CA服务器基于环境的建站策略.docx
《CA服务器基于环境的建站策略.docx》由会员分享,可在线阅读,更多相关《CA服务器基于环境的建站策略.docx(37页珍藏版)》请在冰豆网上搜索。
CA服务器基于环境的建站策略
Windows2003的完整建站方案
1.概述1
2.系统架构2
2.1网站架构3
3.网站的建立(MSIIS6)4
3.1配置IIS64
3.2Web服务器上设置SSL8
3.2.1Web服务器的证书请求8
3.2.2WEB服务器安装服务器证书13
4.CA中心建设18
4.1安装独立的根证书颁发机构19
4.4启动或停止证书颁发机构21
4.5设置收到证书申请时的默认动作21
4.6设置安全性以访问证书颁发机构Web页24
4.7吊销已颁发的证书24
4.8安排证书吊销列表的发布日程25
4.9CA证书的颁发25
4.9.1普通/高级证书的颁发25
4.9.2颁发WEB服务器证书26
4.9.3检索证书颁发机构证书28
5.0.0申请个人证书28
1.概述
随着计算机技术和现代通信技术的迅猛发展,尤其是互联网(Internet)服务的触角已迅速伸向了大众生活的每个角落,使信息的沟通和传递达到了空前的快捷和通畅。
基于互联网的“电子商务”也在这个时候演变为汹涌的新经济浪潮,并将“商务”概念延伸到制造业、零售业、服务业、金融业,从而使传统经济模式下的连锁企业、跨国企业在网络面前变得黯然失色。
在中国,随着加入WTO脚步的临近,面对“网络经济”的低成本,高成长和由此导致的“本土”与“非本土”经济的平等竞争,国内企业应在这块发展中的“处女地”上迅速树立“品牌”,并以高新技术完善服务。
由于互联网具有充分开放、管理分散和不设防三大特点,因而实现网上支付关键的问题是信息的安全性,主要包括三个方面:
一是信息的保密性,只有有合法的接收实体,才能解读信息;二是信息的完整性,即接收到的信息确实是由合法的发送实体发出,内容没有被篡改或被替换;三是信息的不可否认,即发送实体日后不可否认已经发出的信息。
由此,我们提出Windows2003的完整建站方案。
2.系统架构
本系统基于Internet技术构建,用户通过ISP接入访问网站,利用网站提供的服务功能完相关操作。
2.1网站架构
网站硬件主要由两台服务器构成,其中包括WebServer、CAServer。
(可选:
辅助设备包括DBServer、ProxyServer、处理加密数据的加密机及用于日常数据备份的磁带机。
)
1.WebServer,用于发布网页,(可选:
连接DBServer,将校验无误的数据登录数据库;)支持容错机制,保证高峰期运行和数据安全。
2.CAServer,可选择独立于网站安装,是系统为服务端及用户端提供认证服务的公共受信任机构,其负责签发系统内各单元的数字证书并提供一系列包括证书管理在内的安全服务;
3.系统中其他的辅助设备,用于日常数据的管理,操作,备份等。
网站软件部分采用的商业软件产品主要包括操作系统;Web服务前端软件;邮件服务软件;后台数据库软件;代理及防火墙、防病毒软件;CA系统软件等。
⏹操作系统目前以MSWindows2003Server为主;
⏹Web服务前端软件为MSIIS6;
⏹CA系统采用MSWindows2003CA;
3.网站的建立(MSIIS6)
3.1配置IIS6
●安装MSWindows2003Server(如果要在本计算机上安装MSWindows2003CA,则本计算机磁盘分区中一定要有一个分区为NTFS分区)。
●进入Windows2003Server的“控制面板”中,打开“添加/删除程序”选择“添加/删除windows”项。
在弹出的界面中选择“INTERNET 信息服务”项,点击”下一步”完成安装。
如图:
●进入Windows2003Server的“管理工具”中,打开“INTERNET服务管理器”,进入INTERNET 信息服务界面。
选择“默认WEB站点”,选择“属性”。
如图:
●在弹出的“默认WEB站点属性”界面中,选择“主目录”项,在“本地路径”中输入要发布的网页目录。
输入要发布的网页目录
●在“默认WEB站点属性”界面中,选择“目录安全性”项,在“本地路径”中输入要发布的网页目录。
3.2Web服务器上设置SSL
3.2.1Web服务器的证书请求
Web服务器要求有效的服务器证书以建立SSL通信。
使用Web服务器证书向导生成发送到证书颁发机构的证书请求文件(默认情况下为NewKeyRq.txt),或生成对联机证书颁发机构(如Microsoft证书服务)的请求。
●使用Web服务器证书向导生成发送到证书颁发机构的证书请求文件。
进入Windows2003Server的“管理工具”中,打开“INTERNET服务管理器”,进入INTERNET 信息服务界面。
选择“默认WEB站点”,选择“属性”。
选择“目录安全性”,点击“服务器证书”。
如图:
点击
●在弹出的“IIS证书向导”界面中,选择“创建一个新证书”项。
点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中,选择“现在准备请求,但稍后发送”项。
点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中,输入新证书的名称,选择加密钥的位长。
点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中,输入组织和组织部门的名称,点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中,输入公用名称(建议输入本机的IP地址),点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中,输入一些相关的地理信息,点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中,输入请求文件的名称,点击“下一步”。
IIS证书向导会弹出一个信息界面。
如图:
●点击“下一步”,完成证书请求向导。
3.2.2WEB服务器安装服务器证书
CA接到WEB服务器的证书请求后,将审查,批准证书请求(此过程参考CA架设过程细节描述4.9.2部分),返回处理后的WEB服务器的证书请求。
接收到服务器证书文件后,可以使用向导安装它。
安装进程将证书附加或“绑定”到Web站点。
注意每个Web站点只能有一个服务器证书。
●在Internet信息服务管理单元中,选择需使用SSL保护的Web站点并打开其属性页。
在“Web站点”属性页的“Web站点标识”下,选择“高级”。
在“高级多Web站点配置”对话框的“此Web站点的多个SSL标识”下,确保Web站点IP地址分配到端口443,即安全通信的默认端口。
每个Web站点可以有多个SSL端口。
要配置更多的SSL端口,单击“此Web站点的多个SSL身份”下的“添加”。
●进入Windows2003Server的“管理工具”中,打开“INTERNET服务管理器”,进入INTERNET 信息服务界面。
选择“默认WEB站点”,选择“属性”。
选择“目录安全性”,点击“服务器证书”。
如图:
点击
●在弹出的“IIS证书向导”界面中,选择“处理挂起的请求并安装证书”项。
点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中,输入CA已批准的WEB服务器的证书请求。
点击“下一步”。
如图:
●在弹出的下一个“IIS证书向导”界面中会显示出已经得到的证书摘要,点击“下一步”,完成。
如图:
●进入Windows2003Server的“管理工具”中,打开“INTERNET服务管理器”,进入INTERNET 信息服务界面。
选择“默认WEB站点”,选择“属性”。
选择“目录安全性”(点击“查看证书”可以查看证书)。
在“安全通信”下,单击“编辑”。
如图:
点击
查看证书
●在弹出的下一个“IIS证书向导”,在“安全通信”对话框中,将Web服务器配置为需要安全频道。
选择“申请安全通道SSL”项。
(如果要求128位的密钥加密,请确保用户的Web浏览器支持128位加密。
)在客户证书处选择“要求客户证书”,点击“确定”。
完成WEB服务器安装服务器证书。
如图:
4.CA中心建设
CA中心的主要职责是颁发和管理系统主机、用户的数字证书。
数字证书的基本目的是将单元的一些基本信息与该单元的公钥绑定。
CA中心实现了类似于现实生活中的身份认证过程,是发放证书的权威机构,是被信任的对象。
系统的CA中心可自行建设。
证书的登记、审批、发放、废止、查询、管理等,由安全要求非常高的CA系统承担。
最小的CA系统通常应有3个模块:
(1)存放公钥的数字库模块;
(2)数字证书生成模块(加密设备);
(3)数字证书作废模块。
在受理审批证书时,要正确了解CA服务对象、面对的用户,必须仔细检查交易会员证书申请者的身份及一些必要的信息,以保证物理认证的正确无误。
CA机构应包括两大部门。
一是审核授权部门(RegistryAuthority,RA),它负责对证书申请客户进行资格审查。
另一个是证书操作部门(CertificateProcessor,CP),负责为已授权的申请客户制作、发放和管理证书。
本系统采用MSWindows2000CA是考虑其成熟软件产品的特征及与操作系统良好的兼容性,并目前系统的用户量和开展业务的复杂程度,使用该CA产品。
4.1安装独立的根证书颁发机构
●以管理员身份登录到系统。
或者,如果您装有ActiveDirectory,则以域管理员身份登录到系统。
单击“开始”,指向“设置”,然后单击“控制面板”。
双击“添加/删除程序”并单击“添加/删除Windows组件”。
在“Windows组件向导”中,选中“证书服务”复选框。
●屏幕上将出现一个对话框,通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。
单击“是”,然后单击“下一步”。
●
●单击“独立根CA”。
完成后请单击“下一步”。
●键入证书颁发机构的名称和其他必要信息。
在CA设置完成后这些信息都不能改变。
在“有效持续时间”中,指定根CA的有效持续时间。
单击“下一步”。
●指定证书数据库日志和共享文件夹的存储位置。
单击“下一步”。
如果正在运行WWW发布服务,则您会遇到一条要求在安装之前停止此项服务的请求信息。
单击“确定”。
如果出现提示,则键入证书服务安装文件的路径。
4.4启动或停止证书颁发机构
●以备份操作员或管理员身份登录到系统。
●打开证书颁发机构。
在控制台树中,单击证书颁发机构(CA)的名称。
●在“操作”菜单上,指向“所有任务”,然后单击“启动服务”以启动服务,或者单击“停止服务”以停止服务。
4.5设置收到证书申请时的默认动作
●以管理员身份登录到系统。
●打开“证书颁发机构”。
在控制台树中,单击证书颁发机构(CA)的名称。
●
●
●在“操作”菜单上,单击“属性”。
如图:
●在“策略模块”选项卡上,单击“配置”。
如图:
o使证书颁发机构管理员在颁发证书之前审阅每一份证书申请。
单击“将证书申请状态设成挂起”。
o使证书颁发机构在接受到证书申请时始终颁发证书。
单击“如果可以的话,……始终颁发证书”。
(在测试中,建议使用此选项。
)
4.6设置安全性以访问证书颁发机构Web页
●以管理员身份登录到系统。
●单击“开始”,指向“程序”,指向“管理工具”,然后单击“Internet服务管理器”。
●在控制台树中,用右键单击“CertSrv”,再单击“属性”。
●在“目录安全性”选项卡的“匿名访问和身份验证控制”下,单击“编辑”。
清除除“集成的Windows身份验证”之外的其他所有复选框。
4.7吊销已颁发的证书
●以管理员身份登录到系统。
●打开证书颁发机构。
在控制台树中,单击“颁发的证书”。
在详细信息窗格中,单击想要吊销的证书。
在“操作”菜单上,指向“所有任务”,然后单击“吊销证书”。
如图:
●选择吊销证书的原因并单击“是”。
∙注意
o要打开“证书颁发机构”,请单击“开始”,指向“程序”,指向“管理工具”,然后单击“证书颁发机构”。
o证书标记为已吊销并被移到“吊销的证书”文件夹。
下次发布这个吊销的证书时,它将出现在证书吊销列表(CRL)中。
4.8安排证书吊销列表的发布日程
●以管理员身份登录到系统。
●打开证书颁发机构。
在控制台树中,单击“吊销的证书”。
●在“发布间隔”中,键入自动发布证书吊销列表(CRL)所使用的时间间隔并单击时间单位。
∙注意:
o要打开“证书颁发机构”,请单击“开始”,指向“程序”,指向“管理工具”,然后单击“证书颁发机构”。
oCRL发布于:
Systemroot\system32\CertSrv\CertEnroll\
4.9CA证书的颁发
4.9.1普通/高级证书的颁发
●打开InternetExplorer。
●在InternetExplorer中,连接到http:
//servername/certsrv,其中servername是要访问的证书颁发机构(CA)所在的Windows2003Web服务器的名称。
●单击“申请证书”,然后单击“下一步”。
●选择要进行的申请证书类型,然后单击“下一步”。
如图:
●按照页面的提示输入一些相关的将出现在证书中的信息,完成证书的申请后,安装证书。
如图:
4.9.2颁发WEB服务器证书
●打开InternetExplorer。
●在InternetExplorer中,连接到http:
//servername/certsrv,其中servername是要访问的证书颁发机构(CA)所在的Windows2000Web服务器的名称。
●单击“申请证书”,然后单击“下一步”。
●选择“高级申请”,然后单击“下一步”。
●在高级证书申请中,选择“使用base64编码的PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件更新证书申请”项,然后单击“下一步”。
如图:
●在提交一个保存的申请页面的“Base64编码证书申请(PKCS #10或#7)”栏中,将WEB服务器已经提交的请求文件中的全部内容拷贝到此处。
然后单击“提交”。
如图:
WEB服务器提交的请求文件中拷贝到此处
●在证书已发布页面中的选择“下载CA证书路径”。
如图:
4.9.3检索证书颁发机构证书
●打开InternetExplorer。
●在InternetExplorer中,连接到http:
//servername/certsrv,其中servername是要访问的证书颁发机构(CA)所在的Windows2000Web服务器的名称。
●单击“检索CA证书或证书吊销列表”,然后单击“下一步”。
●进行以下某项操作:
∙如果要信任所有由此证书颁发机构(CA)所颁发的证书,请单击“安装此CA证书路径”。
∙如果要CA所颁发的最新的证书吊销列表,请单击“下载最新的证书吊销列表”。
●如果已完成使用证书服务Web页,请关闭InternetExplorer。
注意
∙要打开InternetExplorer,请单击“开始”,指向“程序”,然后单击“InternetExplorer”。
∙当需要在从属CA中建立信任时,选择“安装此CA证书路径”是很有用的,但是当前的证书存储区中没有证书树状结构根CA证书。
5.0.0申请个人证书
a)IE地址输入http:
//10.0.11.32/CERTSRV,打开申请证书的页面:
b)点“申请证书”,转到下页:
c)点“WEB浏览器证书”
依次点开“更多选项”和“请使用高级证书申请窗体”,如下:
填写注册的信息。
注意:
1)识别信息里填入真实的个人信息,便于以后管理;
2)“需要的证书类型”选择为“客户端身份验证证书”;
3)CSP必须选择为我们key对应的CSP类型,“WatchdataCSPv3.3”。
4)其他可以为默认。
插入要申请证书的USBkey。
点击“提交”。
弹出警告窗口,点“是”,出现如下窗口:
输入你的key口令,开始创建证书。
完成后如下:
点“安装此证书”。
弹出提示,点击“是”。
安装完成。
至此该UKEY申请证书过程全部完成。
申请过程中请注意:
申请证书的客户端浏览器应该确认如下设置:
1)IE浏览器————工具————选项————高级,将“使用ssl2.0”“使用ssl3.0”选中。
(如下图)