SSL加密驗(yàn)證方案

1、SSL加密驗(yàn)證方案操作手冊(cè) 北京彩虹天地信息技術(shù)有限公司2003年2月第一章. Windows2000 Server端的配置第一節(jié) Active directory配置如果Windows2000 Server已經(jīng)配置好Active directory和DNS，請(qǐng)?zhí)^(guò)此節(jié)，轉(zhuǎn)入第一章第二節(jié)開(kāi)始。注：在以后章節(jié)中，系統(tǒng)會(huì)提示需要windows2000的安裝盤(pán)，請(qǐng)自行指定windows2000安裝盤(pán)的路徑。（1） 以域管理員身份登錄到系統(tǒng)。（2） 單擊“開(kāi)始”，>“設(shè)置”>“控制面板”。（3） 在控制面板中雙擊“配置服務(wù)器”。如圖111圖111（4） 從左側(cè)選擇“Active direc

2、tory”,在右側(cè)下拉滾動(dòng)條，選擇“啟動(dòng)”（5） 進(jìn)入Active Directory安裝向?qū)В瑔螕粝乱徊?。如圖112圖112（6） 選擇“新域的域控制器”，單擊下一步。如圖113圖113（7） 選擇“創(chuàng)建一個(gè)新的域目錄樹(shù)”，單擊下一步。如圖114圖114（8） 選擇“創(chuàng)建新的域目錄林”，單擊下一步。如圖115圖115（9） 鍵入新域的DNS名（例如）,單擊下一步；鍵入域NetBios名（例如rainbow）,單擊下一步。如圖116，圖117圖116圖117（10） 選擇數(shù)據(jù)庫(kù)，日志文件的存儲(chǔ)位置（要求存儲(chǔ)在NTFS格式的分區(qū)），單擊下一步。選擇Sysvol的位置，單擊下一步。如圖118，圖1

3、19圖118圖119（11） 如未配置DNS，選擇安裝和配置DNS服務(wù)器，如圖1110圖1110（12） 選擇權(quán)限，選中“只與WIN2000服務(wù)器兼容的權(quán)限”，單擊下一步。如圖1111圖1111（13） 輸入密碼（作為用戶(hù)名密碼形式的認(rèn)證密碼，請(qǐng)牢記此密碼），單擊下一步。向?qū)ч_(kāi)始配置組件。如圖1112圖1112（14） 確認(rèn)DNS配置信息，點(diǎn)擊下一步，如圖1113圖1113（15） 等待DNS配置過(guò)程，可能需要數(shù)分鐘，如圖1114注：此過(guò)程中會(huì)需要Windows2000安裝光盤(pán)，請(qǐng)放入光盤(pán)，按提示操作。圖1114（16） Active directory和DNS配置完成，單擊完成，并重新啟動(dòng)計(jì)

4、算機(jī)。如圖1115，圖1116圖1115圖1116第二節(jié) 安裝企業(yè)根證書(shū)頒發(fā)機(jī)構(gòu)（1）以域管理員身份登錄到系統(tǒng)。 （2）單擊“開(kāi)始”，指向“設(shè)置”，然后單擊“控制面板”。 （3）雙擊“添加/刪除程序”，單擊“添加/刪除 Windows 組件”。如圖121 圖121（4）在“Windows 組件向?qū)А敝?，選中“證書(shū)服務(wù)”復(fù)選框。屏幕上將出現(xiàn)一個(gè)對(duì)話框，通知您計(jì)算機(jī)在安裝證書(shū)服務(wù)之后不能更名且不能加入域或從域中刪除。單擊“是”，然后單擊“下一步”。 如圖122圖122（5）選擇“企業(yè)根 CA”。然后單擊“下一步” 如圖123圖123（6）鍵入證書(shū)頒發(fā)機(jī)構(gòu)的名稱(chēng)和其他必要信息。在 CA 設(shè)置完成后這

5、些信息都不能改變。 如圖124圖124（7）在圖124“有效期限”中，指定根 CA 的有效期時(shí)間。有關(guān)設(shè)置這個(gè)值時(shí)應(yīng)考慮的事項(xiàng)，請(qǐng)參閱下面的注釋。單擊“下一步”。 注意 安裝企業(yè)根 CA 要求主機(jī)是域的成員并且使用 Active Directory。安裝企業(yè) CA 的管理員必須對(duì) Active Directory 具有寫(xiě)權(quán)限。 如果對(duì) Active Directory 具有寫(xiě)權(quán)限，則指定共享文件夾是可選的，一般情況下對(duì)企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)不這么做。 為 CA 選擇的有效持續(xù)時(shí)間將決定 CA“到期”的時(shí)間。（8）指定證書(shū)數(shù)據(jù)庫(kù)、證書(shū)數(shù)據(jù)庫(kù)日志和共享文件夾的存儲(chǔ)位置。單擊“下一步”。 如圖125圖12

6、5（9）如果正在運(yùn)行 WWW 發(fā)布服務(wù)，您將會(huì)看到一條要求在安裝之前停止此項(xiàng)服務(wù)的請(qǐng)求信息。單擊“確定”。 如圖126圖126（10）如果出現(xiàn)提示，則鍵入證書(shū)服務(wù)安裝文件的路徑。 注：此過(guò)程中會(huì)需要Windows2000安裝光盤(pán)，請(qǐng)放入光盤(pán)，按提示操作。（11）點(diǎn)擊“完成”，完成windows安裝組件向?qū)?。至此，證書(shū)頒發(fā)機(jī)構(gòu)安裝完畢。 第三節(jié) 建立企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)可以頒發(fā)的智能卡證書(shū)類(lèi)型（1） 單擊“開(kāi)始”指向“程序”，指向“管理工具”，然后單擊“證書(shū)頒發(fā)機(jī)構(gòu)”。 (2) 打開(kāi)已設(shè)定的證書(shū)頒發(fā)機(jī)構(gòu)。，如本書(shū)中的“rainbow”。（3）頒發(fā)用于通過(guò)智能卡進(jìn)行 Windows 登錄的證書(shū)： （a

7、）在控制臺(tái)樹(shù)中，單擊“策略設(shè)置”。位置：證書(shū)頒發(fā)機(jī)構(gòu)（計(jì)算機(jī)）>CA 名稱(chēng)>策略設(shè)置。（b）在“操作”菜單上，指向“新建”，然后單擊“頒發(fā)證書(shū)”。圖131圖131（c）單擊“智能卡登錄”證書(shū)模板，再單擊“確定”。如圖132圖132（6）在控制臺(tái)樹(shù)中，單擊“策略設(shè)置”。（7）在“操作”菜單上，指向“新建”，然后單擊“要頒發(fā)的證書(shū)”。 （8）單擊“注冊(cè)代理”證書(shū)模板，然后單擊“確定”。 如圖133。至此，證書(shū)頒發(fā)機(jī)構(gòu)設(shè)置完成。圖133注意證書(shū)模板的安全權(quán)限設(shè)置指示誰(shuí)被允許請(qǐng)求該類(lèi)型的證書(shū)。注冊(cè)代理證書(shū)不必從將頒發(fā)智能卡證書(shū)的相同 CA 頒發(fā)（在該過(guò)程中已作闡明）。注冊(cè)代理證書(shū)的頒發(fā) C

8、A 只需要是域中可信任的企業(yè) CA。在該情況下，需要確保您的域中有一個(gè)企業(yè) CA，并且可以按照該 CA 上的第 1、2 和 5 至 7 步頒發(fā)注冊(cè)代理證書(shū)。 該過(guò)程只應(yīng)用于企業(yè) CA。第四節(jié) 準(zhǔn)備智能卡證書(shū)注冊(cè)站（1）以管理員身份登錄Windows。 （2）單擊“開(kāi)始”，單擊“運(yùn)行”，并鍵入“mmc”。 如圖1-41圖141（3） “控制臺(tái)”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。如圖142 ，143圖142圖143（4）在“管理單元”中，請(qǐng)雙擊“證書(shū)”。如果作為用戶(hù)登錄，證書(shū)管理單元將自動(dòng)加載。 如果作為管理員登錄，請(qǐng)單擊“我的用戶(hù)帳戶(hù)”，然后單擊“完成”。如圖144，圖145

9、圖144 圖145（5）單擊“關(guān)閉”。 （6）雙擊“證書(shū) - 當(dāng)前用戶(hù)”。使“證書(shū) - 當(dāng)前用戶(hù)”進(jìn)入 “管理單元添加到”控制欄中，單擊確定。如圖146，圖147圖146 圖147（7）展開(kāi)“控制臺(tái)根結(jié)點(diǎn)”樹(shù)，單擊“個(gè)人”。 位置：“證書(shū)-當(dāng)前用戶(hù)”>個(gè)人 。圖如148圖148（8）在“操作”菜單上，指向“所有任務(wù)”，然后單擊“申請(qǐng)新證書(shū)”。 如圖149圖149（9）出現(xiàn)證書(shū)申請(qǐng)向?qū)?，點(diǎn)擊下一步，選擇“注冊(cè)代理”證書(shū)模板。單擊“下一步”。系統(tǒng)還會(huì)要求您提供友好名稱(chēng)和對(duì)證書(shū)的描述。 如圖1410，圖1411，圖1412圖1410圖1411圖1412（10）單擊“下一步”，確認(rèn)申請(qǐng)的證書(shū)，單

10、擊“完成”。如圖1413圖1413（11）證書(shū)申請(qǐng)完成，請(qǐng)單擊“安裝證書(shū)”。您現(xiàn)在有了代表用戶(hù)申請(qǐng)智能卡證書(shū)所需的證書(shū)。如圖1414 圖1414（12）單擊“確定”，選擇“保存控制臺(tái)”，并指定相應(yīng)存儲(chǔ)目錄。注意 在為用戶(hù)申請(qǐng)智能卡登錄證書(shū)之前，智能卡管理員必須有可用的注冊(cè)代理證書(shū)，用來(lái)代表其他用戶(hù)生成智能卡證書(shū)申請(qǐng)。這是該過(guò)程的目的。要執(zhí)行該操作，必須擁有訪問(wèn)注冊(cè)代理證書(shū)模板的安全權(quán)限。這些任務(wù)可以在要用作智能卡證書(shū)注冊(cè)站的任何 Windows 2000 計(jì)算機(jī)（Professional 或 Server）上執(zhí)行。第五節(jié) 配置IIS服務(wù)器證書(shū)(1) 單擊“開(kāi)始” 、“設(shè)置” 、“控制面板” 、

11、“管理工具” 、“Internet信息服務(wù)器” 。右鍵單擊“默認(rèn)Web站點(diǎn)” ，選擇“屬性”(2) 單擊“服務(wù)器證書(shū)”(3) 單擊“下一步”(4) 選擇“創(chuàng)建一個(gè)新的證書(shū)” ， 單擊“下一步”(5) 輸入“證書(shū)名稱(chēng)” ，更改位長(zhǎng)為“1024” ，單擊“下一步”(6) 填寫(xiě)相應(yīng)的組織信息，單擊“下一步”(7) 輸入站點(diǎn)的公用名稱(chēng)，點(diǎn)擊“下一步”(8) 寫(xiě)入相應(yīng)的信息，單擊“下一步”(9) 選擇證書(shū)保存路徑和文件名，單擊“下一步”(10) 單擊“下一步” ，“完成”(11) 打開(kāi)IE瀏覽器，在地址欄敲入網(wǎng)址“”選擇“申請(qǐng)證書(shū)” ，單擊“下一步”(12) 如果該網(wǎng)頁(yè)需要“域用戶(hù)驗(yàn)證” ，請(qǐng)輸入正確的

12、管理員密碼和相應(yīng)的域名。(13) 選擇“高級(jí)申請(qǐng)” ，單擊“下一步”(14) 如下圖所示，選擇相應(yīng)的選項(xiàng)，單擊“下一步”(15) 從C盤(pán)找到相應(yīng)的剛才保存的文本文件“certreq.txt” ,打開(kāi)，選擇所有的文字內(nèi)容(16) 將上一步所選擇的文字資料，拷貝到下圖中的“保存的申請(qǐng)”中的文本框里。并選擇相應(yīng)的證書(shū)模板“Web服務(wù)器” ，單擊“提交”(17) 下載CA證書(shū)路徑(18) 將申請(qǐng)成功的證書(shū)存儲(chǔ)在硬盤(pán)上。(19) 回到IIS的“默認(rèn)Web站點(diǎn)屬性”頁(yè)面，單擊“服務(wù)器證書(shū)”(20) 單擊“下一步”(21) 單擊“瀏覽”選擇剛才存儲(chǔ)的證書(shū)路徑，選擇相應(yīng)的證書(shū)(22) 單擊“下一步” ，“完成

13、”(23) 回到IIS的“默認(rèn)Web站點(diǎn)屬性”頁(yè)面，單擊“編輯”(24) 選擇“申請(qǐng)安全通道”復(fù)選框，選擇“申請(qǐng)客戶(hù)證書(shū)” ，選擇“啟用證書(shū)信任列表復(fù)選框” ，單擊“新建”(25) 單擊“下一步”(26) 單擊“從存儲(chǔ)添加”(27) 在列表中選擇相應(yīng)的根證書(shū)頒發(fā)機(jī)構(gòu)(28) 單擊“下一步”(29) 添加相應(yīng)的信息，單擊“下一步”(30) 單擊“完成”第二章. 制作要登錄域的成員iKey第一節(jié) 安裝iKey1000客戶(hù)端軟件第二節(jié)注：在安裝iKey軟件前和過(guò)程中，不要插入iKey。(1) 插入iKey1000開(kāi)發(fā)光盤(pán)，如果使用的計(jì)算機(jī)開(kāi)啟了自動(dòng)播放功能，iKey開(kāi)發(fā)軟件將自動(dòng)運(yùn)行，如沒(méi)有自動(dòng)運(yùn)行

14、，請(qǐng)雙擊光盤(pán)根目錄的 iKeyall.exe安裝。（2）單擊下一步，如下圖單擊”finish”，安裝完畢。第三節(jié) 初始化iKey（1） 將iKey插入計(jì)算機(jī)USB接口,系統(tǒng)將自動(dòng)識(shí)別iKey。（2） 雙擊屏幕右下角的iKey管理工具圖標(biāo)。如圖221（3） 在iKey管理工具內(nèi)選擇“Admin Tools”，向iKey存儲(chǔ)證書(shū)前應(yīng)先Format。點(diǎn)擊“Format”，如圖222（4） 點(diǎn)擊“Format”后會(huì)要求輸入初始化后的 iKey的SO PIN密碼，請(qǐng)根據(jù)實(shí)際購(gòu)買(mǎi)的iKey的PIN密碼來(lái)輸入。如有問(wèn)題，請(qǐng)于彩虹公司聯(lián)系。默認(rèn)得SO PIN密碼為rainbow。（5） 輸入PIN密碼后會(huì)顯示

15、成功，請(qǐng)點(diǎn)擊“確定”。（6） 在“PKI Configuration”里選擇“Initialize”。輸入iKey登錄所存證書(shū)空間的大小，建議輸入“7000”，然后點(diǎn)擊Initialize，之后要求輸入初始化后的 iKey的SO PIN密碼，請(qǐng)根據(jù)實(shí)際購(gòu)買(mǎi)的iKey的PIN密碼來(lái)輸入。本例中的 PIN密碼為rainbow。同時(shí)，用戶(hù)可以決定是否設(shè)置PIN碼嘗試次數(shù)。（7） 設(shè)置使用iKey登錄時(shí)的證書(shū)密碼，本例中使用的密碼是“1234”，如圖226圖226（8）點(diǎn)擊“OK”，iKey初始化完畢。第四節(jié) 配置用戶(hù)帳戶(hù)（1） 單擊“開(kāi)始”指向“程序”，指向“管理工具”，然后單擊“配置服務(wù)器”。如圖

16、231圖231（2）單擊Active Directory（3）單擊“管理用戶(hù)帳戶(hù)和組設(shè)置”。（4）展開(kāi)左側(cè)目錄樹(shù)，單擊“USERS”，點(diǎn)右鍵，“新建”>“用戶(hù)”，來(lái)創(chuàng)建新用戶(hù)。填入相應(yīng)信息。如圖232，圖233，圖234注：如果在此節(jié)配置中有任何問(wèn)題，請(qǐng)參見(jiàn)Windows2000 Server參考手冊(cè)的相關(guān)章節(jié)。圖232圖233圖234第五節(jié) 為iKey用戶(hù)申請(qǐng)證書(shū)（1）以管理員身份登錄Windows2000 Server。 （2）打開(kāi) Internet Explorer。 （3）在 Internet Explorer“地址”中，鍵入頒發(fā)智能卡登錄證書(shū)的證書(shū)頒發(fā)機(jī)構(gòu) (CA) 的地址，如

17、http:/usdep-server1/certsrv ,然后按下 ENTER。 （4） 選中“申請(qǐng)證書(shū)”，然后單擊“下一步”。選中“高級(jí)申請(qǐng)”，再單擊“下一步”。 如圖241注：證書(shū)服務(wù)器的地址是服務(wù)器名稱(chēng)后跟 /Certsrv。例如，為了連接到 SmartcardCA 服務(wù)器上的 CA，在本書(shū)中，該地址為： http:/usdep-server1/certsrv請(qǐng)確保使用的是安裝了 CA 的服務(wù)器的名稱(chēng)，而不是 CA 名稱(chēng)本身。大多數(shù)情況下，這些名稱(chēng)是不同的。本例中的證書(shū)服務(wù)器名稱(chēng)就是本機(jī)的主機(jī)名。圖241（5）插入初始化后的iKey。（6）選中“使用智能卡注冊(cè)站為代表另一個(gè)用戶(hù)的智能卡申

18、請(qǐng)一個(gè)證書(shū)”，然后單擊“下一步”。如果系統(tǒng)提示接受智能卡簽名證書(shū)，請(qǐng)單擊“是”。如圖 242圖242（7） “證書(shū)模板”中選擇“智能卡登錄”。 如圖243圖243（8）在“證書(shū)頒發(fā)機(jī)構(gòu)”中，請(qǐng)單擊要讓其頒發(fā)智能卡證書(shū)的 CA 的名稱(chēng)，如rainbow，圖243。 （9）在“加密服務(wù)提供程序”中，請(qǐng)選擇彩虹天地公司的加密服務(wù)提供程序 Rainbow iKey 1000 RSA Cryptographic Service Provider。如圖243（10）在“管理員簽名證書(shū)”中，請(qǐng)單擊將簽署注冊(cè)申請(qǐng)的注冊(cè)代理證書(shū)。 “要注冊(cè)的用戶(hù)”中，單擊“選擇用戶(hù)”，如usdept，如圖243。（11）單擊“

19、注冊(cè)”，然后在系統(tǒng)提示時(shí)，輸入iKey的個(gè)人身份號(hào) (PIN)。如圖244圖244 注：此PIN密碼為第二章第二節(jié)初始化iKey時(shí)設(shè)置的密碼，見(jiàn)圖223（12）（可選）如果您正在設(shè)置的iKey上有以前安裝的證書(shū)，將顯示一條信息，詢(xún)問(wèn)您是否想要替換iKey上現(xiàn)有的證書(shū)。請(qǐng)單擊“是”。 （13）當(dāng)在iKey上安裝好證書(shū)后，CA Web 頁(yè)將向您提供剛安裝證書(shū)的查看選項(xiàng)，或者開(kāi)始新的智能卡證書(shū)申請(qǐng)。 如圖245圖245 注意 對(duì)于第 1 步，在域中擁有注冊(cè)代理證書(shū)并具有頒發(fā)智能卡證書(shū)安全權(quán)限的任何用戶(hù)均被認(rèn)為是“注冊(cè)代理”。 第三章. Windows2000 Professional端的配置第一節(jié) 客戶(hù)端基本配置 安裝iKey驅(qū)動(dòng)，運(yùn)行iKey開(kāi)發(fā)光盤(pán)根目錄下的iKeyall.exe (同第二章)附錄一修改iKey的超級(jí)用戶(hù)密碼（1） 要修改iKey的超級(jí)用戶(hù)密碼，必須安裝iKey1000 SDK and Authentication Solution。（2） 選擇開(kāi)始->程序->Rainbow Technologies-> iKey 1000 Series Software ->iKey Editor，啟動(dòng)iKey的管理工具，點(diǎn)擊“Access”->“Modify