第10章電子證書服務(wù)

1、本章要點本章要點 部署公鑰基礎(chǔ)機構(gòu)（PKI），利用PKI提供的密鑰體系來實現(xiàn)數(shù)字證書簽發(fā)、身份認(rèn)證、數(shù)據(jù)加密和數(shù)字簽名等功能，可以為網(wǎng)絡(luò)業(yè)務(wù)的開展提供安全保證。u數(shù)字證書簡介uCA的層次結(jié)構(gòu)u企業(yè)CA的安裝與證書申請u數(shù)字證書的管理第第10章章 電子證書服務(wù)電子證書服務(wù)u10.1 數(shù)字證書簡介u10.2 CA的層次結(jié)構(gòu)u10.3 企業(yè)CA的安裝與證書申請u10.4 數(shù)字證書的管理概述概述u隨著Internet的迅猛發(fā)展，越來越多的重要數(shù)據(jù)要在網(wǎng)上傳輸，如何保證這些數(shù)據(jù)不受到惡意的攻擊或竊取，成為網(wǎng)絡(luò)管理最關(guān)鍵的問題之一。u在Windows 2003中，可以利用公共密鑰提供網(wǎng)絡(luò)安全。u對于電子商

2、務(wù)、Intranets、extranets和啟用了Web功能的應(yīng)用程序來說，公共密鑰密碼系統(tǒng)是一項重要的技術(shù)。uWindows 2003中有兩種驗證協(xié)議，Kerberos和公鑰基礎(chǔ)結(jié)構(gòu)(Public Key Infrastructure ，PKI)，這兩者的不同之處在于：Kerberos是對稱密鑰，而PKI是非對稱密鑰。u對稱密鑰加密和解密的密鑰相同。u非對稱密鑰加密和解密密鑰不同。概述概述10.1 數(shù)字證書簡介數(shù)字證書簡介u數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息和身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。u身份驗證機構(gòu)的數(shù)字簽名可以確保證書信息的真實性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾?，用?/p>

3、的數(shù)字簽名可以保證數(shù)字信息的不可否認(rèn)性。數(shù)字證書數(shù)字證書u數(shù)字證書是各類終端實體和最終用戶在網(wǎng)上進行信息交流和商務(wù)活動的身份證明。u數(shù)字證書是一個經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的，包含公開密鑰擁有者信息和公開密鑰的文件。u認(rèn)證中心（CA）作為權(quán)威的、可信賴的、公正的第三方機構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。u認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.509 V3標(biāo)準(zhǔn)。u公共密鑰基礎(chǔ)機構(gòu)(PKIPublic Key Infrastructure)u什么是PKIu公鑰加密可以提供信息的安全性和機密性u數(shù)字簽名可以確認(rèn)信息的真實性和來源的可靠性10.1.2 公共密鑰基礎(chǔ)機構(gòu)（公共密鑰基礎(chǔ)機構(gòu)（PKI

4、）10.1.2 PKIu公鑰基礎(chǔ)結(jié)構(gòu)（Public Key Infrastructure，PKI）是通過使用公鑰加密對參與電子交易的每一方的有效性進行驗證和身份驗證的數(shù)字證書、證書頒發(fā)機構(gòu)（CA）和其他注冊機構(gòu)（RA）。u一個單位選擇使用Windows來部署PKI的原因：u安全性強。智能卡登陸、加密文件系統(tǒng)（EFS）、IPsec（Internet協(xié)議安全性）u簡化管理。u其他機會。加密技術(shù)加密技術(shù)u對稱式加密u非對稱式加密對稱式加密對稱式加密*加密密鑰加密密鑰u加密是通過數(shù)學(xué)運算將明文和密鑰結(jié)合起來產(chǎn)生密文。u對稱密鑰是指加密和和解密的密鑰相同，這樣為了共享加密數(shù)據(jù)就要雙方必須事先交換加/解密

5、鑰。安全嗎？u非對稱密鑰是指加/解密鑰不同。需要成對的密鑰PK和SK。PK加密，SK解密。PK可以在網(wǎng)絡(luò)上傳輸，而要解 密就必須要SK，因此保護SK是關(guān)鍵。u公共密鑰加密技術(shù)用到了兩個密鑰：加密密鑰和解密密鑰u密鑰（key）：一個隨機字符串與某種算法的聯(lián)合使用。u系統(tǒng)使用一對密鑰來完成對數(shù)據(jù)的加密解密：u公共密鑰（公鑰）：是自由發(fā)布的，可以公開，以供他人向自己傳輸信息時加密使用。u私用密鑰（私鑰）：在系統(tǒng)中保存，從不發(fā)布，只有擁有對應(yīng)私鑰的本人才能解密，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?。公共密鑰加密技術(shù)公共密鑰加密技術(shù)公共密鑰加密模型公共密鑰加密模型A加密B的公鑰B解密B的私鑰密文明文加密模型加密模型

6、公共密鑰加密技術(shù)（展示動畫）公共密鑰加密技術(shù)（展示動畫）Encrypted Message is Sent Over Network3A78Alice Encrypts Message with Bobs Public Key.Data3A78Bob Decrypts Message with BOBs Private Key.Data數(shù)字簽名數(shù)字簽名u采用數(shù)字簽名可以保證數(shù)據(jù)完整性。u數(shù)字簽名是一種由消息、文件或其他數(shù)字編碼的創(chuàng)建者將標(biāo)識綁定到信息中的方法。u簽名信息的過程需要將信息和發(fā)送方持有的一些秘密信息傳輸?shù)椒Q為簽名的標(biāo)簽中。u數(shù)字簽名提供了認(rèn)可和完整性服務(wù)u數(shù)字簽名本身就是數(shù)據(jù)，因此

7、它可以隨受保護的源數(shù)據(jù)一起傳輸。公共密鑰身份驗證（使用密鑰對）公共密鑰身份驗證（使用密鑰對）u與公共密鑰加密技術(shù)類似，公共密鑰身份驗證也使用了密鑰對。u但它不利用發(fā)送者的私用密鑰解密消息，而是利用發(fā)送者的公共密鑰鑒別和確認(rèn)該消息的發(fā)送者的有效性。這一私用密鑰被稱為數(shù)字簽名。公共密鑰身份驗證（數(shù)字簽名）公共密鑰身份驗證（數(shù)字簽名）u說明：加密技術(shù)可以提供安全性和機密性，而數(shù)字簽名可以確認(rèn)信息的真實性和來源。u數(shù)字簽名：一種由消息、文件或者其他數(shù)字化編碼信息的創(chuàng)建者將其身份標(biāo)識和這些消息利用私鑰約束在一起的方法。u數(shù)字簽名用于發(fā)送者的不可抵賴性，因為私鑰只有自己有，所以當(dāng)接收者用你的公鑰解密后就可

8、以證明是你無疑。u數(shù)字簽名本身就是數(shù)據(jù)，因此它們可以與受保護的原數(shù)據(jù)一起進行傳輸，供接收者驗證。數(shù)字簽名使用私鑰對簽名數(shù)據(jù)進行加密：數(shù)字簽名使用私鑰對簽名數(shù)據(jù)進行加密：u只有擁有私鑰的人才能進行數(shù)字簽名。u任何人都可以通過相應(yīng)的公鑰鑒別數(shù)字簽名的真?zhèn)巍如果對簽名后的數(shù)據(jù)進行了數(shù)據(jù)的任何修改，數(shù)字簽名將失效。公共密鑰身份驗證（認(rèn)證模型）公共密鑰身份驗證（認(rèn)證模型）A加密A的私鑰B解密A的公鑰密文明文認(rèn)證模型認(rèn)證模型明文公共密鑰身份驗證（展示動畫）公共密鑰身份驗證（展示動畫）Message is Sent Over Network*Alice Signs Message with Her Pri

9、vate Key.*Bob Validates Message is From Alice with Alices Public Key.哈希算法哈希算法u數(shù)字簽名通過使用哈希算法來檢驗數(shù)據(jù)在從數(shù)據(jù)源到目地的傳輸過程中是否被更改了。u哈希算法從原始數(shù)據(jù)中提取128K的摘要A,并用發(fā)送者的私鑰加密后發(fā)送給接收者。接收者對解密獲得的數(shù)據(jù)也要進行哈希算法獲得另一個摘要B，接收者將A和B進行比較，若兩者一致說明傳輸過程未被篡改。瀏覽器瀏覽器加密文件系統(tǒng)加密文件系統(tǒng)加密加密 E-Mail數(shù)字標(biāo)示數(shù)字標(biāo)示智能卡智能卡數(shù)字簽名數(shù)字簽名IPSEC證書的用途證書的用途證書的用途證書的用途u證書提供下述功能：u服

10、務(wù)器身份驗證服務(wù)器身份驗證利用證書為網(wǎng)絡(luò)中的客戶機鑒別服務(wù)器u客戶機身份驗證客戶機身份驗證利用證書為服務(wù)器提供對客戶機的認(rèn)證（如：遠(yuǎn)程訪問功能和智能卡身份驗證）u程序代碼簽署程序代碼簽署(數(shù)字簽名)利用與密鑰對有關(guān)的證書簽署活動內(nèi)容u加密加密E-mailE-mail安全電子郵件，利用與密鑰對有關(guān)的證書簽署電子郵件消息（用于加密信函）。uEFSEFS（加密文件系統(tǒng)）利用與密鑰對有關(guān)的證書，加密和解密用于還原恢復(fù)加密數(shù)據(jù)的對稱密鑰。uIPSecIPSec利用與密鑰對有關(guān)的證書，加密基于IP層的傳輸。10.2 CA的層次結(jié)構(gòu)的層次結(jié)構(gòu)u10.2.1 內(nèi)部CA和外部 CAu10.2.2 頒發(fā)證書的過程

11、u10.2.3 證書吊銷u10.2.4 CA的層次結(jié)構(gòu)證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu)u電子證書是由收發(fā)雙方共同信任的第三方認(rèn)證中心頒發(fā)的。u證書包含某人的身份信息、公鑰和認(rèn)證中心的數(shù)字簽名。uCA扮演了一種擔(dān)保人的角色。它保證主體公鑰和由CA發(fā)布的認(rèn)證證書所包含的的主體信息之間確切相關(guān)。認(rèn)證中心（認(rèn)證中心（CACA）u認(rèn)證中心（CA） ：負(fù)責(zé)提供和指派加密密鑰、解密密鑰、身份驗證。uCA通過發(fā)放證書來分布密鑰。證書中包含公共密鑰和一組屬性，CA可將證書發(fā)給某個計算機、用戶帳號或者服務(wù)。uCA扮演了一種擔(dān)保人的角色。內(nèi)部內(nèi)部CA和外部和外部CAu外部CA：外部商用CA，為成千上萬的用戶提供認(rèn)證服務(wù)。u

12、內(nèi)部CA：面向企業(yè)內(nèi)部用戶、計算機或服務(wù)器的策略模型。頒發(fā)證書的過程頒發(fā)證書的過程u認(rèn)證中心CA頒發(fā)證書涉及如下4個步驟:（1）CA收到證書請求信息，包括個人資料和公鑰等。 （2）CA對用戶提供的信息進行核實。 （3）CA用自己的私鑰對證書進行數(shù)字簽名。 （4）CA將證書發(fā)給用戶。 證書吊銷證書吊銷u證書的吊銷使得證書在自然過期之前便宣告作廢。u可能的原因包括：u證書擁有者的私鑰泄漏或被懷疑泄漏。u發(fā)現(xiàn)證書是用欺騙手段獲得的。u證書擁有者的情況發(fā)生了改變。 證書層次結(jié)構(gòu)證書層次結(jié)構(gòu)CA的層次結(jié)構(gòu)的層次結(jié)構(gòu)uWindows Server 2003 PKI采用了分層CA模型。 CACA的層次結(jié)構(gòu)的

13、層次結(jié)構(gòu)u證書層次結(jié)構(gòu)是一種信任模式。 在這種模式中，通過在CA之間建立父/子關(guān)系，創(chuàng)建了認(rèn)證路徑。1、根CA（根本權(quán)威）-是一個機構(gòu)的PKL中最可信任的CA類型。u通常情況下，根CA的物理安全性和證書發(fā)放策略比下層CA更嚴(yán)格。u在大多數(shù)機構(gòu)中，只將根CA用于向其他CA，即下層CA發(fā)放證書。2、下層CA-已經(jīng)被機構(gòu)中的另一個CA鑒定過的CA。CACA的層次結(jié)構(gòu)的層次結(jié)構(gòu)u通常，下層CA針對特定的用途發(fā)放證書（例如安全電子郵件、基于web的身份驗證，或者智能卡身份驗證）。此外，下層CA也可以向其他的、更下層的CA發(fā)放證書。u提示:父CA和子CA彼此沒有從屬關(guān)系，不需要使所有的CA共享一個公共的頂

14、級父CA(或根CA)。10.3 企業(yè)企業(yè)CA的安裝與證書申請的安裝與證書申請u若要使用證書服務(wù)，必須在服務(wù)器上安裝并部署企業(yè)CA，然后由用戶向該企業(yè)CA申請證書，使用公開密鑰和私有密鑰來對要傳送的信息進行加密和身份驗證。 CACA模式模式uWindows 2003支持兩類認(rèn)證中心(CA)：企業(yè)CA和獨立存在的CA。每類CA中都包含根CA和下層CA。u安裝認(rèn)證服務(wù)時可選擇4種CA模式： 1. 企業(yè)根CA2. 企業(yè)從屬CA3. 獨立根CA4. 獨立從屬CACA模式模式n企業(yè)根企業(yè)根CA 是頂級根，企業(yè)根是頂級根，企業(yè)根CA利用活動目錄確定請求利用活動目錄確定請求者的身份，并確定請求者是否具有為特定

15、的的者的身份，并確定請求者是否具有為特定的的證書類型所要求的安全性權(quán)限。證書類型所要求的安全性權(quán)限。n獨立存在的根獨立存在的根CA 是頂級根，它可以是，也可不是某個域的成員是頂級根，它可以是，也可不是某個域的成員并不要求有活動目錄。還可以斷開與網(wǎng)絡(luò)的連并不要求有活動目錄。還可以斷開與網(wǎng)絡(luò)的連接接n企業(yè)下層企業(yè)下層CA 在機構(gòu)內(nèi)發(fā)放證書，但企業(yè)下層在機構(gòu)內(nèi)發(fā)放證書，但企業(yè)下層CA不是最可不是最可信的信的CA。你可以利用某個企業(yè)下層。你可以利用某個企業(yè)下層CA針對特針對特定用途發(fā)放證書。它必須有一個父定用途發(fā)放證書。它必須有一個父CAn獨立存在的下層獨立存在的下層CA 它作為一個孤立的證書服務(wù)器運

16、行，或者位于它作為一個孤立的證書服務(wù)器運行，或者位于某個某個CA信任層次結(jié)構(gòu)內(nèi)。你為公司以外的實信任層次結(jié)構(gòu)內(nèi)。你為公司以外的實體發(fā)放證書，你應(yīng)該建立獨立存在的下層體發(fā)放證書，你應(yīng)該建立獨立存在的下層CA安裝證書服務(wù)安裝證書服務(wù)選擇證書類型選擇證書類型高級設(shè)置選項高級設(shè)置選項輸入識別信息輸入識別信息指定本地數(shù)據(jù)庫，日志文件和共享文件指定本地數(shù)據(jù)庫，日志文件和共享文件夾夾架設(shè)企業(yè)根架設(shè)企業(yè)根CA（1）（1）準(zhǔn)備工作。在企業(yè)網(wǎng)絡(luò)中創(chuàng)建活動目錄，將要架設(shè)為企業(yè)根CA的服務(wù)器加入至活動目錄，并升級為域外控制器。安裝應(yīng)用程序服務(wù)Web組件，并確保添加Active Server Page（ASP）組件，便

17、于用戶以Web方式申請CA證書。u默認(rèn)情況下，默認(rèn)情況下，Windows 2003Windows 2003安裝程序不安裝證書安裝程序不安裝證書服務(wù)。服務(wù)。u重要說明：重要說明：安裝了正式服務(wù)后，計算機不能再被安裝了正式服務(wù)后，計算機不能再被重新命名，也不能加入到某個域中，或者從某個重新命名，也不能加入到某個域中，或者從某個域中刪除。域中刪除。u注：注：為了利用證書服務(wù)的為了利用證書服務(wù)的WebWeb組件，必須先安裝組件，必須先安裝IISIIS。架設(shè)企業(yè)根架設(shè)企業(yè)根CA（2）（2）添加證書服務(wù)組件。運行“Windows組件向?qū)А?，在“組件”列表框中選中“證書服務(wù)”復(fù)選框。（3）選擇CA類型。在“

18、CA類型”對話框中選中“企業(yè)根CA”單選按鈕。（4）CA識別信息。在“此CA的公用名稱”文本框中設(shè)置此CA在Active Directory內(nèi)的公用名稱，此CA默認(rèn)的有效年限為5年。架設(shè)企業(yè)根架設(shè)企業(yè)根CA（3）（5）證書數(shù)據(jù)庫設(shè)置。選擇證書數(shù)據(jù)庫文件和日志文件的目錄。uCA發(fā)出的證書默認(rèn)存儲在：WINNTsystem32Certlog（6）證書服務(wù)安裝完成后，在“管理工具”中會增加“證書頒發(fā)機構(gòu)”服務(wù)。u證書頒發(fā)機構(gòu)：證書頒發(fā)機構(gòu)：用于對CA進行管理的控制臺，位于安裝有證書服務(wù)的服務(wù)器上。u證書服務(wù)的證書服務(wù)的WebWeb注冊支持注冊支持用于請求證書的Web頁。訪問：http:/CA服務(wù)器名

19、/certsrv申請和使用證書申請和使用證書u域用戶申請企業(yè)CA證書的方式有兩種：u利用“證書向?qū)А鄙暾堊C書u以Web方式申請證書u獨立CA申請證書時，只能通過Web瀏覽器方式 ?？蛻舳俗C書的申請客戶端證書的申請CA發(fā)放該證書，將發(fā)放該證書，將它用做它用做PKI內(nèi)的安全內(nèi)的安全憑證憑證*CA接受證書請求接受證書請求確認(rèn)請求者信息確認(rèn)請求者信息利用私有密鑰將它的利用私有密鑰將它的的數(shù)字簽名應(yīng)用于證的數(shù)字簽名應(yīng)用于證書書客戶端證書的申請客戶端證書的申請uCA(Certigication Authority認(rèn)證中心)接受證書請求uCA按照它的CA身份證明條件確認(rèn)該請求者的信息uCA利用它的私有密鑰將

20、他的數(shù)字簽名應(yīng)用于該證書uCA發(fā)放該證書，將它用做PKI內(nèi)的安全性憑證申請證書申請證書u利用“證書請求”向?qū)利用證書服務(wù)Web頁u查看證書利用利用“證書向?qū)ёC書向?qū)А鄙暾堊C書申請證書（1）打開MMC控制臺，選擇“文件”“添加/刪除管理單元”，在對話框中的“獨立”選項卡中單擊“添加”，選擇“證書” “我的用戶賬戶”。（2）運行證書申請向?qū)?。在MMC證書控制臺窗口中展開“證書-當(dāng)前用戶”選項，右擊“個人”選項，在彈出的快捷菜單中選擇“所有任務(wù)”“申請新證書”選項，啟動“證書申請向?qū)А薄＠美谩白C書向?qū)ёC書向?qū)А鄙暾堊C書申請證書（3）選擇證書類型。（4）證書的名稱和描述。以以WebWeb方式申請

21、證書方式申請證書以以WebWeb方式申請證書方式申請證書以以WebWeb方式申請證書方式申請證書以以WebWeb方式申請證書方式申請證書u注意：獨立CA在收到申請信息后，不能自動核準(zhǔn)與發(fā)放證書，需要人工核準(zhǔn)并頒發(fā)證書，然后客戶端才能安裝證書。從屬從屬CACA的安裝的安裝 u安裝下層CA時，必須從相應(yīng)的父CA獲取一個證書。u為某個下層CA獲取證書u如果可以聯(lián)機使用某個父CA，可以采用該方法獲取證書。u從文件安裝證書u如果不能聯(lián)機父CA，則創(chuàng)建證書請求文件提交給父CA,由父CA提供針對這個文件的證書，接受到證書后，必須安裝該證書。10.4 10.4 數(shù)字證書的管理數(shù)字證書的管理uCA的備份與還原u

22、發(fā)放證書u吊銷證書u導(dǎo)入與導(dǎo)出用戶的證書u更新證書CACA的備份和還原的備份和還原u重要說明：如果IIS元庫丟失或被破壞，在恢復(fù)CA時，必須先恢復(fù)IIS元庫。u備份CAu備份CA的頻繁速度依賴于發(fā)放的證書數(shù)目。發(fā)放的證書越多，備份越頻繁。u操作步驟：（認(rèn)證頒發(fā)機構(gòu)）u恢復(fù)CAu從備份復(fù)制件還原CA。u操作步驟：（認(rèn)證頒發(fā)機構(gòu)） 發(fā)放證書發(fā)放證書1. 自動發(fā)放證書u當(dāng)用戶向企業(yè)CA申請證書時，企業(yè)CA會自動通過Active Directory來查詢用戶的身份，以確定是否有權(quán)限申請此證書，然后自動將核準(zhǔn)的證書發(fā)放給用戶。2. 手動發(fā)放證書u獨立CA不具備向Active Directorv查詢用戶身

23、份的功能，因此，當(dāng)用戶在向獨立CA申請證書時必須自行輸入用戶的身份信息。并且獨立CA默認(rèn)不會自動發(fā)放用戶所申請的證書，必須由獨立CA的系統(tǒng)管理員在檢查完用戶的申請信息后，再決定是否要手工發(fā)放此證書。手動發(fā)放證書手動發(fā)放證書u復(fù)查待處理的證書請求u發(fā)放待處理的證書請求吊銷證書吊銷證書u用戶所申請的證書都有一定的有效期，一般默認(rèn)有效期為1年。當(dāng)用戶離開企業(yè)后，證書將不能夠繼續(xù)使用，應(yīng)當(dāng)及時予以吊銷。另外，用戶也可以吊銷自己尚未到期的證書。 u被吊銷的證書將加入到“證書吊銷列表”中。如果用戶只是暫時離開企業(yè)，那么在回到公司后，還可以為其解除并恢復(fù)吊銷的證書。吊銷證書吊銷證書u在證書有效期滿之前，需要

24、廢除證書的原因：u證書擁有者的私鑰泄漏或被懷疑泄漏。 u發(fā)現(xiàn)證書是用欺騙手段獲得的。 u證書擁有者的情況發(fā)生了改變。 10.5 基于基于SSL的網(wǎng)絡(luò)安全應(yīng)用的網(wǎng)絡(luò)安全應(yīng)用10.5.1 SSL簡介簡介10.5.2 基于基于SSL的安全網(wǎng)站解決方案的安全網(wǎng)站解決方案10.5.3 在在IIS 6.0中建立中建立SSL安全網(wǎng)站安全網(wǎng)站10.5.1 SSL簡介簡介l SSL協(xié)議協(xié)議n 一種建立在網(wǎng)絡(luò)傳輸層TCP協(xié)議之上的安全協(xié)議標(biāo)準(zhǔn)n 采用公鑰和私鑰兩種加密體制對服務(wù)器和客戶端的通信提供保密性、數(shù)據(jù)完整性和認(rèn)證HTTP、FTP、LDAP等SSL握手協(xié)議SSL記錄協(xié)議TCP/IP協(xié)議HTTP、FTP、LD

25、AP等SSL握手協(xié)議SSL記錄協(xié)議TCP/IP協(xié)議應(yīng)用層Socket層(網(wǎng)絡(luò)通信層)10.5.1 SSL簡介簡介l SSL安全功能安全功能n 客戶端對服務(wù)器的身份確認(rèn)n 服務(wù)器對客戶的身份確認(rèn)n 在服務(wù)器和客戶之間建立安全的數(shù)據(jù)通道l SSL安全應(yīng)用安全應(yīng)用n 瀏覽器和服務(wù)器的驗證、信息的完整性和保密性n Telnet、FTP、SMTP、POP3、NNTP等網(wǎng)絡(luò)服務(wù)的安全n 客戶端驗證是可選的，有利于SSL的廣泛使用10.5.2 基于基于SSL的安全網(wǎng)站解決方案的安全網(wǎng)站解決方案l SSL網(wǎng)站架設(shè)的基本步驟網(wǎng)站架設(shè)的基本步驟n 從可信的證書頒發(fā)機構(gòu)（CA）獲取Web服務(wù)器證書n 在Web服務(wù)器

26、上安裝服務(wù)器證書n 在Web服務(wù)器上啟用SSL功能n 如果要求對客戶端（瀏覽器端）進行身份驗證，客戶端需要申請和安裝用戶證書。如果不要求對客戶端進行身份驗證，客戶端必須與Web服務(wù)器信任同一證書認(rèn)證機構(gòu)，需要安裝CA證書 Internet上有許多知名的第三方證書頒發(fā)機構(gòu)，大都能夠簽發(fā)主流Web服務(wù)器的證書。自建的Windows Server 2003證書頒發(fā)機構(gòu)也能頒發(fā)所需的證書 。10.5.3 在在IIS 6.0中建立中建立SSL安全網(wǎng)站安全網(wǎng)站l 注冊并安裝服務(wù)器證書注冊并安裝服務(wù)器證書n 在IIS 6.0中獲得、配置和更新服務(wù)器證書都可由Web服務(wù)器證書向?qū)瓿蒼 配置Web服務(wù)器證書的通用流程為：生成服務(wù)器證書請求文件向CA提交證書申請文件CA審查并頒發(fā)Web服務(wù)器獲取Web服務(wù)器證書安裝Web服務(wù)器證書n 例中直接向企業(yè)CA注冊證書 10.5.3 在在IIS 6.0中建立中建立SSL安全網(wǎng)站安全網(wǎng)站l 注冊并安裝服務(wù)器證書注冊并安裝服務(wù)器證書 啟動W