陳學(xué)平

(重慶電子工程職業(yè)學(xué)院，重慶 401331)

1 公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)簡(jiǎn)介

對(duì)于電子商務(wù)系統(tǒng)中的身份識(shí)別，以及內(nèi)部和外部網(wǎng)絡(luò)上的數(shù)據(jù)加密來(lái)說(shuō)，公共密鑰技術(shù)是一項(xiàng)重要的技術(shù)。與公共密鑰技術(shù)相關(guān)的兩個(gè)基本概念分別是公鑰加密和公鑰認(rèn)證。公共密鑰基礎(chǔ)結(jié)構(gòu)是由數(shù)字證書(Digital Certificate)、證書頒發(fā)機(jī)構(gòu)(Certificate Authority)所組成的系統(tǒng)。此系統(tǒng)可以用于解決信息加密和身份識(shí)別等問(wèn)題。

1.1 公鑰加密

對(duì)于電子郵件信息或者通過(guò)Internet或其他網(wǎng)絡(luò)通信傳送的信用卡信息等重要資源，都可以使用公鑰加密技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)的加密，從而保證數(shù)據(jù)的安全性。由于公鑰是自由發(fā)行的，任何人都可以得到，而私鑰是保密的，只有本人知道，因此，任何兩個(gè)人只要通過(guò)檢索彼此的公鑰，并用對(duì)方的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，就可以在公共網(wǎng)絡(luò)上建立安全的私人通信。

公鑰和私鑰：公鑰加密使用兩個(gè)在數(shù)字上相關(guān)的密鑰。密鑰是一個(gè)隨機(jī)字符串(如數(shù)字、ASCII碼等)，它結(jié)合算法使用。在公鑰加密操作中，每個(gè)用戶都有一對(duì)在數(shù)字上相關(guān)的密鑰，它們分別是私鑰和公鑰。 私鑰：該密鑰是保密的，只有本人持有。

公鑰：該密鑰向所有可能的通信者公開(kāi)。

加密和解密：PKI的基本概念是將一個(gè)密鑰用于加密數(shù)據(jù)，而另一個(gè)密鑰用于解密數(shù)據(jù)。加密密鑰無(wú)法對(duì)加密的數(shù)據(jù)進(jìn)行解密。公鑰和私鑰也可以逆向使用，即使用私鑰加密數(shù)據(jù)，用公鑰解密數(shù)據(jù)。但因?yàn)槿魏稳硕伎梢垣@得公鑰，因此這種方法不能防止其他用戶讀取消息。但此種方式可以用來(lái)識(shí)別發(fā)送消息的人的身份。

1.2 公鑰認(rèn)證

可使公鑰密碼技術(shù)來(lái)驗(yàn)證電子郵件、電子商務(wù)和其他電子交易中電子數(shù)據(jù)的發(fā)送人。與公鑰加密一樣，公鑰認(rèn)證也使用了密鑰對(duì)。然而，它不是用接收方的私鑰來(lái)解密消息，而用發(fā)送方的公鑰來(lái)認(rèn)證和驗(yàn)證消息的發(fā)送方。通過(guò)使用私鑰加密唯一標(biāo)識(shí)的消息內(nèi)容就可以創(chuàng)建數(shù)字簽名。通過(guò)使用數(shù)字簽名將私鑰和公鑰的作用進(jìn)行了交換。

2 證書頒發(fā)機(jī)構(gòu)屬性

證書頒發(fā)機(jī)構(gòu)(CA)負(fù)責(zé)提供和分配密鑰，用來(lái)加密、解密和認(rèn)證。CA通過(guò)頒發(fā)證書來(lái)分配密鑰，證書中包含公鑰和一系列屬性。

2.1 證書的概念

每個(gè)使用Windows PKI的用戶或計(jì)算機(jī)都會(huì)分配到一個(gè)公鑰和一個(gè)私鑰。私鑰保留在計(jì)算機(jī)上，而且從不在網(wǎng)絡(luò)上傳輸。為了保證PKI的正確運(yùn)行，必須有一種可控制和可驗(yàn)證的方法來(lái)分配公鑰。數(shù)字證書就是這樣一種機(jī)制，用來(lái)在網(wǎng)絡(luò)上分配公鑰。證書的主要目的是為了讓人相信證書中的公鑰確實(shí)屬于證書中指定的實(shí)體。數(shù)字證書包含公鑰本身和一組描述公鑰所有者屬性的信息(如所有者的姓名和聯(lián)系方式等)。證書是由證書頒發(fā)機(jī)構(gòu)(CA)頒發(fā)的。

CA是可信任的機(jī)構(gòu)或程序，它向個(gè)體用戶頒發(fā)有效的證書。CA主要有兩類：商業(yè)CA公司和Windows Server 2003自代的CA程序(稱為Microsoft證書服務(wù)MCS)。CA機(jī)構(gòu)或程序相當(dāng)于公證人，CA負(fù)責(zé)驗(yàn)證證書接受人的身份是否屬實(shí)。用戶可以根據(jù)實(shí)際應(yīng)用需求選擇CA機(jī)構(gòu)。

2.2 證書的類型

證書有外部CA和內(nèi)部CA。外部CA：外部的發(fā)行公司，如大型的商業(yè)CA。內(nèi)部CA：內(nèi)部發(fā)行的，如公司安裝了自己的服務(wù)器來(lái)頒發(fā)和驗(yàn)證證書。另每個(gè)CA都有一個(gè)證明它自己身份的證書，是由另外一個(gè)可信任的CA或它自己頒發(fā)的。信任某個(gè)CA，表示同時(shí)接受該CA的策略和過(guò)程，這些策略和過(guò)程用來(lái)確認(rèn)證書接受實(shí)體的身份。

2.3 頒發(fā)證書的過(guò)程

頒發(fā)證書的基本步驟如下：生成密鑰→申請(qǐng)證書→驗(yàn)證信息→創(chuàng)建證書→發(fā)送或公布證書

2.4 證書吊銷

可以在證書有效期截止之前使證書無(wú)效(原因：泄漏、欺詐、不再可信等)。

3 證書服務(wù)的安裝

要?jiǎng)?chuàng)建安全的SSL站點(diǎn)需要使用CA證書，而CA證書需要一個(gè)頒發(fā)機(jī)構(gòu)，這就需要安裝證書服務(wù)，通過(guò)證書頒發(fā)機(jī)構(gòu)來(lái)頒發(fā)證書。通過(guò)安裝證書服務(wù)，可以創(chuàng)建一個(gè)CA來(lái)頒發(fā)運(yùn)行PKI所需的證書。在Windows Server 2003上，證書頒發(fā)機(jī)構(gòu)可以是兩種類型之一：企業(yè)類或獨(dú)立類。每個(gè)類型都可以有一個(gè)根CA和一個(gè)(或多個(gè))從屬CA。對(duì)單個(gè)Windows 2003網(wǎng)絡(luò)中的用戶或計(jì)算機(jī)頒發(fā)證書，必須安裝一個(gè)企業(yè)CA。企業(yè)CA要求所有申請(qǐng)證書的用戶和計(jì)算機(jī)在Active Directory中有一個(gè)賬號(hào)。

如果對(duì)單個(gè)的Windows Server 2003網(wǎng)絡(luò)外的用戶或計(jì)算機(jī)頒發(fā)證書，則須安裝一個(gè)獨(dú)立CA。獨(dú)立CA不需Active Directory的支持。證書服務(wù)與其他Windows Server 2003系統(tǒng)組件一樣，使用【添加/刪除程序】工具進(jìn)行安裝。安裝證書服務(wù)后，計(jì)算機(jī)可以作為證書頒發(fā)機(jī)構(gòu)，管理和頒發(fā)證書，但是安裝證書服務(wù)的計(jì)算機(jī)不可以更改計(jì)算機(jī)名稱。對(duì)于企業(yè)根CA或企業(yè)從屬CA也不能刪除Active Directory。具體安裝步驟從略。

4 證書頒發(fā)機(jī)構(gòu)和證書的管理

證書管理員的主要任務(wù)是管理證書頒發(fā)機(jī)構(gòu)，包括啟動(dòng)/暫停證書服務(wù)、配置證書頒發(fā)機(jī)構(gòu)的屬性、備份/還原證書頒發(fā)機(jī)構(gòu)信息、更新證書頒發(fā)機(jī)構(gòu)證書等。其目的是保證證書服務(wù)可以提供證書申請(qǐng)、備份和還原證書頒發(fā)機(jī)構(gòu)信息，以及更新證書頒發(fā)機(jī)構(gòu)證書以提高系統(tǒng)的性能和可靠性。

證書頒發(fā)機(jī)構(gòu)的管理分為三種情況：

1)啟動(dòng)和停止證書服務(wù)。在Windows Server 2003網(wǎng)絡(luò)環(huán)境下，證書服務(wù)是以標(biāo)準(zhǔn)的服務(wù)方式來(lái)執(zhí)行的，所以管理員在管理證書頒發(fā)機(jī)構(gòu)或客戶端申請(qǐng)證書時(shí)，必須先啟動(dòng)CA上的證書服務(wù)。如果不希望客戶端申請(qǐng)證書，可以暫停證書服務(wù)。

2)配置CA證書。管理員可以管理證書頒發(fā)機(jī)構(gòu)的信息，包括策略模塊、退出模塊、審核、故障恢復(fù)代理、安全等，只要在證書頒發(fā)機(jī)構(gòu)視圖中右鍵單擊服務(wù)器圖標(biāo)，選擇【屬性】菜單，即可進(jìn)行設(shè)置。

3)備份和還原CA。CA的證書、設(shè)置信息是非常重要的，如果這些信息出現(xiàn)問(wèn)題，可能導(dǎo)致CA不能頒發(fā)證書，客戶端也不能繼續(xù)申請(qǐng)證書，甚至其他人也無(wú)法確認(rèn)CA所頒發(fā)的證書是否有效，所以證書管理員必須定期備份CA。以便在CA系統(tǒng)出現(xiàn)問(wèn)題時(shí)，及時(shí)還原CA。

證書的管理主要是指在【證書頒發(fā)機(jī)構(gòu)】控制臺(tái)窗口中，管理員可以管理證書模板，設(shè)置客戶端可以申請(qǐng)的證書類型。為了滿足各種不同的需要，Windows Server 2003預(yù)先定義了許多證書模板。證書管理員還需要管理吊銷的、已頒發(fā)的、掛起的或者失敗的證書，保證CA的正常使用。

5 網(wǎng)絡(luò)客戶端申請(qǐng)CA證書

配置了企業(yè)的CA之后，就可以為網(wǎng)絡(luò)中的用戶或計(jì)算機(jī)分配一個(gè)證書，以保證網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是有效的、可靠的、加密的。下面介紹客戶端證書申請(qǐng)和安裝方法。

步驟1，在客戶端打開(kāi)IE瀏覽器，在地址欄中輸入：http://computer.win2003.com/certsrv或者h(yuǎn)ttp://win2003.com/certsrv(其中computer.win2003.com為CA服務(wù)器的域名名稱名稱)。打開(kāi)Windows 證書服務(wù)頁(yè)面。

步驟2，在【選擇一個(gè)任務(wù)】下選擇【申請(qǐng)一個(gè)證書】，打開(kāi)【申請(qǐng)一個(gè)證書】頁(yè)面。

步驟3，選擇【高級(jí)證書申請(qǐng)】，打開(kāi)【高級(jí)證書申請(qǐng)】頁(yè)面。

步驟4，選擇【創(chuàng)建并向此CA提交一個(gè)申請(qǐng)】，打開(kāi)【高級(jí)證書申請(qǐng)】的【證書模板】頁(yè)面。

在【證書模板】頁(yè)面中的證書模板下面，可以選擇不同模板的證書，證書模板在前面已經(jīng)介紹，對(duì)于證書模板中沒(méi)有列出的證書，可以用新建證書模板的方法添加。

在密鑰選項(xiàng)中，可以選擇【創(chuàng)建新密鑰集】還是【使用現(xiàn)存的密鑰集】，還可以設(shè)置密鑰的大小，以及是否啟用私鑰保護(hù)等參數(shù)。

在其他選項(xiàng)中，可以設(shè)置哈希算法、證書的屬性、是否保存申請(qǐng)到一個(gè)文件，以及為證書起一個(gè)好記的名稱等選項(xiàng)。

設(shè)置完參數(shù)選項(xiàng)后，單擊【提交】按鈕，系統(tǒng)將自動(dòng)提交申請(qǐng)。會(huì)彈出一個(gè)【潛在的腳本沖突】對(duì)話框。如果CA設(shè)置成自動(dòng)頒發(fā)證書，客戶端將自動(dòng)安裝申請(qǐng)的證書。

6 煤炭信息SSL站點(diǎn)的構(gòu)建

前面的CA證書安裝完成后，我們可以接著做下面的工作。

1)生成證書申請(qǐng)。首先，單擊【默認(rèn)網(wǎng)站】|【屬性】，在【默認(rèn)網(wǎng)站 屬性】對(duì)話框中單擊【目錄安全性】，切換到【目錄安全性】選項(xiàng)卡。接著單擊【服務(wù)器證書】按鈕，彈出【歡迎使用WEB服務(wù)器證書向?qū)А繉?duì)話框，并單擊【下一步】。出現(xiàn)【服務(wù)器證書】對(duì)話框，選擇【新建證書】。然后一路單擊下一步按照提示操作， 直到完成。

2)提交證書申請(qǐng)，申請(qǐng)證書。首先按照前面的介紹申請(qǐng)證書。然后選擇【高級(jí)證書申請(qǐng)】，打開(kāi)【高級(jí)證書申請(qǐng)】頁(yè)面，選擇【第二項(xiàng) 使用base64編碼……】，打開(kāi)【高級(jí)證書申請(qǐng)】的【證書模板】頁(yè)面，在【保存的申請(qǐng)】中粘貼我們前面申請(qǐng)的證書，即證書文件名的文件再單擊【提交】按鈕，完成證書頒發(fā)，我們下載下來(lái)保存。

3)Web服務(wù)器上安裝證書?；氐健灸J(rèn)網(wǎng)站 屬性】對(duì)話框，單擊【服務(wù)器證書】，在彈出的對(duì)話框，選擇【處理掛起的請(qǐng)求并安裝證書】。然后單擊【下一步】，出現(xiàn)【處理掛起的請(qǐng)求】對(duì)話框，瀏覽選擇【路徑和文件名】，單擊【下一步】，出現(xiàn)【SSL端口】對(duì)話框，再單擊【下一步】，出現(xiàn)【證書摘要】對(duì)話框，然后直到完成證書安裝。

4)啟用安全通道。在【默認(rèn)網(wǎng)站 屬性】對(duì)話框，切換到【目錄安全性】，單擊【編輯】，出現(xiàn)【安全通信】對(duì)話框，勾選【要求安全通道SSL】。

5)客戶機(jī)用https：//訪問(wèn)安全的Web站點(diǎn)檢測(cè)是否成功?？蛻舳溯斎雋ttp://computer.win2003.com/訪問(wèn)服務(wù)器，出現(xiàn)“該頁(yè)必須通過(guò)安全通道查看”的對(duì)話框，表明不能直接這樣訪問(wèn)。如果我們?cè)僭诳蛻舳溯斎雋ttps://computer.win2003.com/訪問(wèn)服務(wù)器，出現(xiàn)一個(gè)安全警報(bào)對(duì)話框，提示“即將通過(guò)安全連接查看網(wǎng)頁(yè)”，到此為止，我們的基于CA認(rèn)證的煤炭信息安全站點(diǎn)就已經(jīng)構(gòu)建成功了。

[1] 陳學(xué)平.Windows 2003配置與與應(yīng)用[M].北京：化學(xué)工業(yè)出版社，2011.

[2] 王萍.淺談基于CA認(rèn)證的電子商務(wù)安全[J].商場(chǎng)現(xiàn)代化，2008(17)：175.