chapter9電子政務(wù)工程設(shè)計(jì)

1、網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)第9章 人 民 郵 電 出 版 社 編著：楊威 王云 劉景宜 SXTU-INC-YW 本章知識(shí)要點(diǎn)點(diǎn)：電子政務(wù)務(wù)業(yè)務(wù)模模型電子政務(wù)務(wù)體系結(jié)結(jié)構(gòu)電子政務(wù)務(wù)通信平平臺(tái)設(shè)計(jì)計(jì)內(nèi)、外網(wǎng)網(wǎng)物理隔隔離電子政務(wù)務(wù)信息系系統(tǒng)PKI技技術(shù)，CA證書(shū)書(shū)服務(wù)器器，安裝裝證書(shū)服服務(wù)，證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理，客戶端端的證書(shū)書(shū)管理SSL安安全機(jī)制制，基于于SSL的Web服務(wù)務(wù)器VPN的的技術(shù)與與類型，VPN方案設(shè)設(shè)計(jì)，基基于VPN政務(wù)務(wù)網(wǎng)絡(luò)互互連。第9章 電子子政務(wù)工工程設(shè)計(jì)計(jì)SXTU-INC-YW本章重點(diǎn)點(diǎn)：電子政務(wù)務(wù)業(yè)務(wù)模模型電子政務(wù)務(wù)體系結(jié)結(jié)構(gòu)電子政務(wù)務(wù)通信平平臺(tái)設(shè)計(jì)計(jì)內(nèi)、外網(wǎng)網(wǎng)物理

2、隔隔離電子政務(wù)務(wù)CA的的建立和和管理SSL安安全機(jī)制制VPN的的技術(shù)與與方案設(shè)設(shè)計(jì)，基基于VPN政務(wù)務(wù)網(wǎng)絡(luò)互互連。本章難點(diǎn)：基于VPN政務(wù)務(wù)網(wǎng)絡(luò)互互連第9章 電子子政務(wù)工工程設(shè)計(jì)計(jì)SXTU-INC-YW9.1電子政務(wù)務(wù)概述9.1.1電電子政務(wù)務(wù)的背景景電子政務(wù)務(wù)是指政政府機(jī)構(gòu)構(gòu)利用信信息化手手段，實(shí)實(shí)現(xiàn)各類類政府職職能。其其核心是是應(yīng)用信信息技術(shù)術(shù)，提高高政府事事務(wù)處理理的效率率，改善善政府組組織和公公共管理理。背景：信息技術(shù)術(shù)的飛速速發(fā)展發(fā)達(dá)國(guó)家家提出“電子子政務(wù)（電子政政府）計(jì)計(jì)劃”我國(guó)的電電子政務(wù)務(wù)SXTU-INC-YW9.1.2電子政務(wù)務(wù)業(yè)務(wù)與與信息流流1.電電子政務(wù)務(wù)業(yè)務(wù)模模型根據(jù)政

3、府府機(jī)構(gòu)的的業(yè)務(wù)形形態(tài)來(lái)看看，通常常電子政政務(wù)主要要包括三三個(gè)應(yīng)用用領(lǐng)域。其業(yè)務(wù)務(wù)模型可可以用圖圖9.1表示。圖9.1電子政務(wù)業(yè)務(wù)模型 面向社會(huì)會(huì)公眾和和企業(yè)組組織，為為其提供供政策、法規(guī)、條例和和流程的的查詢服服務(wù)。借助互聯(lián)聯(lián)網(wǎng)實(shí)現(xiàn)現(xiàn)政府機(jī)機(jī)構(gòu)的對(duì)對(duì)外辦公公，如：申請(qǐng)、申報(bào)等等，提高高政府的的運(yùn)作效效率，增增加透明明度。以信息化化手段提提高政府府機(jī)構(gòu)內(nèi)內(nèi)部辦公公的效率率，如：公文報(bào)報(bào)送、信信息通知知和信息息查詢等等。SXTU-INC-YW9.1.2電子政務(wù)務(wù)業(yè)務(wù)與與信息流流2.電電子政務(wù)務(wù)信息流流在電子政政務(wù)系統(tǒng)統(tǒng)中主要要存在三三種信息息流，如如圖9.2所示示。圖9.2 電子政務(wù)信息流模型

4、SXTU-INC-YW9.1.3電子政務(wù)務(wù)體系結(jié)結(jié)構(gòu)與特特點(diǎn)1.電電子政務(wù)務(wù)體系結(jié)結(jié)構(gòu)構(gòu)建的電電子政務(wù)務(wù)體系結(jié)結(jié)構(gòu)主要要包括三三個(gè)應(yīng)用用系統(tǒng)和和一個(gè)網(wǎng)網(wǎng)絡(luò)通信信平臺(tái)。如圖9.3所所示。圖9.3電子政務(wù)平臺(tái)系統(tǒng)結(jié)構(gòu) SXTU-INC-YW9.1.3電子政務(wù)務(wù)體系結(jié)結(jié)構(gòu)與特特點(diǎn)2.電電子政務(wù)務(wù)系統(tǒng)的的特點(diǎn)一個(gè)成熟熟的電子子政務(wù)系系統(tǒng)，不不但能夠夠利用信信息技術(shù)術(shù)，實(shí)現(xiàn)現(xiàn)信息流流的高效效率運(yùn)轉(zhuǎn)轉(zhuǎn)，還應(yīng)應(yīng)具備如如下特點(diǎn)點(diǎn)：（1）安安全性。（2）整整合性。（3）可可擴(kuò)展性性。（4）示示范性。政府機(jī)構(gòu)構(gòu)的信息息安全是是電子政政務(wù)實(shí)施施的第一一要素。電子政政務(wù)系統(tǒng)統(tǒng)不但能能夠?qū)崿F(xiàn)現(xiàn)內(nèi)外網(wǎng)網(wǎng)的物理理隔離，有效

5、防防止泄密密；同時(shí)時(shí)也應(yīng)確確保內(nèi)、外網(wǎng)具具有強(qiáng)大大的抵御御攻擊能能力，防防止非法法侵入帶帶來(lái)的損損失。電子政務(wù)務(wù)系統(tǒng)應(yīng)應(yīng)能實(shí)現(xiàn)現(xiàn)政府內(nèi)內(nèi)部辦公公和外部部事務(wù)處處理的整整合，通通過(guò)建立立政務(wù)辦辦公信息息流和事事務(wù)信息息流的平平滑對(duì)接接，提高高信息流流的效率率。同時(shí)時(shí)，能夠夠?qū)崿F(xiàn)多多種溝通通模式的的整合，通過(guò)通通信平臺(tái)臺(tái)的多樣樣化優(yōu)勢(shì)勢(shì)，提高高電子政政務(wù)系統(tǒng)統(tǒng)的覆蓋蓋能力。電子政務(wù)務(wù)系統(tǒng)的的實(shí)施是是一個(gè)分分階段的的長(zhǎng)期過(guò)過(guò)程，電電子政務(wù)務(wù)系統(tǒng)的的構(gòu)造應(yīng)應(yīng)具有高高度的擴(kuò)擴(kuò)展性，以降低低系統(tǒng)擴(kuò)擴(kuò)充的投投入成本本，并滿滿足信息息技術(shù)高高速發(fā)展展的需要要。電子政務(wù)務(wù)系統(tǒng)采采用的技技術(shù)和產(chǎn)產(chǎn)品應(yīng)對(duì)對(duì)社會(huì)具具

6、有廣泛泛的示范范性和引引導(dǎo)性，電子政政務(wù)平臺(tái)臺(tái)的總體體結(jié)構(gòu)應(yīng)應(yīng)依據(jù)國(guó)國(guó)家電子子政務(wù)安安全規(guī)范范和電子子政務(wù)標(biāo)標(biāo)準(zhǔn)技術(shù)術(shù)參考模模型設(shè)計(jì)計(jì)。SXTU-INC-YW9.2電子政務(wù)務(wù)系統(tǒng)設(shè)設(shè)計(jì)9.2.1電電子政務(wù)務(wù)網(wǎng)絡(luò)平平臺(tái)1.電電子政務(wù)務(wù)內(nèi)網(wǎng)電子政務(wù)務(wù)內(nèi)網(wǎng)是是各種應(yīng)應(yīng)用的統(tǒng)統(tǒng)一通信信平臺(tái)，主干網(wǎng)網(wǎng)要求具具有安全全、可靠靠和高帶帶寬等特特性。某市電子子化辦公公涉及20多個(gè)個(gè)業(yè)務(wù)部部門(mén)，這這些部門(mén)門(mén)分部在在不同的的地理位位置，距距離市政政府大樓樓幾十米米至幾公公里?？伎紤]到政政務(wù)主干干網(wǎng)的負(fù)負(fù)載均衡衡和光纜纜敷設(shè)便便利等因因素，政政務(wù)主干干網(wǎng)可采采用多星星型拓?fù)鋼浣Y(jié)構(gòu)。整體網(wǎng)網(wǎng)絡(luò)設(shè)置置三個(gè)主主結(jié)點(diǎn)（市政

7、府府主樓、市委主主樓和科科技局主主樓）向向外輻射射，通過(guò)過(guò)各部門(mén)門(mén)（局、科室）所在的的建筑樓樓結(jié)點(diǎn)構(gòu)構(gòu)成主干干網(wǎng)。如如圖9.4所示示。SXTU-INC-YW9.2.1電子政務(wù)務(wù)網(wǎng)絡(luò)平平臺(tái)圖9.4 市政政府網(wǎng)絡(luò)絡(luò)拓?fù)浣Y(jié)結(jié)構(gòu)圖SXTU-INC-YW9.2.1電子政務(wù)務(wù)網(wǎng)絡(luò)平平臺(tái)2.電電子政務(wù)務(wù)外網(wǎng)電子政務(wù)務(wù)外網(wǎng)（Web網(wǎng)站）位于市市政府主主樓第3層的網(wǎng)網(wǎng)絡(luò)中心心主機(jī)房房?jī)?nèi)。電電子政務(wù)務(wù)外網(wǎng)是是政府對(duì)對(duì)外的門(mén)門(mén)戶網(wǎng)站站，網(wǎng)站站拓?fù)浣Y(jié)結(jié)構(gòu)要嚴(yán)嚴(yán)格按照照DMZ的要求求設(shè)計(jì)。如圖9.5所所示。圖9.5 政務(wù)外網(wǎng)體系結(jié)構(gòu)圖 SXTU-INC-YW9.2.2內(nèi)、外網(wǎng)網(wǎng)物理隔隔離電子政務(wù)務(wù)內(nèi)、外外網(wǎng)物理理隔離采

8、采用物理理隔離網(wǎng)網(wǎng)閘X-gap8100（中中網(wǎng)公司司產(chǎn)品），可以以實(shí)現(xiàn)兩兩個(gè)網(wǎng)絡(luò)絡(luò)之間的的物理隔隔離。如如圖9.6所示示。圖9.6 內(nèi)、外網(wǎng)物理隔離結(jié)構(gòu)圖 SXTU-INC-YW9.2.3電子政務(wù)務(wù)信息系系統(tǒng)1.系系統(tǒng)功能能結(jié)構(gòu)電子政務(wù)務(wù)信息系系統(tǒng)一般般分為政政府公共共服務(wù)網(wǎng)網(wǎng)站和政政府內(nèi)部部辦公網(wǎng)網(wǎng)站，其其功能結(jié)結(jié)構(gòu)如圖圖9.7所示。圖9.7 電子政務(wù)系統(tǒng)功能結(jié)構(gòu)圖 SXTU-INC-YW9.2.3電子政務(wù)務(wù)信息系系統(tǒng)2.政政務(wù)外網(wǎng)網(wǎng)應(yīng)用面向公共共管理服服務(wù)政務(wù)務(wù)外網(wǎng)業(yè)業(yè)務(wù)系統(tǒng)統(tǒng)主要包包括：為為公眾用用戶提供供接入和和工作流流引擎、通用電電子政務(wù)務(wù)構(gòu)件、個(gè)性化化管理以以及服務(wù)務(wù)集成等等基本的

9、的功能。如：網(wǎng)網(wǎng)上報(bào)表表管理、登記申申報(bào)及審審批業(yè)務(wù)務(wù)辦理、網(wǎng)上人人才招聘聘管理、招商管管理、網(wǎng)網(wǎng)上稅務(wù)務(wù)、網(wǎng)上上勞保等等應(yīng)用系系統(tǒng)。SXTU-INC-YW9.2.3電子政務(wù)務(wù)信息系系統(tǒng)3.政政務(wù)內(nèi)網(wǎng)網(wǎng)應(yīng)用政務(wù)內(nèi)網(wǎng)網(wǎng)應(yīng)用系系統(tǒng)強(qiáng)調(diào)調(diào)的是政政府內(nèi)部部在各類類政務(wù)工工作中，運(yùn)用先先進(jìn)的信信息技術(shù)術(shù)和管理理思想，大幅度度提高辦辦事效率率，提高高政務(wù)工工作的質(zhì)質(zhì)量。而而在政府府內(nèi)部，電子政政務(wù)的許許多目標(biāo)標(biāo)是要通通過(guò)辦公公自動(dòng)化化來(lái)實(shí)現(xiàn)現(xiàn)的。離離開(kāi)了辦辦公自動(dòng)動(dòng)化，政政府內(nèi)部部的電子子政務(wù)也也就失去去了基礎(chǔ)礎(chǔ)。面向向辦公業(yè)業(yè)務(wù)的OA系統(tǒng)統(tǒng)功能包包括：公公文管理理、督查查管理、檔案管管理、政政務(wù)信息息、

10、內(nèi)部部事務(wù)、值班管管理、會(huì)會(huì)議管理理、輔助助決策、公用信信息等。SXTU-INC-YW9.2.3電子政務(wù)務(wù)信息系系統(tǒng)4.政政務(wù)處理理邏輯結(jié)結(jié)構(gòu)政務(wù)處理理邏輯組組織將系系統(tǒng)結(jié)構(gòu)構(gòu)劃分成成數(shù)據(jù)層層、組件件層、功功能層和和應(yīng)用層層，如圖圖9.8所示。圖9.8電子政務(wù)處理邏輯結(jié)構(gòu) SXTU-INC-YW9.3電電子政政務(wù)CA的建立立和管理理PKI是是信息安安全技術(shù)術(shù)的核心心，也是是電子政政務(wù)的關(guān)關(guān)鍵和基基礎(chǔ)技術(shù)術(shù)。電子子政務(wù)在在選擇PKI解解決方案案時(shí)，可可以向第第三方證證書(shū)認(rèn)證證（CA，Certificate Authority）提提供商外外購(gòu)PKI；或或部署自自己的政政府級(jí)PKI，或部署署混合模模

11、式PKI體系系。由第第三方CA提供供根CA，將CA頒發(fā)發(fā)限定于于政府內(nèi)內(nèi)部范圍圍。SXTU-INC-YW9.3.1PKI技技術(shù)1.PKI的的組成PKI是是一種以以公開(kāi)密密鑰技術(shù)術(shù)為基礎(chǔ)礎(chǔ)，以數(shù)數(shù)據(jù)的機(jī)機(jī)密性、完整性性和不可可抵賴性性為安全全目的，構(gòu)建的的認(rèn)證、授權(quán)和和加密等等硬件、軟件的的綜合設(shè)設(shè)施。PKI的的基礎(chǔ)技技術(shù)包括括加密、數(shù)字簽簽名、數(shù)數(shù)據(jù)完整整性機(jī)制制、數(shù)字字信封、雙重?cái)?shù)數(shù)字簽名名等。完完整的PKI系系統(tǒng)必須須具有權(quán)權(quán)威認(rèn)證證機(jī)構(gòu)（CA）、數(shù)字字證書(shū)庫(kù)庫(kù)、密鑰鑰備份及及恢復(fù)系系統(tǒng)、證證書(shū)作廢廢系統(tǒng)和和應(yīng)用接接口（API）等基本本構(gòu)件和和系統(tǒng)。SXTU-INC-YW9.3.1PKI技

12、技術(shù)2.PKI的的功能（1）認(rèn)認(rèn)證機(jī)構(gòu)構(gòu)（CA）（2）數(shù)數(shù)字證書(shū)書(shū)庫(kù)（3）密密鑰備份份及恢復(fù)復(fù)系統(tǒng)（4）證證書(shū)作廢廢系統(tǒng)（5）應(yīng)應(yīng)用接口口（API）SXTU-INC-YW9.3.1PKI技技術(shù)3.PKI的的安全機(jī)機(jī)制PKI安安全平臺(tái)臺(tái)能夠提提供智能能化的信信任與有有效授權(quán)權(quán)服務(wù)。其中，信任服服務(wù)主要要是解決決在茫茫茫網(wǎng)海中中如何確確認(rèn)“你你是你、我是我我、他是是他”的的問(wèn)題；授權(quán)服服務(wù)主要要是解決決在網(wǎng)絡(luò)絡(luò)中“每每個(gè)實(shí)體體能干什什么”的的問(wèn)題。SXTU-INC-YW9.3.2CA證書(shū)書(shū)服務(wù)器器的選擇擇通常來(lái)說(shuō)說(shuō)，CA是證書(shū)書(shū)的簽發(fā)發(fā)機(jī)構(gòu)，它是PKI的的核心。公鑰體制制的密鑰鑰管理主主要是針針對(duì)

13、公鑰鑰的管理理問(wèn)題。目前較較好的解解決方案案是數(shù)字字證書(shū)機(jī)機(jī)制。在實(shí)際應(yīng)應(yīng)用中，CA除除了服務(wù)務(wù)器硬件件（可選選用PC服務(wù)器器），還還要選擇擇合適的的CA軟軟件。在在選擇CA產(chǎn)品品時(shí)，要要重點(diǎn)考考慮所支支持的相相關(guān)PKI標(biāo)準(zhǔn)準(zhǔn)、易管管理性、伸縮能能力以及及成本費(fèi)費(fèi)用。SXTU-INC-YW9.3.3規(guī)劃證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)1.根根CA與與從屬CA根據(jù)層次次結(jié)構(gòu)，CA可可劃分為為根CA和從屬屬CA。（1）根根CA是是公鑰體體系中第第一個(gè)證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)，它是所所有信任任的起源源。根CA可以以為其他他CA創(chuàng)創(chuàng)建證書(shū)書(shū)，也可可以為其其他計(jì)算算機(jī)、用用戶和服服務(wù)創(chuàng)建建證書(shū)。根CA最重要要的角色色是作為為信

14、任的的根，是是整個(gè)政政府（企企業(yè)）認(rèn)認(rèn)證體系系的中心心，需要要最根本本的保護(hù)護(hù)。對(duì)大大多數(shù)基基于證書(shū)書(shū)的應(yīng)用用程序來(lái)來(lái)說(shuō)，使使用的證證書(shū)認(rèn)證證都可以以跟蹤到到根。（2）從從屬CA必須從從根CA或者從從一個(gè)已已由根CA授權(quán)權(quán)，可頒頒發(fā)從屬屬CA證證書(shū)的從從屬CA處獲得得證書(shū)。從屬CA可直直接頒發(fā)發(fā)證書(shū)。在建立立CA時(shí)時(shí)，從屬屬CA要要通過(guò)上上級(jí)CA獲得自自己的CA證書(shū)書(shū)，而根根CA則則是創(chuàng)建建自簽名名的證書(shū)書(shū)。SXTU-INC-YW9.3.3規(guī)劃證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)2企業(yè)業(yè)CA與與獨(dú)立CA（1）企企業(yè)CA具有下下列特點(diǎn)點(diǎn)。企業(yè)CA需要要活動(dòng)目目錄（ActiveDirectory）。安裝企企業(yè)根CA時(shí)

15、，對(duì)于域域中的所所有用戶戶和計(jì)算算機(jī)，它它都會(huì)自自動(dòng)添加加到受信信任的根根證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)的證書(shū)書(shū)存儲(chǔ)區(qū)區(qū)中。企業(yè)CA根據(jù)據(jù)申請(qǐng)證證書(shū)的類類型設(shè)置置策略和和安全權(quán)權(quán)限，立立即頒發(fā)發(fā)證書(shū)或或立即拒拒絕請(qǐng)求求。可以為為使用智智能卡登登錄到Windows2000域頒頒發(fā)證書(shū)書(shū)。企業(yè)退退出模塊塊向活動(dòng)動(dòng)目錄（Active Directory）發(fā)發(fā)布用戶戶證書(shū)和和證書(shū)吊吊銷列表表。企業(yè)CA使用用基于證證書(shū)模板板的證書(shū)書(shū)類型。SXTU-INC-YW9.3.3規(guī)劃證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)2企業(yè)業(yè)CA與與獨(dú)立CA（2）獨(dú)獨(dú)立CA具有下下列特點(diǎn)點(diǎn)。獨(dú)立CA不需需要使用用活動(dòng)目目錄（ActiveDirectory）。向獨(dú)

16、立立CA提提交證書(shū)書(shū)申請(qǐng)時(shí)時(shí)，證書(shū)書(shū)申請(qǐng)者者必須在在證書(shū)申申請(qǐng)中明明確提供供所有關(guān)關(guān)于自己己的標(biāo)識(shí)識(shí)信息以以及證書(shū)書(shū)申請(qǐng)所所需的證證書(shū)類型型。（向向企業(yè)CA提交交證書(shū)申申請(qǐng)時(shí)無(wú)無(wú)需提供供這些信信息，因因?yàn)槠髽I(yè)業(yè)用戶的的信息已已經(jīng)在ActiveDirectory中，并并且證書(shū)書(shū)類型由由證書(shū)模模板說(shuō)明明。）默認(rèn)情情況下，發(fā)送到到獨(dú)立CA的所所有證書(shū)書(shū)申請(qǐng)都都被設(shè)置置為特定定狀態(tài)，由管理理員審查查頒發(fā)，也可根根據(jù)需要要改為自自動(dòng)頒發(fā)發(fā)證書(shū)。不使用用驗(yàn)證模模板。使用智智能卡不不能頒發(fā)發(fā)用來(lái)登登錄到Windows 2000域域的證書(shū)書(shū)，但可可以頒發(fā)發(fā)其他類類型的證證書(shū)并存存儲(chǔ)在智智能卡上上。管理員員必須

17、向向域用戶戶的信任任根存儲(chǔ)儲(chǔ)區(qū)明確確分配獨(dú)獨(dú)立CA的證書(shū)書(shū)，或者者必須讓讓用戶自自己執(zhí)行行該任務(wù)務(wù)。SXTU-INC-YW9.3.3規(guī)劃證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)3微軟軟的4種種CA（1）企企業(yè)根CA。證證書(shū)層次次結(jié)構(gòu)中中的最高高級(jí)證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)，需需要ActiveDirectory，自行簽簽發(fā)自己己的CA證書(shū)，并將該該證書(shū)發(fā)發(fā)布至域域中所有有Windows2000服務(wù)器器和工作作站上。這種CA安裝裝在域控控制器或或者域成成員計(jì)算算機(jī)上。（2）企企業(yè)從屬屬CA。必須從從另一證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)獲獲得自己己的CA證書(shū)。如果使使用ActiveDirectory、證書(shū)模模板和智智能卡登登錄到Windows 20

18、00計(jì)計(jì)算機(jī)時(shí)時(shí)，應(yīng)選選用這種種類型。（3）獨(dú)獨(dú)立根CA。也也是證書(shū)書(shū)層次結(jié)結(jié)構(gòu)中的的最高級(jí)級(jí)證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)，它不不需要ActiveDirectory支持，適于作作為獨(dú)立立的證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)，向向外部發(fā)發(fā)放證書(shū)書(shū)。獨(dú)立立CA安安裝在獨(dú)獨(dú)立的服服務(wù)器上上。（4）獨(dú)獨(dú)立從屬屬CA。必須從從另一證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)獲獲得自己己的CA證書(shū)，用于建建立多層層次的獨(dú)獨(dú)立證書(shū)書(shū)頒發(fā)體體系。SXTU-INC-YW9.3.3規(guī)劃證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)4規(guī)劃劃證書(shū)層層次結(jié)構(gòu)構(gòu)通過(guò)根CA和從從屬CA可建立立證書(shū)層層次結(jié)構(gòu)構(gòu)，如圖圖9.9所示。圖9.9 證書(shū)頒發(fā)層次體系 SXTU-INC-YW9.3.4安裝證書(shū)書(shū)服務(wù)安裝企業(yè)

19、業(yè)CA需需要ActiveDirectory環(huán)環(huán)境，證證書(shū)服務(wù)務(wù)器必須須是域控控制器或或域成員員服務(wù)器器。本例例是在域域控制器器上安裝裝企業(yè)根根CA，用于為為政府內(nèi)內(nèi)部提供供證書(shū)服服務(wù)。（1）鼠鼠標(biāo)左鍵鍵雙擊“控制面面板”中中的“添添加/刪刪除程序序”，選選擇“添添加/刪刪除Windows組組件”，然后從從“組件件”列表表中選取取“證書(shū)書(shū)服務(wù)”。（2）鼠鼠標(biāo)左鍵鍵單擊“下一步步”按鈕鈕，打開(kāi)開(kāi)“Microsoft證書(shū)書(shū)服務(wù)”對(duì)話框框，系統(tǒng)統(tǒng)提示安安裝證書(shū)書(shū)服務(wù)后后，不能能更改計(jì)計(jì)算機(jī)名名，也不不能將計(jì)計(jì)算機(jī)加加入到域域或從域域中刪除除，鼠標(biāo)標(biāo)左鍵單單擊“是是”按鈕鈕。SXTU-INC-YW9.3

20、.4安裝證書(shū)書(shū)服務(wù)（3）選選擇證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)（CA）類類型，如如圖9.10所所示的對(duì)對(duì)話框，。共有有4種類類型，這這里選擇擇默認(rèn)的的“企業(yè)業(yè)根CA”，然然后鼠標(biāo)標(biāo)左鍵單單擊“下下一步”按鈕。圖9.10 選擇證書(shū)頒發(fā)機(jī)構(gòu)類型 SXTU-INC-YW9.3.4安裝證書(shū)書(shū)服務(wù)（4）如如果選擇擇“高級(jí)級(jí)選項(xiàng)”復(fù)選框框，將打打開(kāi)如圖圖9.11所示示的對(duì)話話框，設(shè)設(shè)置加密密服務(wù)提提供程序序、密鑰鑰長(zhǎng)度和和散列算算法，否否則直接接進(jìn)入下下一操作作步驟。一般來(lái)來(lái)說(shuō)，密密鑰越長(zhǎng)長(zhǎng)越安全全，不過(guò)過(guò)應(yīng)注意意的是較較長(zhǎng)的密密鑰，需需要花更更長(zhǎng)的時(shí)時(shí)間才能能生成。圖9.11 設(shè)置證書(shū)類型的高級(jí)選項(xiàng) SXTU-INC-

21、YW9.3.4安裝證書(shū)書(shū)服務(wù)（5）設(shè)設(shè)置證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)標(biāo)識(shí)識(shí)信息，如圖9.12所示。“CA名稱”就是證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的命名，對(duì)于ActiveDirectory體系，它也是是一個(gè)公公用名稱稱。對(duì)于于根證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)，“有效期期”應(yīng)當(dāng)當(dāng)長(zhǎng)一些些，以減減少頻繁繁續(xù)訂根根證書(shū)的的要求。圖9.12 設(shè)置證書(shū)頒發(fā)機(jī)構(gòu)標(biāo)識(shí)信息 SXTU-INC-YW9.3.4安裝證書(shū)書(shū)服務(wù)（6）設(shè)設(shè)置證書(shū)書(shū)服務(wù)數(shù)數(shù)據(jù)庫(kù)的的存儲(chǔ)位位置，如如圖9.13所所示的對(duì)對(duì)話框。證書(shū)服服務(wù)對(duì)數(shù)數(shù)據(jù)庫(kù)、配置數(shù)數(shù)據(jù)、備備份數(shù)據(jù)據(jù)和記錄錄數(shù)據(jù)使使用本地地存儲(chǔ)設(shè)設(shè)備?！白C書(shū)數(shù)數(shù)據(jù)庫(kù)”和“證證書(shū)數(shù)據(jù)據(jù)庫(kù)日志志”分別別指定證證書(shū)數(shù)據(jù)據(jù)庫(kù)和日日

22、志記錄錄的存儲(chǔ)儲(chǔ)位置，使用默默認(rèn)值即即可。 圖9.13 設(shè)置證書(shū)數(shù)據(jù)庫(kù)存儲(chǔ)位置 SXTU-INC-YW9.3.4安裝證書(shū)書(shū)服務(wù)（7）鼠鼠標(biāo)左鍵鍵單擊“下一步步”按鈕鈕，如果果計(jì)算機(jī)機(jī)上正在在運(yùn)行IIS，系統(tǒng)就就提示立立即停止止IIS服務(wù)，鼠標(biāo)左左鍵單擊擊“確定定”按鈕鈕，開(kāi)始始安裝證證書(shū)服務(wù)務(wù)相關(guān)的的組件和和程序，直至完完成。安裝完畢畢，證書(shū)書(shū)服務(wù)將將自動(dòng)啟啟動(dòng)，這這樣也就就建成了了一個(gè)基基本的證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)。安裝有有證書(shū)服服務(wù)的計(jì)計(jì)算機(jī)即即為證書(shū)書(shū)服務(wù)器器。SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理1管理理證書(shū)選擇“開(kāi)開(kāi)始”“程序序”“管理工工具”“證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)”，

23、即可打打開(kāi)如圖圖9.14所示示的“證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)”管理單單元，通通過(guò)該管管理單元元對(duì)證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)進(jìn)行行管理和和配置。圖9.14 “證書(shū)頒發(fā)機(jī)構(gòu)”管理單元 SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理2配置置策略模模塊（1）從從“證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)”管管理單元元中選擇擇相應(yīng)的的證書(shū)服服務(wù)，單單擊鼠標(biāo)標(biāo)右鍵，從快捷捷菜單中中選擇“屬性”，打開(kāi)開(kāi)屬性設(shè)設(shè)置對(duì)話話框，切切換到“策略模模塊”選選項(xiàng)卡，鼠標(biāo)左左鍵單擊擊“配置置”按鈕鈕，打開(kāi)開(kāi)如圖9.15所示的的對(duì)話框框。對(duì)于于企業(yè)CA來(lái)說(shuō)說(shuō)，“始始終頒發(fā)發(fā)證書(shū)”是惟一一的選擇擇，根據(jù)據(jù)用戶申申請(qǐng)自動(dòng)動(dòng)頒發(fā)證證書(shū)。圖9.15 設(shè)置頒發(fā)

24、證書(shū)的默認(rèn)操作 SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理（2）切切換到如如圖9.16所所示的“X.509擴(kuò)擴(kuò)展”選選項(xiàng)卡，可以添添加或刪刪除用戶戶獲取證證書(shū)吊銷銷列表和和證書(shū)的的URL地址。企業(yè)CA的證證書(shū)服務(wù)務(wù)提供基基于Web和LDAP的訪問(wèn)問(wèn)，這些些URL地址可可以是HTTP、LDAP或或文件地地址。其其中“%SERVERDNSNAME%”表表示證書(shū)書(shū)名稱。圖9.16 設(shè)置獲取證書(shū)吊銷列表和證書(shū)的位置 SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理（3）回回到證書(shū)書(shū)服務(wù)屬屬性設(shè)置置對(duì)話框框，切換換到“退退出模塊塊”，鼠鼠標(biāo)左鍵鍵單擊“配置”按鈕，打開(kāi)如

25、如圖9.17所所示的對(duì)對(duì)話框，選中“允許在在Active Directory中發(fā)發(fā)行征書(shū)書(shū)”復(fù)選選框。圖9.17 設(shè)置證書(shū)發(fā)行 SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理3備份份和還原原證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)備份和還還原操作作的目的的是保護(hù)護(hù)證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)及其可可操作數(shù)數(shù)據(jù)，以以免因硬硬件或存存儲(chǔ)媒體體出現(xiàn)故故障而導(dǎo)導(dǎo)致數(shù)據(jù)據(jù)丟失。通過(guò)使使用證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)管理理單元可可以備份份和還原原：公鑰鑰、私鑰鑰和CA證書(shū)，證書(shū)數(shù)數(shù)據(jù)庫(kù)，公鑰和和私鑰使使用PKCS12的的PFX格式備備份或還還原等類類的信息息。證書(shū)頒發(fā)發(fā)機(jī)構(gòu)提提供了備備份向?qū)?dǎo)和還原原向?qū)?。管理單單元選擇擇相應(yīng)的的證書(shū)服

26、服務(wù)，單單擊鼠標(biāo)標(biāo)右鍵，從快捷捷菜單中中選擇“所有任任務(wù)”“備份份CA”或“還還原CA”，即即可啟動(dòng)動(dòng)向?qū)С坛绦?。SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理4續(xù)訂訂CA證證書(shū)由證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)所頒發(fā)發(fā)的每一一份證書(shū)書(shū)都具有有有效期期限。CA的生生存時(shí)間間包括其其所有CA證書(shū)書(shū)的過(guò)去去和現(xiàn)在在的有效效期。證書(shū)服務(wù)務(wù)強(qiáng)行實(shí)實(shí)施的規(guī)規(guī)則是，CA永永遠(yuǎn)不會(huì)會(huì)頒發(fā)在在超出自自己證書(shū)書(shū)的到期期時(shí)間后后有效的的證書(shū)。因此，當(dāng)CA自身的的證書(shū)達(dá)達(dá)到它的的有效期期時(shí)，它它頒發(fā)的的所有證證書(shū)也將將到期。這樣，如果CA因?yàn)闉槟撤N目目的沒(méi)有有續(xù)訂，并且CA的生生存時(shí)間間已到，則管理理員確認(rèn)認(rèn)當(dāng)前到

27、到期的CA發(fā)出出的所有有證書(shū)不不再作有有效的安安全憑據(jù)據(jù)。SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理5管理理證書(shū)模模板默認(rèn)情況況下，提提供的證證書(shū)模板板有限，可根據(jù)據(jù)需要添添加，操操作步驟驟如下。（1）以以管理員員身份登登錄到系系統(tǒng)，打打開(kāi)“證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)”管理單單元。鼠鼠標(biāo)左鍵鍵單擊控控制臺(tái)左左側(cè)列表表中的“策略設(shè)設(shè)置”，右側(cè)窗窗格中顯顯示已有有的證書(shū)書(shū)模板列列表。如如圖9.18所所示。圖9.18 查看現(xiàn)有證書(shū)模板 SXTU-INC-YW9.3.5證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的配置和和管理5管理理證書(shū)模模板（2）在在“操作作”菜單單上選擇擇“新建建”“要頒發(fā)發(fā)的證書(shū)書(shū)”，打打開(kāi)如圖

28、圖9.19所示示的對(duì)話話框。從從列表中中選擇要要使用的的新證書(shū)書(shū)模板，并單擊擊“確定定”按鈕鈕。圖9.19 選擇證書(shū)模板 SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)證書(shū)注冊(cè)冊(cè)是請(qǐng)求求、接收收和安裝裝證書(shū)的的過(guò)程。無(wú)論是是用戶、計(jì)算機(jī)機(jī)還是服服務(wù)，要要想利用用證書(shū)，必須首首先從證證書(shū)服務(wù)務(wù)器獲得得有效的的證書(shū)?？梢酝ㄍㄟ^(guò)：組策略略自動(dòng)請(qǐng)請(qǐng)求證書(shū)書(shū)，使使用證書(shū)書(shū)申請(qǐng)向向?qū)?，瀏覽器器獲得證證書(shū)等3種方式式獲取證證書(shū)。1.通通過(guò)組策策略自動(dòng)動(dòng)請(qǐng)求證證書(shū)在活動(dòng)目目錄域環(huán)環(huán)境中，通過(guò)使使用公鑰鑰策略中中的自動(dòng)動(dòng)證書(shū)設(shè)設(shè)置，活活動(dòng)目錄錄域或組組織單位位的計(jì)算算機(jī)成員員可以向向Windows2000企

29、業(yè)證證書(shū)服務(wù)務(wù)器自動(dòng)動(dòng)請(qǐng)求證證書(shū)，這這樣就不不用為每每臺(tái)計(jì)算算機(jī)注冊(cè)冊(cè)與計(jì)算算機(jī)相關(guān)關(guān)的證書(shū)書(shū)。只有有運(yùn)行Windows 2000或或WindowsXP的域域成員計(jì)計(jì)算機(jī)能能夠自動(dòng)動(dòng)請(qǐng)求證證書(shū)。配置自動(dòng)動(dòng)證書(shū)注注冊(cè)的關(guān)關(guān)鍵是在在組策略略創(chuàng)建自自動(dòng)證書(shū)書(shū)請(qǐng)求。SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)2.使使用MMC手工工申請(qǐng)證證書(shū)符合下列列條件才才能使用用證書(shū)申申請(qǐng)向?qū)?dǎo)。（1）ActiveDirectory環(huán)境。（2）客客戶端計(jì)計(jì)算機(jī)運(yùn)運(yùn)行Windows2000或Windows XP，并且且加入到到域作為為域成員員。（3）證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)必必須是Windows 2000企企業(yè)CA。證

30、書(shū)申請(qǐng)請(qǐng)向?qū)故褂没谟贛MC（管理理控制臺(tái)臺(tái)）的證證書(shū)管理理單元，能夠直直接從企企業(yè)CA獲取證證書(shū)。在在使用證證書(shū)管理理單元之之前，必必須將其其添加到到MMC控制臺(tái)臺(tái)。SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)3使用用Web瀏覽器器申請(qǐng)證證書(shū)使用Web瀏覽覽器申請(qǐng)請(qǐng)證書(shū)是是一種更更通用，自定義義功能更更強(qiáng)的方方法。遇遇到以下下情況之之一時(shí)，一般采采用這種種方法。 受理理申請(qǐng)的的證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)為Windows2000獨(dú)立立CA，或者是是通過(guò)Internet提供供證書(shū)服服務(wù)的第第三方證證書(shū)服務(wù)務(wù)器。 客戶戶端計(jì)算算機(jī)運(yùn)行行Windows操作作系統(tǒng)，如Macintosh（Apple機(jī)）、

31、Linux等。 客戶戶端計(jì)算算機(jī)運(yùn)行行Windows98/Me/NT。 客戶戶端計(jì)算算機(jī)運(yùn)行行Windows2000/XP，但不不是域成成員，或或不能訪訪問(wèn)域控控制器。 客戶戶端計(jì)算算機(jī)需要要通過(guò)NAT服服務(wù)器來(lái)來(lái)訪問(wèn)證證書(shū)服務(wù)務(wù)器。SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)下面以使使用IE瀏覽器器申請(qǐng)證證書(shū)Windows2000企業(yè)業(yè)CA為為例，說(shuō)說(shuō)明操作作過(guò)程。（1）打打開(kāi)IE瀏覽器器，在地地址欄中中輸入證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)的的URL地址。對(duì)于集集成到IIS的的證書(shū)服服務(wù)，其其地址為為“http:/servername/certsrv”。默認(rèn)認(rèn)情況下下，將出出現(xiàn)“輸輸入網(wǎng)絡(luò)絡(luò)密碼”對(duì)話

32、框框，要求求使用Web瀏瀏覽器的的證書(shū)申申請(qǐng)者提提供用戶戶名和密密碼。驗(yàn)驗(yàn)證通過(guò)過(guò)后，將將出現(xiàn)如如圖9.20所所示的對(duì)對(duì)話框。圖9.20 基于Web的證書(shū)申請(qǐng)頁(yè)面 SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)（2）選選擇“申申請(qǐng)證書(shū)書(shū)”。鼠鼠標(biāo)左鍵鍵單擊“下一步步”按鈕鈕，出現(xiàn)現(xiàn)“選擇擇申請(qǐng)類類型”界界面，這這里選擇擇“高級(jí)級(jí)申請(qǐng)”單選鈕鈕。如圖圖9.21所示示。圖9.21 選擇證書(shū)申請(qǐng)類型 SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)（3）選選擇高級(jí)級(jí)證書(shū)申申請(qǐng)方式式。鼠標(biāo)標(biāo)左鍵單單擊“下下一步”按鈕，出現(xiàn)“高級(jí)證證書(shū)申請(qǐng)請(qǐng)”界面面，如圖圖9.22所示示。共有有3個(gè)選選項(xiàng)，這這里

33、選擇擇第1個(gè)個(gè)選項(xiàng)，以表格格形式提提交申請(qǐng)請(qǐng)。圖9.22 高級(jí)證書(shū)申請(qǐng)方式 SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)（4）填填寫(xiě)申請(qǐng)請(qǐng)表單。鼠標(biāo)左左鍵單擊擊“下一一步”按按鈕，出出現(xiàn)“填填寫(xiě)申請(qǐng)請(qǐng)表單”界面，如圖9.23所示。在“證證書(shū)模板板”下拉拉列表中中選擇所所需的證證書(shū)類型型。其他他要注意意的選項(xiàng)項(xiàng)填寫(xiě)如如下?！癈SP”（加密服服務(wù)提供供程序）。MicrosoftBase CryptographicProviderv1.0“密鑰鑰用法”。簽名名或者兩兩者?！懊荑€鑰大小”。512。如果CSP選擇擇“MicrosoftEnhancedCryptographic Provider”，

34、則則可以選選擇較大大的密鑰鑰值。但但是，注注冊(cè)申請(qǐng)請(qǐng)可能會(huì)會(huì)失敗，因?yàn)閃indows2000的版版本可能能沒(méi)有安安裝StrongCryptographyPack（加加固密碼碼系統(tǒng)組組件）?！皠?chuàng)建建新密鑰鑰對(duì)”。選中該該選項(xiàng)?！笆褂糜帽镜貦C(jī)機(jī)器保存存”。對(duì)對(duì)于計(jì)算算機(jī)身份份驗(yàn)證應(yīng)應(yīng)選中該該復(fù)選框框。SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)（5）安安裝此證證書(shū)。鼠鼠標(biāo)左鍵鍵單擊“提交”（由于于企業(yè)證證書(shū)服務(wù)務(wù)器自動(dòng)動(dòng)頒發(fā)證證書(shū)，因因此用戶戶會(huì)立即即收到證證書(shū)已發(fā)發(fā)布的通通知信息息）如圖圖9.24所示示。鼠標(biāo)標(biāo)左鍵單單擊“安安裝此證證書(shū)”，即開(kāi)始始安裝，證書(shū)已已經(jīng)成功功安裝提提示，如如圖9

35、.25所所示。 圖9.24 安裝證書(shū) 圖9.25安裝證書(shū)成功 SXTU-INC-YW9.3.6證書(shū)申請(qǐng)請(qǐng)和注冊(cè)冊(cè)（6）完完成證書(shū)書(shū)安裝后后，關(guān)閉閉IE瀏瀏覽器。要進(jìn)一一步查看看獲得的的證書(shū)，可通過(guò)過(guò)“客戶戶端證書(shū)書(shū)管理”進(jìn)行。在企業(yè)業(yè)證書(shū)服服務(wù)器上上打開(kāi)Internet信息息服務(wù)管管理器，用鼠標(biāo)標(biāo)右鍵單單擊“默默認(rèn)Web站點(diǎn)點(diǎn)”的CertSrv目錄。再鼠標(biāo)標(biāo)左鍵單單擊“屬屬性”，在“目目錄安全全性”選選項(xiàng)卡單單擊“匿匿名訪問(wèn)問(wèn)和身份份驗(yàn)證控控制”下下的“編編輯”，打開(kāi)“驗(yàn)證方方法”對(duì)對(duì)話框，只選擇擇“集成成Windows驗(yàn)證證”復(fù)選選框，如如圖9.26所所示。 圖9.26設(shè)置證書(shū)頒發(fā)機(jī)構(gòu)的We

36、b目錄安全性 SXTU-INC-YW9.3.7客戶端的的證書(shū)管管理客戶端的的證書(shū)管管理主要要包括申申請(qǐng)和安安裝證書(shū)書(shū)，從證證書(shū)存儲(chǔ)儲(chǔ)區(qū)查找找、查看看、導(dǎo)入入和導(dǎo)出出證書(shū)。導(dǎo)入和和導(dǎo)出證證書(shū)也是是常用的的客戶證證書(shū)還原原和備份份手段。對(duì)于Window98計(jì)算算機(jī)來(lái)說(shuō)說(shuō)，一般般使用支支持安全全功能的的瀏覽器器（如IE）來(lái)來(lái)進(jìn)行管管理。Windows 2000/XP計(jì)計(jì)算機(jī)機(jī)則提供供了基于于MMC的證書(shū)書(shū)管理單單元，功功能更強(qiáng)強(qiáng)大。使使用Windows2000證書(shū)書(shū)管理單單元可管管理用戶戶、計(jì)算算機(jī)或服服務(wù)的證證書(shū)。 SXTU-INC-YW9.3.7客戶端的的證書(shū)管管理可以查看看現(xiàn)有證證書(shū)的細(xì)細(xì)節(jié)。

37、如如圖9.27所所示，展展開(kāi)MMC控制制臺(tái)樹(shù)；鼠標(biāo)左左鍵雙擊擊要查看看的證書(shū)書(shū)，打開(kāi)開(kāi)如圖9.28所示的的對(duì)話框框，查看看基本信信息。 圖9.27 展開(kāi)MMC控制臺(tái)樹(shù) 圖9.28查看證書(shū)基本信息 SXTU-INC-YW9.3.7客戶端的的證書(shū)管管理切換到“詳細(xì)信信息”選選項(xiàng)卡，如圖9.29示，查查看詳細(xì)細(xì)信息，顯示該該證書(shū)的的每個(gè)字字段和擴(kuò)擴(kuò)展字段段。切換換“證書(shū)書(shū)路徑”選項(xiàng)卡卡，查看看證書(shū)的的發(fā)行關(guān)關(guān)系和證證書(shū)頒發(fā)發(fā)信任路路徑，如如圖9.30示示。 圖9.29 查看證書(shū)詳細(xì)信息 圖9.30 查看證書(shū)路徑信息 SXTU-INC-YW9.3.7客戶端的的證書(shū)管管理檢查受信信任的根根證書(shū)頒頒發(fā)機(jī)構(gòu)

38、構(gòu)。在MMC控控制臺(tái)中中展開(kāi)“受信任任的根證證收頒發(fā)發(fā)機(jī)構(gòu)”，然后后鼠標(biāo)左左擊“證證書(shū)”文文件夾，如圖9.31示。 圖9.31查找根證書(shū)頒發(fā)機(jī)構(gòu)證書(shū) SXTU-INC-YW9.3.7客戶端的的證書(shū)管管理查找?guī)в杏蓄C發(fā)者者證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)（這里里為myCA）的名稱稱的證書(shū)書(shū)，然后后查看該該證書(shū)是是否有效效，如圖圖9.32示。 圖9.32 查找根證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)常規(guī)選項(xiàng) SXTU-INC-YW9.3.7客戶端的的證書(shū)管管理打開(kāi)證書(shū)書(shū)管理單單元，選選擇菜單單“查看看”“選項(xiàng)”，選擇擇證書(shū)模模式。這這里選擇擇“證書(shū)書(shū)目的”，鼠標(biāo)標(biāo)左鍵單單擊“確確定”按按鈕，將將切換到到如圖9.33所示的的界面，按證書(shū)

39、書(shū)用途來(lái)來(lái)顯示排排列證書(shū)書(shū)。 圖9.33 “證書(shū)目的”視圖模式 SXTU-INC-YW9.4基于SSL的Web安安全機(jī)制制9.4.1SSL安安全機(jī)制制SSL是是一種安安全性很很高的認(rèn)認(rèn)證方式式，是通通過(guò)SSL安全全機(jī)制使使用的數(shù)數(shù)字證書(shū)書(shū)。SSL位于于HTTP層和和TCP層之間間，建立立用戶與與服務(wù)器器之間的的加密通通信，確確保所傳傳遞信息息的安全全性。SSL是是工作在在公共密密鑰和私私人密鑰鑰基礎(chǔ)上上的，任任何用戶戶都可以以獲得公公共密鑰鑰來(lái)加密密數(shù)據(jù)，但解密密數(shù)據(jù)必必須要通通過(guò)相應(yīng)應(yīng)的私人人密鑰。使用SSL安全全機(jī)制時(shí)時(shí)，首先先客戶端端與服務(wù)務(wù)器建立立連接，服務(wù)器器把它的的數(shù)字證證書(shū)與公公

40、共密鑰鑰一并發(fā)發(fā)送給客客戶端。客戶端端隨機(jī)生生成會(huì)話話密鑰，用從服服務(wù)器得得到的公公共密鑰鑰對(duì)會(huì)話話密鑰進(jìn)進(jìn)行加密密，并把把會(huì)話密密鑰在網(wǎng)網(wǎng)絡(luò)上傳傳遞給服服務(wù)器；而會(huì)話話密鑰只只有在服服務(wù)器端端用私人人密鑰才才能解密密。這樣樣，客戶戶端和服服務(wù)器端端就建立立了一個(gè)個(gè)惟一的的安全通通道。 SXTU-INC-YW9.4基于SSL的Web安安全機(jī)制制9.4.2基基于SSL的Web服服務(wù)器在瀏覽器器和IISWeb服服務(wù)器之之間建立立SSL連接，必須具具備以下下條件。（1）在在Web服務(wù)器器上安裝裝“證書(shū)書(shū)服務(wù)”組件。（2）從從可信的的證書(shū)頒頒發(fā)機(jī)構(gòu)構(gòu)獲取Web服服務(wù)器證證書(shū)。（3）在在Web服務(wù)器器上

41、安裝裝服務(wù)器器證書(shū)。（4）在在Web服務(wù)器器上設(shè)置置SSL選項(xiàng)。（5）客客戶端必必須同Web服服務(wù)器信信任同一一證書(shū)認(rèn)認(rèn)證機(jī)構(gòu)構(gòu)（安裝裝CA證證書(shū)）。IIS 5.0提供供了三個(gè)個(gè)新的安安全任務(wù)務(wù)向?qū)?，用?lái)簡(jiǎn)簡(jiǎn)化大多多數(shù)維護(hù)護(hù)Web站點(diǎn)的的安全所所需的安安全任務(wù)務(wù)。 SXTU-INC-YW9.4基于SSL的Web安安全機(jī)制制9.4.2基基于SSL的Web服服務(wù)器（6）Web服服務(wù)器證證書(shū)向?qū)?dǎo)用來(lái)管管理IIS和服服務(wù)器證證書(shū)中的的SSL。（7）CTL向向?qū)в脕?lái)來(lái)管理證證書(shū)信任任列表（CTL，Certificate Trust List）。證書(shū)書(shū)信任列列表列出出了每個(gè)個(gè)Web站點(diǎn)或或虛擬目目錄所信

42、信任的證證書(shū)頒發(fā)發(fā)機(jī)構(gòu)。（8）權(quán)權(quán)限向?qū)?dǎo)分配Web和和NTFS訪問(wèn)問(wèn)權(quán)限給給Web站點(diǎn)、虛擬目目錄以及及服務(wù)器器上的文文件。建立了SSL安安全機(jī)制制后，只只有SSL允許許的客戶戶才能與與SSL允許的的Web站點(diǎn)進(jìn)進(jìn)行通信信，并且且在使用用URL資源定定位器時(shí)時(shí)，輸入入https:/，而不是是http:/。 SXTU-INC-YW9.5電電子政政務(wù)VPN的建建立及使使用9.5.1VPN技技術(shù)與類類型1.VPN技技術(shù)：要要能夠使使得政務(wù)務(wù)網(wǎng)內(nèi)一一個(gè)局域域網(wǎng)的數(shù)數(shù)據(jù)透明明的穿過(guò)過(guò)公用網(wǎng)網(wǎng)到達(dá)另另一個(gè)局局域網(wǎng)，VPN采用了了一種稱稱之為隧隧道的技技術(shù)。如如圖9.34所所示。 圖9.34 基于隧道的V

43、PN網(wǎng)絡(luò) SXTU-INC-YW9.5.1VPN技技術(shù)與類類型根據(jù)ISO模型型，VPN的主主要協(xié)議議如表9.2所所示。 表9.2VPN的的主要要協(xié)議標(biāo)標(biāo)準(zhǔn)OSI模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會(huì)話層傳輸層會(huì)話層代理SOCKSv5/SSL網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過(guò)濾IPSecPPTP/L2F/L2TPSXTU-INC-YW9.5.1VPN技技術(shù)與類類型2.VPN類類型（1）AccessVPN（遠(yuǎn)程程訪問(wèn)虛虛擬專網(wǎng)網(wǎng)）（2）IntranetVPN（內(nèi)部虛虛擬專網(wǎng)網(wǎng)）（3）ExtranetVPN（擴(kuò)展內(nèi)內(nèi)部虛擬擬專網(wǎng)） 該類型與與傳統(tǒng)的的遠(yuǎn)程訪訪問(wèn)網(wǎng)絡(luò)絡(luò)相對(duì)應(yīng)應(yīng)。在AccessVPN方式下下

44、，遠(yuǎn)端端用戶不不需要通通過(guò)長(zhǎng)途途電話撥撥號(hào)到政政府遠(yuǎn)程程接入端端口，而而是撥號(hào)號(hào)接入到到用戶本本地的ISP，利用VPN系系統(tǒng)在公公眾網(wǎng)上上建立一一個(gè)從客客戶端到到網(wǎng)關(guān)的的安全傳傳輸通道道。該類型與與政府內(nèi)內(nèi)部的Intranet相對(duì)對(duì)應(yīng)。在在IntranetVPN 方式式下，政政府兩個(gè)個(gè)異地機(jī)機(jī)構(gòu)的局局域網(wǎng)互互連不租租用專線線，而是是政府分分支機(jī)構(gòu)構(gòu)網(wǎng)絡(luò)利利用VPN特性性可以在在ChinaNET上上組建省省、市和和縣范圍圍內(nèi)的IntranetVPN。該類型與與政府網(wǎng)網(wǎng)和相關(guān)關(guān)企業(yè)網(wǎng)網(wǎng)、教育育網(wǎng)所構(gòu)構(gòu)成的Extranet相對(duì)對(duì)應(yīng)。該該類型與與IntranetVPN沒(méi)有本本質(zhì)的區(qū)區(qū)別，但但由于是是不

45、同集集團(tuán)用戶戶的網(wǎng)絡(luò)絡(luò)相互通通信，所所以要更更多的考考慮設(shè)備備的互連連，地址址的協(xié)調(diào)調(diào)，安全全策略的的協(xié)商等等問(wèn)題。SXTU-INC-YW9.5.2VPN方方案選型型以北京天天融信網(wǎng)網(wǎng)絡(luò)安全全有限公公司的VPN產(chǎn)產(chǎn)品為例例，介紹紹端到端端的VPN解決決方案。天融信的的VPN產(chǎn)品由由三部分分組成。它們是是網(wǎng)關(guān)VPN、VPN客戶端端VRC（VPNRemoteClient），以以及VPN安全全集中管管理系統(tǒng)統(tǒng)SCM（Security CenterManager）。網(wǎng)關(guān)VPN，包包括SJW11-A網(wǎng)網(wǎng)絡(luò)密碼碼機(jī)及帶帶VPN功能的的防火墻墻系列產(chǎn)產(chǎn)品。主主要用于于網(wǎng)絡(luò)邊邊界處，可以提提供邊界界與邊界界之

46、間，邊界與與客戶端端之間的的傳輸加加密和認(rèn)認(rèn)證，支支持SCM統(tǒng)一一管理。SJW11-A具有有多個(gè)網(wǎng)網(wǎng)絡(luò)接口口，可安安裝于政政府內(nèi)網(wǎng)網(wǎng)的各局局域網(wǎng)出出口處，或安裝裝于政府府內(nèi)網(wǎng)與與外網(wǎng)的的接口處處。 SXTU-INC-YW9.5.2VPN方方案選型型以北京天天融信網(wǎng)網(wǎng)絡(luò)安全全有限公公司的VPN產(chǎn)產(chǎn)品為例例，介紹紹端到端端的VPN解決決方案。VPN客客戶端VRC主主要用于于客戶端端?？梢砸蕴峁┳雷烂媾c桌桌面、桌桌面與邊邊界之間間的傳輸輸加密和和認(rèn)證，支持SCM統(tǒng)統(tǒng)一管理理。VRC運(yùn)行行于Windows98/2000/XP平臺(tái)臺(tái)，可以以滿足移移動(dòng)用戶戶、家庭庭辦公用用戶、分分支機(jī)構(gòu)構(gòu)用戶的的需求。T

47、OPSEC密密鑰存儲(chǔ)儲(chǔ)器。VRC客客戶端密密鑰的存存儲(chǔ)TOPSEC-KEY，用于客客戶端的的證書(shū)和和密鑰信信息存儲(chǔ)儲(chǔ)加密，可以和和VPN網(wǎng)關(guān)和和VRC配合使使用。VPN安安全集中中管理系系統(tǒng)SCM支持持對(duì)網(wǎng)關(guān)關(guān)VPN和VRC策略略集中管管理、安安裝配置置自動(dòng)分分發(fā)和運(yùn)運(yùn)行監(jiān)控控等功能能。SCM主主要用于于網(wǎng)絡(luò)邊邊界處，可以提提供邊界界與邊界界之間，邊界與與客戶端端之間傳傳輸?shù)募蛹用芎驼J(rèn)認(rèn)證，支支持SCM統(tǒng)一一管理。 SXTU-INC-YW9.5.3基基于VPN的政政務(wù)網(wǎng)絡(luò)絡(luò)互連市政府網(wǎng)網(wǎng)絡(luò)和縣縣分支網(wǎng)網(wǎng)絡(luò)均在在同一個(gè)個(gè)大的局局域網(wǎng)里里，IP可以任任意分配配。要求求各縣分分支網(wǎng)絡(luò)絡(luò)能夠安安全訪問(wèn)

48、問(wèn)市政府府網(wǎng)絡(luò)的的同時(shí)，各縣分分支網(wǎng)絡(luò)絡(luò)之間也也能實(shí)現(xiàn)現(xiàn)安全訪訪問(wèn)。 1.方方案設(shè)計(jì)計(jì)圖9.35 基于VPN政務(wù)網(wǎng)絡(luò)互連拓?fù)鋱D SXTU-INC-YW9.5.3基基于VPN的政政務(wù)網(wǎng)絡(luò)絡(luò)互連（1）端到到端的隧隧道通信信。（2）網(wǎng)網(wǎng)絡(luò)到網(wǎng)網(wǎng)絡(luò)的隧隧道通信信。（3）端端到網(wǎng)絡(luò)絡(luò)的隧道道通信。 2.系系統(tǒng)運(yùn)行行市政府網(wǎng)網(wǎng)內(nèi)部計(jì)計(jì)算機(jī)和和縣政府府內(nèi)部計(jì)計(jì)算機(jī)都都已經(jīng)分分別安裝裝了VRC軟件件，當(dāng)市市政府計(jì)計(jì)算機(jī)和和某縣政政府計(jì)算算機(jī)需要要通信時(shí)時(shí)，VRC軟件件會(huì)自動(dòng)動(dòng)從SCM處獲獲得隧道道政策，然后在在市政府府計(jì)算機(jī)機(jī)和縣政政府計(jì)算算機(jī)之間間建立端端到端的的隧道。在市政政府計(jì)算算機(jī)和縣縣政府計(jì)計(jì)算機(jī)的

49、的所有通通信都可可以通過(guò)過(guò)這條隧隧道進(jìn)行行保護(hù)，從而實(shí)實(shí)現(xiàn)了政政府網(wǎng)內(nèi)內(nèi)部主機(jī)機(jī)的私有有通信。此外在在任意兩兩縣政府府網(wǎng)的計(jì)計(jì)算機(jī)之之間，同同樣也通通過(guò)VRC軟件件建立了了端到端端的加密密隧道。這樣也也就實(shí)現(xiàn)現(xiàn)了不同同網(wǎng)絡(luò)之之間主機(jī)機(jī)的私有有通信。市政府內(nèi)內(nèi)部網(wǎng)和和縣的分分支機(jī)構(gòu)構(gòu)網(wǎng)絡(luò)已已經(jīng)安裝裝了VPN網(wǎng)關(guān)關(guān)SJW11-A，在在兩個(gè)VPN網(wǎng)網(wǎng)關(guān)之間間通過(guò)SCM建建立了市市政府內(nèi)內(nèi)部網(wǎng)到到縣分支支機(jī)構(gòu)網(wǎng)網(wǎng)的加密密隧道，網(wǎng)絡(luò)之之間的所所有通信信都經(jīng)過(guò)過(guò)隧道加加密。同同時(shí)與政政府的下下屬組織織（如稅稅務(wù)局）有業(yè)務(wù)務(wù)的企業(yè)業(yè)也可以以安裝VPN網(wǎng)網(wǎng)關(guān)SJW11-A，政府內(nèi)內(nèi)部網(wǎng)可可以和企企業(yè)內(nèi)部部網(wǎng)絡(luò)之之間建立立安