商业源码 公司服务器怎么安装安全证书
需要安装安全证书。
第一步
先是要安装本公司的根证书,具体步骤如下:
首先要和信息部或者其他人员找到根证书安装文件,双击打开根证书文件,点击安装证书。
第二步
点击安装根证书以后会出现证书安装向导,要点击下一步。
如图:
第三步
请大家选择“将所有的证书放入下列存储区”这一选项,然后点击“浏览”按钮,在里面找到选择“受信任的根证书颁发机构”,然后选中它。
第四步
点击完成就结束根证书的安装。
扩展资料:
分类
按照体系架构来区分,服务器主要分为两类:
非x86服务器
非x86服务器:包括大型机、小型机和UNIX服务器,它们是使用RISC(精简指令集)或EPIC(并行指令代码)
服务器(9张)
处理器,并且主要采用UNIX和其它专用操作系统的服务器,精简指令集处理器主要有IBM公司的POWER和PowerPC处理器,SUN与富士通公司合作研发的SPARC处理器、EPIC处理器主要是Intel研发的安腾处理器等。
这种服务器价格昂贵,体系封闭,但是稳定性好,性能强,主要用在金融、电信等大型企业的核心系统中。
x86服务器
x86服务器:又称CISC(复杂指令集)架构服务器,即通常所讲的PC服务器,它是基于PC机体系结构,使用Intel或其它兼容x86指令集的处理器芯片和Windows操作系统的服务器。
价格便宜、兼容性好、稳定性较差、安全性不算太高,主要用在中小企业和非关键业务中。
按应用层次划分
按应用层次划分通常也称为“按服务器档次划分”或 “按网络规模”分,是服务器最为普遍的一种划分方法,它主要根据服务器在网络中应用的层次(或服务器的档次来)来划分的。
要注意的是这里所指的服务器档次并不是按服务器CPU主频高低来划分,而是依据整个服务器的综合性能,特别是所采用的一些服务器专用技术来衡量的。
按这种划分方法,服务器可分为:入门级服务器、工作组级服务器、部门级服务器、企业级服务器。
1、入门级服务器
这类服务器是最基础的一类服务器,也是最低档的服务器。
随着PC技术的日益提高,许多入门级服务器与PC机的配置差不多,所以也有部分人认为入门级服务器与“PC服务器”等同。这类服务器所包含的服务器特性并不是很多,通常只具备以下几方面特性:
1有一些基本硬件的冗余,如硬盘、电源、风扇等,但不是必须的;
2通常采用SCSI接口硬盘,也有采用SATA串行接口的;
3部分部件支持热插拔,如硬盘和内存等,这些也不是必须的;
4通常只有一个CPU,但不是绝对;
5内存容量最大支持16GB。
这类服务器主要采用Windows或者NetWare网络操作系统,可以充分满足办公室型的中小型网络用户的文件共享、数据处理、Internet接入及简单数据库应用的需求。
这种服务器与一般的PC机很相似,有很多小型公司干脆就用一台高性能的品牌PC机作为服务器,所以这种服务器无论在性能上,还是价格上都与一台高性能PC品牌机相差无几。
入门级服务器所连的终端比较有限(通常为20台左右),况且在稳定性、可扩展性以及容错冗余性能较差,仅适用于没有大型数据库数据交换、日常工作网络流量不大,无需长期不间断开机的小型企业。
不过要说明的一点就是目前有的比较大型的服务器开发、生产厂商在后面我们要讲的企业级服务器中也划分出几个档次,其中最低档的一个企业级服务器档次就是称之为"入门级企业级服务器"。
这里所讲的入门级并不是与我们上面所讲的"入门级"具有相同的含义,不过这种划分的还是比较少。
还有一点就是,这种服务器一般采用Intel的专用服务器CPU芯片,是基于Intel架构(俗称"IA结构")的,当然这并不是一种硬性的标准规定,而是由于服务器的应用层次需要和价位的限制。
2、工作组服务器
工作组服务器是一个比入门级高一个层次的服务器,但仍属于低档服务器之类。
从这个名字也可以看出,它只能连接一个工作组(50台左右)那么多用户,网络规模较小,服务器的稳定性也不像下面我们要讲的企业级服务器那样高的应用环境,当然在其它性能方面的要求也相应要低一些。工作组服务器具有以下几方面的主要特点:
1通常仅支持单或双CPU结构的应用服务器(但也不是绝对的,特别是SUN的工作组服务器就有能支持多达4个处理器的工作组服务器,当然这类型的服务器价格方面也就有些不同了)。
2可支持大容量的ECC内存和增强服务器管理功能的SM总线。
3功能较全面、可管理性强,且易于维护。
4采用Intel服务器CPU和Windows/NetWare网络操作系统,但也有一部分是采用UNIX系列操作系统的。
5可以满足中小型网络用户的数据处理、文件共享、Internet接入及简单数据库应用的需求。
工作组服务器较入门级服务器来说性能有所提高,功能有所增强,有一定的可扩展性,但容错和冗余性能仍不完善、也不能满足大型数据库系统的应用,但价格也比前者贵许多,一般相当于2~3台高性能的PC品牌机总价。
3、部门级服务器
这类服务器是属于中档服务器之列,一般都是支持双CPU以上的对称处理器结构,具备比较完全的硬件配置,如磁盘阵列、存储托架等。
部门级服务器的最大特点就是,除了具有工作组服务器全部服务器特点外,还集成了大量的监测及管理电路,具有全面的服务器管理能力,可监测如温度、电压、风扇、机箱等状态参数,结合标准服务器管理软件,使管理人员及时了解服务器的工作状况。
同时,大多数部门级服务器具有优良的系统扩展性,能够满足用户在业务量迅速增大时能够及时在线升级系统,充分保护了用户的投资。
它是企业网络中分散的各基层数据采集单位与最高层的数据中心保持顺利连通的必要环节,一般为中型企业的首选,也可用于金融、邮电等行业。
部门级服务器一般采用IBM、SUN和HP各自开发的CPU芯片,这类芯片一般是RISC结构,所采用的操作系统一般是UNIX系列操作系统,LINUX也在部门级服务器中得到了广泛应用。
部门级服务器可连接100个左右的计算机用户、适用于对处理速度和系统可靠性高一些的中小型企业网络,其硬件配置相对较高,其可靠性比工作组级服务器要高一些,当然其价格也较高(通常为5台左右高性能PC机价格总和)。
由于这类服务器需要安装比较多的部件,所以机箱通常较大,采用机柜式的。
4、企业级服务器
企业级服务器是属于高档服务器行列,正因如此,能生产这种服务器的企业也不是很多,但同样因没有行业标准硬件规定企业级服务器需达到什么水平,所以也看到了许多本不具备开发、生产企业级服务器水平的企业声称自己有了企业级服务器。
企业级服务器最起码是采用4个以上CPU的对称处理器结构,有的高达几十个。
另外一般还具有独立的双PCI通道和内存扩展板设计,具有高内存带宽、大容量热插拔硬盘和热插拔电源、超强的数据处理能力和群集性能等。
这种企业级服务器的机箱就更大了,一般为机柜式的,有的还由几个机柜来组成,像大型机一样。企业级服务器产品除了具有部门级服务器全部服务器特性外。
最大的特点就是它还具有高度的容错能力、优良的扩展性能、故障预报警功能、在线诊断和RAM、PCI、CPU等具有热插拔性能。有的企业级服务器还引入了大型计算机的许多优良特性。
这类服务器所采用的芯片也都是几大服务器开发、生产厂商自己开发的独有CPU芯片,所采用的操作系统一般也是UNIX(Solaris)或LINUX。
企业级服务器适合运行在需要处理大量数据、高处理速度和对可靠性要求极高的金融、证券、交通、邮电、通信或大型企业。
企业级服务器用于联网计算机在数百台以上、对处理速度和数据安全要求非常高的大型网络。企业级服务器的硬件配置最高,系统可靠性也最强。
服务器中配置固态硬盘已经是一个普遍的选择,特别是如果只有很小比例的服务器存在性能问题的话尤其如此。固态硬盘可以帮助用户解决服务器性能的瓶颈。
固态硬盘也可以让高速存储更加的接近处理器并将共享存储网络这个潜在的瓶颈剔除掉。目前有三种固态硬盘的形式作为达标:即硬盘驱动型SSD,SSD DIMM和PCIs SSD。
5、典型服务器应用
办公OA服务器
ERP服务器
WEB服务器
数据库服务器
财务服务器
邮件服务器
打印服务器
集群服务器
无盘办公系统
无盘网吧服务器
无盘教学系统
视频监控服务器
流媒体服务器
VOD视频点播服务器
网络下载
SP服务
网络教学服务器
IDC-主机出租
IDC-虚拟空间
IDC-网游
IDC-主机托管
游戏服务器
高性能计算(HPC)
桌面超算
论坛服务器
参考资料:
在开始菜单中依次单击“管理工具”→“Internet信息服务(IIS)管理器”菜单项,打开“Internet信息服务”窗口。在左窗格中右键单击Web站点名称(如“默认网站”),选择“属性”命令,打开“默认Web站点 属性”对话框。切换到“目录安全性”选项卡,单击“服务器证书”按钮。进入Web服务器证书向导,单击“下一步”按钮,如图所示。
打开“服务器证书”对话框,由于是第一次使用证书向导,因此应该选中“新建证书”单选框,并单击“下一步”按钮,如图所示。
在打开的“延迟或立即请求”对话框中保持“现在准备请求,但稍后发送”单选框的选中状态,并单击“下一步”按钮。
打开“名称和安全性设置”对话框,在“名称”编辑框中输入证书的名称。“位长”保持默认值,单击“下一步”按钮,如图所示。
在接着打开的“单位信息”对话框中设置Web站点的所属单位和部门信息,建议输入真实有效的信息,单击“下一步”按钮,如图所示。
打开“站点公用名称”对话框后直接单击“下一步”按钮,打开“地理信息”对话框。设置合适的地理位置信息并单击“下一步”按钮,如图所示。
打开“证书请求文件名”对话框,单击“浏览”按钮指定证书申请文件的保存位置和文件名称(也可以使用默认值,但一定要记住,以备后用)。依次单击“下一步”→“完成”按钮完成服务器证书的申请,如图所示。
问题一:什么叫数字证书 ? 数字证书
数字证书在网络上类似于人在社会上持有的身份证等证件,用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人,也可能是网络设备。数字证书可以简单理解为“网络身份证”,用来在网络上证明自己的身份。
数字证书与身份证都是由专门的机构来签发。身份证通常由公安局来签发,上面盖有签发单位的公章。而受电子签名法保护的数字证书则是由国家许可的第三方数字认证中心(简称CA中心),例如获得信息产业部审批资质的天威诚信数字认证中心来签发数字证书上面有CA中心的电子签名,以证明数字证书的有效性。根据国家相关部门的许可授权建立的数字认证中心,在Internet上具有公信力,用它签发的数字证书所签署的电子合同、电子订单等电子文书具有法律效力。
数字证书上面主要包括以下信息:证书版本号、证书持有者信息、证书签发者(CA)信息、证书起止有效期、证书序列号、证书签发者的签名等。这些信息与身份证类似。证书签发者对数字证书的签名可以起到对数字证书本身的防伪作用,这与身份证上的公章类似。但CA中心对证书的数字签名是不可能被伪造的。
基于数字证书的应用角度分类,数字证书可以分为以下几种:
服务器证书
服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。
在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点,服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球最为知名的服务器证书品牌是verisign其服务器证书编制起来的可信网络已覆盖全球,目前该公司已通过联合国内数字认证企业如天威诚信开展中国区服务
电子邮件证书
电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实性。
收到具有有效电子签名的电子邮件,我们除了能相信邮件确实由指定邮箱发出外,还可以确信该邮件从被发出后没有被篡改过。
另外,使用接收的邮件证书,我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输,只有接收方的持有者才可能打开该邮件。
客户端个人证书
客户端证书主要被用来进行身份验证和电子签名。
安全的客户端证书我被存储于专用的u key中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质u key,且需要知道key的保护密码,这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。
问题二:什么是个人数字证书 个人数字证书,是由权威机构颁发的 虚拟世界身份。由一串相应的数据组成。其中包括你的唯一属性。如身份证等,可以跟实体绑定进行标识。 憨字证书基本采用非对称加密技术。公钥加密,私钥解密。一般私钥是由个人保护防止丢失等。
问题三:什么是管理数字证书 意思就是保证你的账号只在安装数字证书的电脑上才能登陆。如果你申请了那么矗其他电脑登陆就会提示你手机短信验证。如果是自己的电脑就申请公共的就算了
问题四:网上交易的个人数字证书是什么呀? 网上银行,安全第一。为了保证安全,最有效的办法就是使用数字证书。数字证书是网银安全的根本保障,是被国内外普遍采用的一整套成熟的信息安全保护措施。至今为止,从未发现一例由于数字证书机制被攻破而使网上交易诈骗得逞的事件。数字证书是您的网络身份证,它是一个包含您身份信息的电子文件,证明互联网上您是谁。数字证书也是您的安全保镖,能够保证您网上传送信息的安全,防止其他人对信息的窃取或篡改。通过数字证书,您还能对网上的交易进行电子签名,实现您的网络亲笔签名。您在网上银行进行操作时,证书会形成电子签名附在您发给银行的交易指令上,从而使银行能够认定您的身份,使他人无法破解、修改您和银行互相传递的信息。有了数字证书,您完全可以放心安全地使用网上银行的各项功能。数字证书应由权威的第三方安全认证机构(CA)发放,而不应由作为交易一方的银行(包括电子商务网站)发放。第三方CA,对交易双方起到规避风险的作用。例如在出现网银纠纷时,第三方CA可以为当事人双方提供相应的证明,以明确双方的责任。若客户使用银行自己建设的CA发放的数字证书,这意味着银行既当裁判员又当运动员,在发生纠纷时,客户的合法权益很难得到保障。金融监管部门明确提倡使用第三方安全认证机构(CA)发放的数字证书。中国金融认证中心(China Financial Certification Authority ,英文简称CFCA) 是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构,是重要的国家金融信息安全基础设施之一。CFCA作为一个权威的、可信赖的、公正的第三方安全认证机构,负责为金融和非金融领域的各种认证需求提供证书服务。
问题五:数字证书是什么?数字证书有什么作用 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。
是由权威机构――CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
问题六:什么是设备数字证书? 数字证书软件数字证书和硬件数字证书。简单来说,软件数字证书如设备的使用或操作许可(lisence),硬件证书如网银U盾,电子商务中攻用的加密狗。
问题七:数字证书包含什么 数字证书使用对象的角度分,目前的数字证书类型主要包括:个人身份证书、 企业或机构身份证书 、 支付网关证书 、服务器证书、企业或机构代码签名证书、 安全电子邮件证书 、 个人代码签名证书 。 个人身份证书 符合 X509 标准的数字安全证书,证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于 E-key 中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。 企业或机构身份证书 符合 X509 标准的数字安全证书,证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于 E-key 或 IC 卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易支付信息等方面。 支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书,是支付网关实现数据加解密的主要工具,用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(Internet 上各种安全协议与银行现有网络数据格式的转换)。 支付网关证书只能在有效状态下使用。 支付网关证书不可被申请者转让。 服务器证书 符合 X509 标准的数字安全证书,证书中包含服务器信息和服务器的公钥,在网络通讯中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于 E-key 中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书,包含软件提供商的身份信息、公钥及 CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到 Internet 上,当用户在 Internet 上下载该软件时,将会得到提示,从而可以确信:软件的来源;软件自签名后到下载前,没有遭到修改或破坏。 代码签名证书可以对 32-bit exe 、 cab 、 ocx 、 class 等程序和文件 进行签名。 安全电子邮件证书 符合 X509 标准的数字安全证书,通过 IE 或 Netscape 申请,用 IE 申请的证书存储于 WINDOWS 的注册表中,用 NETSCAPE 申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的 WEB 服务器( 服务) 表明身份。 个人代码签名证书 个人代码签名证书是 CA 中心签发给软件提供人的数字证书,包含软件提供个人的身份信息、公钥及 CA 的签名。软件提供人使用代码签名证书对软件进行签名后放到 Internet 上,当用户在 Internet 上下载该软件时,将会得到提示,从而可以确信:软件的来源;软件自签名后到下载前,没有遭到修改或破坏。 代码签名证书可以对 32-bit exe 、 cab 、 ocx 、 class 等程序和文件进行签名。 从数字证书的技术角度分,CA中心发放的证书分为两类:SSL证书和SET证书。一般地说,SSL(安全套接层)证书是服务于银行对企业或企业对企业的电子商务活动的;而SET(安全电子交易)证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书,但它们的信任体系完全不同,而且所符合的标准也不一样。简单地说,SSL证书的作用是通过公开密钥证明持证人的身份。而SET证书的作用则>>
问题八:网银个人数字证书 数字证书是网银用户使用的一种将个人信息与电子签名唯一绑定的电子文件,通过它可以对用户的网上交易进行身份确认,确保了交易的唯一、完整和不可否认。
数字证书分为“移动数字证书”和“文件数字证书”。“移动数字证书”是一个外形类似U盘的东西,安全性高,便于携带,但需要支付大概100元的费用。“文件数字证书”就是IE浏览器证书,成本低,只需要支付一次性手续费或不多的年费,大约10元左右,但客户只能在安装此证书的电脑上使用,因而适合有固定电脑的用户。
目前网上银行大多分为大众版和专业版。专业版必须由用户本人到银行网点申请办理数字证书,而大众版允许客户凭身份证、账号和密码在网上自助开通。大众版与专业版的区别,也就是有无申请数字证书的区别,主要表现在:
大众版只具备查询、小额支付等基本功能,受单笔支付金额和单日支付总额的限制。而拥有数字证书的专业版用户则可享受无限额转账支付等服务。
另外,使用了数字证书,即使卡号和密码被盗用,没有数字证书也无法进行网银操作,从而能保护网上交易的安全。并且使用中国金融认证中心颁发的数字证书进行网上交易时,如果发生账户被盗造成损失,个人用户最高可以获赔2万元。
在目前所有的网银中,只有工行提供“移动数字证书”,而招行、浦发、建行、农行提供“文件数字证书”,兴业、民生、中信、深发展、上海银行提供的都是由中国金融认证中心颁发的数字证书。光大、中行、广发、交行、华夏均不提供数字证书。
密码验证
“用户名+密码”是网上银行最基本的保障方式,在网上银行的使用过程中,会涉及到登陆密码和支付密码。
登陆密码是登陆网银时使用的密码。在涉及转账付款时,系统会要求输入支付密码,支付密码能够保证账户资金的安全,银行建议登陆密码与支付密码最好不要相同。
为了防止通过猜测密码而登陆他人网上银行的行为,银行提供了保护措施。
工行:当登陆密码、支付密码当天连续3次未通过,银行将临时冻结当日网银的交易资格,次日自动解除冻结;累计连续10次未通过,银行将冻结网上交易资格,用户需到柜台办理密码重置手续场
兴业:累计输错6次网上账号被锁定,需到柜台办理解码手续。
浦发:3次密码错误15分钟不能登陆,错误越多,不能登陆时间越长。
中行:连续3次错误,系统将锁定用户24小时。
问题九:个人数字证书是干嘛用的??? 您好:
数字证书是为了保证亲您的账户安全的呢,为了安全我们一般是建议亲下载使用的哦。
――淘宝账户组云客服
问题十:个人移动数字证书和个人数字证书有什么区别 数字证书就难说了,如果是以文件形式存在,那就难逃被拷贝复制等等厄运,只要拥有一台安装数字证书文件的电脑就可以完成交易。所以要保证安全,如果您有USB KEY,那再好不过了,只要保存好就可以。如果是文件形式的数字证书,那要保存好这个文件,不要被别人copy就可以,或者不要让他人使用这台有数字证书的电脑。呵呵,说的太复杂,不好意思。
SSL证书又称“服务器证书,https证书,CA证书,网站安全证书”等,是数字证书的一种,简单来说就是给网站加密,由原来的http协议变成https加密协议。SSL证书在浏览器上面显示一把绿色的小锁,点击小锁可以查看证书详细信息。
SSL证书购买:可以直接Gworg获得SSL证书,而且可以支持淘宝。
你好!
CA证书
CA证书就是电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X509 国际标准。
自颁发证书
由服务器自己颁发给自己,用于证明自己身份的东西,非权威颁发机构发布,默认客户端都是不信任的,在如下情形中,一张证书是自颁发证书而不是自签证书:CA在进行密钥更替时,可能会存在两个密钥对(新密钥对和旧密钥对),可能会存在用新私钥签发旧公钥或用旧私钥签发新公钥的情形,如此形成的证书是自颁发证书,却不是自签证书。
自签证书
自签证书是一种由签名实体发布给自身的证书,即发布者和证书主体相同
随着Windows Server 2003操作系统的推出,Windows平台的安全性和易用性大大增强,然而,在默认情况下,IIS使用HTTP协议以明文形式传输数据,没有采取任何加密措施,用户的重要数据很容易被窃取,如何才能保护局域网中的这些重要数据呢下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。
一、什么是SSL
SSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。
SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。
提示:SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://网站域名”。
二、安装证书服务
要想使用SSL安全机制功能,首先必须为Windows Server 2003系统安装证书服务。
进入“控制面板”,运行“添加或删除程序”,接着进入“Windows组件向导”对话框,勾选“证书服务”选项,点击“下一步”按钮,接着选择CA类型。这里选择“独立根CA”,点击“下一步”按钮,为自己的CA服务器取个名字,设置证书的有效期限,最后指定证书数据库和证书数据库日志的位置,就可完成证书服务的安装。
三、配置SSL网站
1创建请求证书文件
完成了证书服务的安装后,就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”,运行“Internet 信息服务-IIS 管理器”,在管理器窗口中展开“网站”目录,右键点击要使用SSL的网站,选择“属性”选项,在网站属性对话框中切换到“目录安全性”标签页(图1),然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”,点击“下一步”按钮,选择“现在准备证书请求,但稍后发送”。在“名称”输入框中为该证书取名,然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息,最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。
2申请服务器证书
完成上述设置后,还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“/CertSrv/defaultasp”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接,接下来在证书申请类型中点击“高级证书申请”链接,然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10”链接,再打开刚刚生成的“certreqtxt”文件,将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。
3颁发服务器证书
点击“控制面板→管理工具”,运行“证书颁发机构”。在主窗口中展开树状目录,点击“挂起的申请”项(图2),找到刚才申请的证书,然后右键点击该项,选择“所有任务→颁发”。颁发成功后,点击树状目录中的“颁发的证书”项,双击刚才颁发的证书,在弹出的“证书”对话框的“详细信息”标签页中,点击“复制到文件”按钮,弹出证书导出向导,连续点击“下一步”按钮,并在“要导出的文件”对话框中指定文件名,最后点击“完成”。
4安装服务器证书
重新进入IIS管理器的“目录安全性”标签页,点击“服务器证书”按钮,弹出“挂起的证书请求”对话框,选择“处理挂起的请求并安装证书”选项,点击“下一步”按钮,指定刚才导出的服务器证书文件的位置,接着设置SSL端口,使用默认的“443”即可,最后点击“完成”按钮。
可以参照WIN2K来设置:
下面,我就介绍一下如何在Windows2000server/NET中开启CA服务。
1、首先请确认您的服务器已经安装配置了Active Directory服务,这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件,如果仅仅左测试使用,您可以不安装AD服务;
2、确保在您的Windows2000server/NET中开启IIS服务,并且支持ASP,这样您的CA服务可以通过WEB在INTERNET/INTRANET发布;
3、开始-->设置-->控制面板-->添加/删除程序-->添加/删除Windows组件-->选中证书服务;
4、然后选择合适的CA类型,这里我们选择独立的根CA;
5、如果你要改变微软的默认密钥设置,你可以选中高级选项;一般,我们直接进入下一步;
6、在这里输入您这个CA的详细信息;
7、然后指定存储配置数据、数据库和日志的位置;
8、完成安装向导,系统开始安装CA服务;
然后,您可以通过如下方式访问认证服务器:
http://安装认证服务器IP地址/certsrv
在这里,您可以申请一张证书,查看证书请求状态还有下载根证书。
当您完成证书申请之后,您可以通过打开IE-->工具-->INTERNET选项-->内容-->证书-->个人查看您个人证书。
当然你也可以通过把证书服务加入到MMC来进行证书服务管理,方法如下:
开始-->运行-->mmc-->文件-->添加/删除插件-->添加-->证书
)。单击"下一步"。
8在名字和安全设置对话框中,接受缺省选项。单击"下一步"。
9在下一个页面上, 输入您的信息,单击"下一步"。
10在"通用名"文本框中输入您的服务器名字。它可以是DNS名、NetBIOS名称或LOCALHOST。输入您的选择,单击"下一步"。
11在下一个页面上,输入您的信息,单击"下一步"。
12如果在域里面已经有了企业CA,并且您可以从那里申请到Web服务器证书,那么您将可以看到它列在那里。
(如果没有CA,如果CA没有配置成可以发布Web服务器证书,或如果您没有权限申请一个Web服务器证书,列表将会是空的。您必须有一个CA来完成这个部分。)选择您要使用的CA,单击"下一步"。
13就会出现证书请求提交页面。单击"下一步"。
14单击"完成"。现在服务器就有了一个WEB服务器证书。
15您将注意到在"安全通信"下面的"编辑"可以使用了,单击"编辑"。
16进入安全通信对话框,在需要安全通道(SSL)前打上勾。
17如果你希望以后客户端浏览器和WEB通信的时候需要128位对称加密,那么你就在需要128位加密前打上勾。
18在客户端证书中有三种选择:忽略客户证书、接收客户证书和申请客户证书。选择第一第二种仅仅是开启SSL单向认证,选择第三种着开启SSL双向认证。
19选择"接受客户端证书","接受客户端证书"设置需要在客户端证书和浏览器之间进行协商。您也必须选中"申请安全通道(SSL)"选项框。如果失败了,它不允许退回到另一个验证方法。需要安全通道意味着Web站点将不能通过HTTP协议进行访问,只可以通过HTTPS协议进行访问。单击"确定"。单击"应用"并且单击"确定"。
20单击确定,好了,您的SSL通道开启了。
以后你就可以通过https访问WEB服务了。
0条评论