SSL加密驗(yàn)證方案

1、SSL加密驗(yàn)證方案操作手冊 北京彩虹天地信息技術(shù)有限公司2003年2月第一章. Windows2000 Server端的配置第一節(jié) Active directory配置如果Windows2000 Server已經(jīng)配置好Active directory和DNS，請?zhí)^此節(jié)，轉(zhuǎn)入第一章第二節(jié)開始。注：在以后章節(jié)中，系統(tǒng)會提示需要windows2000的安裝盤，請自行指定windows2000安裝盤的路徑。（1） 以域管理員身份登錄到系統(tǒng)。（2） 單擊“開始”，>“設(shè)置”>“控制面板”。（3） 在控制面板中雙擊“配置服務(wù)器”。如圖111圖111（4） 從左側(cè)選擇“Active direc

2、tory”,在右側(cè)下拉滾動(dòng)條，選擇“啟動(dòng)”（5） 進(jìn)入Active Directory安裝向?qū)?，單擊下一步。如圖112圖112（6） 選擇“新域的域控制器”，單擊下一步。如圖113圖113（7） 選擇“創(chuàng)建一個(gè)新的域目錄樹”，單擊下一步。如圖114圖114（8） 選擇“創(chuàng)建新的域目錄林”，單擊下一步。如圖115圖115（9） 鍵入新域的DNS名（例如）,單擊下一步；鍵入域NetBios名（例如rainbow）,單擊下一步。如圖116，圖117圖116圖117（10） 選擇數(shù)據(jù)庫，日志文件的存儲位置（要求存儲在NTFS格式的分區(qū)），單擊下一步。選擇Sysvol的位置，單擊下一步。如圖118，圖1

3、19圖118圖119（11） 如未配置DNS，選擇安裝和配置DNS服務(wù)器，如圖1110圖1110（12） 選擇權(quán)限，選中“只與WIN2000服務(wù)器兼容的權(quán)限”，單擊下一步。如圖1111圖1111（13） 輸入密碼（作為用戶名密碼形式的認(rèn)證密碼，請牢記此密碼），單擊下一步。向?qū)ч_始配置組件。如圖1112圖1112（14） 確認(rèn)DNS配置信息，點(diǎn)擊下一步，如圖1113圖1113（15） 等待DNS配置過程，可能需要數(shù)分鐘，如圖1114注：此過程中會需要Windows2000安裝光盤，請放入光盤，按提示操作。圖1114（16） Active directory和DNS配置完成，單擊完成，并重新啟動(dòng)計(jì)

4、算機(jī)。如圖1115，圖1116圖1115圖1116第二節(jié) 安裝企業(yè)根證書頒發(fā)機(jī)構(gòu)（1）以域管理員身份登錄到系統(tǒng)。 （2）單擊“開始”，指向“設(shè)置”，然后單擊“控制面板”。 （3）雙擊“添加/刪除程序”，單擊“添加/刪除 Windows 組件”。如圖121 圖121（4）在“Windows 組件向?qū)А敝?，選中“證書服務(wù)”復(fù)選框。屏幕上將出現(xiàn)一個(gè)對話框，通知您計(jì)算機(jī)在安裝證書服務(wù)之后不能更名且不能加入域或從域中刪除。單擊“是”，然后單擊“下一步”。 如圖122圖122（5）選擇“企業(yè)根 CA”。然后單擊“下一步” 如圖123圖123（6）鍵入證書頒發(fā)機(jī)構(gòu)的名稱和其他必要信息。在 CA 設(shè)置完成后這

5、些信息都不能改變。 如圖124圖124（7）在圖124“有效期限”中，指定根 CA 的有效期時(shí)間。有關(guān)設(shè)置這個(gè)值時(shí)應(yīng)考慮的事項(xiàng)，請參閱下面的注釋。單擊“下一步”。 注意 安裝企業(yè)根 CA 要求主機(jī)是域的成員并且使用 Active Directory。安裝企業(yè) CA 的管理員必須對 Active Directory 具有寫權(quán)限。 如果對 Active Directory 具有寫權(quán)限，則指定共享文件夾是可選的，一般情況下對企業(yè)證書頒發(fā)機(jī)構(gòu)不這么做。 為 CA 選擇的有效持續(xù)時(shí)間將決定 CA“到期”的時(shí)間。（8）指定證書數(shù)據(jù)庫、證書數(shù)據(jù)庫日志和共享文件夾的存儲位置。單擊“下一步”。 如圖125圖12

6、5（9）如果正在運(yùn)行 WWW 發(fā)布服務(wù)，您將會看到一條要求在安裝之前停止此項(xiàng)服務(wù)的請求信息。單擊“確定”。 如圖126圖126（10）如果出現(xiàn)提示，則鍵入證書服務(wù)安裝文件的路徑。 注：此過程中會需要Windows2000安裝光盤，請放入光盤，按提示操作。（11）點(diǎn)擊“完成”，完成windows安裝組件向?qū)?。至此，證書頒發(fā)機(jī)構(gòu)安裝完畢。 第三節(jié) 建立企業(yè)證書頒發(fā)機(jī)構(gòu)可以頒發(fā)的智能卡證書類型（1） 單擊“開始”指向“程序”，指向“管理工具”，然后單擊“證書頒發(fā)機(jī)構(gòu)”。 (2) 打開已設(shè)定的證書頒發(fā)機(jī)構(gòu)。，如本書中的“rainbow”。（3）頒發(fā)用于通過智能卡進(jìn)行 Windows 登錄的證書： （a

7、）在控制臺樹中，單擊“策略設(shè)置”。位置：證書頒發(fā)機(jī)構(gòu)（計(jì)算機(jī)）>CA 名稱>策略設(shè)置。（b）在“操作”菜單上，指向“新建”，然后單擊“頒發(fā)證書”。圖131圖131（c）單擊“智能卡登錄”證書模板，再單擊“確定”。如圖132圖132（6）在控制臺樹中，單擊“策略設(shè)置”。（7）在“操作”菜單上，指向“新建”，然后單擊“要頒發(fā)的證書”。 （8）單擊“注冊代理”證書模板，然后單擊“確定”。 如圖133。至此，證書頒發(fā)機(jī)構(gòu)設(shè)置完成。圖133注意證書模板的安全權(quán)限設(shè)置指示誰被允許請求該類型的證書。注冊代理證書不必從將頒發(fā)智能卡證書的相同 CA 頒發(fā)（在該過程中已作闡明）。注冊代理證書的頒發(fā) C

8、A 只需要是域中可信任的企業(yè) CA。在該情況下，需要確保您的域中有一個(gè)企業(yè) CA，并且可以按照該 CA 上的第 1、2 和 5 至 7 步頒發(fā)注冊代理證書。 該過程只應(yīng)用于企業(yè) CA。第四節(jié) 準(zhǔn)備智能卡證書注冊站（1）以管理員身份登錄Windows。 （2）單擊“開始”，單擊“運(yùn)行”，并鍵入“mmc”。 如圖1-41圖141（3） “控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。如圖142 ，143圖142圖143（4）在“管理單元”中，請雙擊“證書”。如果作為用戶登錄，證書管理單元將自動(dòng)加載。 如果作為管理員登錄，請單擊“我的用戶帳戶”，然后單擊“完成”。如圖144，圖145

9、圖144 圖145（5）單擊“關(guān)閉”。 （6）雙擊“證書 - 當(dāng)前用戶”。使“證書 - 當(dāng)前用戶”進(jìn)入 “管理單元添加到”控制欄中，單擊確定。如圖146，圖147圖146 圖147（7）展開“控制臺根結(jié)點(diǎn)”樹，單擊“個(gè)人”。 位置：“證書-當(dāng)前用戶”>個(gè)人 。圖如148圖148（8）在“操作”菜單上，指向“所有任務(wù)”，然后單擊“申請新證書”。 如圖149圖149（9）出現(xiàn)證書申請向?qū)?，點(diǎn)擊下一步，選擇“注冊代理”證書模板。單擊“下一步”。系統(tǒng)還會要求您提供友好名稱和對證書的描述。 如圖1410，圖1411，圖1412圖1410圖1411圖1412（10）單擊“下一步”，確認(rèn)申請的證書，單

10、擊“完成”。如圖1413圖1413（11）證書申請完成，請單擊“安裝證書”。您現(xiàn)在有了代表用戶申請智能卡證書所需的證書。如圖1414 圖1414（12）單擊“確定”，選擇“保存控制臺”，并指定相應(yīng)存儲目錄。注意 在為用戶申請智能卡登錄證書之前，智能卡管理員必須有可用的注冊代理證書，用來代表其他用戶生成智能卡證書申請。這是該過程的目的。要執(zhí)行該操作，必須擁有訪問注冊代理證書模板的安全權(quán)限。這些任務(wù)可以在要用作智能卡證書注冊站的任何 Windows 2000 計(jì)算機(jī)（Professional 或 Server）上執(zhí)行。第五節(jié) 配置IIS服務(wù)器證書(1) 單擊“開始” 、“設(shè)置” 、“控制面板” 、

11、“管理工具” 、“Internet信息服務(wù)器” 。右鍵單擊“默認(rèn)Web站點(diǎn)” ，選擇“屬性”(2) 單擊“服務(wù)器證書”(3) 單擊“下一步”(4) 選擇“創(chuàng)建一個(gè)新的證書” ， 單擊“下一步”(5) 輸入“證書名稱” ，更改位長為“1024” ，單擊“下一步”(6) 填寫相應(yīng)的組織信息，單擊“下一步”(7) 輸入站點(diǎn)的公用名稱，點(diǎn)擊“下一步”(8) 寫入相應(yīng)的信息，單擊“下一步”(9) 選擇證書保存路徑和文件名，單擊“下一步”(10) 單擊“下一步” ，“完成”(11) 打開IE瀏覽器，在地址欄敲入網(wǎng)址“”選擇“申請證書” ，單擊“下一步”(12) 如果該網(wǎng)頁需要“域用戶驗(yàn)證” ，請輸入正確的

12、管理員密碼和相應(yīng)的域名。(13) 選擇“高級申請” ，單擊“下一步”(14) 如下圖所示，選擇相應(yīng)的選項(xiàng)，單擊“下一步”(15) 從C盤找到相應(yīng)的剛才保存的文本文件“certreq.txt” ,打開，選擇所有的文字內(nèi)容(16) 將上一步所選擇的文字資料，拷貝到下圖中的“保存的申請”中的文本框里。并選擇相應(yīng)的證書模板“Web服務(wù)器” ，單擊“提交”(17) 下載CA證書路徑(18) 將申請成功的證書存儲在硬盤上。(19) 回到IIS的“默認(rèn)Web站點(diǎn)屬性”頁面，單擊“服務(wù)器證書”(20) 單擊“下一步”(21) 單擊“瀏覽”選擇剛才存儲的證書路徑，選擇相應(yīng)的證書(22) 單擊“下一步” ，“完成

13、”(23) 回到IIS的“默認(rèn)Web站點(diǎn)屬性”頁面，單擊“編輯”(24) 選擇“申請安全通道”復(fù)選框，選擇“申請客戶證書” ，選擇“啟用證書信任列表復(fù)選框” ，單擊“新建”(25) 單擊“下一步”(26) 單擊“從存儲添加”(27) 在列表中選擇相應(yīng)的根證書頒發(fā)機(jī)構(gòu)(28) 單擊“下一步”(29) 添加相應(yīng)的信息，單擊“下一步”(30) 單擊“完成”第二章. 制作要登錄域的成員iKey第一節(jié) 安裝iKey1000客戶端軟件第二節(jié)注：在安裝iKey軟件前和過程中，不要插入iKey。(1) 插入iKey1000開發(fā)光盤，如果使用的計(jì)算機(jī)開啟了自動(dòng)播放功能，iKey開發(fā)軟件將自動(dòng)運(yùn)行，如沒有自動(dòng)運(yùn)行

14、，請雙擊光盤根目錄的 iKeyall.exe安裝。（2）單擊下一步，如下圖單擊”finish”，安裝完畢。第三節(jié) 初始化iKey（1） 將iKey插入計(jì)算機(jī)USB接口,系統(tǒng)將自動(dòng)識別iKey。（2） 雙擊屏幕右下角的iKey管理工具圖標(biāo)。如圖221（3） 在iKey管理工具內(nèi)選擇“Admin Tools”，向iKey存儲證書前應(yīng)先Format。點(diǎn)擊“Format”，如圖222（4） 點(diǎn)擊“Format”后會要求輸入初始化后的 iKey的SO PIN密碼，請根據(jù)實(shí)際購買的iKey的PIN密碼來輸入。如有問題，請于彩虹公司聯(lián)系。默認(rèn)得SO PIN密碼為rainbow。（5） 輸入PIN密碼后會顯示

15、成功，請點(diǎn)擊“確定”。（6） 在“PKI Configuration”里選擇“Initialize”。輸入iKey登錄所存證書空間的大小，建議輸入“7000”，然后點(diǎn)擊Initialize，之后要求輸入初始化后的 iKey的SO PIN密碼，請根據(jù)實(shí)際購買的iKey的PIN密碼來輸入。本例中的 PIN密碼為rainbow。同時(shí)，用戶可以決定是否設(shè)置PIN碼嘗試次數(shù)。（7） 設(shè)置使用iKey登錄時(shí)的證書密碼，本例中使用的密碼是“1234”，如圖226圖226（8）點(diǎn)擊“OK”，iKey初始化完畢。第四節(jié) 配置用戶帳戶（1） 單擊“開始”指向“程序”，指向“管理工具”，然后單擊“配置服務(wù)器”。如圖

16、231圖231（2）單擊Active Directory（3）單擊“管理用戶帳戶和組設(shè)置”。（4）展開左側(cè)目錄樹，單擊“USERS”，點(diǎn)右鍵，“新建”>“用戶”，來創(chuàng)建新用戶。填入相應(yīng)信息。如圖232，圖233，圖234注：如果在此節(jié)配置中有任何問題，請參見Windows2000 Server參考手冊的相關(guān)章節(jié)。圖232圖233圖234第五節(jié) 為iKey用戶申請證書（1）以管理員身份登錄Windows2000 Server。 （2）打開 Internet Explorer。 （3）在 Internet Explorer“地址”中，鍵入頒發(fā)智能卡登錄證書的證書頒發(fā)機(jī)構(gòu) (CA) 的地址，如

17、http:/usdep-server1/certsrv ,然后按下 ENTER。 （4） 選中“申請證書”，然后單擊“下一步”。選中“高級申請”，再單擊“下一步”。 如圖241注：證書服務(wù)器的地址是服務(wù)器名稱后跟 /Certsrv。例如，為了連接到 SmartcardCA 服務(wù)器上的 CA，在本書中，該地址為： http:/usdep-server1/certsrv請確保使用的是安裝了 CA 的服務(wù)器的名稱，而不是 CA 名稱本身。大多數(shù)情況下，這些名稱是不同的。本例中的證書服務(wù)器名稱就是本機(jī)的主機(jī)名。圖241（5）插入初始化后的iKey。（6）選中“使用智能卡注冊站為代表另一個(gè)用戶的智能卡申

18、請一個(gè)證書”，然后單擊“下一步”。如果系統(tǒng)提示接受智能卡簽名證書，請單擊“是”。如圖 242圖242（7） “證書模板”中選擇“智能卡登錄”。 如圖243圖243（8）在“證書頒發(fā)機(jī)構(gòu)”中，請單擊要讓其頒發(fā)智能卡證書的 CA 的名稱，如rainbow，圖243。 （9）在“加密服務(wù)提供程序”中，請選擇彩虹天地公司的加密服務(wù)提供程序 Rainbow iKey 1000 RSA Cryptographic Service Provider。如圖243（10）在“管理員簽名證書”中，請單擊將簽署注冊申請的注冊代理證書。 “要注冊的用戶”中，單擊“選擇用戶”，如usdept，如圖243。（11）單擊“

19、注冊”，然后在系統(tǒng)提示時(shí)，輸入iKey的個(gè)人身份號 (PIN)。如圖244圖244 注：此PIN密碼為第二章第二節(jié)初始化iKey時(shí)設(shè)置的密碼，見圖223（12）（可選）如果您正在設(shè)置的iKey上有以前安裝的證書，將顯示一條信息，詢問您是否想要替換iKey上現(xiàn)有的證書。請單擊“是”。 （13）當(dāng)在iKey上安裝好證書后，CA Web 頁將向您提供剛安裝證書的查看選項(xiàng)，或者開始新的智能卡證書申請。 如圖245圖245 注意 對于第 1 步，在域中擁有注冊代理證書并具有頒發(fā)智能卡證書安全權(quán)限的任何用戶均被認(rèn)為是“注冊代理”。 第三章. Windows2000 Professional端的配置第一節(jié) 客戶端基本配置 安裝iKey驅(qū)動(dòng)，運(yùn)行iKey開發(fā)光盤根目錄下的iKeyall.exe (同第二章)附錄一修改iKey的超級用戶密碼（1） 要修改iKey的超級用戶密碼，必須安裝iKey1000 SDK and Authentication Solution。（2） 選擇開始->程序->Rainbow Technologies-> iKey 1000 Series Software ->iKey Editor，啟動(dòng)iKey的管理工具，點(diǎn)擊“Access”->“Modify