证书服务器

Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站

?配置环境

?了解HTTPS

?配置CA证书服务器

?新建示例网站并发布在IIS

?新建自签名证书并配置HTTPS

?故障排除

o其它机器无法通过访问

Windows版本：Windows Server 2008 R2 Enterprise

Service Pack 1

系统类型： 64 位操作系统

为什么需要HTTPS？

在我们浏览网站时，多数网站的URL都是以HTTP开头，HTTP协议我们比较熟悉，信息通过明文传输;

使用HTTP协议有它的优点，它与服务器间传输数据更快速准确;

但是HTTP明显是不安全的，我们也可以注意到，当我们在使用邮件或者是在线支付时，都是使用HTTPS;

HTTPS传输数据需要使用证书并对进行传输的信息进行了加密处理，相对HTTP更安全。

https://www.wendangku.net/doc/db12348274.html,/wiki/HTTPS

https://www.wendangku.net/doc/db12348274.html,/blog/2011/02/seven_myths_about_https.h tml

开始菜单-->管理工具-->服务器管理器

选择左侧树形菜单“角色”节点，右键“添加角色”

勾选“Active Directory 证书服务”，点周“下一步”按钮

点击“下一步”按钮

点击“下一步”按钮，会弹出“添加角色向导”界面点击“添加所需的角色服务”按钮

点击“下一步”按钮

指定安装类型，选择“企业”，点击“下一步”按钮，“企业”需要域环境

“独立”不需要域环境

选择“根”，点击“下一步”按钮

选择“新建私钥”，点击“下一步”按钮

选择加密服务提供程序：“RSA#Microsoft Software Key Storage Privoider”密钥字符符长度：“2048”

选择此CA颁发的签名证书的哈希算法： SHA1

然后点击“下一步”按钮

这里最好不要改名字，直接点击“下一步” 按钮

直接“下一步”按钮

这里是证书数据库和日志的地址，按默认路径就可以，然后点击“下一步”按钮

点击“下一步”按钮，要求IIS服务器

勾选上运行https://www.wendangku.net/doc/db12348274.html,网站必须的项，点击“下一步”按钮

点击“安装”按钮

提示各项都安装成功后，点击“关闭按钮”

选中IIS根节点，在”功能视图“中找到”服务器证书“，进入

找到文章前面配置好的CA，”adserv-PORSCHEV-CA“，点击“创建自签名证书”

给要创建的自签名证书输入一个好记的名字

重新在IIS添加网站

绑定类型：Https

端口号默认是443，可以不修改

SSL证书选择刚创建好的自签名证书，点击”确定“.

广州市数字证书管理中心国税网办应用数字证书申办指引

广州市数字证书管理中心国税网办应用数字证书申办指引 一．申办流程 （一）申办方式 办理方式分为网上申办和培训现场填表办理两种。 1.网上申办：准备好已连接打印机且能上互联网的电脑，登录数字证书管理中心网站https://www.wendangku.net/doc/db12348274.html, 点击“机构证书在线申请”，根据界面提示，认真阅读申请责任书，并填写相关信息，填写完毕后，需要打印一式三份的申请表和协议书。 2.现场填表办理：与网上申办不同之处在于用户是在网点现场填写申请表格，用户需携带公章到经 办网点。流程相对网上申办方式复杂，建议所有用户采用网上申办方式。 （二）网上申办流程 下面根据用户目前的两种类型分别介绍网上申办流程： A．全新证书用户B.已有证书用户(已申领广州市市国家税务局网上报税证书用户) A全新证书用户申办流程 1)登陆https://www.wendangku.net/doc/db12348274.html,选择“机构或企业数字证书在线申请”，首先认真阅读数字证书申请责任书， 同意责任书中条款方可进入申请页面，询问是否办理过数字证书选项选择否 2)选择您要开通的国税业务和年费缴纳期限 3)自助选择您要领取证书的地点。 4)如实填写机构相关资料信息。 5)填写完毕按提交后，注意同时打印申请表格一式三份，并加盖公章。请保存好您的受理编号和 证书申请ID号，该号可用于在证书管理中心的网站上查询您的证书状态。 6)申请完毕后,请保留好您的申请表格，数字证书管理中心会在7到10个工作日内生产出您申请的 数字证书。您将会在这个时间范围内得到数字证书管理中心的证书领取通知，如果您没有得到 通知也可以登录网站https://www.wendangku.net/doc/db12348274.html,查询您的证书受理状态，用户名为您的ID号，受理编号为 密码,登陆网站后可以查询您的证书状态,状态为“受理中”则您还需要继续等待,当您看到证书状 态为“可领取”或“已派区”时，请携带好相关资料前往相关证书服务网点领取您的数字证书。 7)前往服务网点领取数字证书 需要携带的资料及费用包括： ?单位性质的证明文件原件及复印件（营业执照（副本））（复印件一式三份需加盖单位公章）。 ?组织机构代码证原件及复印件（副本）（复印件一式三份需加盖单位公章） ?国税税务登记证原件及复印件(复印件一式三份需加盖单位公章) ?法定代表人或办理人的身份证原件及复印件（复印件一式三份需加盖单位公章）。 ?打印好的申请表及申请责任书（一式三份需加盖单位公章）。 ?证书介质费用和服务费用。收费标准见后续收费表。 8)证书安装和使用，详见安装使用手册。 B 已有证书用户 此类用户本身已经申办过社保机构数字证书，需要开通市国税网办服务有两种选择：?新办理市国税网办业务专用的机构业务（操作员）证书。 ?共用原来的机构数字证书，直接开通市国税网办服务。 9)机构操作员证书申办流程 登录网站https://www.wendangku.net/doc/db12348274.html,，进入机构操作员证书申请窗口后,、填写您的机构数字证书ID号。 （请注意:此ID号为您企业领取网上社保数字证书时系统所赋予的ID号,请在您的数字证书 包装盒外表查找。如果无法找到，请电话咨询客户热线。由于省社保证书用户的机构证书ID 号没有告知用户本身，因此用户需要先电话咨询客户热线，我们的服务人员将为您查询系统 分配给您的ID号。）

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问：可匿名访问的共享；——清空 网络访问：可匿名访问的命名管道；——清空 网络访问：可远程访问的注册表路径；——清空 网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

苏州市数字证书认证中心电子认证服务协议(非个人)

苏州市数字证书认证中心电子认证服务协议（非个人） 数字证书（以下简称证书）是苏州市数字证书认证中心（以下简称苏州CA中心）签发的网上凭证，是为身份确实、资信可靠的个人、单位和服务器等在网上进行安全电子交易、安全电子事务处理等提供的一种身份认证。凡企业、机关团体、行政事业等单位、个人和服务器数字证书申请人（以下简称证书申请人）均可向苏州CA中心的业务受理审批单位申请领用数字证书。 为了保障数字证书申请人的合法权利，维护苏州市数字证书认证中心的合法经营权益，双方本着自愿、平等的原则，达成以下协议书条款，双方共同遵守执行。 一、协议双方的权利与责任 1.证书申请人的权利与责任 （1）证书申请人必须按照苏州CA中心的有关规定办理申请手续，如实提交各种申请材料，如实填写证书申请表格。证书申请人必须对所提供资料的真实性、合法性及完整性负责。 （2）证书申请人在身份审核时，故意或过失提供不真实资料，导致苏州CA中心签发证书错误，因而造成损失时，由证书申请人承担一切相关责任。 （3）证书申请人应当妥善保管苏州CA中心所签发的数字证书和私钥及保护密码，不得泄漏或交付他人。如因故意、过失导致他人知道或遭盗用、冒用、伪造或者篡改时，证书申请人应当自行负责承担一切责任；如遇遗失或被窃，应立即向苏州CA中心或其受理审批单位办理挂失/报失，并配合调查。 （4）如发生第（3）条情况，或者证书申请人不希望继续使用数字证书时，应当立即到受理审批单位申请报失数字证书。报失手续遵循苏州CA中心的规定。苏州CA中心在接到受理审批单位的报失申请后，在24小时内废止证书申请人数字证书。证书申请人应当承担在数字证书废止之前所有使用数字证书造成的责任。 （5）证书申请人数字证书的有效期为1年或2年。证书申请人必须及时提出数字证书更新请求。苏州CA中心对此不负任何责任。 （6）证书一律不得转让、转借或转用。因转让、转借或转用而产生的一切损失均由证书申请人负责。若单位的法人、网站等发生变动，应立即通知苏州CA中心。因证书申请人信息发生变化且未及时通知苏州CA中心更新证书信息而造成的不良后果由证书申请人自行承担。 （7）所有使用证书在网上进行的电子商务活动均视为证书申请人所为，因此而产生的一切后果均由证书申请人负责，证书申请人必须遵守国家的相关规定。 （8）证书申请、废止、更新等的审核权在苏州CA中心，证书申请人必须按照苏州CA中心制定的有关规定按期缴纳相关费用。如申请人未能按时缴纳费用的，由此产生的一切后果均由证书申请人承担。 （9）如果证书申请人单位停业或解散时，则其法定责任人需要携带相关证明文件及原数字证书申请表格存根，向苏州CA中心请求报失证书申请人数字证书。如果数字证书申请证明遗失，凭法律效力证明废止证书申请人数字证书。相关责任人应当承担其数字证书在废止前产生的一切行为。 2.苏州CA中心的权利与责任 （1）苏州CA中心发放的各类型数字证书只能用于在网络上标识身份、加密数据、保证网络安全通讯，不能作为其他任何用途。若证书申请人将其数字证书用于其他用途，苏州CA中心不承担任何责任。

CA服务器配置原理与图解过程

CA（证书颁发机构）配置概述图解过程 一．CA（证书颁发机构）配置概述 由于现在安全问题日益严重，为了保证数据传输的性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。 CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书包含了拥有证书者的、地址、电子、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA 和独立从属CA。 安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入[url]ca[/url]服务器的IP地址或者计算机名/certsrv 即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。 使用证书：我们可以自己架设一个最简单的POP3服务器，来实现服务。现在假设lily 要向lucy发送一封加密和签名电子，在lily这边的outlook中选择工具----，选择lily的，再单击属性--安全，选择证书就可以了。在lucy处做同样的操作。 二．证书服务器图解过程试验拓扑：

服务器证书安装配置指南

服务器证书安装配置指南（Tomcat 6） 一、生成证书请求 1. 安装JDK 安装Tomcat需要JDK支持。如果您还没有JDK的安装，则可以参考Java SE Development Kit (JDK) 下载。下载地址： https://www.wendangku.net/doc/db12348274.html,/javase/downloads/index.jsp 2. 生成keystore文件 生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录，运行keytool命令。（示例中粗体部分为可自

定义部分，请根据实际配置情况作相应调整） keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中，server为私钥别名(-alias)，生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password

备份密钥库文件keystore.jks，并稍后提交证书请求文件certreq.csr，等待证书签发。 二、导入服务器证书 1. 获取服务器证书中级CA证书 为保障服务器证书在客户端的兼容性，服务器证书需要安装两张中级CA 证书(不同品牌证书，可能只有一张中级证书)。 从邮件中获取中级CA证书： 将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）分别粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为intermediate1.cer和intermediate2.cer文件。 2. 获取服务器证书 您的keystore密码 将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括

服务器配置基础知识

文件服务器配置 1、以系统管理员身份登录Windows Server 2003系统，在开始菜单中依次单击【管理工具】→【管 理您的服务器】菜单项，打开“管理您的服务器”窗口。在“添加角色到您的服务器”区域中单击【添加或删除角色】按钮，进入配置向导并单击【下一步】按钮，如图7-1所示。 2、配置向导完成网络设置的检测后，如果是第一次使用该向导，则会进入“配置选项”对话框。选 中【自定义配置】单选钮，并单击【下一步】按钮，如图7-2。 3、打开“服务器角色”对话框，在“服务器角色”列表中选中【文件服务器】选项，并单击【下一步】 按钮，如图7-3所示。 4、在打开的“文件服务器磁盘配额”对话框中选中【为此服务器的新用户设置默认磁盘空间配额】复 选框，并根据磁盘存储空间及用户实际需要在【将磁盘空间限制为】和【将警告级别设置为】编辑框中输入合适的数值（如500M）。另外，选中【拒绝将磁盘空间给超过配额限制的用户】复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。单击【下一步】按钮，如图7-4所示。

5、打开“文件服务器索引服务”对话框中，选中【是，启用索引服务】单选钮，启用对共享文件夹的索引服务。单击【下一步】按钮，如图7-5所示。 6、添加向导开始启用所选服务，完成后会自动打开“共享文件夹向导”对话框。单击【下一步】按钮，如图7-6所示。 7、在打开的“文件夹路径”对话框中单击【浏览】按钮，打开“浏览文件夹”对话框。在本地磁盘中找到准备设置为公共资源的文件夹，并依次单击【确定】→【下一步】按钮，如图7-7所示。

8、打开“名称、描述和设置”对话框，在这里可以设置共享名和描述该共享文件夹的语言。设置完毕后单击【下一步】按钮，如图7-8所示 9、在打开的“权限”对话框中选中【管理员有完全访问权限；其他用户有只读访问权限】单选钮，并依次单击【完成】按钮，如图7-9所示。 10、打开“共享成功”对话框，在“摘要”文本框中显示出了共享文件夹路径、共享名和共享路径。其中共享名和共享路径用来向网络用户公布。单击【关闭】按钮即可，如图7-10所示。搭建文件服务器的目的之一就是要设置用户对共享资源的访问权限，用户需要有合法的账户才能访问这些资源，因此需要在服务器中创建用户账户。

数字证书驱动安装说明

数字证书驱动安装说明 驱动安装步骤： 第一步：在GDCA网站（https://www.wendangku.net/doc/db12348274.html,）或者网挂系统网站下载数字证书客户端普通版驱动（3.9版本以上）。 第二步：在安装包中，双击“Setup.exe”文件执行运行程序，进入程序安装主页面，如图1。 （图1） 第三步：在图1中，选择“安装GDCA数字证书客户端”选项，进入准备安装页面，如图2。 （图2） 第四步：单击“下一步”，进入用户信息页面，如图3。正确填写“用户姓名”和“单

位”，其他保持默认设置即可。 （图3） 第五步：单击“下一步”，进入到“自定义安装”页面，如图4。 （图4） 第六步：保持所有默认值设置，单击“下一步”，进入“请输入GDCA KEY序列号”页面，如图5。

（图5） 第七步：在“序列号”输入框输入已经办理的数字证书外壳上由字母和数字组成的8位序列码（如W807####）。单击“下一步”，进入“已做好安装程序的准备”页面，如图6。 （图6） 第八步：单击“安装”按钮，计算机自动进行安装。在自动安装过程中会弹出“请确认UKEY已经拔出！”页面，如图7。请在确定正在安装驱动程序的计算机上没有插入数字证书后，单击“继续”按钮。

（图7） 第九步：驱动程序安装完成后，自动弹出“安装完成”提示页面，如图8。单击“完成”按钮即可。 （图9） 第十步：在如图1所示的页面中，选择“退出”按钮退出“程序安装主页面”，并重新启动计算机。 第十一步：计算机重新启动后，插入数字证书，计算机会自动弹出提示信息，如图10所示。

（图10） 第十二步：打开IE浏览器（建议使用IE8版本），输入网上挂牌交易系统域名，在登录网页输入密码，并单击“登录”按钮。若出现如图11所示的提示信息，说明IE自动禁止了数字证书的加载。请查看浏览器是否有如图12所示的提示信息，重新进入登录页面，右键该提示信息并选择“允许运行该加载项”，装载完成后，输入密码进行登录即可。 （图11） （图12）

Windows2003 证书服务器配置

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘 添加IIS组件： 点击‘确定’，安装完毕后，查看IIS管理器，如下： 添加‘证书服务’组件：

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口： 由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’： 填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。 点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口： 单击‘是’，继续安装，可能再弹出如下窗口： 由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS 的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP 功能，点击‘是’继续安装：

‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构，打开如下窗口： 我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器（CA）的IIS下多出以下几项：

北京数字证书认证中心

北京数字证书认证中心 单位数字证书申请表 用户在填写申请表之前，请仔细阅读以下注意事项： ●请用钢笔或圆珠笔如实、准确、清楚地一式两份填写，用户与证书受理点各执一份。 ●申请证书所需要提交的资料如下： ①企业需提交“企业法人营业执照（副本）”或“营业执照（副本）”的原件和复印件; 事业单位需提交“事业单位法人登记证（副本）”或“事业单位登记证（副本）”的原件和复印件; 其他单位提交上级主管部门或具有法人资格的挂靠单位签发的有效证明文件原件和复印件。 ②所有单位都需提交组织机构代码证（副本）的原件和复印件。 ③所有单位都需提交税务登记证（副本）的原件和复印件。 ④所有单位都需提交办理人有效身份证件的原件和复印件。 （注：以上所有复印件，必须加盖申请单位公章） ●用户在正式递交申请之前请仔细阅读“数字证书用户责任书”，一旦递交则视作承认并遵守责任书中的 各项规定，如违反规定，将接受处罚至承担法律责任。 ------------------------------------------------------------------------------------------------------------------------------------- 以下信息由单位填写： 计算机代码：□□□□□□□ 单位名称：______________________________________________________________________ 主管单位名称：___________________________________________ (如无主管单位，则填本单位名称) 邮政地址：_________________________________________邮政编码：□□□□□□ 单位电话：_______________________ 单位传真：______________________________________ 法人姓名：____________法人电话：____________ 法人电子邮件：_________________________ 组织机构代码：□□□□□□□□-□ 工商营业执照注册号：________________________________________________________________ 税务登记证号（地税）：□□□□□□□□□□□□□□□□□□ 办理人姓名：_______________________ 联系电话：___________________________________ 办理人身份证号：□□□□□□□□□□□□□□□□□□ 申请单位在此郑重申明：表内所填内容完全属实，接受据此颁发的数字证书，保证遵守证书申请责任书中所明确的职责，并承担相关法律责任。 单位法人签名：_______________ 日期：_____年____月____ 日申请单位盖章处 ------------------------------------------------------------------------------------------------------------------------------ 以下信息由证书受理点填写： 密码信封序列号：□□□□□□□□□□□□□□□ 受理人签名：________________ 受理日期：_____ 年____月____ 日证书受理点盖章处

windowsca证书服务器配置(二)——申请数字证书

在IE地址栏中输入证书服务系统的地址，进入服务主页： 点击‘申请一个证书’进入申请页面： 如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例： 申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。 需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。 如果想查看更多选项，请点击‘更多选项’： 在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider ，选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人

设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’： 单击‘是’： 单击‘设置安全级别’： 将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口： 输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。 单击‘完成’： 单击‘确定’，浏览器页面跳向如下： 到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发，如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访

CA服务器配置原理与图解过程

C A服务器配置原理与图 解过程 SANY GROUP system office room 【SANYUA16H-

CA（证书颁发机构）配置概述图解过程 一．CA（证书颁发机构）配置概述 由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。 CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA和独立从属CA。 安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。 使用证书：我们可以自己架设一个最简单的POP3服务器，来实现邮件服务。现在假设lily要向lucy发送一封加密和签名电子邮件，在lily这边的outlook中选择工具--帐户--邮件，选择lily的帐户，再单击属性--安全，选择证书就可以了。在lucy处做同样的操作。 二．证书服务器图解过程试验拓扑： 试验内容以及拓扑说明：

数字证书认证服务机构名单

卫生部复审、测试的数字证书认证服务机构名单 根据《卫生系统电子认证服务管理办法（试行）》和《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》和卫生系统电子认证服务体系建设系列技术规范的要求，经认真复核和测试，现公布通过卫生部复审、测试的数字证书认证服务机构名单，名单如下： 第一批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2010）23号）（中华人民共和国卫生部 2010-11-0414:35:09） 一、北京数字证书认证中心有限公司 二、上海市数字证书认证中心有限公司 三、江苏省电子商务证书认证中心有限公司 四、东方中讯数字证书认证有限公司 五、湖南省数字认证服务中心有限公司 六、福建省数字安全证书管理有限公司 第二批通过卫生部复审、测试的数字证书认证服务机构名单（中华人民共和国卫生部通告（2011）1号）（中华人民共和国卫生部2011-01-07 08:57:21） 一、新疆数字证书认证中心（有限公司） 二、国投安信数字证书认证有限公司 三、山西省数字证书认证中心（有限公司） 四、河南省数字证书有限责任公司 五、山东省数字证书认证管理有限公司 六、江西省数字证书有限公司 第三批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2011〕9号） （中华人民共和国卫生部 2011-05-09 17:55:03）

一、陕西省数字证书认证中心有限责任公司 二、广东省电子商务认证有限公司 三、辽宁数字证书认证管理有限公司 四、广东数字证书认证中心有限公司 五、西部安全认证中心有限责任公司 六、河北省电子商务认证有限公司 第四批通过卫生部复审、测试的数字证书认证服务机构名单（卫通〔2012〕2号） （中华人民共和国卫生部 2012-03-01 12:28:43） 一、安徽省电子认证管理中心有限责任公司 二、湖北省数字证书认证管理中心有限公司 三、浙江省数字安全证书管理有限公司 四、深圳市电子商务安全证书管理有限公司

数字证书详解要点

数字证书 一. 什么是数字证书？ 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在互联网上用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用X.500格式； 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； 证书所有人的名称，命名规则一般采用X.500格式； 证书所有人的公开密钥； 证书发行者对证书的签名。

使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。 二. 为什么要使用数字证书？ 基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。 1、信息的保密性 交易中的商务信息均有保密的要求。如信用卡账号和用户名被人知悉，就可

windowsca证书服务器配置——申请数字证书

Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页： 点击‘申请一个证书’进入申请页面：

如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例：

申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。 需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。 如果想查看更多选项，请点击‘更多选项’：

在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider ，选择其他CSP 不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：

单击‘是’： 单击‘设置安全级别’： 将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：

输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。 单击‘完成’： 单击‘确定’，浏览器页面跳向如下：

服务器基础知识(初学者必看)

服务器基础知识【初学者必看】 1. 什么是服务器 就像他的名字一样，服务器在网络上为不同用户提供不同内容的信息、资料和文件。可以说服务器就是Internet网络上的资源仓库，正是因为有着种类繁多数量庞大内容丰富的服务器的存在，才使得Internet如此的绚丽多彩。 2. 服务器的种类和功能 (1) WWW服务器(WWW Server) WWW服务器也称为Web服务器(Web Server)或HTTP服务器(HTTP Server)，它是Internet上最常见也是使用最频繁的服务器之一，WWW服务器能够为用户提供网页浏览、论坛访问等等服务。比如：我们在使用浏览器访问https://www.wendangku.net/doc/db12348274.html,的时候，实际上就是在访问Discuz!的WWW服务器，从该WWW服务器获取需要的论坛资料和网页。 (2) FTP服务器(FTP Server) FTP服务器是专门为用户提供各种文件(File)的服务器，FTP服务器上往往存储大量的文件，例如：软件、MP3、电影、程序等等。用户只要使用FTP客户端软件登录到FTP服务器上就可以从FTP服务器下载所需文件和资源到自己的电脑上，同时，

你也可以把自己电话上的文件上传到FTP上供其他用户下载，以实现文件资源的共享。 (3) 邮件服务器(Mail Server) e-mail是Internet上应用最频繁的服务之一，而Internet上每天数亿百亿计的电子邮件的收发都是通过邮件服务器实现的。邮件服务器就像邮局一样，可以为用户提供电子邮件的接收存储和发送服务。 除了以上介绍的3种主要服务器之外，还有很多其他类型的网络服务器，例如：数据库服务器(DatabaseServer)、代理服务器(Proxy Server)、域名服务器(Domain Name Server)等等…… 3. 服务器的操作系统 目前服务器中使用的操作系统主要有两类：Windows和Unix。 (1) Windows Windows是美国微软公司(Microsoft)开发的操作系统，在服务器领域，主要有Windows2000Server/Advanced Server/Data Center与Windows2003 Standard Edition/EnterpriseEdition操作系统，Windows的优点是操作简 单，由于Windows使用图形界面进行操作，因而对各种服务器软件功能配置简

实验二 数字证书的申请及安装

实验二数字证书的申请及安装 【实验目的】1. 了解认证体系的体制结构、功能、作用、业务范围及运行机制。 2. 掌握网上申请个人数字证书的方法。 3．掌握数字证书的导入、导出和安装。 【实验环境】Internet、Internet Explorer 【主要内容】1. 通过搜索国内认证机构网站，了解其功能、作用及所提供的业务 2.在“中国协卡认证体系”网站（https://www.wendangku.net/doc/db12348274.html,）为自己 申请“个人安全电子邮件证书”。 3.登录广东省电子商务认证中心网站（https://www.wendangku.net/doc/db12348274.html,），为 自己申请试用版网证通数字证书。 【操作流程】 图1-9 数字证书的申请及安装流程 【实验导读】 数字证书的原理及作用 数字证书采用PKI（Public Key Infrastructure）公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。用户采用自己的私钥对发送信息加以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。

数字证书的颁发 数字证书是由认证中心（CA机构，Certificate Authority）颁发的。 认证中心是能向用户签发数字证书以确认用户身份的管理机构。它作为电子商务交易中受信任的第三方，一方面为每个使用公开密钥的用户发放一个数字证书，其作用是证明证书中列出的用户合法拥有证书中列出的公开密钥；另一方面承担公钥体系中公钥的合法性检验的责任。 ?数字证书颁发过程 数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。 作为个人用户，你既可以为自己申请数字证书，也可以为一台安全服务器申请数字证书。数字证书有试用版和正式版两种，试用版申请过程在网上即时完成，并立即可以免费使用。正式版数字证书则需要额外的处理方法及时间，一般过程是用户首先在网上填写数字证书申请资料，认证中心在接收到申请请求后，它将对申请人的身份进行审核，当用户的申请请求满足认证中心的所有要求后，认证中心将为其制作证书，然后发送给申请人或者是申请人在网上下载自己的证书。 ?根证书及根证书下载 所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明你对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 ?个人数字证书 数字证书是在Internet上用来证明用户身份的一种方式，它是一份包含用户身份信息、用户密钥信息以及CA中心数字签名的文件。申请个人数字证书可以为Internet用户提供发送电子邮件的安全和访问需要安全连接（需要客户证书）的站点。

Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？ 数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障； 注：数字证书，下面均简称证书； 二、如何搭建证书服务器？ 搭建证书服务器步骤如下： 1、登陆Windows Server 2008服务器； 2、打开【服务器管理器】； （图2） 3、点击【添加角色】，之后点击【下一步】；

（图3） 4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；

（图4） 5、进入证书服务简介界面，点击【下一步】； （图5） 6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；

（图6） 7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”） (图7) 8、首次创建，勾选【根CA】，之后点击【下一步】；

服务器配置与管理

《服务器配置与管理》课程标准 一、概述 （一）课程性质 本课程为计算机网络技术专业的专业必修课,是一门实践性很强的理论实践一体化课程。 本课程以计算机应用基础作为前期基础课程，通过本课程的学习，让学生掌握计算机网络的基本理论，让学生掌握构建局域网的能力，并为学生将来进一步学习网络知识打下基础。同时使学生养成对常用的计算机网 工作“连接网络之联网设备”“认识计算机网络之网络协议”“连接网络之网络寻址”，最后，学习“组建小型交换网络-配置交换机”“连接互联网之配置路由器”，由浅到深，一步步学习组建局域网及管理。

，培 总结计算机网络的概念和主要组成部分；会使用计算机网络所能提供的各种服务（www/mail/ftp等）；简单描述各种不同的网络环境。 2．进行网络的物理连接 按需要选择网络传输介质，并制作、测试网络线，把计算机与网络设备连接起来，并能根据设备面板的批示灯，确定网络的工作状态。能利用无线设备组建无线网络。 3．网络逻辑连接 根据小型网络的特点，规划网络的IP地址，并按照子网隔离的要求，

进行子网划分。知道MAC地址在局域网通信中的作用，并能实现MAC地址与IP地址的绑定。 4．交换机的配置 利用交换机连接网络，并对交换机进行基本的配置、测试，初步掌握IOS命令的使用及交换机的工作过程，为构建交换式网络打下基础。 5．互联网连接 根据小型网络的特点，选择宽带路由器，并对宽带路由器进行基本配置，实现互联网的接入，对宽带路由器进行高级配置，实现互联网接入的

（一）教学建议 由于本课程的主要教学内容涉及家庭及办公网络调研，网络的组建连

数字证书安全认证解决方案

数字证书安全认证 解决解决方案方案 广东省数字证书认证中心 2008年

目 录 1 概述............................................................................................................3 2 需求............................................................................................................ 3 3 系统架构....................................................................................................5 4 主要产品及需求实现................................................................................6 4.14.1 客户端....................................................................................................6 4.24.2 服务器端................................................................................................6 4.34.3 安全需求的实现 (7) 5 设备配置清单 (8)