陳學平

(重慶電子工程職業(yè)學院，重慶 401331)

1 公共密鑰基礎結構(PKI)簡介

對于電子商務系統(tǒng)中的身份識別，以及內(nèi)部和外部網(wǎng)絡上的數(shù)據(jù)加密來說，公共密鑰技術是一項重要的技術。與公共密鑰技術相關的兩個基本概念分別是公鑰加密和公鑰認證。公共密鑰基礎結構是由數(shù)字證書(Digital Certificate)、證書頒發(fā)機構(Certificate Authority)所組成的系統(tǒng)。此系統(tǒng)可以用于解決信息加密和身份識別等問題。

1.1 公鑰加密

對于電子郵件信息或者通過Internet或其他網(wǎng)絡通信傳送的信用卡信息等重要資源，都可以使用公鑰加密技術來實現(xiàn)數(shù)據(jù)的加密，從而保證數(shù)據(jù)的安全性。由于公鑰是自由發(fā)行的，任何人都可以得到，而私鑰是保密的，只有本人知道，因此，任何兩個人只要通過檢索彼此的公鑰，并用對方的公鑰對數(shù)據(jù)進行加密，就可以在公共網(wǎng)絡上建立安全的私人通信。

公鑰和私鑰：公鑰加密使用兩個在數(shù)字上相關的密鑰。密鑰是一個隨機字符串(如數(shù)字、ASCII碼等)，它結合算法使用。在公鑰加密操作中，每個用戶都有一對在數(shù)字上相關的密鑰，它們分別是私鑰和公鑰。 私鑰：該密鑰是保密的，只有本人持有。

公鑰：該密鑰向所有可能的通信者公開。

加密和解密：PKI的基本概念是將一個密鑰用于加密數(shù)據(jù)，而另一個密鑰用于解密數(shù)據(jù)。加密密鑰無法對加密的數(shù)據(jù)進行解密。公鑰和私鑰也可以逆向使用，即使用私鑰加密數(shù)據(jù)，用公鑰解密數(shù)據(jù)。但因為任何人都可以獲得公鑰，因此這種方法不能防止其他用戶讀取消息。但此種方式可以用來識別發(fā)送消息的人的身份。

1.2 公鑰認證

可使公鑰密碼技術來驗證電子郵件、電子商務和其他電子交易中電子數(shù)據(jù)的發(fā)送人。與公鑰加密一樣，公鑰認證也使用了密鑰對。然而，它不是用接收方的私鑰來解密消息，而用發(fā)送方的公鑰來認證和驗證消息的發(fā)送方。通過使用私鑰加密唯一標識的消息內(nèi)容就可以創(chuàng)建數(shù)字簽名。通過使用數(shù)字簽名將私鑰和公鑰的作用進行了交換。

2 證書頒發(fā)機構屬性

證書頒發(fā)機構(CA)負責提供和分配密鑰，用來加密、解密和認證。CA通過頒發(fā)證書來分配密鑰，證書中包含公鑰和一系列屬性。

2.1 證書的概念

每個使用Windows PKI的用戶或計算機都會分配到一個公鑰和一個私鑰。私鑰保留在計算機上，而且從不在網(wǎng)絡上傳輸。為了保證PKI的正確運行，必須有一種可控制和可驗證的方法來分配公鑰。數(shù)字證書就是這樣一種機制，用來在網(wǎng)絡上分配公鑰。證書的主要目的是為了讓人相信證書中的公鑰確實屬于證書中指定的實體。數(shù)字證書包含公鑰本身和一組描述公鑰所有者屬性的信息(如所有者的姓名和聯(lián)系方式等)。證書是由證書頒發(fā)機構(CA)頒發(fā)的。

CA是可信任的機構或程序，它向個體用戶頒發(fā)有效的證書。CA主要有兩類：商業(yè)CA公司和Windows Server 2003自代的CA程序(稱為Microsoft證書服務MCS)。CA機構或程序相當于公證人，CA負責驗證證書接受人的身份是否屬實。用戶可以根據(jù)實際應用需求選擇CA機構。

2.2 證書的類型

證書有外部CA和內(nèi)部CA。外部CA：外部的發(fā)行公司，如大型的商業(yè)CA。內(nèi)部CA：內(nèi)部發(fā)行的，如公司安裝了自己的服務器來頒發(fā)和驗證證書。另每個CA都有一個證明它自己身份的證書，是由另外一個可信任的CA或它自己頒發(fā)的。信任某個CA，表示同時接受該CA的策略和過程，這些策略和過程用來確認證書接受實體的身份。

2.3 頒發(fā)證書的過程

頒發(fā)證書的基本步驟如下：生成密鑰→申請證書→驗證信息→創(chuàng)建證書→發(fā)送或公布證書

2.4 證書吊銷

可以在證書有效期截止之前使證書無效(原因：泄漏、欺詐、不再可信等)。

3 證書服務的安裝

要創(chuàng)建安全的SSL站點需要使用CA證書，而CA證書需要一個頒發(fā)機構，這就需要安裝證書服務，通過證書頒發(fā)機構來頒發(fā)證書。通過安裝證書服務，可以創(chuàng)建一個CA來頒發(fā)運行PKI所需的證書。在Windows Server 2003上，證書頒發(fā)機構可以是兩種類型之一：企業(yè)類或獨立類。每個類型都可以有一個根CA和一個(或多個)從屬CA。對單個Windows 2003網(wǎng)絡中的用戶或計算機頒發(fā)證書，必須安裝一個企業(yè)CA。企業(yè)CA要求所有申請證書的用戶和計算機在Active Directory中有一個賬號。

如果對單個的Windows Server 2003網(wǎng)絡外的用戶或計算機頒發(fā)證書，則須安裝一個獨立CA。獨立CA不需Active Directory的支持。證書服務與其他Windows Server 2003系統(tǒng)組件一樣，使用【添加/刪除程序】工具進行安裝。安裝證書服務后，計算機可以作為證書頒發(fā)機構，管理和頒發(fā)證書，但是安裝證書服務的計算機不可以更改計算機名稱。對于企業(yè)根CA或企業(yè)從屬CA也不能刪除Active Directory。具體安裝步驟從略。

4 證書頒發(fā)機構和證書的管理

證書管理員的主要任務是管理證書頒發(fā)機構，包括啟動/暫停證書服務、配置證書頒發(fā)機構的屬性、備份/還原證書頒發(fā)機構信息、更新證書頒發(fā)機構證書等。其目的是保證證書服務可以提供證書申請、備份和還原證書頒發(fā)機構信息，以及更新證書頒發(fā)機構證書以提高系統(tǒng)的性能和可靠性。

證書頒發(fā)機構的管理分為三種情況：

1)啟動和停止證書服務。在Windows Server 2003網(wǎng)絡環(huán)境下，證書服務是以標準的服務方式來執(zhí)行的，所以管理員在管理證書頒發(fā)機構或客戶端申請證書時，必須先啟動CA上的證書服務。如果不希望客戶端申請證書，可以暫停證書服務。

2)配置CA證書。管理員可以管理證書頒發(fā)機構的信息，包括策略模塊、退出模塊、審核、故障恢復代理、安全等，只要在證書頒發(fā)機構視圖中右鍵單擊服務器圖標，選擇【屬性】菜單，即可進行設置。

3)備份和還原CA。CA的證書、設置信息是非常重要的，如果這些信息出現(xiàn)問題，可能導致CA不能頒發(fā)證書，客戶端也不能繼續(xù)申請證書，甚至其他人也無法確認CA所頒發(fā)的證書是否有效，所以證書管理員必須定期備份CA。以便在CA系統(tǒng)出現(xiàn)問題時，及時還原CA。

證書的管理主要是指在【證書頒發(fā)機構】控制臺窗口中，管理員可以管理證書模板，設置客戶端可以申請的證書類型。為了滿足各種不同的需要，Windows Server 2003預先定義了許多證書模板。證書管理員還需要管理吊銷的、已頒發(fā)的、掛起的或者失敗的證書，保證CA的正常使用。

5 網(wǎng)絡客戶端申請CA證書

配置了企業(yè)的CA之后，就可以為網(wǎng)絡中的用戶或計算機分配一個證書，以保證網(wǎng)絡中傳輸?shù)臄?shù)據(jù)是有效的、可靠的、加密的。下面介紹客戶端證書申請和安裝方法。

步驟1，在客戶端打開IE瀏覽器，在地址欄中輸入：http://computer.win2003.com/certsrv或者http://win2003.com/certsrv(其中computer.win2003.com為CA服務器的域名名稱名稱)。打開Windows 證書服務頁面。

步驟2，在【選擇一個任務】下選擇【申請一個證書】，打開【申請一個證書】頁面。

步驟3，選擇【高級證書申請】，打開【高級證書申請】頁面。

步驟4，選擇【創(chuàng)建并向此CA提交一個申請】，打開【高級證書申請】的【證書模板】頁面。

在【證書模板】頁面中的證書模板下面，可以選擇不同模板的證書，證書模板在前面已經(jīng)介紹，對于證書模板中沒有列出的證書，可以用新建證書模板的方法添加。

在密鑰選項中，可以選擇【創(chuàng)建新密鑰集】還是【使用現(xiàn)存的密鑰集】，還可以設置密鑰的大小，以及是否啟用私鑰保護等參數(shù)。

在其他選項中，可以設置哈希算法、證書的屬性、是否保存申請到一個文件，以及為證書起一個好記的名稱等選項。

設置完參數(shù)選項后，單擊【提交】按鈕，系統(tǒng)將自動提交申請。會彈出一個【潛在的腳本沖突】對話框。如果CA設置成自動頒發(fā)證書，客戶端將自動安裝申請的證書。

6 煤炭信息SSL站點的構建

前面的CA證書安裝完成后，我們可以接著做下面的工作。

1)生成證書申請。首先，單擊【默認網(wǎng)站】|【屬性】，在【默認網(wǎng)站 屬性】對話框中單擊【目錄安全性】，切換到【目錄安全性】選項卡。接著單擊【服務器證書】按鈕，彈出【歡迎使用WEB服務器證書向?qū)А繉υ捒?，并單擊【下一步】。出現(xiàn)【服務器證書】對話框，選擇【新建證書】。然后一路單擊下一步按照提示操作， 直到完成。

2)提交證書申請，申請證書。首先按照前面的介紹申請證書。然后選擇【高級證書申請】，打開【高級證書申請】頁面，選擇【第二項 使用base64編碼……】，打開【高級證書申請】的【證書模板】頁面，在【保存的申請】中粘貼我們前面申請的證書，即證書文件名的文件再單擊【提交】按鈕，完成證書頒發(fā)，我們下載下來保存。

3)Web服務器上安裝證書?；氐健灸J網(wǎng)站 屬性】對話框，單擊【服務器證書】，在彈出的對話框，選擇【處理掛起的請求并安裝證書】。然后單擊【下一步】，出現(xiàn)【處理掛起的請求】對話框，瀏覽選擇【路徑和文件名】，單擊【下一步】，出現(xiàn)【SSL端口】對話框，再單擊【下一步】，出現(xiàn)【證書摘要】對話框，然后直到完成證書安裝。

4)啟用安全通道。在【默認網(wǎng)站 屬性】對話框，切換到【目錄安全性】，單擊【編輯】，出現(xiàn)【安全通信】對話框，勾選【要求安全通道SSL】。

5)客戶機用https：//訪問安全的Web站點檢測是否成功?？蛻舳溯斎雋ttp://computer.win2003.com/訪問服務器，出現(xiàn)“該頁必須通過安全通道查看”的對話框，表明不能直接這樣訪問。如果我們再在客戶端輸入https://computer.win2003.com/訪問服務器，出現(xiàn)一個安全警報對話框，提示“即將通過安全連接查看網(wǎng)頁”，到此為止，我們的基于CA認證的煤炭信息安全站點就已經(jīng)構建成功了。

[1] 陳學平.Windows 2003配置與與應用[M].北京：化學工業(yè)出版社，2011.

[2] 王萍.淺談基于CA認證的電子商務安全[J].商場現(xiàn)代化，2008(17)：175.