對企業來說,建立自己的網絡銷售體系,實現真正意義上的電子商務是件很有吸引力的事情。然而,網絡上的種種不安全性又使眾多企業望而卻步。如何在網上方便地營造一個安全的環境呢?Windows 2000為企業加強電子商務的安全性提供了有效工具,限於篇幅的關系,我們主要探討一下其中能夠提供CA認證的證書管理服務。 什麼是密鑰和電子證書? ---- 在電子商務過程中,網絡上往往要傳輸機密的或隱私的信息。在Internet環境中交易雙方不是面對面的,如何保證信息傳輸中的安全性,又如何在這種環境下建立一種信任關系呢?網上傳輸的關鍵信息應進行加密,可以利用密鑰體系和CA認證來相互確認並傳輸加密信息。現在,這種方式在電子商務中正越來越多地被采用。我們首先來了解一下密鑰和電子證書的概念。 ---- 在Windows 2000中,系統主要采取2種驗證協議,即Kerberos和公用密鑰體制(PKI)。Kerberos是對稱密鑰,即雙方的密鑰是相同的。公用密鑰是非對稱密鑰,即雙方的密鑰是不同的。顯然,不同的密鑰是更安全的。在Internet 環境中我們采用公用密鑰體制,即每個密鑰擁有者都擁有2個密鑰: 公鑰和私鑰。公鑰用來加密和驗證簽名,私鑰用來解密和進行數字簽名。具體地說,公鑰是公開的,用來給別人在向自己傳輸信息時進行加密。私鑰自己留著,只有用這把私鑰才能解開傳輸過來的用公鑰加密的信息。既然如此,如何獲得公鑰並確認公鑰擁有者的身份呢?我們可以建立一個認證中心(CA),大家都信任它,由它來頒發含有公鑰及其擁有者身份信息和數字簽名的電子證書。任何信任認證中心的一方,都可以通過驗證對方的電子證書來建立同對方的信任關系,並獲取對方的公鑰進行加密通信。如此看來,建立認證中心是所有環節中最重要的。Windows 2000 Server提供了一整套頒發證書和管理證書的功能。通過此類功能,企業就可以為相關用戶頒發證書,並利用它來控制只有獲取證書的用戶才可以進行基於安全通道協議(簡稱SSL,即對Web網站上加密文件的訪問使用“https://”,而非“”方式)驗證的訪問。 如何建立認證中心? ---- 建立認證中心的過程是這樣的: 選擇“控制面板”*“添加/刪除程序”*“添加/刪除Windows 組件”,在可選項中選擇“證書服務”,點擊“詳細信息”,確保“證書服務Web注冊支持”和“證書服務頒發機構(CA)”2個選項都被選中(如圖1所示),開始安裝。此時,系統會提示您一旦選擇了證書服務,計算機的域和機器名是不可更改的。安裝開始,選擇證書頒發的類型,主要包括企業根CA、企業從屬CA、獨立根CA和獨立從屬CA。由於證書頒發機構的設置是很重要的,這裡需要特殊說明,企業根CA和獨立根CA都是證書頒發體系中最受信任的證書頒發機構,可以獨立地頒發證書。企業根CA需要Active Directory 支持,而獨立根CA不需要。從屬級的CA由於只能從另一證書頒發機構獲取證書,所以一般不被選擇。在Windows 2000 Server中,企業根CA使用 Active Directory 來確定申請人的身份,確定申請人是否具有申請他們所指定的證書類型的安全權限,並由此自動確定是否立即頒發證書或拒絕申請,這種策略設置不能被更改。如果選擇此選項一定注意保護含有此服務的服務器,不能直接暴露在外。獨立根CA可以選擇在收到申請時自動頒發證書或將申請保持為擱置狀態,由管理員驗證證書申請者的真實性及合法性,決定是否頒發證書。我們可以根據需求選擇合適的證書頒發類型。選好類型後,選擇該頁中的“高級”選項,進入下一步安裝,填寫CA的相關信息,如CA名稱、單位、城市、電子郵件和有效期限等,,再下一步進入高級選項頁(如圖2所示),此時可以選擇用來生成密鑰對的加密服務提供程序(CSP)、散列算和密鑰長度,並可選擇現有的密鑰及相關證書等。選項的選擇取決於對安全程度的要求、計算機的復雜運算能力、對響應時間的要求和系統管理證書的負載程度等。點擊“下一步”按鈕,選擇證書數據庫及日志的位置,確認後即可進行安裝。 圖1 證書服務對話框 圖2 證書類型對話框 設置證書服務管理 ---- 安裝結束後,進行證書服務管理。如果選擇的是企業根CA,您可以選擇“管理工具”*“證書頒發機構”*“策略設置”(如圖3所示),添加您所需的證書模板,如經過驗證的會話、代碼簽名和注冊代理等。選擇“管理工具”*“Active Directory站點和服務”選項,點擊菜單中“查看”*“顯示服務節點”,拓展“Services”選項,查看“Publics key services”容器,可看到“Certificate Templates”(證書模板)選項(如圖4所示),您可以指定某一模板為您指定的用戶專用,也可以控制某一模板的用戶和其安全控制權限。在“管理工具”*“域安全策略”選項中,選擇“公鑰策略”*“自動證書申請設置”進行設置,可以選擇“計算機可以自動申請的證書類型”等使您的證書管理自動化。對於獨立根CA,需要進行的設置較少。您可以選擇“在收到證書申請時確定證書頒發機構”的默認動作,設置方法是:打開“證書頒發機構”,點擊CA名稱,選擇“屬性”*“策略模塊”*“配置”,選擇“證書申請設為待定,系統管理員必須專門頒發證書”,這樣管理者可以直接控制證書的發放。對於相關的申請,在“證書頒發機構”*“待定申請”中選擇相應的申請證書,可以選擇“頒發”或“拒絕”選項。另外,無論企業根CA還是獨立根CA都可以在“已頒發證書”選項中選擇相應證書,單擊右鍵進行“吊銷證書”的操作。 圖3 證書服務管理對話框 圖4 證書模板對話框 證書服務的應用分析 ---- 下面講一下證書服務的一項應用:實現對IIS相關目錄的安全訪問。選擇“管理工具”*“Internet信息服務”*“默認Web站點”,單擊右鍵“屬性”,選擇“目錄安全性”選項(如圖5所示)。在“安全通信”下首先申請“服務器證書”。申請成功後,對IIS相關目錄單擊右鍵“屬性”,選擇“目錄安全性”,在“匿名訪問和驗證控制”中選擇“匿名訪問”,然後在“安全通信”中選擇“編輯”進入圖6界面,在選擇框中選“申請安全通道(SSL)”選項,再選擇“接收客戶證書”選項。客戶端的用戶通過證書服務Web登記頁申請證書,為確保安全,也可在非CA服務器上安裝Web登記頁鏈接到CA服務器上。安裝時在“證書服務”的安裝選項(如圖1所示)中取消“證書服務頒發(CA)”的復選框,確保選中“證書服務Web注冊支持”復選框,在“計算機名稱”選項中,鍵入安裝證書頒發機構(CA)的計算機名稱,然後進行安裝。申請證書時在客戶端用IE浏覽器登錄相關IIS主頁下的Certsrv目錄進行證書申請(如圖7所示)。一般在用戶申請中有Web浏覽器證書和電子郵件保護證書2種,應先申請浏覽器證書。申請遞出後,將返回安裝證書頁面或拒絕的頁面。如果在證書管理的策略模塊中設置的是申請待定,則返回申請已被掛起的頁面。在得到申請批准的消息後重新登錄Certsrv目錄,選擇“檢索CA證書目錄或CA吊銷列表”選項進行下一步,點擊“安裝此CA證書路徑”選項進行證書的安裝(如圖8所示)。在證書安裝成功後,在IE浏覽器中選擇“工具”*“lnternet選項”,在“高級”選項中加上PCT、SSL、TLS協議支持的選項。此時用浏覽器浏覽IIS下相應的目錄,以https方式訪問則出現所需證書的提示畫面(沒有證書則不能訪問),選擇您已申請的證書,若一切正確,則登錄成功。
圖5 目錄安全性選項對話框 圖6 安全通信編輯對話框 圖7 認證申請對話框 圖8 證書安裝對話框