---””。。 。务 。务务 机务。。。- ---对对, ,, 密,“ “““话话其 其其 商其证 证证证框框间 间间 务间书 书书书中中可 可可 信可” ”””,,能 能能 息能按 按按按点点存 存存 (存钮 钮钮钮右右在 在在 报在侧侧大 大大 价大的的量 量量 、量添添的 的的 询的加加机 机机 价机按按密 密密 、密钮钮商 商商 要商将将务 务务 约务信信 信、 信jjiiaa息 息息 承息nngg交 交交 诺交xxuu换 换换 、换nnll( (( 电(iinn@ @ 商 商商 子商品 品品 合品ssiinn名 名名 同名aa..称 称称 书称、 、、 等、数 数数 )数量 量量 量、 、、 、价 价价 价格 格格 格; ;; ;
CA证书使用说明
1.2.5.1
冻结证书是将使用中的证书冻结一段时间,可以通过解冻操作将其恢复。此操作将证书的状态设为冻结状态,使得证书在一段时间内不能使用,直到证书被解冻。
1、首先通过查询证书的操作检索到需要冻结的证书,此时证书状态为“使用中”,表示冻结证书操作只能对使用中的证书进行操作,双击打开需要注销的证书。如下图3-13:
4、点击【更新】按钮,返回是否确认更新提示,如图3-19:
图3-19
5、点击【确定】,提示更新成功如图3-20。
图3-20
6、更新成功,用户可以用更新后的两码重新下载证书。
1.2.8
1.2.8.1
注销证书操作是对某些证书进行注销操作,被注销的证书禁止使用,并且不能被恢复。
1、可以注销证书状态为“使用中”,“冻结”,“未下载”的证书。
图3-15
4、点【确认】完成解冻证书的操作,提示解冻成功,如图3-16;点【取消】取消解冻操作,返回解冻证书页面。
图3-16
1.2.7
1.2.7.1
更新证书操作是对正在使用中的证书更改其生效时间、有效期以及扩展域信息。
1、只能对证书状态为使用中且未处于更新过渡期的证书进行更新操作。
2、除可以对证书的生效时间和有效期进行更新外,如果证书存在需要由用户输入的标准扩展域信息或自定义扩展域信息,还可以对扩展域信息进行更新。
图3-9
在图3-9中点击【下载证书】按钮,进行证书的下载和安装。
1.2.3
1.2.3.1
申请并下载证书是为了方便用户,将申请证书和下载证书两项操作一起完成的功能。用户根据模板输入必要的申请信息,并且选择CSP或自定义P10申请书的方式来下载安装证书。
用户根据模板填入必要的信息(详见4.2.1申请证书)由系统产生两码,根据用户选择的证书下载方式(CSP,自定义P10申请)进行证书的下载和安装(其余功能详见1.2.2下载证书)。
CA数字证书相关应用流程
附录K CA数字证书相关应用流程K.1 CA安全认证体系K.1.1体系框架交通运输部密钥管理与安全认证系统采用集中建设模式,并作为收费公路管理与服务领域的信任源头统一为各省结算中心及跨区域结算中心(适用于有跨省(市)联网电子收费结算中心的情况)提供证书发放和证书生命周期管理。
具体CA认证体系框架见图K-1:图K-1 CA认证体系框架K.1.2 整数类型数字签名证书的应用主要是解决各省结算中心节点间的信息加解密和抗抵赖安全需求,因此,本应用主要发放的证书为各省签名服务器设备证书,具体证书类型如下:1 设备证书:标识各省签名服务器可信身份的设备证书;2 个人身份证书:表示将来需要登录业务系统进行安全认证的用户证书。
本附录不着重描述个人身份证书的相关说明。
考虑到设备证书的安全级别较高,省结算中心机构长期稳定,避免由于证书更新带来额外的工作量,建议设备证书采用较长时间的证书有效期,如3~5年期。
K.2 数字证书管理关键业务流程证书发放管理包括证书申请、证书下载、证书更新、证书冻结、证书注销。
为了加强认识体系的安全性,部CA系统提供的上述服务由部CA管理员通过本地操作来完成,部CA 系统部提供网络接入服务方式。
K.2.1 证书发放证书发放由交通运输部密钥管理与安全认证系统的RA管理员集中完成,省级节点签名服务器设备的证书在首次申请时,需要送入总部来签发后分发到各省去使用,也可考虑设备不报送总部,有省相关职责部门派专人在部RA管理员指导下完成设备证书申请书的生成,然后以安全方式交给RA管理员来签发证书,签发的证书再以安全的方式传回省级节点导入到签名服务器。
具体设备证书的签发流程见图K-2。
CA RA图K-2 设别证书签发流程示意图关于管理员或者将来有证书需要的个人证书申请,可由部RA管理员登陆RA注册系统通过证书注册页面录入完成证书的签发,然后将证书写入USBKey交给用户使用。
K.2.2证书跟新当证书有效期将到来之前,各省结算中心需要完成签名服务器证书更新,证书更新的流程与证书发放流程相似。
数字证书的应用
实验、数字证书的应用拓扑:2.网站的SSL通信(1)安装dns服务器和 wep服务器。
(2).在DNS服务器上,添加相关的soa ns等主机记录。
图1:添加各服务器的主机记录便于访问(2).在WEB服务器上,添加测试网站。
图2:未使用证书的网站(3)证书服务器安装CA:证书颁发机构(认证中心)(3)在CA-Server上,添加证书服务角色,为接下来的网站通信提供证书保护。
图3:添加证书服务角色图4:勾选“证书颁发机构WEB注册”并添加必需的服务图5:在工作组网络中,选择“独立”CA图6:第一台安装的CA,作为根CA图7:新建私钥图8:加密程序及算法采用默认设臵图9:设臵CA的名称图10:设臵CA的有效期图11:设臵CA数据库及日志位臵,非实验环境不建议存放在系统盘此后还会进行IIS的安装,后续的选项按照默认设臵即可,安装过程需要重启。
至此,已在网络中配臵好了证书服务器、网站、域名服务器。
(4)Web服务器申请在IIS控制台中选择服务器名结点,双击中间区域的“服务器证书”。
图12 :选择服务器证书图13:选择创建证书申请图14:填写申请信息,注通用名称为wep服务器发布的地址。
图15:将申请信息保存到文本文件中接下来,WEB服务器需要向CA服务器提交刚刚保存到文本文件中的申请信息。
在WEB服务器上打开浏览器,输入CA的域名/certsrv。
其中certsrv为固定写法且不能省略。
图16:选择申请证书图17:由于申请的内容存放在文本文件中,选择提交高级证书申请图18:选择下面的链接,通过文件提交图19:打开图15所指定的文本文件,选择全部内容后复制图20:将复制的内容粘贴到浏览器相应的文本框后提交(该步骤可能需要修改IE浏览器的安全设臵,降低其安全级别)图21:申请提交成功后的显示界面证书审核网站应用证书在WEB服务器上打开IIS控制台,打开图13所示的窗口,并选择“完成证书申请”。
导入刚刚下载到本地的证书(扩展名为*.cer),在“好记名称”处填写用户访问该网站时所用的域名(与申请证书时所用的域名一致)。
CA证书使用指南
CA证书使用指南
为加强系统账号数据安全性,平台针对开票企业新增:CA证书登录方式,CA证书登录方式需要安装CA证书,下方为CA证书安装配置手册。
第一步:发票通平台会将贵司的企业CA证书通过邮箱发至企业邮箱,企业将该CA证书.pfx 的文件发送给到每一个账号管理员,由每个开票账号自己安装配置。
第二步:双击邮件中的.pfx文件,点击下一步
第三步:点击下一步
第四步:填写证书密码,证书密码为企业纳税人识别号后六位
第五步:选择“将所有证书放入下列存储”,点击浏览,选择个人
第六步:完成
第七步:导入成功
第八步:控件安装好,CA证书安装配置好,打开发票通网站登录,选择CA证书登录时,会自动将企业税号带出填充,只需填写发票通账号与密码即可
其他说明:
使用ie模式浏览器进行ca证书登录操作,例如IE浏览器、360浏览器兼容模式浏览器会提示“是否只查看安全传送的网页内容?”等
请点击“否”或点击“显示所有内容”,继续登录操作。
示例1
示例2
请设置浏览器显示全部内容,操作如下:
点击浏览器设置-》选择“internet选项”-》点击“安全”模块-》点击“自定义级别”-》下拉至“显示混合内容”,设置为“启用”。
CA安装使用操作说明
CA安装使用操作说明一、概述CA(Certificate Authority,数字证书认证机构)是一种用于管理和颁发数字证书的机构或服务。
它通过数字签名的方式,对证书申请者的身份进行验证,并向其颁发数字证书,以确保其身份的可信性和信息的安全性。
本文将介绍CA的安装和使用操作说明。
二、安装CA2.安装CA软件双击安装包,按照安装向导的提示进行安装。
选择合适的安装目录,完成安装过程。
3.配置CA参数打开CA软件,进入配置界面,根据实际需求进行参数配置。
主要包括证书有效期、证书签名算法、CA私钥保护密码等。
4.生成CA根证书在CA软件中,选择“生成CA根证书”,按照要求填写相关信息,包括CA名称、组织名称、邮件地址等。
点击“生成”按钮,生成CA根证书。
5.导出CA根证书在CA软件中,选择“导出CA根证书”,选择导出格式(如PEM、DER等),选择导出路径,点击“导出”按钮,将CA根证书保存到指定位置。
三、使用CA1.申请证书在需要使用CA签发证书的系统或应用中,打开证书申请界面,填写相关信息,包括申请者姓名、单位名称、电子邮件等。
点击“申请”按钮,生成证书申请文件。
2.提交证书申请打开CA软件的证书管理界面,选择“提交证书申请”,选择证书申请文件,点击“提交”按钮,将证书申请发送给CA。
3.审核证书申请在CA软件的证书管理界面,选择“审核证书申请”,选择待审核的证书申请文件,点击“审核通过”按钮,对证书申请进行审核。
4.签发证书在CA软件的证书管理界面,选择“签发证书”,选择已审核通过的证书申请文件,点击“签发”按钮,CA将对证书申请进行数字签名,生成证书。
5.导出证书在CA软件的证书管理界面,选择“导出证书”,选择要导出的证书,选择导出格式,选择导出路径,点击“导出”按钮,将证书保存到指定位置。
6.使用证书将导出的证书安装到需要使用证书的系统或应用中,根据具体的系统或应用进行配置和使用。
四、CA管理1.证书吊销在CA软件的证书管理界面,选择要吊销的证书,点击“吊销”按钮,将被吊销证书的状态更改为吊销状态。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4、默认,点击【下一步】
;
(图4)
5、选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用;(保存位置、文件名可以自行设定),之后点击【完成】,此配置完成,子界面会关闭;
(图5)
6、接下来,点击IE(浏览器),访问:http://192.168.1.203/certsrv/;注:此处的192.168.1.203为示例机IP地址,实际IP地址需根据每人主机IP自行填写;
至此:WEB服务器上配置基于SSL证书应用的安全站点(HTTPS站点)操作已全部完成;
(图27)
(图28)
7、如何搭建HTTPS的网站呢?
前期回顾:
证书服务已搭建,用于创建SSL的加密服务;使用证书服务器的WEB网站时,提示需要将证书WEB站点配置为HTTPS网站才能正常使用;
我们继续以证书服务器的搭建为示例,完成WEB服务器的SSL应用搭建;
8、接下来,由于搭建HTTPS需要先申请证书,但现在证书服务网站也需要配置为HTTPS才能正常使用,那
(图6-1)
此时会出现证书服务页面;此网站如果点击【申请证书】,进入下一界面点击【高级证书申请】,进入下一界面点击【创建并向此CA提交一个申请】,进入下一界面,此时会弹出一个提示窗口:“为了完成证书注册,必须将该CA的网站配置为使用HTTPS身份验证”;也就是必须将HTTP网站配置为HTTPS的网站,才能正常访问当前网页及功能;
(图10)
11、接下来,继续在【可信站点】位置点击【自定义级别】,此时会弹出一个【安全设置】子界面,在安全设置界面中拖动右别的滚动条,找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项,将选为【启用】;之后点击所有【确定】操作,直到【Internet选项】子界面关闭为止;
(图11)
此应用用于提高WEB站点的安全访问级别;配置后应用站点可实现安全的服务器至客户端的信道访问;此信道将拥有基于SSL证书加密的HTTP安全通道,保证双方通信数据的完整性,使客户端至服务器端的访问更加安全;
注:以证书服务器创建的WEB站点为示例,搭建WEB服务器端SSL证书应用步骤如下:
1、打开IIS,WEB服务器,找到【服务器证书】并选中;
回到Windows【桌面】->点击【开始】->点击【运行】,在运行位置输入:certsrv.msc,然后回车就会打开证书服务功能界面;
打开后,找到【挂起的申请】位置,可以看到之前提交的证书申请;
(图17)
18、点击鼠标右键会出现【所有任务】,点击【所有任务】->点击【颁发】将挂起的证书申请审批通过,此时挂起的证书会从当前界面消失,即代表已完成操作;
注:数字证书,下面均简称证书;
二、如何搭建证书服务器?
搭建证书服务器步骤如下:
1、登陆Windows Server 2008服务器;
2、打开【服务器管理器】;
(图2)
3、点击【添加角色】,之后点击【下一步】;
(图3)
4、找到【Active Directory证书服务】勾选此选项,之后点击【下一步】;
(图18)
19、点击【颁发的证书】,可以看到新老已审批通过的证书;其它操作(吊销的证书、失败的申请)在此略掉,大家有空可以自己试用;
(图19)
20、重新打开IE,输入之前的网址:http://192.168.1.203/certsrv/;
打开页面后,可点击【查看挂起的证书申请的状态】;之后会进入“查看挂起的证书申请的状态”页面,点击【保存的申请证书】;
(图24)
25、点击左菜单上的【CertSrv】证书服务网站,然后点击【SSL设置】;
(图25)
26、进入SSL设置页面,勾选上“要求SSL”即启用SSL功能,然后点击【应用】,保存设置;
(图26)
27、此时一个基于SSL应用的WEB服务器站点已配置完成;让我们用IE试下SSL的应用;
首先,将我们之前为了申请证书而开放的【可信站点】的设置还原;
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
至此,我们需要搭建一个HTTPS网站,即搭建WEB服务器的SSL应用;
Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用(一)
一、什么是数字证书及作用?
数字证书就是互联网通讯中标志(证明)通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对,当信息使用公钥加密并通过网络传输到目标主机后,目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性,为用户业务提供更高安全保障;
(图4)
5、进入证书服务简介界面,点击【下一步】;
(图5)
6、将证书颁发机构、证书颁发机构WEB注册勾选上,然后点击【下一步】;
(图6)
7、勾选【独立】选项,点击【下一步】;(由于不在域管理中创建,直接默认为:“独立”)
(图7)
8、首次创建,勾选【根CA】,之后点击【下一步】;
(图8)
9、首次创建勾选【新建私钥】,之后点击【下一步】;
12、完成上面操作后,先将IE关闭,然后重新打开,输入:http://192.168.1.203/certsrv;页面出来后点击【申请证书】;
(图12)
13、点击【高级证书申请】
(图13)
14、点击【使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用Base64编码的PKCS#7文件续订证书申请】
(图14)
15、将之前保存的密钥文档文件找到并打开,将里面的文本信息复制并粘贴到“Base-64编码的证书申请”文本框中;确定文本内容无误后,点击【提交】;
(图15-1)
(图15-2)
16、此时可以看到提交信息,申请已经提交给证书服务器,关闭当前IE;
(图16)
17、打开证书服务器处理用户刚才提交的证书申请;
(图23)
24、点击左边的【Default Web Site】菜单,然后找到【绑定】功能,点击【绑定】功能,会弹出【网站绑定】界面,默认会出现一个类型为http,端口为80的主机服务,然后点击【添加】,会弹出【添加网站绑定】界面,在此界面中选择“类型:https”、“SSL证书:JZT_TEST1”,然后点【确定】;点完确定后,会看到【网站绑定】子界面中有刚配的HTTPS服务,点击【关闭】,子界面消失;
么在证书网站还未配置为HTTPS服务前我们如何申请证书?方法如下:
方法:打开IE(浏览器),找到工具栏,点击【工具栏】,找到它下面的【Internet选项】;
(图8)
9、点击【Internet选项】->点击【安全】->点击【可信站点】;
Байду номын сангаас(图9)
10、点击【可信站点】,并输入之前的证书网站地址:http://192.168.1.203/certsrv,并将其【添加】到信任站点中;添加完后,点击【关闭】,关闭子界面;
在IE的【可信站点】的【自定义级别】选项中【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项,由“启用”改为【禁用】即可;
然后关闭IE,再重新打开并输入:https://192.168.1.203;
此时会出现:“IIS7”字样的页面,如果出现此页面,恭喜你SSL配置已成功!反之则有问题,从上到下把操作说明和自己的操作过程比对检查看是否正确;(有问题别看我,我的示例可是没问题的^_^,自己耐心再检查下!)
(图9)
10、默认,继续点击【下一步】;
(图10)
11、默认,继续点击【下一步】;
(图11)
12、默认,继续点击【下一步】;
(图12)
13、默认,继续点击【下一步】;
(图13)
14、点击【安装】;
(图14)
15、点击【关闭】,证书服务器安装完成;
(图15)
Windows Server 2008上使用IIS
(图6-2)
在进行后继内容前,相关术语名词解释:
HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
(图20)
21、进入新页面后,勾选Base 64编码,然后点击【下载证书】,将已申请成功的证书保存到指定位置,后续待用;
(图21)
22、打开IIS服务器,点击【服务器证书】->【完成证书申请】->选择刚保存的证书,然后在“好记名称”文本框中输入自定义的名称,完后点击【确定】;
(图22)
23、上述操作完后,可在“服务器证书”界面下看到“JZT_TEST1”证书;