1、实验3 CA认证和数字证书实验目的:1. 为自己申请数字证书2. 了解当前各种数字证书机构的状况3. 了解数字证书的类型和作用.4. 掌握申请数字证书的方法5. 加深对数字证书概念和作用的理解.6. 使用数字证书解密加密电子邮件实验内容数字证书的申请.使用数字证书加密解密电子邮件实验要求:1.上网搜索提供数字证书的机构2.了解各类数字证书的作用.3.选定一家免费证书提供机构.为自己申请一张安全电子邮件证书.4.在 IE 浏览器中查看自己申请成功的数字证书.实验学时: 2 学时实验步骤步骤 1:搜索提供数字证书的机构.在 google 搜索引擎中输入“数字证书“.可以找到很多国内的 CA 机构.
2、这些 CA 机构都提供不同类型的数字证书.步骤 2:对这些机构提供的数字证书类型及其作用进行分析 .目前国内的证书机构能够提供的证书类型主要包括个人数字证书. 企业数字证书.服务器身份证书.安全 web 服务证书.安全电子邮件证书.代码签名证书等.各种不同类型的证书作用不同.个人数字证书中包含证书持有者的个人身份信息.公钥及 CA 的签名.在网络通讯中标识证书持有者的个人身份; 企业数字证书中包含企业基本信息.公钥及 CA 的签名.在网络通讯中标识证书持有企业的身份; 服务器身份证书中包含服务器信息.公钥及 CA 的签名.在网络通讯中标识和验证服务器的身份.在网络应用系统中.服务器软件利用证书
3、机制保证与其他服务器或客户端通信的安全性;安全 Web 站点证书中包含 Web 站点的基本信息.公钥和 CA 的签名.凡是具有网址的 Web 站点均可以申请使用该证书 .主要和网站的 IP 地址.域名绑定.可以保证网站的真实性和不被人仿冒;代码签名证书是 CA 中心签发给软件提供商的数字证书.包含软件提供商的身份信息.公钥及 CA 的签名.软件提供商使用代码签名证书对软件进行签名后放到 Internet 上.当用户在 Internet 上下载该软件时.将会得到提示.从而可以确信软件的来源.并确认软件自签名后到下载前没有遭到修改或破坏;安全电子邮件证书中包含证书持有者的电子邮件地址 .公钥及 C
4、A 的签名.使用安全电子邮件证书可以收发加密和数字签名邮件.保证电子邮件传输中的机密性.完整性和不可否认性.确保电子邮件通信各方身份的真实性.步骤 3:选定一种个人数字证书.为自己申请该数字证书 .由于大多数证书机构都要求对提供的数字证书收费.我们在此给同学提供一些提供免费试用证书的 CA 网址:https:/http:/(需有访问国外网站的权限 )以下以某学生的申请过程为例.给出在 https:/ 申请一份免费数字证书的实验步骤.1.登录到 https:/ 申请地址.点击“证书申请“ 链接.选择“ 试用型个人数字证书申请“链接 .2.只有安装了根证书(即证书链)的计算机.才能够完成后面的申请
5、步骤和正常使用在 CA中心申请的数字证书.所以需要先进行证书链的安装.按照系统提示.我们可以在https:/ 页面中点击“ 安装证书链“ 按钮 . 3.在系统“安装成功 “提示框出现后 .进入“基本信息“表单.按照表单的提示内容.完整地输入个人资料.注意在选择加密服务提供程序(Cryptographic Service Provider.CSP)项目中选择 “Microsoft Base Cryptagraphic Provider V1.0“ 选项.4.选择填写补充信息.具体包括有效证件类型.证件号码.出生日期.性别.住址.通信地址.邮政编码.联系电话.传真号码以及存储介质等.完成后.点击“
6、提交“ 按钮.随后系统将进行数字证书的下载.在完成上述步骤后.系统将发送一封申请成功的信件到您申请时使用的邮箱内.其中包括业务受理号.密码以及数字证书下载的地址. 5.点击数字证书的下载地址链接.并填写业务受理号和密码并提交.系统即提示您安装的数字证书的基本信息.然后点击下方的“安装证书“ 按钮.当系统给出“证书成功下载并装入应用程序中“提示后.表明您的证书已经成功安装. 步骤 4:在 IE 浏览器中查看已经申请成功的数字证书1.首先打开 Internet Explorer.在其菜单栏上选择“工具“Internet 选项“. 在“Internet 选项“ 对话框中.选择“ 内容 “选项卡.点击
7、“证书“ 按钮查看当前信任的证书列表.2.在“ 证书 “对话框中 .点击 “个人“选项卡.可以查看到已经申请的个人数字证书列表.3. 选定您需要查看的个人数字证书.然后单击“查看 “按钮.可以查看相应数字证书的详细信息.foxmail 加密安全电子邮件(数字签名与加密)由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性(即能够鉴别是否是伪造)、以及邮件不被其他人截取和偷阅也变得日趋重要。安全电子邮件通过使用数字标识(数字证书,这里即安全电子邮件证书),对邮件进行数字签名和加密,以确保电子邮件的真实性和保密性。Foxmail 全面支持安全电子邮件技术,兼容多种加密
8、、解密算法,可应用于各种重要商务活动处理机密信息时接收和发送数字签名、加密邮件。数字签名、加密原理概述在能够发送带有数字签名的邮件之前,您必须获得数字标识(也称为数字证书)。获得数字标识的方法请参考申请数字证书。所谓数字标识是指由独立的授权机构发放的,证明您在 Internet 上身份的证件,是您在因特网上的身份证,是用户收发电子邮件时采用证书机制保证安全所必须具备的证书。电子邮件数字签名、加密遵循 S/MIME 协议实现,S/MIME 全称“安全的多功能互联网邮件扩展”(Secure/Multipurpose Internet Mail Extensions),是通过在 RFCl847 中定
9、义的多部件媒体类型在 MIME 中打包安全服务的一个技术。它提供验证、信件完整性、数字签名和加密。数字标识包括“私人密钥”(简称“私钥”)和“公用密钥”(简称“公钥”)。私钥是保密的,由证书申请人独自掌握,需要妥善保管。私钥一旦泄漏,应当尽快注销该证书,以免被他人冒用您的身份;公钥是公开的,您可以把它发送给别人,别人也可以从证书颁发机构处获得。签名申请到数字证书之后,使用证书的私钥,可以向任何邮件地址送数字签名邮件。通过数字签名,收件人可以验证您的身份,确认邮件是由您发出的,并且中途没有被篡改过。从而防止他人冒用您的身份发送邮件,或者中途篡改邮件。加密要向收件人发送加密邮件,并且对方可以正确解
10、密,首先必须获得该收件人的公钥。发送邮件时,使用公钥对邮件进行加密。当收件人收到加密邮件后,使用对应的私钥才能对邮件进行解密,阅读邮件。其他人即使窃取到邮件,由于没有对应的私钥,也无法解读。电子邮件安全的核心技术随着越来越多的用户加入 Internet,安全已经成为 Internet 标准委员会的重点。事实上,一个重要的中心是在给大多数 Internet 协议增加高级的安全特性(特别是核心协议)。1997 年 IAB 召开了一个安全体系结构的会议,它的目标是为 Internet 设计一个安全体系结构,至少是了解 Internet 安全的现状和它的发展方向。这次会议指出,有 3 个使用安全组件的
11、方面需要得到最大的改善,其中就包括保密电子邮件(另外 2 个是对象安全和路由安全)。现在我们通过技术手段来保证网上交流的安全性。密码术衍生出的数字签名的技术,和传统的手写签名作用类似,衍生出的数字证书,和身份证件的作用也是类似的。大多数安全机制的核心有 4 种算法:伪随机数产生器、密码散列函数、对称加密和非对称加密。这些算法以某种形式组合起来,产生另外两个核心安全技术:数字签名和信件验证代码。申请数字证书数字证书由独立的授权机构发放。在向授权机构的 Web 站点申请数字证书时,授权机构在发放标识之前有一个确认您身份的过程。数字证书有不同的类别,不同类别提供不同的信用级别。有关的详细信息,请参阅
12、授权机构 Web 站点上的帮助。登陆 http:/ 页面,可以申请数字证书。申请证书以需要经过以下步骤:第一步,安装 CA 根证书。第二步,申请证书,填写邮件地址和必要的用户信息。第三步,接收证书发放机构发送过来的邮件,获得序列号和密码信息。第四步,下载并安装证书,下载过程需要提供序列号和密码。安装后,可以在系统中查看证书:打开 IE 浏览器,单击“工具”菜单的“Internet 选项”,在弹出的对话框中切换到“内容”选项卡,单击“证书”按钮,在弹出的“证书”对话框中,可以查看系统中已经安装的各个证书。另外,当您发现自已的证书的私钥泄密或其它原因引起不可信时,可以通过页面上的“撤销您的证书”功
13、能,将证书撤消。请注意撤消的证书是不可恢复的。证书申请页面还提供了证书废止列表下载。证书废止列表(CRL)记录了所有我们的 CA 服务用户中被废止的证书的相关信息,系统可能会自动查找证书废止列表并下载,如果需要,您可以手工下载 CRL 文件,选中该文件右击可进行CRL 的安装。 发送数字签名或加密邮件发送数字签名或加密邮件带数字签名的电子邮件允许电子邮件的收件人验证您的身份,加密电子邮件则可以防止其他人在邮件传递过程中偷阅邮件。发送邮件时,可以只对邮件进行签名,或者只对邮件进行加密,也可以对邮件同时进行签名和加密。发送签名邮件要为邮件添加数字签名,请在写邮件窗口“工具”菜单中,单击“数字签名”
14、菜单项,或者单击工具栏的“签名”按钮。使用某个帐户发送数字签名邮件,必须首先为该帐户的电子邮件地址申请一个数字证书,否则,发送邮件时,将提示用户申请数字证书。在帐户属性中,可以为帐户设置证书。发送数字签名邮件时,将使用该证书进行签名,如果没有设置,将弹出“证书选择”对话框,提示用户选择一个证书作为本帐户的证书。发送加密邮件要加密邮件,请在写邮件窗口“工具”菜单中,单击“加密”菜单项,或者单击工具栏的“加密”按钮。发送加密邮件,需要使用收件人的公钥,对邮件进行加密。一般有以下两种方法取得并使用收件人的公钥加密邮件:第一,直接回复带有数字签名的邮件,并对邮件进行加密。回复邮件的收件人自动包含了其证
15、书信息(公钥),双击写邮件窗口“收件人”一栏内的收件人,将弹出地址簿卡片属性对话框,在“数字证书”选项卡可以查看收件人的证书信息。第二,向包含数字证书的卡片发送加密邮件。要把含有公钥信息的数字证书添加到地址簿卡片中,请参考添加数字证书。阅读数字签名或加密邮件阅读数字签名或加密邮件带数字签名的邮件,邮件图标上有一个飘带标记,加密的邮件,邮件图标上有一把锁作为标记。正常情况下,阅读带数字签名或加密的邮件与阅读其他邮件一样,Foxmail会自动显示邮件的内容。但是,如果阅读的邮件存在安全问题,例如邮件已被篡改或发件人的数字证书已过期,Foxmail 将显示安全警告信息,详细说明问题所在。在安全警告信
16、息显示框中,有三个按钮,分别是:打开邮件:显示邮件内容。查看数字证书:查看发件人的数字证书详细信息。编辑信任:查看或修改对该数字证书的信任方式。打开一个带有数字签名或者加密的邮件,邮件内容右上方将显示签名或者加密图标,单击该图标,可以查看邮件的安全属性。在安全属性对话框中,可以查看邮件所采用的签名、加密算法,查看签名、加密证书,对签名邮件,还可以把发件人的数字证书信息添加到址簿中。参考资料:数字证书认证中心简介 CA 中心,又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA 中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中
17、列出的用户名称与证书中列出的公开密钥相对应。CA 中心的数字签名使得攻击者不能伪造和篡改数字证书。当然 CA 中心还需要 配套的 RA(Registration Authority -注册审批机构)系统。 下面我们就分别介绍中心以及注册中心:一,认证中心认证中心(CA)可按照一定的信任模型来组织,通常组织成层状模型。各级 CA 认证机构的存在组成了整个网上信息交流的信任链。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根证书中心(根 CA) ,即一个 CA 可用来证明另外一个 CA 的合法性,而且对于某些 CA,这也是它们
18、的唯一任务。这种认证体系将证书分层,各证书都有上级 CA 的数字签名。1,认证中心的组成(1)签名和加密服务器 对于数字证书,应该有认证机构的数字签名,对于被撤消的数字证书,也应有该认证机构的数字签名。签名和加密服务器就是用来接收来自证书管理服务器的申请,按规则对待签名证书和待签名的 CRL 进行数字签名,并进行证书管理服务器的加密/解密运算(2)密钥管理服务器 密钥管理服务器与签名和加密服务器连接,按配置生成密钥、撤消密钥、恢复密钥和查询密钥(3)证书管理服务器 主要完成证书的生成、作废等操作控制。维护证书库,作废证书库、证书状态库等有关数据库。证书管理服务器是对证书的生成、作废等操作实现的
19、核心。(4)证书发布和 CRL 服务器 证书发布服务器用于将证书信息按一定的时间间隔对外发布,可通过 web server 和 LDAP 实现,Server 为客户提供证书下载和 CRL 下载等服务。(5)在线证书状态查询服务器 证书用户随时都想知道某个证书的最新状态,这是由在线证书状态查询服务器提供的实时查询证书状态的服务服务来完成的。(6)WEB 服务器 用于证书的发布和有关数据认证系统政策的发布。2,认证中心功能的实现 (1)证书发放 通过注册中心的初始身份认证后,注册中心将用户申请提交认证中心,认证中心根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置个字段,并采取不同的方法
20、将证书返回给用户(如用电子邮件形式)(2)证书更新 这个包含两个方面,一是用户证书已经过期或者与证书相关的密钥到了他有效生命终点,或者证书中一些属性已经改变,这都需要更新用户的证书。二是 CA 本身的证书也存在以上的问题,所以CA 根证书也是需要更新的.(3)证书注销 在某种情况下,证书的有效性要求在证书结束日期之前终止或者要求拥护与私钥分离时,证书要被撤消。例如签署者状态发生改变,证书中信息可能已经修改,与用户相关的私钥可能以某种方式泄露。大多数情况下,CA 用来公布已更改的证书状态机制是一个证书撤消列表(CRL) 。CRL 包括已被撤消证书的序列号和撤消日期,还有标志撤消原因的状态。(4)
21、证书验证 它包括如下几个内容,一是证书是否包含一个有效的数字签名,以此证明证书内容没被修改。二是颁发者的公开密钥是否可以验证证书上的数字签名,以确认数据是否来源于真正的数据发送方。三是当前使用的证书是否在证书的有效期内。四是证书是否用于最初分发它的目的。五是检查证书撤消列表 CRL,验证证书是否被撤消。 二, 注册中心 注册中心是数字证书注册审批机构。RA 系统是 CA 的证书发放、管理的延伸,它负责证书申请者的信息录入,审核等工作;同时,对发放的证书完成相应的管理功能,一般来说,注册机构控制注册、证书传递、其他密钥和证书生命周期管理过程中主体、最终实体和 PKI 间的交换,然而任何环境下 R
22、A 都不真正发起关于主体的可信声明。1,RA 的功能(1) 主体注册证书的个人认证(2) 确认主体所提供的信息的有效性(3) 对被请求证书属性确定主体的权利 (4) 确认主体确实拥有注册的私钥(5) 在需要撤消时报告密钥泄露或终止事件(6) 为识别身份的目的分配名字 (7) 在注册初始化和证书获得阶段产生共享秘密(8) 产生公/私密钥对 (9) 认证机构代表最终实体开始注册过程 (10) 私钥的归档(11) 开始密钥恢复处理(12)包含私钥的物理环网(例如智能卡)的分发2,基于 WEB 浏览器的简单注册操作过程 (1) 访问一个 URL,得到一个 Web 页面,它提供输入表单来让申请者指定注册
23、信息 (2) 页面上某处有一个程序用来生成公/私钥对,通常出现一个输入字段,让申请者选择密钥长度 (3) 输入完信息后提交表单,系统自动构造素数,使浏览器开始生成密钥对。 (4) 密钥对生成以后,私钥存储在一个本地应用密钥存储区内,如果是第一次构造密钥存储区,通常还会提示申请者输入口令,使用该口令构造一个加密或解密密钥存储区的对称密钥(5) 当密钥产生完毕,公开密钥就与填入注册表单中的信息一起发送给注册机构的 Web 服务器接口。在有些情况下,申请者此时必须证明其拥有私有密钥,这可以通过对注册申请进行数字签名来证明,RA接收到申请时对签名进行验证。(6) 注册机构检查申请信息并且开始验证用户提
24、供的身份信息。(7) 当证书服务器接收到 RA 的申请后,它根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置各字段。(8) 生成的证书返回给用户,用何种方式返回根据 CA 的具体实现和 CPS 需求的不同而不同。 (9) 当用户单击 URL 时,证书被下载到浏览器(10) 当浏览器发现证书加载操作时,它将返回的证书和先前生成的私钥一起存储到密钥存储区。选作:架构 CA 权威认证服务器参考资料创建权威认证的循序渐进指南此指南介绍了几种适合于 Microsoft Windows2000 操作系统的公共密钥的权威认证(CA),并给出了创建一个权威认证(CA)服务的过程。 内容 介绍 权威
25、认证的前提条件 权威认证的建立 注意事项 相关链接介绍循序渐进指南会帮助用户在网络上创建一个公共密钥的权威认证以运行微软的Windows 2000 操作系统(Microsoft Windows 2000)。 权威认证是一种用来发放使用公共密钥结构所需证书的服务。它可以是一个外部的商业权威认证机构,也可以是用户公司内部的权威认证。授权的证书将允许用户使用智能卡登录,发送加密电子邮件及数字签名文档等等。因为权威认证是一个组织内很重要的一项信任措施,所以多数组织都有它们自己的权威认证。 微软的 Windows 2000 提供了两种权威认证,其类型取决于在安装时选择企业级权威认证(enterprise
26、 CA )标准还是选择独立的权威认证(stand-alone CA)标准。在这些类别中,可有两种类型的权威认证,根和附属( root 或 subordinate)策略模型规定了当一个权威认证接收到一个许可证请求时,它能执行的行为。应注意:更改方法标准可能会改变系统的功能性。客户使用微软平台的软件开发工具集(SDK)来编写策略模块并定制权威认证的行为。 一般地,如果想要为在 Windows 2000 域内的某一机构中的用户或计算机发放许可证,则应安装一个企业级的权威认证;如果想要为在 Windows 2000域外的用户或计算机发放许可证,则应安装一个独立的权威认证。企业级的权威认证要求所有请求许
27、可证的用户在 Windows 2000 服务器的活动目录服务中都有一个入口,而独立的权威认证则不需要。同时,企业级的权威认证可以发放用来登录基于 Windows 2000 的域的许可证,而独立的权威认证则不能。权威认证组织成以位于顶部的根级权威认证为基础信任点的等级体系,所有其他的权威认证都是从属的,并且只有当根被信任时它们才被信任。企业级的根权威认证是该企业的信任点。在基于 Windows 2000 的域中可以有多于一个的企业级根权威认证,这样也就有了多个等级体系。而且,还可以在一个等级体系中混合搭配企业级和独立的权威认证以最好的满足用户需求。 企业级的权威认证有一种特定的策略模块用来实施许
28、可证的处理及发放过程。这些模块使用的策略存放于活动目录中的一个权威认证对象的核心当中。这就意味着要想安装一个企业级的权威认证,必须拥有一个正在工作的活动目录和域名服务器(DNS)。 在独立的等级体系中,独立的根权威认证位于顶部。每一个新独立的根权威认证启动一个新的等级体系。再次说明,可以在一个等级体系中混合搭配企业级和独立的权威认证以最好的满足用户需求。 独立的权威认证拥有一种非常简单的策略模块,并且它假定活动目录服务不可用。然而,如果活动目录是可用的,那么独立的权威认证就可以使用它。 权威认证的前提条件这部分介绍了创建每一种权威认证的要求。在安装权威认证之前,必须满足所有这些要求。 企业级根
29、权威认证一个企业级的权威认证是基于 Windows 2000 的协作权威认证等级体系的根。如果欲使该权威认证能对公司内的用户和计算机发放许可证,则应安装一个企业级的权威认证。出于安全原因,企业级的权威认证通常被配置成只能对从属的权威认证发放许可证。 企业级的权威认证需要以下各项条件: 安装 Windows 2000 的 域名服务器(DNS)服务(活动目录要求) 安装 Windows 2000 的活动目录。企业策略将信息放置于活动目录中。 企业管理员在域名服务器(DNS) ,活动目录和权威认证服务器上享有优先权。这一点是非常重要的,因为安装会修改许多处信息,其中有的是需要有企业管理员的优先权的。
30、企业级从属权威认证一个企业级的从属权威认证是可以在公司内部发放许可证的,但它不是公司中信任度最高的权威认证。(它从属于等级体系中的另一个权威认证。) 企业级的从属权威认证需要以下各项: 一个父权威认证。这可能会是一个外部的商业权威认证或是一个独立的权威认证。 安装 Windows 2000 的域名服务器(DNS)服务(活动目录要求) 安装 Windows 2000 的活动目录。企业策略将信息放置于活动目录中。 企业管理员在域名服务器(DNS) ,活动目录和权威认证服务器上享有优先权。 独立的根权威认证一个独立的权威认证是一个权威认证信任等级体系的根。如果想要在一个公司企业网络外部发放许可证,则
31、需要安装一个独立的根权威认证。通常,根权威认证只能对从属的权威认证发放许可证。例如,你想给你的客户发放许可证以使他们可以访问你的 Web 站点,但不能给每一个在你目录中的人都发放一个帐号。再如:当你出于安全的原因要封锁体系顶部的根权威认证的网络访问,同时又允许一小部分可信赖的人来访问此服务器时。 独立的根权威认证要求本地服务器上的管理员优先权。 独立的从属权威认证独立的从属权威认证是作为独立的认证服务器或是作为居于一个权威认证信任体系之外的。所以,当你要为在公司外的企业发放许可书时应安装一个独立的从属权威认证。 独立的从属权威认证需要以下各项: 一个域安装该从属权威认证相关的父权威认证。同样地
32、,它可以是一个外部的权威认证或是一个商业性的权威认证。 本地服务器上的管理员器的优先级。前提条件本循序渐进的指南假定用户已运行了“Windows2000 Server 配置公共基础结构的循序渐进指南-第一部分及第二部分 “。 公共基础结构文档要求有特定的硬件和软件配置。如果你没有使用公共基础结构,则你在使用该文档时应将其考虑在内。指南中所使用的所有的名称都是基于本指示体系的。 大多数关于硬件要求和服务器、客户机及外部设备的兼容性可在 Windows 2000 产品兼容性站点找到。 安装权威认证你必须以一个企业级管理员的身份登录。 1. 点击“开始“(Start),指向“程序“(Programs
33、) ,再指向“管理工具“(Administrative Tools),然后点击“活动目录用户和计算机“(Active Directory Users and Computers)。 2. 活动目录用户和计算机(Active Directory Users and Computers)插件打开。在左窗口的 R 下,点击“用户“ (Users)文件夹 3. 双击“企业管理组“(Enterprise Admins)。 4. 在“企业管理属性“ (Enterprise Admins Properties)对话框中,点击“成员“(Members)选项卡,然后点击“添加“(Add) 按钮。 5. 在“选择
34、用户、联系人及计算机“(Select Users, Contacts, or Computers)对话框中,点击“Mike Nash“,然后点击“添加“(Add) 按钮,并按“确定“(OK)。 “Mike Nash“是一个安装有基于 Windows 2000 网络的权威认证必要权限的企业管理员。 6. 关闭“活动目录用户和计算机“ (Active Directory Users and Computers)窗口。现在,你需要以企业管理身份登录,如上例所示,以“Mike Nash“身份登录。 注释:在安装企业中间人和企业发放许可证计算机时,你可以用企业管理员身份登录。 安装权威认证步骤: 1.
35、点击“开始“(Start),指向“设置“(Settings)并点击“ 控制面板“(Control Panel)。 2. 双击“添加/删除程序“(Add/Remove Programs)。 3. 点击“添加/删除 Windows 组件“(Add/Remove Windows Components),启动 Windows 组件向导(Windows Components Wizard)。 4. 选择“认证服务“(Certificate Services)复选框并点击“下一步“(Next) 。 5. 如果要想使用权威认证服务的 Web 组件,请选中“IIS“复选框。 6. 向导将提示你指定要安装的权威
36、认证的类型。安装程序会猜测哪些选项被选中以使安装简单。 7. 如果未检测到活动目录,则企业级的两个选项将变为不可选。 8. 如果检测到活动目录,并且在活动目录中没有已注册的权威认证,则企业级根权威认证被选中。 9. 如果在活动目录中已有注册的权威认证,则企业级从属权威认证被选中。 若要对组织内部的公司发放许可证,或需要与活动目录进行无缝集成,或要激活智能卡图标来选择一个企业级权威认证,请选择以下选项: 10.企业级根权威认证-适于在你的目录中没有任何的权威认证,或你需要第二个企业级根权威认证的情况。根权威认证将被注册到该目录下,并且你的公司内的所有的计算机将自动地信任这个根权威认证。这是一种限
37、制根权威认证只对从属权威认证发放许可证,或只发放少量的有特殊目的许可证的好的安全方法。这意味着你要在安装完根权威认证之后安装一个企业级从属权威认证。然而,你也可以只选择根权威认证。 11.企业级从属权威认证-适于你已经安装了一个企业级根权威认证的情况。通常,你会有多个企业级从属权威认证,每一个权威认证或为不同团体的用户服务,或提供不同类别的许可证。如果有多于一个的从属权威认证,则可能在发生灾难时取消从属权威认证,而且不必再组织内重新发放许可证。 如果要对企业外部的公司发放许可证,并且不使用活动目录或Windows 2000 公共密钥基础架构(public key infrastructure
38、,简称 PKI)特性,则你需要的是一个独立的权威认证。选择以下各选项: 12.独立的权威认证-适于你还没有一个独立的权威认证,或你出于不同的原因需要第二个根权威认证的情况。 13.独立的从属权威认证-适于此权威认证将作为一个现存的权威认证等级体系的成员的情况。它的父权威认证可以是一个独立的权威认证,一个企业级权威认证或是一个外部的商业权威认证。14.如果你需要更改缺省的加密设置,选择“高级选项“(Advanced Options)复选框(只有当你知道如何更改加密设置时才能选择“高级选项“ (Advanced Options)) ,并点击“下一步“(Next)。 15.若选择了“高级选项“ (A
39、dvanced Options),向导将提示你指定使用的加密服务提供者。 (若没有选择“高级选项“ (Advanced Options),跳到第 9 步) 在此对话框中,你可以修改加密设置,如加密服务提供者(Cryptographic Service Provider ,简称 CSP), 哈希算法以及其他高级选项。一般地,你不必修改这些缺省设置。需要修改这些设置的用户必须对加密非常熟悉认证服务器和 CAPI 2.0 结构。 CSP 清单会根据在服务器上所安装的软件和硬件的不同而有所不同。“密钥长度“(Key length)用来指定公共密钥和私有密钥对的长度。框中的“缺省“(Default)值将
40、产生一对密钥,其长度由所选的提供者决定。微软推荐使用一个长的密钥长度,如对于一个根权威认证或企业级权威认证使用 1024 或 2048 字节的密钥长度。(注意:一个较长的密钥长度是在计算上可扩展的,但可能不被所有的硬件设备支持。例如,有些智能卡由于卡上空间限制的原因,可能不接受由一个有 4096 字节长度密钥的认证机构发放的许可证。) “使用已有的密钥“(Use existing keys)选项允许用户使用以前的密钥或重用以前安装的权威认证的密钥。但安装一个权威认证时,最好不要重用以前的密钥,除非在重大失败后需恢复该权威认证时。这时,你需导入一套已有的密钥并使用这些密钥安装一个新的权威认证。除
41、此之外,如果你是在失败后恢复一个权威认证,则必须选择“使用相关的许可证“(Use the associated certificate)复选框。这样可确保新的权威认证与老的权威认证有相同的标识。如果未选此复选框,新老权威认证产生新许可证将不同。 注释:私有密钥通常被保存在本地服务器上,除非使用了专门的加密硬件设备。在这种情况下,私有密钥被保存在该设备上。公共密钥置于许可证中,并且若是一个企业级的权威认证,该许可证公布在活动目录中。16.向导将提示你提供有关你的位置和组织的确认信息。 17.注意权威认证机构名称(或通用名称)是非常重要的,因为它是用来标识创建于目录中的权威认证对象的。时间有效期(
42、Valid for time)只适用于根权威认证的设定。为根权威认证的时间有效期(Valid for time)设置一个合理的值,即折衷了安全和管理费用后的一个确切的时间限制。记住每一次根权威认证过期后,管理员必须更新所有的信任关系,并且需要使用一些管理措施产生一个新的许可证。两年或两年以上的时间间隔通常是足够了。当你完成了输入信息后,点击“下一步“(Next)。 18.指定许可证数据库的位置,配置信息和许可证取消清单(Certificate Revocation List,简称 CRL)存放位置的对话框。企业级权威认证将在此目录下长期保存其信息,其中包括 CRL 信息。推荐选择 “共享文件夹
43、“(Shared folder)复选框。该选项指定保存权威认证的配置信息的文件夹所在的位置。应将此文件夹置于一个UNC 路径下,并且使所有的权威认证都指向同一个文件夹。这样,管理工具才能在没有活动目录的情况下确定权威认证的配置信息。如果有活动目录,则此文件夹为可选的。若没有活动目录,则此文件夹是必须的。 如果你正在以前安装权威认证的位置下安装一个新的权威认证,则“保留现存的许可证数据库“(the Preserve existing certificate database)选项是可选的。如果你需要新安装的权威认证使用该数据库,选中该复选框,否则,该数据库将被删除。 当你已为你的信息指定了存储位
44、置后,点击“下一步“(Next)。 19.如果 IIS 正在运行,则会有消息框提示你停止该服务,点击“确定“(OK) 以停止IIS。安装 Web 组件时必须停止 IIS,如果你没有安装 IIS,就不会看到该信息。 20.如果你正在安装一个从属的权威认证,那么向导接下来会提示你指定许可证的请求信息。 点击“浏览“(Browser)来确定一个在线的权威认证的位置,如果你想对一个商业权威认证或是一个从网络上不可访问的权威认证提出请求,则选择“保存请求到一个文件中“(Save the request to a file)(若创建了一个文件,则必须将此文件拿到一个权威认证机构进行处理。该权威认证机构会发
45、给你一个使用 MMC 插件安装的许可证。 )点击“下一步“(Next) 。 21.如果你将一个许可证请求保存到文件中,则名为“微软许可证服务“(Microsoft Certificate Services)的对话框会弹出,点击“确定“(OK)以完成安装,并点击“完成“(Finish)关闭向导。安装完成后,将你的许可证请求文件拿到相关的权威认证机构处理。如果你正在使用微软的许可证服务来处理该文件,你可以参考 许可证服务 Web 网页的循序渐进指南来获得有关处理请求的详细信息。 当你已经获得了许可证后,你便可以使用权威认证机构的 MMC 插件来安装许可证并且激活你的权威认证。 确定许可证服务器的安
46、装无论你创建了一个企业权威认证还是一个独立的权威认证,你都可以快速检查你的安装是否成功。 最简单的方法是打开一个命令窗口,并且键入“net start“查看许可证服务是否正在运行。 对于企业权威认证,打开许可证插件,点击“ 开始“(Start) 并指向“程序“(Programs) ,再指向“管理工具“(Administrative Tools),选择“权威认证 “(Certificate Authority),并请求一个许可证。 对于独立的权威认证,你可以使用 Microsoft Internet Explorer5,连接到http:/Localhost/CertSrv 来申请一个许可证。以服
47、务器名替换本地主机名。欲获得详细信息,请参考 许可证服务 Web 网页的循序渐进指南。 删除许可证服务1. 点击“开始“(Start),指向“设置“(Settings)并点击“ 控制面板“(Control Panel)。 2. 点击“添加/删除程序“(Add/Remove Programs)。 3. 点击“添加/删除 Windows 组件“(Add/Remove Windows Components),将出现 Windows 组件(Windows Components)向导。 4. 清除“许可证服务“(Certificate Services)复选框,并点击“下一步“(Next) 。从文件中安
48、装一个从属的权威认证本部分只适用于安装从属权威认证时创建了一个许可证请求文件的用户。 在开始本部分操作前,请将许可证请求文件交给你的权威认证机构进行处理。它会为你的文件发放一个许可证。如果你要向微软的许可证服务提交该文件,请参考 许可证服务 Web 网页的循序渐进指南,以获得有关如何提交请求文件的详细指导。 本部分使用了许可证服务插件。参考高级许可证管理的循序渐进指南获得详细信息。 1. 打开许可证服务(Certificate Services)插件。 2. 右击你想安装的权威认证。 3. 点击“安装权威认证许可证“(Install CA Certificate),将出现安装权威认证许可证(I
49、nstall CA Certificate)向导。 4. 按照向导指示,选择含有由你的认证机构提供许可证的文件。 5. 点击“完成“(Finish)结束安装。你的权威认证已被安装并等待确认。 注释独立策略行为许可证服务器的独立策略行为已经更改。过去,缺省的策略模块是立即处理请求并发放许可证,而新的独立策略则将请求置于等待状态直到管理员手动的提出请求。该种新的行为只影响独立的权威认证。企业策略仍然立即处理请求。 在远程服务器上安装网页对于企业权威认证,则许可证服务网页必须与该权威认证安装在同一台计算机上。该权威认证机构需要授权其客户,以确保其只能申请客户允许范围内的许可证。如果这些网页放在与 Web 服务器不同的计算机上,则该权威认证机构无法授权其用户。 安装权威认证和 Web 服务器权威认证必须在 Web 服务器安装之后安装,以确保网页已被安装。如果先安装权威认证,并且它仍然
