我用CA证书登陆地税网上申报系统，浏览器提示：由于无法验证发布者，所以windows已经阻止此软件 。

CA USB数字证书驱动安装流程1、WINDOWS XP 及VISTA的用户：2、需要到官方网站上下载CA驱动程序。 CA认证使用中的注意事项及常见问题解决（一）安装使用注意事项1、先安装驱动，再插入USB　KEY。2、首次安装后，在操作系统不重新安装的情况下，以后每次申报时只需要将KEY插入USB接口即可；如果您的电脑重新安装了操作系统，需要您重新安装一下亿鑫软件才能使用证书。3、在登录网上申报系统时，请勿将其他业务部门KEY、加密狗、银行 KEY等设备插入USB接口。4、在登陆、申报时，请勿将KEY从USB接口中拔掉。5、成功登录申报系统后，请尽快填写各项申报表，每个申报表页面，若超过30分钟未填写成功，请重新登录并填写。使用中常见问题解决1、证书无法识别？首先确保KEY是否插入电脑，亿鑫软件是否安装正常。2、点击“CA用户在此登陆”后无法打开网页，怎么办？⑴企业自身服务器限制，让企业网管进行调整即可；⑵卡巴斯基杀毒软件70或者其他防火墙软件的干扰。修改软件设置，以卡巴斯基为例：到软件“设置”里的“流量监控”“端口设置”里面把443前面的钩去掉或将软件卸载。3、为什么进入系统结果显示的是另一家企业信息？办税人员在注册的时候注册错误，请与CA客服联系，删除相关信息后重新注册。4、为什么无法申报，出现“签名验证错误信息，SVS验证不通过”的错误提示？主要原因是企业电脑未进行相关的Active X控件和插件的安装，到IE安全自定义级别设定里面把所有有关的Active X控件和插件“启用”。5、如在申报期内，USB KEY丢失或者损坏，如何进行正常申报。可通过CA认证中心驻各地售后服务处，及时挂失或者维修USB KEY，继续通过CA方式进行相关申报。如果申报期内仍未解决，可以按照传统纸质申报的方式，至主管税务机关办税服务厅进行申报。浏览器设置及IE版本查看1、 添加可信站点打开IE浏览器，选择工作栏中“工具”“Internet选项”“安全”;点击“添加”按钮，选择“关闭”，这样网上办税的可信站点就添加完成。2、自定义级别设置选择INTERNET 选项中的“自定义级别”，在“设置”一栏中凡是选项中有“启用”标示的选项，均选用此单选框。注意：ActiveX控件和插件一栏下的“启用”都要选用。3、运行版本目前系统支持的浏览器版本有IE60和IE70，其他版本均不支持。4、选择“帮助”下的“关于Internet Explorer”选项，在窗口中显示IE的版本信息：70就是您当前使用的版本号。常见问题解答1、纳税人在使用软密码进行登录时，提示密码错误？答：需确定纳税人是否在大集中系统中申请过软密码，如已申请过，需要确定是否修改过密码。如果记不得密码，可以去地税局重置密码。但在申请密码或者重置密码之后，需要在一段时间之后才可使用，当场使用，会提示密码错误。2、CA用户在使用CA密钥登录时，报证书错误，或者在提交申报表时，报验签失败？答：遇到该情况，直接联系CA公司，联系电话在无锡地税网站相关栏目已经公布。3、进入系统时页面出错，打印页面出错（XP系统）答：启用一下控件试一下，点浏览器上方工具--Internet选项--安全--自定义级别里Activex的所有控制全部启用4．申报期后，申报系统是否可以进行申报？答：不可以进行网上申报，如需补报，请到办税服务厅。5．申报期内所有报表重复申报后，税额是否累计？答：同一申报期内重复申报，税额是累计的。6．财务报表申报成功后为什么在“本月已提交申报表”中没有显示？答：在财务报表的申报页面，报表的操作状态是“已提交”，说明报表申报成功。7．如果当月没发工资，个人所得税明细报告表怎么进行申报？答：在当月的报表中零申报。8、纳税人找不到自己应该申报的报表？答：首先在鉴定信息查询中查询到是否有相对应的鉴定信息，并确定存在的鉴定信息中的鉴定来源以及申报资料是否正确。如果出现鉴定不准确问题，直接联系税务管理员进行处理。9、纳税人在上传个人所得税明细时，提示格式错误？答：个人所得税明细上传，必须上传由省局个人所得税明细客户端生成的后缀名为dat的文件。10、纳税人在上传个人所得税明细时，报系统错误或者报系统异常？答：纳税人需检查在生成的个人所得税明细文件中，是否存在不合法数据，如“14353322”。11、纳税人在上传个人所得税明细时，报MD5验证失败？答：纳税人需检查是否手工修改过个人所得税明细文件，上传文件必须是由软件直接生成的，不可手工进行修改。12、生产经营所得投资者个人所得税申报表，打开里面是空的。答：请联系您的税务管理员，添加投资者人员信息13、纳税人没有城建税，教育费附加，地方教育费附加鉴定信息，但在申报营业税时，自动计算？答：城建税，教育费附加，地方教育费附加是随营业税申报强制征收，外资企业强制征收地方教育费附加，如有企业存在特殊情况，如有“优待证”，可直接联系税务管理员进行处理。14、纳税人发现基本信息或者鉴定信息有误？答：纳税人可联系税务管理员，确定是否有误，如在大集中环境是正确的，在网报系统中出现错误，可请税务管理员将该纳税人数据重新同步。15、纳税人登录时，提示“申报方式不是网上申报”？答：使用网上办税系统，必须申报方式是网上申报，可直接联系税务管理员进行申报方式的修改。16、纳税人发现已申报的申报表的状态是“审核不通过”答：及时联系税务管理员，了解审核不通过原因，修改后，再次提交申报表17、纳税人发现申报表状态是“未入库”“部分入库”？答：先确定纳税人基本信息中的银行帐户是否准确，余额是否足够扣税，如银行帐号不准确或者余额不足，请及时和税务管理员联系并且在银行帐户中充足金额。18、纳税人在打印申报表时，提示正确安装打印控件？答：纳税人需要开启IE的ActiveX控件下载，具体设置方法详见“系统设置”。开启后，打开报表时，系统会自动提示下载，点击下载安装后就可以打印。

1、创建私有CA并进行证书申请。

1 ：创建 CA 私钥

$ openssl genrsa -des3 -out cakey 4096

2 ：生成 CA 的自签名证书，其实 CA 证书就是一个自签名证书

$ openssl req -new -x509 -days 365 -key cakey -outcacrt

3 ：生成需要颁发证书的私钥

$ openssl genrsa -des3 -out serverkey 4096

4 ：生成要颁发证书的证书签名请求

Ps:证书签名请求当中的 Common Name 必须区别于 CA 的证书里面的 Common

Name

$ openssl req -new -key serverkey -out servercsr

5 ：创建一个ext文件，内容如下

keyUsage = nonRepudiation, digitalSignature,keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]

DNS1=abccom

DNS2=abccom

6 ：用 2 创建的 CA 证书给 4 生成的 签名请求 进行签名

$ openssl x509 -req -days 365 -extfile httpext -inservercsr -CA cacrt -CAkey cakey -set_serial 01 -out servercrt

7 ：最终会得到一下几个文件

cacrt: 这个是ca证书，客户端信任该证书意味着会信任该证书颁发出去的所有证书

cakey: ca证书的密钥

serverkey: 服务器密钥，需要配置的

servercsr: 证书签名请求,通常是交给CA机构，这里我们就自己解决了

servercrt: 服务器证书，需要配置的

2、总结ssh常用参数、用法

ssh命令是ssh客户端，允许实现对远程系统经验证地加密安全访问。ssh客户端配置文件是：/etc/ssh/ssh_config

ssh

命令配合的常见选项：

-p port

：远程服务器监听的端口

ssh 19216818 -p 2222

-b

指定连接的源IP

ssh 19216818 -p 2222 -b 192168188

-v

调试模式

ssh 19216818 -p 2222 -v

-C

压缩方式

-X

支持x11转发支持将远程linux主机上的图形工具在当前设备使用

-t

强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh

remoteserver3

-o option

如：-oStrictHostKeyChecking=no

-i

指定私钥文件路径，实现基于key验证，默认使用文件：~/ssh/id_dsa,

~/ssh/id_ecdsa,/ssh/id_ed25519

，/ssh/id_rsa等

3、总结sshd服务常用参数。服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #

端口号

ListenAddress ipLoginGraceTime 2m #

宽限期

PermitRootLogin yes #

默认ubuntu不允许root远程ssh登录

StrictModes yes #

检查ssh/文件的所有者，权限等

MaxAuthTries 6

MaxSessions 10 #

同一个连接最大会话

PubkeyAuthentication yes #

基于key验证

PermitEmptyPasswords no #

空密码连接

PasswordAuthentication yes #

基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10 #

单位:秒

ClientAliveCountMax 3 #

默认3

UseDNS yes #

提高速度可改为no

GSSAPIAuthentication yes #

提高速度可改为no

MaxStartups #

未认证连接最大值，默认值10

Banner /path/file

以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh

服务的最佳实践建议使用非默认端口禁止使用protocol version 1

限制可登录用户设定空闲会话超时时长利用防火墙设置ssh访问策略仅监听特定的IP地址基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|

xargs

使用基于密钥的认证禁止使用空密码禁止root用户直接登录限制ssh的访问频度和并发在线数经常分析日志

4、搭建dhcp服务，实现ip地址申请分发

一、配置DHCP服务器

1、安装DHCP服务器软件

[root@centos01 ~]# mount /dev/cdrom /mnt/<!--挂载操作系统光盘-->

mount: /dev/sr0 写保护，将以只读方式挂载

[root@centos01 ~]# rm -rf /etc/yumreposd/CentOS-<!--删除系统自动yum源-->

[root@centos01 ~]# yum -y install dhcp<!--安装DHCP服务 -->

2、建立主配置文件dhcpdconf

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

:r /usr/share/doc/dhcp-425/dhcpdconfexample<!--读取默认配置文件-->

ddns-update-style none;<!--禁用DNS动态更新-->

option domain-name "benetcom";<!--指定默认搜索域-->

option domain-name-servers 202106010, 202106020; 

<!--指定DNS服务器地址-->

default-lease-time 600;<!--默认租约时间-->

max-lease-time 7200;<!--最大租约时间-->

1）/etc/dhcp/dhcpdconf文件的配置构成

在主配置文件dhcpdconf中，可以使用声明、参数、选项这三种类型的配置，各自的作用和表现形式如下所述：

声明：用来描述dhcpd服务器中对网络布局的划分，是网络设置的逻辑范围。常见的声明是subnet、host，其中subnet声明用来约束一个网段。host声明用来约束一台特定主机。

参数：由配置关键字和对应的值组成，总是以“;”（分号）结束，一般位于指定的声明范围之内，用来设置所在范围的运行特性（如默认租约时间、最大租约时间等）。

选项：由“option”引导，后面跟具体的配置关键字和对应的值，也是以“;”结束，用于指定分配给客户机的各种地址参数（如默认网关地址、子网掩码、DNS服务器地址等）。

2）确定dhcpd服务的全局配置

为了使配置文件的结构更加清晰、全局配置通常会放在配置文件dhcodconf的开头部分，可以是配置参数，也可以是配置选项。常用的全局配置参数和选项如下所述：

ddns-update-style：动态DNS更新模式。用来设置与DHCP服务相关联的DNS数据动态更新模式。在实际的DHCP应用中很少用到该参数。将值设为“none”即可。

default-lease-time：默认租约时间。单位为秒，表示客户端可以从DHCP服务器租用某个IP地址的默认时间。

max-lease-time：最大租约时间。单位为秒，表示允许DHCP客户端请求的最大租约时间，当客户端未请求明确的租约时间时，服务器将采用默认租约时间。

option domain-name：默认搜索区域。未客户机指定解析主机名时的默认搜索域，该配置选项将体现在客户机的/etc/resolvconf配置文件中，如“search benetcom”。

option domain-name-servers：DNS服务器地址。为客户端指定解析域名时使用的DNS服务器地址，该配置选项同样将体现在客户机的/etc/resolvconf配置文件中，如“nameserver 202106020”。需要设置多个DNS服务器地址时，以逗号进行分隔。

3）确定subnet网段声明

一台DHCP服务器可以为多个网段提供服务，因此subnet网段声明必须有而且可以有多个。例如，若要DHCP服务器为1921681000/24网段提供服务，用于自动分配的IP地址范围为192168100。100~192168100200，为客户机指定默认网关地址为192168100254，则ke可以修改dhcpdconf配置文件，参考以下内容调整subnet网段声明：

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

subnet 1921681000 netmask 2552552550 {<!--声明网段地址-->

range 192168100100 192168100200;<!--设置地址池，可以有多个-->

option routers 192168100254;<!--指定默认网关地址-->

}

4）确定host主机声明

host声明用于设置单个主机的网络属性，通常用于为网络打印机或个别服务器分配固定的IP地址（保留地址），这些主机的共同特点是要求每次获取的IP地址相同，以确保服务的稳定性。

host声明通过host关键字指定需要使用保留地址的客户机名称，并使用“hardware ethernet”参数指定该主机的MAC地址，使用“fixed-address”参数指定保留给该主机的IP地址。例如，若要为打印机prtsvr（MAC地址为00:0C:29:0D:BA:6B）分配固定的IP地址192168100101，可以修改dhcpdconf配置文件，参考以下内容在网段声明内添加host主机声明。

C:\Users\Administrator>getmac

物理地址            传输名称

=================== =======================================================

00-0C-29-0D-BA-6B  \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客户端获取MAC地址-->

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf

host win7 {

hardware ethernet 00:0C:29:0D:BA:6B;<!--客户机的MAC地址-->

fixed-address 192168100101;<!--分配给客户机的IP地址-->

}

3、启动dhcpd服务

在启动dhcpd服务之前，应确认提供DHCP服务器的网络接口具有静态指定的固定IP地址，并且至少有一个网络接口的IP地址与DHCP服务器中的一个subnet网段相对应，否则将无法正常启动dhcpd服务。例如，DHCP服务器的IP地址为19216810010，用于为网段192。1681000/24内的其他客户机提供自动分配地址服务。

安装dhcp软件包以后，对应的系统服务脚本位于/usr/lib/systemd/system/dhcpdservice，可以使用systemd服务进行控制。例如，执行以下操作可以启动dhcpd服务，并检查UDP的67端口是否在监听，以确认DHCP服务器是否正常。

[root@centos01 ~]# systemctl start dhcpd<!--启动dhcp服务-->

[root@centos01 ~]# systemctl enable dhcpd<!--设置服务开机自动启动-->

[root@centos01 ~]# netstat -anptu | grep 67<!--监听DHCP服务端口号-->

udp        0      0 0000:67              0000:                          2102/dhcpd         

udp        0      0 0000:67              0000:                          1064/dnsmasq       

注意：需要关闭、重启dhcpd服务时，只要将上述操作命令中的“start”改为“stop”或“restart”即可。

二、使用DHCP客户端

1、windows客户端

ipconfig /renew<!--可以为主机重新获取新的IP地址-->

ipconfig /release<!--释放IP地址-->

tracert IP地址<!--可以测试从当前主机到目的主机经过的网络节点-->

route print<!--查看路由表-->

2、Linux客户端

在Linux客户机中可以设置使用DHCP的方式获取地址。只需要编辑对应网卡的配置文件，修改或添加“BOOTPROTO=dhcp”配置行，并重新加载配置文件或者重新启动network服务即可。例如，执行以下操作可修改网卡配置文件，并重新加载配置以通过DHCP方式自动获取地址：

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=dhcp

DEFROUTE=yes

NAME=ens32

DEVICE=ens32

ONBOOT=yes

[root@centos02 ~]# ifdown ens32 ; ifup ens32

[root@centos02 ~]# systemctl restart network

在Linux客户机中，还可以使用dhclient工具来测试DHCP服务器。若直接执行“dhclient”命令，则dhclient将尝试为除回环接口lo以外的所有网络接口通过DHCP方式申请新的地址，然后自动转入后台继续运行。当然，测试时可以指定一个具体的网络接口，并结合“-d”选项使其在前台运行，测试完毕后按Ctrl+C组合键终止。例如，执行“dhclient -d ens32”命令后，可以为网卡ens32自动获取新的IP地址，并显示获取过程。

[root@centos02 ~]# dhclient -d ens32

Internet Systems Consortium DHCP Client 425

Copyright 2004-2013 Internet Systems Consortium

All rights reserved

For info, please visit https://wwwiscorg/software/dhcp/

Listening on LPF/ens32/00:0c:29:97:5c:9f

Sending on  LPF/ens32/00:0c:29:97:5c:9f

Sending on  Socket/fallback

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 4 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 6 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP发现-->

DHCPREQUEST on ens32 to 255255255255 port 67 (xid=0x5364e17f)<!--DHCP请求-->

DHCPOFFER from 19216810010<!--DHCP提供-->

DHCPACK from 19216810010 (xid=0x5364e17f)<!--DHCP确认-->

bound to 192168100102 -- renewal in 229 seconds

<!--按Ctrl+C组合键终止-->

客户端需要通过dhclient命令释放获取的IP租约时，可以结合“-r”选项。例如，执行以下的“dhclient -r ens32”将会释放之前为网卡ens32获取的IP租约。此时再通过执行“ifconfig ens32”命令就看不到分配的IP地址了。

[root@centos02 ~]# dhclient -r ens32

网络维护软件－－BMCPATROLDashboard和Visualis

产品特点：PATROLDashboard采用Web界面，可直观地显示网络当前各部分的状况，并定期提供报告，包括瓶颈所在地点；过载的网络设备以及空闲的网络设备；预测网络拥塞或饱和状况；准确完成来自系统内各种端口以及设备信息数据的统计、报告，并最终完成对网络中问题的通知与计划。PATROLVisualis是网络流量分析工具，直观展示网络动态拓扑图，监测流量的变化情况，显示流量的方向，定位故障源和目的地。

应用领域：金融、电信、政府、交通等的网络维护。

公司网址：wwwbmccom

网络维护软件－－CAUnicenter

产品特点：Unicenter具有多种独特的优势和特性，包括：管理内容的全面性，覆盖IT系统管理的方方面面；以业务解决方案为主导的方案包；每一个Unicenter模块都内置了通用服务组件，每一个模块在自己成为一个完整的解决方案的同时，也可以通过UCS与其他模块、包括第三方产品实现无缝的集成，从而减少部署框架体系时所需的人力物力；增强的体系架构；Unicenter还增加了可定制的门户功能，以增强产品的可视化和个性化。

应用领域：不同领域各种类型的企业的网络维护。

公司网址：wwwcacomcn

网络维护软件－－HPOpenViewNetworkNodeManager

产品特点：支持自动搜索网络，帮助客户了解自己的环境；对第三层和第二层环境进行问题根本原因分析，这种内置的功能还可以动态地根据网络中的变动进行调整；提供故障诊断工具，帮助快速解决复杂问题；收集主要网络信息，帮助用户发现问题并主动进行管理。

应用领域：通信、金融、保险、证券、政府、交通以及中小企业的网络维护。

公司网址：wwwsoftwarehpcomcn（中文）

wwwmanagementsoftwarehpcom（英文）

网络维护软件－－IBMTivoli软件

产品特点：网络维护软件－－IBMTivoli软件配置和操作解决方案能够实现电子商务基础架构的自主控制，比如IBMTivoli配置管理器提供了用于部署软件以及跟踪跨企业软硬件配置的集成化解决方案;应用工作量调度程序能够自主监视及控制通过企业整个IT基础设施的工作流;远程控制可以使IT部门快速、安全、可靠地控制其管理的重要资源。

公司网址：wwwtivolicom

网络维护软件－－NAI Sniffer Portable

产品特点：SnifferPortable通过提供可以快速识别并解决网络性能问题的便携式分析解决方案来帮助网络技术人员解决所有LAN和WAN拓扑结构中的问题。它使用450多种协议解码和强大的Expert分析功能，可以分析网络通信并定位造成宕机或响应迟缓的原因。

应用领域：可用于网络维护各种规模的网络。

一。虚拟机你找个vmware workstation 7装上，然后下载你要虚拟的操作系统的ISO安装文件，创建虚拟机，配置虚拟设备，将虚拟机的虚拟机光驱载入操作系统安装ISO，打开虚拟机电源，开始安装虚拟机操作系统。

二。web服务器就是在：控制面板——添加删除程序——添加删除windows组件，intnet信息发布服务器(IIS)，把这个勾选上，然后群定安装，安装的时候会找你要windows2000的安装光盘，你选择浏览，找到安装光盘里的i386文件夹选择继续就行。

三。SSL安装上你就可以设置IIS使用了，一旦使用了SSL，那么站点访问就变成https了。

SSL的安装也在IIS里，就是控制面板——添加删除程序——添加删除windows组件，intnet信息发布服务器(IIS)，点右下角的详细，会列出一些可选择的功能，里面就有SSL

四。至于你说的通道是什么我没能理解，不知道你说的是不是***

五。CA安装独立的根证书颁发机构

1以管理员身份登录到系统。或者，如果您装有ActiveDirectory，则以域管理员身份登录到系统。

2单击「开始」，指向「设置」，然后单击「控制面板」。双击「添加/删除程序」并单击「添加/删除Windows组件」。

3在「Windows组件向导」中，选中「证书服务」复选框。屏幕上将出现一个对话框，通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。单击「是」，然后单击「下一步」。

4单击「独立根CA」。

5（可选）选中「高级选项」的复选框以指定下面的选项。完成后请单击「下一步」。加密服务提供程序(CSP)，默认是MicrosoftBaseCryptographicProvider。证书服务支持第三方CSP，但您必须参考该CSP供应商的文档，以了解关于证书服务使用其CSP的信息。现有的密钥，如果选中此选项，则可以使用现有的公钥和私钥对而不用产生新的密钥对。如果您要重新定位或重新存储以前安装的证书颁发机构(CA)，则该选项很有用。

6填入证书颁发机构的名称和其他必要信息。在CA设置完成后这些信息都不能改变。

7在「有效持续时间」中，指定根CA的有效持续时间。有关设置这个值时应考虑的事项，请参阅下面的注释。单击「下一步」。

8指定证书数据库、证书数据库日志和共享文件夹的存储位置。单击「下一步」。

9如果正在运行WWW发布服务，则您会遇到一条要求在安装之前停止此项服务的请求信息。单击「确定」。

10如果出现提示，则键入证书服务安装文件的路径。

安装证书颁发机构的Web登记支持

1以管理员身份登录到系统。

2单击「开始」，指向「设置」，然后单击「控制面板」。双击「添加/删除程序」并单击「添加/删除Windows组件」。

3在「Windows组件向导」中，选中「证书服务」复选框。屏幕上将出现一个对话框，通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。单击「通讯」，然后单击「详细信息」。

4清除「证书服务CA」的复选框，确保选中「证书服务Web登记支持」复选框，再单击「确定」。单击「下一步」。

5在「计算机名称」中，键入安装证书颁发机构(CA)的计算机名称，此CA将使用Web登记页。此CA的名称将出现在列表中。单击「下一步」。

6如果正在运行WWW发布服务，系统将请求您在进行安装之前停止此项服务。单击「确定」。

7如果出现提示，则键入证书服务安装文件的路径。注意安装CAWeb登记页之前必须在服务器上安装Internet信息服务(IIS)。在已安装IIS的服务器上安装证书服务时会默认安装CAWeb登记页。只有在与安装CA的服务器不同的服务器上安装CAWeb登记页时，才需要执行此过程。如果您在证书服务安装期间更改了默认的选项且没有在CA服务器上安装CAWeb登记页，则您可以在CA的命令提示行运行「certutilvroot」命令以安装Web登记页。

设置安全性以访问证书颁发机构Web页

1以管理员身份登录到系统。

2单击「开始」，指向「程序」，指向「管理工具」，然后单击「Internet服务管理器」。

3在控制台树中，用右键单击「CertSrv」，再单击「属性」。

4在「目录安全性」选项卡的「匿名访问和身份验证控制」下，单击「编辑」。

5清除除「集成的Windows身份验证」之外的其他所有复选框。

发布证书颁发机构Web页

1以管理员身份登录到系统。

2单击「开始」，指向「程序」，指向「管理工具」，然后单击「Internet服务管理器」。

3设置初始页面为defaultasp,设置IP为您的本机IP。

4在web浏览器中填入http://您的IP/CertSrv，就可以看到发布的CA认证中心。

什么叫数字证书 ？

数字证书

数字证书在网络上类似于人在社会上持有的身份证等证件，用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人，也可能是网络设备。数字证书可以简单理解为“网络身份证”，用来在网络上证明自己的身份。

数字证书与身份证都是由专门的机构来签发。身份证通常由公安局来签发，上面盖有签发单位的公章。而受电子签名法保护的数字证书则是由国家许可的第三方数字认证中心(简称CA中心)，例如获得信息产业部审批资质的天威诚信数字认证中心来签发范数字证书上面有CA中心的电子签名，以证明数字证书的有效性。根据国家相关部门的许可授权建立的数字认证中心，在Internet上具有公信力，用它签发的数字证书所签署的电子合同、电子订单等电子文书具有法律效力。

数字证书上面主要包括以下信息：证书版本号、证书持有者信息、证书签发者(CA)信息、证书起止有效期、证书序列号、证书签发者的签名等。这些信息与身份证类似。证书签发者对数字证书的签名可以起到对数字证书本身的防伪作用，这与身份证上的公章类似。但CA中心对证书的数字签名是不可能被伪造的。

基于数字证书的应用角度分类，数字证书可以分为以下几种：

 服务器证书

服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。

在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球最为知名的服务器证书品牌是verisign其服务器证书编制起来的可信网络已覆盖全球，目前该公司已通过联合国内数字认证企业如天威诚信开展中国区服务

 电子邮件证书

电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性，它只证明邮件地址的真实性。

收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。

另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件。

 客户端个人证书

客户端证书主要被用来进行身份验证和电子签名。

安全的客户端证书我被存储于专用的u key中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质u key，且需要知道key的保护密码，这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。

什么是管理数字证书

意思就是保证你的账号只在安装数字证书的电脑上才能登陆。如果你申请了那么矗其他电脑登陆就会提示你手机短信验证。如果是自己的电脑就申请公共的就算了

企业数字证书是什么样的

基本上数字证书就是一个安全钥匙，用以保密安全~~提供以下信息供你参考 企业数字证书有什么用？

1、基本功能

o 身份认证

在互联网上，企业的身份一直不能得到非常有效的确认，这也成为阻碍电子政务和电子商务发展的重大瓶颈。利用PKI数字证书技术的身份认证，依靠非对称加密算法中密钥对匹配的唯一性，来确保企业在互联网上的合法身份。

o 数字签章

结合PKI数字证书技术，在Word、Excel、PDF等各类电子文档上加上起到防伪、防抵赖作用的电子签章，并以传统印章图案的形式嵌入到电子文档中，其效果就像物理签章一样。但由于结合了数字证书、数字水印等安全技术，其安全性较物理签章更高，并可以大大降低传统签章文件在纸张、传递等方面的成本，使用起来也更为方便。

2、实际应用

工商行政管理部门将企业基本注册登记信息嵌入“企业数字证书”后，即可作为“电子执照”被广泛应用于：

o 网上工商业务

领取“企业数字证书”的企业，可以通过网上年检方式完成以后年度的企业年检。企业可以登录工商网站，完成网上年检表格的在线填写和提交，由工商工作人员完成年检并通知企业年检结果。企业还可以在网上进行名称查询、注册登记、变更等多项工商业务。

（企业可咨询当地工商部门获知本地是否已开通上述网上工商业务。）

o 网上执照验证

领取“企业数字证书”的企业，可登陆汇信网通过获取验证码查看自己的电子执照或发给相关商业伙伴或相关单位实时查看企业营业执照内容。验证码的获得：领取企业数字证书的企业用USB-Key登陆“电子执照持证会员”－点击“我的执照应用”－点击“验证码管理”－点击“生成新的验证码”。验证结果会在网页上显示出来，以判断其电子执照是否是真实有效的。

o 企业信息查询

任何“企业数字证书”用户都将自动成为汇信网站的认证会员，用户在登录网站后，可以进入网上查询服务栏目，以自身需要的方式和条件查询浙江省登记注册企业的有关资料，也可以查询部分省外企业的数据资料。

o 电子商务应用

电子执照在电子商务活动中具有广阔的应用前景，而其最基本的应用就是用作识别和确认参与电子商务的各方主体的合法和有效的身份；还可以通过权威的渠道和专有技术来展示其营业执照，从而实现网上的“亮照经营”，而这些应用都可以通过对“电子执照”的功能的开发和拓展来实现（详见“汇信认证”）

o 电子签章

“企业数字证书”用户可以利用全国首创的可打印电子签章功能对电子文档加盖带有数字水印的企业公章，并可通过普通打印机输出具有数字水印防伪作用公章的纸质文档。

3、性能

o 保证身份认证和数字签章的安全性--数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

o 使用便捷--USB-Key携带方便，使用简单，无论何时何地都可以 电脑进行操作。

o 办事高效、经济--有了”企业数字证书”，企业办理工商等与 有关的业务再也不用跑到 机关去排长队了，同时，开展电子商务的合同签署等也快捷多了，还大大地节约了办事成本。

o 树立诚信经营形象--企业可以在网上亮照经营，不再怕假冒和被假冒。

什么是数字证书？从哪办理？归什么单位管理？

您可以先去了解下PKI体系，网上搜索一下就有很多资料。

如果您有单位给您颁发的数字证书，表明您单位建了CA软件系统（证书签发机构），一般像大的 或企事业单位才用到。

其实数字证书就是一串数据，里面包括数字证书使用者的姓名、身份证号等信息，等于将数字证书与现实人员进行绑定，当您在网络中使用数字证书时就可以通过解析数字证禒得到真实人员信息了。

数字证书也分好几类，有人员证书，服务器证书等等。也有企业证书。不一样的。根据发放数字证书模板来定。

数字证书分为两种一种是软证书，是安装在IE里的。一种是在USBKey里生成的证书，后者因为私钥是在Key里生成，不可导出，在一定程序上保证了证书的安全性。

数字证书管理单位一般为该证书的颁发机构来管理，比如：证书过期呀、丢失需要冻解、重新申请，等等。

数字证书包含什么

数字证书使用对象的角度分，目前的数字证书类型主要包括：个人身份证书、 企业或机构身份证书 、 支付网关证书 、服务器证书、企业或机构代码签名证书、 安全电子邮件证书 、 个人代码签名证书 。 个人身份证书 符合 X509 标准的数字安全证书，证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于 E-key 中，用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。 企业或机构身份证书 符合 X509 标准的数字安全证书，证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于 E-key 或 IC 卡中，可以用于企业在电子商务方面的对外活动，如合同签定、网上证券交易、交易支付信息等方面。 支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(Internet 上各种安全协议与银行现有网络数据格式的转换）。 支付网关证书只能在有效状态下使用。 支付网关证书不可被申请者转让。 服务器证书 符合 X509 标准的数字安全证书，证书中包含服务器信息和服务器的公钥，在网络通讯中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于 E-key 中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及 CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到 Internet 上，当用户在 Internet 上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。 代码签名证书可以对 32-bit exe 、 cab 、 ocx 、 class 等程序和文件 进行签名。 安全电子邮件证书 符合 X509 标准的数字安全证书，通过 IE 或 Netscape 申请，用 IE 申请的证书存储于 WINDOWS 的注册表中，用 NETSCAPE 申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的 WEB 服务器( 服务) 表明身份。 个人代码签名证书 个人代码签名证书是 CA 中心签发给软件提供人的数字证书，包含软件提供个人的身份信息、公钥及 CA 的签名。软件提供人使用代码签名证书对软件进行签名后放到 Internet 上，当用户在 Internet 上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。 代码签名证书可以对 32-bit exe 、 cab 、 ocx 、 class 等程序和文件进行签名。 从数字证书的技术角度分，CA中心发放的证书分为两类：SSL证书和SET证书。一般地说，SSL（安全套接层）证书是服务于银行对企业或企业对企业的电子商务活动的；而SET（安全电子交易）证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书，但它们的信任体系完全不同，而且所符合的标准也不一样。简单地说，SSL证书的作用是通过公开密钥证明持证人的身份。而SET证书的作用则

ca数字证书是什么

它就像是你企业在国税局的一个识别号，在网上申报时用它认证后直接关联到你的国税账户

数字证书是什么注册公司为什么要数字证书 5分

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

注册公司的时候，需要签署一些协议，而现在注册公司的流程简化了，已经不是非要繁琐的纸质版，手写签名等等的了。签署这些协议，或者某些电子版合同的时候，可以用个人的数字证书代替手写签名签署了。注册公司的时候，如果手上没有数字证书，可以看看有没有哪家银行的U盾在手上，U盾里面实际上也是包含着个人的数字证书，早在个人申请银行账户的时候，银行就对个人进行过身份认证，并且在顾客有需要的情况下给了客户U盾，所以这个U盾也可以拿来签名。（不过工商局会要求U盾必须是来自特定的几个银行的），如果对数字证书还有什么疑问，可以咨询沃通证书签发中心。

什么叫“易证通”数字证书？

“易证通”是四川省数字证书认证管理中心（简称四川CA）推出的可通用于多个 公共事务网上业务系统的数字证书，包括企业证书和个人证书。具体的可以登录他们的网站：sicca

数字证书和数字签名的关系

什么是数字证书？

由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险 为了保证互联网上电子交易及支付的安全性,保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。

数字证书也必须具有唯一性和可靠性。为了达到这一目的，需要采用很多技术来实现。通常，数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，用户可以公开其公开密钥，而保留其私有密钥。

数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、***证书、WAP证书、代码签名证书和表单签名证书。

随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展，数字证书开始广泛地应用到各个领域之中，目前主要包括：发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

什么是数字签名？数字签名与电子签名是不是一回事？

电子签名和数字签名的内涵并不一样，数字签名是电子签名技术中的一种，不过两者的关系也很密切，目前电子签名法中提到的签名，一般指的就是"数字签名"。

电子签名

要理解什么是电子签名，需要从传统手工签名或盖印章谈起。在传统商务活动中，为了保证交易的安全与真实，一份书面合同或公文要由当事人或其负责人签字、盖章，以便让交易双方识别是谁签的合同，保证签字或盖章的人认可合同的内容，在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中，合同或文件是以电子文件的形式表现和传递的。在电子文件上，传统的手写签名和盖章是无法进行的，这就必须依技术手段来替代。能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可抵懒性，起到与手写签名或者盖章同等作用的签名的电子技术手段，称之为电子签名。

从法律上

什么是设备数字证书？

数字证书软件数字证书和硬件数字证书。简单来说，软件数字证书如设备的使用或操作许可（lisence)，硬件证书如网银U盾，电子商务中攻用的加密狗。

SSL证书颁发机构又称CA机构，是一个受信任的数字证书颁发机构。CA机构的全称为Certificate Authority证书认证中心。只有通过WebTrust国际安全审计认证，根证书才能预装到主流浏览器，成为全球可信的SSL证书颁发机构。SSL证书颁发机构必须遵从行业规则的约束，需要入根到各大浏览器、操作系统以及移动设备程序中，这样才能发布透明、受信任的SSL证书。

介绍以下几种常见的SSL证书品牌

WoTrus是国内知名的SSL证书品牌，该品牌SSL证书除了能支持国际信任体系外，还能够支持国密信任体系（国密SSL证书），提供可靠的国际国产算法双通道保障。作为国产SSL证书品牌，WoTrus相比于国外品牌有着明显的价格优势。

GlobalSign是一家声誉卓著、备受信赖的CA中心和SSL数字证书提供商，致力于网络安全认证及数字证书服务。

DigiCert:美国历史悠久的SSL证书机构，已经收购了Symantec旗下的SSL证书业务。该CA证书品牌也是沃通CA推荐的品牌之一，审核快，性价比高，知名度卓越。在国内国外都拥有很大的市场份额。

Symantec，赛门铁克是目前SSL行业中最受认可的证书品牌。它服务了大概30多个国家，拥有众多政府，企业及个人用户，在全球有着很好的口碑！在国内，赛门铁克（Symantec）SSL证书的占有率一直保持在首位。 赛门铁克强大的PKI基础架构包括军事级数据中心和灾难恢复站点，能够实现超高安全性的数据保护， 让体验的用户安心。目前已被digicert收购，成为digicert Symantec，是目前全球最大的CA机构！

Comodo是著名的网络安全软件厂商，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务。在价格方面最经济的一款，可以实现基本的https功能，所以很多用户都会选择这一品牌。

国内外CA机构对比，如何挑选合适的SSL证书品牌？