網(wǎng)絡(luò)安全畢業(yè)論文--數(shù)字證書(shū)在網(wǎng)絡(luò)安全中的典型應(yīng)用

1、<p>　　畢業(yè)設(shè)計(jì)說(shuō)明書(shū)(論文)</p><p>　　設(shè)計(jì)(論文)題目:數(shù)字證書(shū)在網(wǎng)絡(luò)安全中的典型應(yīng)用</p><p>　　專 業(yè): 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) </p><p>　　班 級(jí): 計(jì)網(wǎng)09-1班 </p><p>　　學(xué) 號(hào):

2、 </p><p>　　姓 名: </p><p>　　指導(dǎo)教師: </p><p>　　2011 年 11 月 28 日</p><p><b>　　目 錄</b></p><p><b>

3、　　摘 要1</b></p><p><b>　　第1章 概 述2</b></p><p>　　第2章 數(shù)字證書(shū)原理4</p><p>　　第3章 數(shù)字證書(shū)的頒發(fā)6</p><p>　　第4章 SSL證書(shū)應(yīng)用8</p><p>　　4.1 SSL證書(shū)安全認(rèn)證的原理8

4、</p><p>　　4.2 SSL證書(shū)的功能8</p><p>　　4.3 SSL應(yīng)用9</p><p>　　4.3.1 安裝“證書(shū)服務(wù)”Windows組件。9</p><p>　　4.3.2 在服務(wù)器創(chuàng)建服務(wù)器證書(shū)請(qǐng)求。13</p><p>　　4.3.3 申請(qǐng)并安裝服務(wù)器證書(shū)請(qǐng)求16</p>

5、<p>　　4.3.4 客戶端通過(guò)SSL安全通道建立和服務(wù)器的連接。22</p><p>　　4.3.5 申請(qǐng)并安裝客戶端證書(shū)。28</p><p><b>　　致 謝33</b></p><p><b>　　參考文獻(xiàn)34</b></p><p><b>　　摘 要

6、</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)上辦公、網(wǎng)上購(gòu)物、網(wǎng)上炒股、網(wǎng)上娛樂(lè)、網(wǎng)上貿(mào)易、網(wǎng)上理財(cái)以及網(wǎng)上求職等紛紛大行其道，電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時(shí)也增加了某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。如何防范風(fēng)險(xiǎn)，增強(qiáng)網(wǎng)上安全問(wèn)題顯得尤為重要。</p><p>　　為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，

7、防范交易主支付過(guò)程中的欺詐行為，必須在網(wǎng)上建立一種信任機(jī)制。加強(qiáng)網(wǎng)上安全有多種技術(shù)措施和手段，下面就通過(guò)數(shù)字證書(shū)的概述，原理，頒發(fā)過(guò)程以及SSL證書(shū)應(yīng)用來(lái)詳細(xì)說(shuō)明其是加強(qiáng)網(wǎng)上安全的一種有效方式。</p><p>　　關(guān)鍵詞：數(shù)字證書(shū)概述、原理、頒發(fā)過(guò)程、SSL應(yīng)用</p><p><b>　　第1章 概 述</b></p><p>　　數(shù)字證書(shū)

8、，英文名稱digital certificate。數(shù)字證書(shū)是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)的證書(shū)。 </p><p>　　CA中心是以數(shù)字證書(shū)為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性。使用了數(shù)字證書(shū)，即使您發(fā)送的信息在網(wǎng)上被他人截獲，甚至您丟失了個(gè)人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。 它能提供在Inte

9、rnet上進(jìn)行身份驗(yàn)證的一種權(quán)威性電子文檔，人們可以在互聯(lián)網(wǎng)交往中用它來(lái)證明自己的身份和識(shí)別對(duì)方的身份。當(dāng)然在數(shù)字證書(shū)認(rèn)證的過(guò)程中證書(shū)認(rèn)證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的.如何判斷數(shù)字認(rèn)證中心公正第三方的地位是權(quán)威可信的，國(guó)家工業(yè)和信息化部以資質(zhì)合規(guī)的方式，陸續(xù)向天威誠(chéng)信數(shù)字認(rèn)證中心等30家相關(guān)機(jī)構(gòu)頒發(fā)了從業(yè)資質(zhì)。 </p><p>　　由于Internet網(wǎng)電子商務(wù)系統(tǒng)技術(shù)使在

10、網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息,但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn). 為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，防范交易及支付過(guò)程中的欺詐行為，必須在網(wǎng)上建立一種信任機(jī)制。這就要求參加電子商務(wù)的買(mǎi)方和賣(mài)方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無(wú)誤的被進(jìn)行驗(yàn)證。 </p><p>　　數(shù)字證書(shū)特點(diǎn)有：安全性為了避免傳統(tǒng)數(shù)字證書(shū)方案中，由于使用不當(dāng)造成的證書(shū)丟失等安全隱

11、患，支付寶創(chuàng)造性的推出雙證書(shū)解決方案：支付寶會(huì)員在申請(qǐng)數(shù)字證書(shū)時(shí)，將同時(shí)獲得兩張證書(shū)，一張用于驗(yàn)證支付寶賬戶，另一張用于驗(yàn)證會(huì)員當(dāng)前所使用的計(jì)算機(jī)。 第二張證書(shū)不能備份，會(huì)員必須為每一臺(tái)計(jì)算機(jī)重新申請(qǐng)一張。這樣即使會(huì)員的數(shù)字證書(shū)被他人非法竊取，仍可保證其賬戶不會(huì)受到損失。支付盾是一個(gè)類似于U盤(pán)的實(shí)體安全工具，它內(nèi)置的微型智能卡處理器能阻擋各種的風(fēng)險(xiǎn)，讓您的賬戶始終處于安全的環(huán)境下。目前，為保證電子郵件安全性所使用的方式是數(shù)字證書(shū)。 唯一

12、性：支付寶數(shù)字證書(shū)根據(jù)用戶身份給予相應(yīng)的網(wǎng)絡(luò)資源訪問(wèn)權(quán)限，申請(qǐng)使用數(shù)字證書(shū)后，如果在其他電腦登錄支付寶賬戶，沒(méi)有導(dǎo)入數(shù)字證書(shū)備份的情況下，只能查詢賬戶，不能進(jìn)行任何操作，這樣就相當(dāng)于您擁有了類似“鑰匙”一樣的數(shù)字憑證，增強(qiáng)賬戶使用安全。 方便性：即時(shí)申請(qǐng)、即時(shí)開(kāi)通、即時(shí)使用。量身定制多種途徑維護(hù)數(shù)字證書(shū)，例如通過(guò)短信，安全問(wèn)題等。不需要使用者掌握任何數(shù)字證書(shū)相關(guān)知識(shí)，也能輕松掌握。</p><p>　　第2章

13、數(shù)字證書(shū)原理</p><p>　　數(shù)字證書(shū)采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無(wú)誤地到達(dá)目的地了。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆

14、過(guò)程，即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已 </p><p>　　圖2-1公鑰加密、私鑰簽名的過(guò)程</p><p>　　知明文、密文和加密密鑰（公開(kāi)密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要

15、上千年的計(jì)算時(shí)間。公開(kāi)密鑰技術(shù)解決了密鑰發(fā)布的管理問(wèn)題，商戶可以公開(kāi)其公開(kāi)密鑰，而保留其私有密鑰。購(gòu)物者可以用人人皆知的公開(kāi)密 </p><p>　　鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送給商戶，然后由商戶用自己的私有密鑰進(jìn)行解密，如圖2-1所示。 </p><p>　　用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽

16、名，能夠確認(rèn)以下兩點(diǎn)： </p><p>　　保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn) </p><p>　　保證信息自簽發(fā)后到收到為止未曾作過(guò)任何修改，簽發(fā)文件是真實(shí)文件。 </p><p>　　數(shù)字證書(shū)里存有很多數(shù)字和英文，當(dāng)使用數(shù)字證書(shū)進(jìn)行身份認(rèn)證時(shí)，它將隨機(jī)生成128位的身份碼，每份數(shù)字證書(shū)都能生成相應(yīng)但每次都不可能相同的數(shù)碼，從而保證數(shù)據(jù)

17、傳輸?shù)谋Ｃ苄裕聪喈?dāng)于生成一個(gè)復(fù)雜的密碼。 </p><p>　　數(shù)字證書(shū)綁定了公鑰及其持有者的真實(shí)身份，它類似于現(xiàn)實(shí)生活中的居民身份證，所不同的是數(shù)字證書(shū)不再是紙質(zhì)的證照，而是一段含有證書(shū)持有者身份信息并經(jīng)過(guò)認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運(yùn)用在電子商務(wù)和電子政務(wù)中。</p><p>　　第3章 數(shù)字證書(shū)的頒發(fā)</p><p>　　CA是證書(shū)的簽發(fā)

18、機(jī)構(gòu),它是PKI的核心。CA是負(fù)責(zé)簽發(fā)證書(shū)、認(rèn)證證書(shū)、管理已頒發(fā)證書(shū)的機(jī)關(guān)。它要制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶身份，并對(duì)用戶證書(shū)進(jìn)行簽名，以確保證書(shū)持有者的身份和公鑰的擁有權(quán),CA是可以信任的第三方。</p><p>　　CA也擁有一個(gè)證書(shū)（內(nèi)含公鑰）和私鑰。網(wǎng)上的公眾用戶通過(guò)驗(yàn)證 CA 的簽字從而信任 CA，任何人都可以得到 CA 的證書(shū)（含公鑰），用以驗(yàn)證它所簽發(fā)的證書(shū)。 </p><

19、p>　　如果用戶想得到一份屬于自己的證書(shū)，他應(yīng)先向 CA 提出申請(qǐng)。在 CA 判明申請(qǐng)者的身份后，便為他分配 一個(gè)公鑰，并且 CA 將該公鑰與申請(qǐng)者的身份信息綁在一起，并為之簽字后，便形成證書(shū)發(fā)給申請(qǐng)者。 如果一個(gè)用戶想鑒別另一個(gè)證書(shū)的真?zhèn)?，他就?CA 的公鑰對(duì)那個(gè)證書(shū)上的簽字進(jìn)行驗(yàn)證，一旦驗(yàn)證通過(guò)，該證書(shū)就被認(rèn)為是有效的。 </p><p>　　數(shù)字證書(shū)為實(shí)現(xiàn)雙方安全通信提供了電子認(rèn)證。在因特網(wǎng)、公司內(nèi)

20、部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書(shū)實(shí)現(xiàn)身份識(shí)別和電子信息加密。數(shù)字證書(shū)中含有密鑰對(duì)（公鑰和私鑰）所有者的識(shí)別信息，通過(guò)驗(yàn)證識(shí)別信息的真?zhèn)螌?shí)現(xiàn)對(duì)證書(shū)持有者身份的認(rèn)證。 目前全國(guó)各地現(xiàn)在均成立了各省市自己的CA公司，為本地企業(yè)提供商用數(shù)字證書(shū)。 </p><p>　　CA中心作為國(guó)家認(rèn)可的、權(quán)威、可信、公正的第三方機(jī)構(gòu)，專門(mén)負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上業(yè)務(wù)的實(shí)體所需的數(shù)字證書(shū)，數(shù)字證書(shū)是網(wǎng)絡(luò)世界中的身份證，可以在網(wǎng)絡(luò)世界中為

21、互不見(jiàn)面的用戶建立安全可靠的信任關(guān)系，而這種信任關(guān)系的建立則源于PKI/CA認(rèn)證中心，構(gòu)建安全的PKI/CA認(rèn)證中心是至關(guān)重要的。因?yàn)?，如果PKI/CA認(rèn)證中心安全性不夠，非法用戶可能入侵PKI/CA認(rèn)證中心，擾亂認(rèn)證中心正常運(yùn)行；一些有別有用心的人可能利用認(rèn)證中心潛在安全漏洞（政策、合同、服務(wù)等），對(duì)認(rèn)證中心進(jìn)行攻擊，造成不可估量的社會(huì)影響。 </p><p>　　在當(dāng)前環(huán)境下，為了讓用戶切實(shí)感到CA中心所提供

22、的服務(wù)是安全可信的，保證認(rèn)證中心各項(xiàng)業(yè)務(wù)正常運(yùn)行，規(guī)避潛在的安全隱患，從而推動(dòng)電子政務(wù)、電子商務(wù)等對(duì)信任機(jī)制要求較高的網(wǎng)上業(yè)務(wù)的發(fā)展，CA中心必須加強(qiáng)信息安全管理以切實(shí)獲得用戶的信任，消除用戶殘余的安全憂慮。</p><p>　　數(shù)字證書(shū)頒發(fā)過(guò)程一般為：用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)，然后，認(rèn)證中心將

23、發(fā)給用戶一個(gè)數(shù)字證書(shū)，該證書(shū)內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書(shū)進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書(shū)由獨(dú)立的證書(shū)發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書(shū)各不相同，每種證書(shū)可提供不同級(jí)別的可信度?？梢詮淖C書(shū)發(fā)行機(jī)構(gòu)獲得您自己的數(shù)字證書(shū)。</p><p>　　第4章 SSL證書(shū)應(yīng)用</p><p>　　4.1 SSL證書(shū)安全認(rèn)證的原理</p>&

24、lt;p>　　安全套接字層 (SSL) 技術(shù)通過(guò)加密信息和提供鑒權(quán)，保護(hù)您的網(wǎng)站安全。一份 SSL 證書(shū)包括一個(gè)公共密鑰和一個(gè)私用密鑰。公共密鑰用于加密信息，私用密鑰用于解譯加密的信息。瀏覽器指向一個(gè)安全域時(shí)，SSL 同步確認(rèn)服務(wù)器和客戶端，并創(chuàng)建一種加密方式和一個(gè)唯一的會(huì)話密鑰。它們可以啟動(dòng)一個(gè)保證消息的隱私性和完整性的安全會(huì)話。</p><p>　　4.2 SSL證書(shū)的功能</p><

25、;p>　　確認(rèn)網(wǎng)站真實(shí)性（網(wǎng)站身份認(rèn)證）：用戶需要登錄正確的網(wǎng)站進(jìn)行在線購(gòu)物或其它交易活動(dòng)，但由于互聯(lián)網(wǎng)的廣泛性和開(kāi)放性，使得互聯(lián)網(wǎng)上存在著許多假冒、釣魚(yú)網(wǎng)站，用戶如何來(lái)判斷網(wǎng)站的真實(shí)性，如何信任自己正在訪問(wèn)的網(wǎng)站，可信網(wǎng)站將幫你確認(rèn)網(wǎng)站的身份。 </p><p>　　保證信息傳輸?shù)臋C(jī)密性：用戶在登錄網(wǎng)站在線購(gòu)物或進(jìn)行各種交易時(shí)，需要多次向服務(wù)器端傳送信息，而這些信息很多是用戶的隱私和機(jī)密信息，直接涉及經(jīng)濟(jì)

26、利益或私密，如何來(lái)確保這些信息的安全呢？可信網(wǎng)站將幫您建立一條安全的信息傳輸加密通道。</p><p>　　在SSL會(huì)話產(chǎn)生時(shí)，服務(wù)器會(huì)傳送它的證書(shū)，用戶端瀏覽器會(huì)自動(dòng)的分析服務(wù)器證書(shū)，并根據(jù)不同版本的瀏覽器，從而產(chǎn)生40位或128位的會(huì)話密鑰，用于對(duì)交易的信息進(jìn)行加密。所有的過(guò)程都會(huì)自動(dòng)完成，對(duì)用戶是透明的，因而，服務(wù)器證書(shū)可分為兩種：最低40位和最低128位（這里指的是SSL會(huì)話時(shí)生成加密密鑰的長(zhǎng)度，密鑰越長(zhǎng)

27、越不容易破解）證書(shū)。 </p><p>　　最低40位的服務(wù)器證書(shū)在建立會(huì)話時(shí)，根據(jù)瀏覽器版本不同，可產(chǎn)生40位或128位的SSL會(huì)話密鑰用來(lái)建立用戶瀏覽器與服務(wù)器之間的安全通道。而最低128位的服務(wù)器證書(shū)不受瀏覽器版本的限制可以產(chǎn)生128位以上的會(huì)話密鑰，實(shí)現(xiàn)高級(jí)別的加密強(qiáng)度，無(wú)論是IE或Netscape瀏覽器，即使使用強(qiáng)行攻擊的辦法破譯密碼，也需要10年。</p><p>　　4.3

28、SSL應(yīng)用 </p><p>　　在這一章中將通過(guò)實(shí)驗(yàn)來(lái)介紹如何實(shí)現(xiàn)客戶機(jī)和服務(wù)器之間的SSL安全通信。在具體實(shí)驗(yàn)之前，先對(duì)實(shí)驗(yàn)整體思路做一個(gè)描述。實(shí)驗(yàn)中使用兩臺(tái)計(jì)算機(jī)，一臺(tái)作為客戶端，客戶機(jī)通過(guò)IE瀏覽訪問(wèn)服務(wù)器的WEB站點(diǎn)。服務(wù)器通過(guò)向證書(shū)頒發(fā)機(jī)構(gòu)(CA)申請(qǐng)并安裝服務(wù)器證書(shū)，并要求客戶機(jī)通過(guò)SSL安全通道連</p><p>　　圖4-1安裝“證書(shū)服務(wù)”組件</p>&l

29、t;p>　　接，從而可以保證雙方通信的保密性、完整性和服務(wù)器的用戶身份認(rèn)證。同時(shí)，可以通過(guò)在客戶機(jī)上申請(qǐng)并安裝客戶端證書(shū)，實(shí)現(xiàn)客戶機(jī)的身份認(rèn)證。</p><p>　　實(shí)驗(yàn)?zāi)康?通過(guò)申請(qǐng)、安裝數(shù)字證書(shū)，掌握使用SSL建立安全通信的方法。</p><p>　　實(shí)驗(yàn)原理:SSL協(xié)議的工作原理、數(shù)字證書(shū)的原理。</p><p>　　實(shí)驗(yàn)環(huán)境:作為服務(wù)器的計(jì)算機(jī)預(yù)裝Wi

30、ndows Server 2003操作系統(tǒng)，作為客戶端的計(jì)算機(jī)預(yù)裝Windows xp,兩臺(tái)計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)相連。</p><p>　　4.3.1 安裝“證書(shū)服務(wù)”Windows組件。</p><p>　　由于在后面的實(shí)驗(yàn)過(guò)程中需要向證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)，因此必須先在作為服務(wù)器的計(jì)算機(jī)上安裝“證書(shū)服務(wù)”組件，使之成為一個(gè)證書(shū)頒發(fā)機(jī)構(gòu)，具體實(shí)現(xiàn)步驟如下介紹。</p><

31、p>　　(1)默認(rèn)情況下WindowsXP/Server2003沒(méi)有安裝證書(shū)服務(wù)，需要通過(guò)控制面板的添加/刪除Windows組件來(lái)安裝“證書(shū)服務(wù)”，如圖4-1所示。這里需要</p><p>　　圖4-2 選擇CA類型</p><p>　　注意的是，在安裝了證書(shū)服務(wù)后，計(jì)算機(jī)名和域成員身份都不能改變，因?yàn)橛?jì)算機(jī)名到CA信息的綁定存儲(chǔ)在Active Directory中。更改計(jì)算機(jī)名和域

32、成員身份將使此CA頒發(fā)的證書(shū)無(wú)效。因此，安裝證書(shū)服務(wù)之前，要確認(rèn)已經(jīng)配置了正確的計(jì)算機(jī)名和域成員身份。</p><p>　　(2)在CA類型對(duì)話框中選中單選按鈕，如圖4-2所示，然后</p><p><b>　　單擊按鈕繼續(xù)。</b></p><p>　　(3)在CA識(shí)別信息對(duì)話框中為安裝的CA起一個(gè)公用名稱，這里用“crn”，“可分辨名稱后綴

33、”可以不填，“有效期限”保持默認(rèn)5年即可如圖4-3所示。</p><p>　　圖4-3 填寫(xiě)CA識(shí)別信息</p><p>　　圖4-4 設(shè)置證書(shū)數(shù)據(jù)庫(kù)位置</p><p>　　(4)在證書(shū)數(shù)據(jù)庫(kù)設(shè)置對(duì)話框中保持默認(rèn)設(shè)置即可，因?yàn)橹挥斜ＷC默認(rèn)目錄，系統(tǒng)才會(huì)根據(jù)證書(shū)類型自動(dòng)分類和調(diào)用，如圖4-4所示。</p><p>　　圖4-5 “證書(shū)頒發(fā)機(jī)構(gòu)

34、” 對(duì)話框</p><p>　　圖4-6 Web服務(wù)器證書(shū)向?qū)?lt;/p><p>　　(5)配置好所需的參數(shù)后，系統(tǒng)會(huì)安裝證書(shū)服務(wù)組件，當(dāng)然需要在安裝的過(guò)程中插入Windows Server2003的安裝盤(pán)。安裝完成后，在“開(kāi)始”→“程序”→“管理工具”中，可以看到“證書(shū)頒發(fā)機(jī)構(gòu)”對(duì)話框，打開(kāi)后如圖4-5所示。至此，已經(jīng)安裝好一個(gè)證書(shū)頒發(fā)機(jī)構(gòu)，在圖4-5中可以看到，此時(shí)沒(méi)有頒發(fā)過(guò)任何證書(shū)。&

35、lt;/p><p>　　4.3.2 在服務(wù)器創(chuàng)建服務(wù)器證書(shū)請(qǐng)求。</p><p>　　為了在服務(wù)器申請(qǐng)并安裝服務(wù)器證書(shū)，必須先創(chuàng)建服務(wù)器證書(shū)請(qǐng)求，具體實(shí)現(xiàn)步驟介紹如下。</p><p>　　(1) 在Web站點(diǎn)的“目錄安全性”選項(xiàng)卡中，單擊“安全通信”選項(xiàng)區(qū)域按鈕，打開(kāi)Web服務(wù)器證書(shū)向?qū)?，如圖4-6所示。</p><p>　　(2) 單擊按鈕，

36、顯示如圖4-7所示的服務(wù)器證書(shū)對(duì)話框，選中新建證書(shū)單選按鈕來(lái)新建一個(gè)服務(wù)器證書(shū)。</p><p>　　圖4-7 選擇為站點(diǎn)分配證書(shū)的方法</p><p>　　(3) 單擊按鈕，顯示如圖4-8所示的名稱和安全性設(shè)置對(duì)話框，用于設(shè)置新證書(shū)的名稱和密鑰長(zhǎng)度。</p><p>　　(4) 單擊按鈕，顯示如圖4-9所示的單位信息對(duì)話框，用來(lái)設(shè)置該證書(shū)所包含單位的相關(guān)信息，以便

37、和其他單位的證書(shū)區(qū)分開(kāi)。</p><p>　　(5) 單擊按鈕，顯示如圖4-10所示的公用名稱對(duì)話框，在這里輸入站點(diǎn)的公用名稱。該公用名稱要根據(jù)服務(wù)器而定，如果服務(wù)器位于Internet上，應(yīng)使用有效的DNS名；如果服務(wù)器位于Intranet上，可以使用計(jì)算機(jī)的NetBIOS名。如果公用名稱發(fā)變化，則需要獲取新證書(shū)。</p><p>　　圖4-8 設(shè)置新證書(shū)的名稱和密鑰長(zhǎng)度</p&g

38、t;<p>　　圖4-9 設(shè)置證書(shū)的單位信息 圖4-10 輸入站點(diǎn)的公用名稱</p><p>　　圖4-11 填寫(xiě)地理信息 圖4-12 輸入證書(shū)請(qǐng)求的文件名</p><p>　　圖4-13 請(qǐng)求文件摘要</p><p>　　(6) 單擊按鈕，顯示如圖4-11所示的地理信息對(duì)話框，證書(shū)頒發(fā)機(jī)

39、構(gòu)都會(huì)要求提供一些地理信息。</p><p>　　(7) 單擊按鈕，顯示如圖4-12所示的證書(shū)請(qǐng)求文件名對(duì)話框，用來(lái)指定要保存的證書(shū)請(qǐng)求的文件和路徑。這里保存到c:\certreq.txt文件中。</p><p>　　圖4-14 完成創(chuàng)建Web服務(wù)器證書(shū)請(qǐng)求 圖4-15 服務(wù)器證書(shū)請(qǐng)求文件內(nèi)容</p><p>　　(8) 單擊按鈕，顯示如圖4-13所

40、示的請(qǐng)求文件摘要對(duì)話框，顯示了前面設(shè)置的所有信息。</p><p>　　(9) 單擊按鈕完成Web服務(wù)器證書(shū)向?qū)?，如圖4-14所示。至此，創(chuàng)建了一個(gè)服務(wù)器證書(shū)請(qǐng)求，并保存在文件c:\certreq.txt中，如圖4-15所示。</p><p>　　4.3.3 申請(qǐng)并安裝服務(wù)器證書(shū)請(qǐng)求</p><p>　　有了證書(shū)請(qǐng)求文件后，服務(wù)器就可以通過(guò)證書(shū)頒發(fā)機(jī)構(gòu)組件CertS

41、rv申請(qǐng)服務(wù)器證書(shū)。服務(wù)器提交證書(shū)申請(qǐng)后，證書(shū)頒發(fā)機(jī)構(gòu)審核并頒發(fā)證書(shū)。頒發(fā)后的服務(wù)器證書(shū)從證書(shū)頒發(fā)機(jī)構(gòu)導(dǎo)出后，可以在服務(wù)器上安裝。這就完成了服務(wù)器證書(shū)的申請(qǐng)和安裝工作，具體步驟如下。</p><p>　　(1)在服務(wù)器上打開(kāi)IE瀏覽器，輸入“http://localhost/certsrv”,其中“l(fā)ocalhost”為服務(wù)器的地址。如果IIS工作正常，證書(shū)服務(wù)安裝正確，就會(huì)出現(xiàn)Microsoft證書(shū)服務(wù)界面，如

42、圖4-16。</p><p>　　圖4-16 Microsoft 證書(shū)服務(wù)界面</p><p>　　圖4-17 提交證書(shū)申請(qǐng)界面</p><p>　　圖4-18證書(shū)掛起界面</p><p>　　(2)單擊其中的“申請(qǐng)一個(gè)證書(shū)”超鏈接，并在接下來(lái)的兩個(gè)申請(qǐng)證書(shū)類型界面中依次選擇“高級(jí)證書(shū)申請(qǐng)”和“使用base64編碼的CMC或PKCS#10文件

43、提交一個(gè)證書(shū)申請(qǐng)，或使用base64編碼的PKCS#7文件續(xù)訂證書(shū)申請(qǐng)”,將出現(xiàn)如圖4-17所示的提交證書(shū)申請(qǐng)界面。在該界面中，將前面保存的服務(wù)器證書(shū)請(qǐng)求文件c:\certreq.txt的內(nèi)容(即圖4-15顯示的文件內(nèi)容)完整復(fù)制到“保存的申請(qǐng)”文本框中，并單擊“提交”按鈕提交證書(shū)申請(qǐng)。</p><p>　　圖4-19 證書(shū)頒發(fā)機(jī)構(gòu)管理員頒發(fā)證書(shū)</p><p>　　(3)當(dāng)出現(xiàn)如圖4-1

44、8所示的證書(shū)掛起界面時(shí)，說(shuō)明證書(shū)申請(qǐng)已經(jīng)被證書(shū)頒發(fā)機(jī)構(gòu)收到，必須等待管理員頒發(fā)證書(shū)。</p><p>　　(4)此時(shí)，在如圖4-5所示的“證書(shū)頒發(fā)機(jī)構(gòu)”對(duì)話框中，可以在“掛起的申請(qǐng)”文件夾中看到剛才提交的服務(wù)器證書(shū)申請(qǐng)。此時(shí)，可以在該證書(shū)上右擊，再在彈出的快捷菜單中選擇“所有任務(wù)”→“頒發(fā)”命令以頒發(fā)此證書(shū)，如圖4-19所示。</p><p>　　圖4-20 已經(jīng)頒發(fā)的證書(shū)</p&g

45、t;<p>　　(5)管理員頒發(fā)證書(shū)后，在“頒發(fā)的證書(shū)”文件夾中就能到已經(jīng)頒發(fā)的了的證書(shū)，如圖4-20所示。</p><p>　　圖4-21 服務(wù)器證書(shū)信息 圖4-22 選擇證書(shū)導(dǎo)出文件格式</p><p>　　(6)雙擊該證書(shū)，可以在彈出的對(duì)話框中查看證書(shū)的詳細(xì)信息，如圖4-21所示。在每個(gè)證書(shū)信息對(duì)話框中可以看到證書(shū)的作用(目的)、所有者、

46、頒發(fā)者和有效期，這正是數(shù)字證書(shū)的幾個(gè)要素。</p><p>　　從圖中可以看到這個(gè)證書(shū)的目的是客戶機(jī)用來(lái)保證遠(yuǎn)程計(jì)算機(jī)(服務(wù)器)的身份的。</p><p>　　(7)在圖4-21所示的對(duì)話框中選擇“詳細(xì)信息”選項(xiàng)卡，單擊按鈕，將啟動(dòng)證書(shū)導(dǎo)出，用于將該證書(shū)導(dǎo)出成文件。在證書(shū)導(dǎo)出向?qū)е校枰x擇導(dǎo)出證書(shū)的格式，如圖4-22所示。在這里，選擇Base64編碼X.509的文件格式。</p&g

47、t;<p>　　下面簡(jiǎn)單介紹一下可以用于證書(shū)導(dǎo)出和導(dǎo)入的幾種文件格式。</p><p>　　A、DER編碼二進(jìn)制X.509：卓越編碼規(guī)則(DER)X.509為證書(shū)和其他用于傳輸文件的編碼定義了一種平臺(tái)獨(dú)立性的方法。也就是說(shuō)，這種方法適合使用任何一種操作系統(tǒng)的計(jì)算機(jī)。如果要將證書(shū)用于其他非Windows的操作系統(tǒng)上，就可以使用這種文件類型。這種文件類型使用.cer或.crt的文件擴(kuò)展名。</p&

48、gt;<p>　　B、ase64編碼X.509:這也是一種X.509格式，該X.509R的變體采取了一種為配合S/MINE(一種在Internet上安全發(fā)送電子郵件附件的標(biāo)準(zhǔn)方法)使用而設(shè)計(jì)的編碼方法。整個(gè)文件作為ASCII字符編碼，可以保證其不受損壞地通過(guò)不同的郵件</p><p>　　圖4-23設(shè)置要導(dǎo)出的文件的文件名</p><p>　　網(wǎng)關(guān)。這種文件類型使用.cer或

49、.cet的文件擴(kuò)展名。</p><p>　　C、息語(yǔ)法標(biāo)準(zhǔn)——PKCS#7證書(shū)：與X.509格式不同的是，PKCS(公鑰加密標(biāo)準(zhǔn))#7證書(shū)允許您將一個(gè)證書(shū)及其證書(shū)路徑中的所有聯(lián)合到一個(gè)文件中，這樣，將一個(gè)受信任的證書(shū)從一臺(tái)計(jì)算機(jī)移到另一臺(tái)計(jì)算機(jī)上就會(huì)變得容易。這種文件類型使用.p7b的文件擴(kuò)展名。</p><p>　　D、個(gè)人息交換——PKCS#12：這種格式有時(shí)又被稱為“私人交換格式”，

50、它允許將證書(shū)與它對(duì)應(yīng)的私鑰一起轉(zhuǎn)換。這是唯一能包括私鑰的格式。如果要允許將私鑰包含進(jìn)去，該私鑰就必須標(biāo)記為可導(dǎo)出，這是由頒發(fā)原始證書(shū)的CA來(lái)控制的。這種文件類型使用.pfx或.p12的文件擴(kuò)展名。</p><p>　　對(duì)于包括加密證書(shū)或其他帶有私鑰的證書(shū)的導(dǎo)出文件，使用PKCS#12。(包含私鑰只是為了備份或在本地計(jì)算機(jī)上安裝，不要將帶有私鑰的證書(shū)發(fā)送給其他人)對(duì)于想要導(dǎo)入到運(yùn)行Windows操作系統(tǒng)的計(jì)算機(jī)的證

51、書(shū)，使用PKCS#7。運(yùn)行其他操作系統(tǒng)的計(jì)算機(jī)可能不支持PKCS#7，為了創(chuàng)建一個(gè)能用到這種計(jì)算機(jī)上的證書(shū)，可以使用任何一種X.509格式的證書(shū)。X.509格式是接受程度最廣泛的證書(shū)格式。</p><p>　　(8)將服務(wù)器證書(shū)導(dǎo)出為：c:\shenzhen.cer文件，如圖4-23所示。</p><p>　　圖4-24 “掛起的證書(shū)請(qǐng)求”對(duì)話框</p><p>　

52、　圖4-25 安裝證書(shū)的摘要信息</p><p>　　(9)打開(kāi)服務(wù)器的Internet信息服務(wù)(IIS)管理器，在Web站點(diǎn)的“目錄安全性”選項(xiàng)卡中，單擊“安全通信”選項(xiàng)區(qū)域的按鈕啟動(dòng)Web服務(wù)器證書(shū)向?qū)?，通過(guò)該向?qū)?lái)安裝剛剛導(dǎo)出的服務(wù)器證書(shū)。在如圖4-24所示的“掛起證書(shū)請(qǐng)求”對(duì)話框中，選中單選按鈕。</p><p>　　(10)在隨后出現(xiàn)的對(duì)話框中需要指定證書(shū)文件的名稱和路徑，并為網(wǎng)

53、站指定SSL端口號(hào)(一般指定為“443”)，就可以完成Web服務(wù)器證書(shū)的安裝了。安裝證書(shū)的摘要信息如圖4-25所示。</p><p>　　4.3.4 客戶端通過(guò)SSL安全通道建立和服務(wù)器的連接。</p><p>　　在服務(wù)器上安裝了服務(wù)器證書(shū)后，就可以通過(guò)設(shè)置要求客戶機(jī)通過(guò)SSL安全通道和服務(wù)器建立連接，具體實(shí)現(xiàn)步驟如下。</p><p>　　(1) 打開(kāi)服務(wù)器的I

54、nternet信息服務(wù)(IIS)管理器，在Web站點(diǎn)的“目錄安全性”選項(xiàng)卡中，單擊“安全通信”選項(xiàng)區(qū)域的按鈕，打開(kāi)“安全</p><p>　　圖4-26 “安全通信” 對(duì)話框 </p><p>　　圖4-27 客戶機(jī)通過(guò)HTTP訪問(wèn)Web站點(diǎn)情況</p><p>　　通信”對(duì)話框，如圖4-26所示。在該對(duì)話框中，選中和復(fù)選框，要求SSL安全通道。

55、</p><p>　　(2)此時(shí)，如果在客戶機(jī)的IE瀏覽器中直接輸入http://localhost來(lái)訪問(wèn)服務(wù)器的Web站點(diǎn)，將顯示“該頁(yè)必須通過(guò)安全通道查看”如圖4-27所示?？蛻魴C(jī)需要在訪問(wèn)的地址前輸入“https://”并按回車(chē)鍵，也就是通過(guò)SSL安全通道建立和Web站點(diǎn)的通信。</p><p>　　(3)在客戶機(jī)的IE瀏覽器中輸入https://localhost來(lái)訪問(wèn)Web站點(diǎn)(

56、客戶機(jī)通過(guò)瀏覽器獲得服務(wù)器證書(shū))，出現(xiàn)如圖4-28所示的安全警報(bào)。此時(shí)，如果單擊其中的“是”按鈕，則表示客戶機(jī)信任了證書(shū)持有人(服務(wù)器)身份，將建立客戶機(jī)和服務(wù)器的SSL安全通道連接。如果用戶要進(jìn)一步驗(yàn)證該服務(wù)器證書(shū)的合法性(通過(guò)驗(yàn)證數(shù)字證書(shū)上由證書(shū)頒發(fā)機(jī)構(gòu)的數(shù)字簽名來(lái)驗(yàn)證其合法性)，可以單擊其中的 </p><p>　　圖4-28 客戶機(jī)訪問(wèn)Web站點(diǎn)時(shí)的安全警報(bào) 圖4-29 對(duì)應(yīng)的證書(shū)信息

57、</p><p>　　按鈕，打開(kāi)如圖4-29的證書(shū)信息對(duì)話框以查看證書(shū)的詳細(xì)信息，從而決定是否通過(guò)驗(yàn)證。在這里可以看到，由于該證書(shū)不是由客戶機(jī)所信任的根證書(shū)頒發(fā)機(jī)構(gòu)所頒發(fā)的，所以出現(xiàn)了圖4-28所示的第一個(gè)標(biāo)識(shí)。另外，由于在客戶機(jī)</p><p>　　的IE瀏覽器中輸入的訪問(wèn)站點(diǎn)名稱(localhost)和證書(shū)所有者的名稱(win2003)不一致，所以出現(xiàn)了圖4-28所示的第二個(gè)標(biāo)識(shí)。客戶

58、端用戶如果對(duì)這些警告標(biāo)識(shí)所提示的內(nèi)容表示懷疑，可以單擊圖4-28中的按鈕不通過(guò)驗(yàn)證(也就是不建立SSL安全通道連接)。</p><p>　　圖4-30 證書(shū)頒發(fā)機(jī)構(gòu)屬性頁(yè)</p><p>　　下面將通過(guò)一系列的的配置來(lái)消除圖4-28中的這兩個(gè)警告標(biāo)識(shí)，以使客戶端用戶放心地訪問(wèn)服務(wù)器的Web站點(diǎn)。</p><p>　　圖4-31 CA的證書(shū)信息</p>

59、<p>　　為了排除第一個(gè)警告標(biāo)識(shí)所提示的內(nèi)容，需要將根證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū)導(dǎo)出，并安裝到客戶機(jī)證書(shū)存儲(chǔ)區(qū)的“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”中(當(dāng)然做這個(gè)操作的前提條件是：客戶端用戶認(rèn)為該根證書(shū)頒發(fā)機(jī)構(gòu)可以信任)，具體實(shí)現(xiàn)步驟如下。</p><p>　　A、在證書(shū)頒發(fā)機(jī)構(gòu)對(duì)話框中，右擊證書(shū)頒發(fā)機(jī)構(gòu)，選擇“屬性”命令打開(kāi)其屬性頁(yè)，如圖4-30所示。</p><p>　　B、在證書(shū)頒發(fā)機(jī)構(gòu)屬

60、性界面中選擇“常規(guī)”選項(xiàng)卡并單擊按鈕，可以看到證書(shū)的詳細(xì)信息。如圖4-31所示。</p><p>　　圖4-32 選擇證書(shū)導(dǎo)出文件格式</p><p>　　C、在圖4-31所示的對(duì)話框中選擇“詳細(xì)信息”選項(xiàng)卡，單擊按鈕，將啟動(dòng)證書(shū)導(dǎo)出向?qū)?，用于將該根證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū)導(dǎo)出到一個(gè)文件中。在證書(shū)出向?qū)е?，需要選擇導(dǎo)出證書(shū)的文件格式，如圖4-32所示。在這里，選擇加密消息語(yǔ)法標(biāo)準(zhǔn)——PKCS#7

61、證書(shū)的文件格式。</p><p>　　D、將該CA的證書(shū)導(dǎo)出為c:\root.p7b文件，如圖4-33所示。</p><p>　　E、將導(dǎo)出的CA的證書(shū)文件root.p7b發(fā)送給客戶機(jī)，在客戶機(jī)上通過(guò)IE瀏覽器將該證書(shū)導(dǎo)入到“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)中”。在客戶機(jī)上打開(kāi)IE瀏覽器，選擇“工具”→“Internet選項(xiàng)”命令，打開(kāi)“Internet”選項(xiàng)對(duì)話框，選擇其中的“內(nèi)容”選項(xiàng)卡，如圖4

62、-34所示。</p><p>　　圖4-33 設(shè)置要導(dǎo)出的文件的文件名</p><p>　　圖4-34 Internet選項(xiàng)對(duì)話框</p><p>　　F、單擊“證書(shū)”選項(xiàng)區(qū)域中的按鈕，打開(kāi)證書(shū)信息對(duì)話框，如圖4-35所示。</p><p>　　G、單擊其中的按鈕，以啟動(dòng)證書(shū)導(dǎo)入向?qū)?，將前面從證書(shū)頒發(fā)機(jī)構(gòu)導(dǎo)出的CA的證書(shū)文件c:\root.p

63、7b導(dǎo)入到客戶機(jī)的證書(shū)存儲(chǔ)區(qū)。由于這部分的操作步驟和前面介紹的證書(shū)導(dǎo)出操作類似，不再重復(fù)，讀者可以自行完成。</p><p>　　圖4-35 證書(shū)信息對(duì)話框 圖4-36 客戶機(jī)訪問(wèn)Web站點(diǎn)時(shí)的安全警報(bào)</p><p>　　H、將CA的證書(shū)導(dǎo)入到客戶機(jī)的證書(shū)存儲(chǔ)區(qū)后，表示客戶機(jī)已經(jīng)信任了該CA頒發(fā)的證書(shū)。此時(shí)再通過(guò)https://localhost來(lái)訪問(wèn)服務(wù)器的Web

64、站點(diǎn)時(shí)，就不會(huì)出現(xiàn)圖4-28所示的第一個(gè)安全警告標(biāo)識(shí)，如圖4-36所示。</p><p>　　為了排除圖4-28所示的第二個(gè)警告標(biāo)識(shí)所提示的內(nèi)容，只要在訪問(wèn)服務(wù)器的Web站點(diǎn)輸入站點(diǎn)的DNS或NetBIOS名稱就可以了(如果服務(wù)器位于Internet上，輸入有效的DNS名；如果服務(wù)器位于Intranet上，輸入計(jì)算機(jī)的NetBIOS名)。</p><p>　　4.3.5 申請(qǐng)并安裝客戶端

65、證書(shū)。</p><p>　　通過(guò)前面的學(xué)習(xí)已經(jīng)知道，數(shù)字證書(shū)是用來(lái)確保證書(shū)持有者身份的一種機(jī)制。根據(jù)其保證對(duì)象的不同可以分成服務(wù)器證書(shū)和客戶端證書(shū)。前面講的服務(wù)器證書(shū)是服務(wù)器用來(lái)向客戶端用戶證明自己身份的；而客戶端證書(shū)則是客戶端用來(lái)向服務(wù)器證明自己身份的。下面，通過(guò)實(shí)驗(yàn)來(lái)學(xué)習(xí)如何申請(qǐng)并安裝客戶證書(shū)。</p><p>　　(1)在服務(wù)器端的計(jì)算機(jī)上，打開(kāi)Internet信息服務(wù)(IIS)管理

66、器，在Web站點(diǎn)的“目錄安全性”選項(xiàng)卡中，單擊“安全通信”選項(xiàng)區(qū)域的按鈕，打開(kāi)“安全通信”對(duì)話框。在“安全通信”對(duì)話框中，選中“客戶端證書(shū)”選項(xiàng)區(qū)域中的單選按鈕，表示要求客戶端在連接該Web站點(diǎn)時(shí)必須提供客戶端證書(shū)。</p><p>　　(2)這時(shí)在客戶端的計(jì)算機(jī)上，打開(kāi)IE瀏覽器，通過(guò)輸入https://localhost訪問(wèn)Web站點(diǎn)，會(huì)彈出“選擇數(shù)字證書(shū)”對(duì)話框。</p><p>　

67、　由于沒(méi)有安裝客戶端證書(shū)，因此選擇數(shù)字證書(shū)的對(duì)話框中沒(méi)有可以選擇的證書(shū)。如果直接單擊“確定”按鈕，會(huì)出現(xiàn) “該頁(yè)要求客戶證書(shū)”提示，無(wú)法正常訪問(wèn)。</p><p>　　圖4-37 填寫(xiě)WEB瀏覽器證書(shū)識(shí)別信息</p><p>　　(3)為了在客戶機(jī)上申請(qǐng)安裝客戶證書(shū)，必須先在服務(wù)器上取消第(1)步中所設(shè)置的“要求客戶端證書(shū)”，改為選中單選按鈕。</p><p>　　

68、(4)在客戶機(jī)上訪問(wèn)https://localhost/certsrv, 打開(kāi)如圖4-16所示的證書(shū)服務(wù)頁(yè)面。單擊其中的“申請(qǐng)一個(gè)證書(shū)”超鏈接，并在接下來(lái)的申請(qǐng)證書(shū)類型界面中選擇“Web瀏覽器證書(shū)”，出現(xiàn)如圖4-37所示的界面。在其中填寫(xiě)Web瀏覽器證書(shū)的識(shí)別信息，并單擊“提交”按鈕提交證書(shū)申請(qǐng)。</p><p>　　(5)在彈出的“潛在的腳本沖突”提示對(duì)話框中，單擊“是”按鈕繼續(xù)證書(shū)申請(qǐng)。</p>

69、<p>　　圖4-38 證書(shū)掛起界面</p><p>　　當(dāng)出現(xiàn)如圖4-38所示的證書(shū)掛起界面時(shí)，說(shuō)明證書(shū)申請(qǐng)已經(jīng)被證書(shū)頒發(fā)機(jī)構(gòu)收到，必須等待管理員頒發(fā)證書(shū)。</p><p>　　(6)按照前面在4.3中介紹的方法，在服務(wù)器的證書(shū)頒發(fā)機(jī)構(gòu)對(duì)話框中，審核并完成該客戶端證書(shū)的頒發(fā)。</p><p>　　(7)CA頒發(fā)證書(shū)后，在客戶機(jī)上訪問(wèn)https://lo

70、calhost/certsrv，回到證書(shū)服務(wù)頁(yè)面。單擊其中的“查看掛起的證書(shū)申請(qǐng)的狀態(tài)”超鏈接，并在接下來(lái)出現(xiàn)的界面中選擇剛才申請(qǐng)的證書(shū)(如果有多個(gè)證書(shū)，可以通過(guò)申請(qǐng)時(shí)間來(lái)識(shí)別)，將出現(xiàn)如圖4-31所示的界面。</p><p>　　(8)單擊其中的“安裝此證書(shū)”超鏈接，可以完成客戶端數(shù)字證書(shū)的安裝。在安裝前會(huì)出現(xiàn)“潛在腳本沖突”的提示對(duì)話框，直接單擊“是”按鈕即可。</p><p>　　圖

71、4-39 查看申請(qǐng)的證書(shū)狀態(tài)</p><p>　　(9)恢復(fù)服務(wù)器的“安全通信”對(duì)話框中的設(shè)置。在客戶端通過(guò)https://localhost訪問(wèn)Web站點(diǎn)，會(huì)彈出如圖4-40所示的“選擇數(shù)字證書(shū)”對(duì)話框。這時(shí)，可以選定剛剛安裝的客戶端證書(shū)“client”。</p><p>　　圖4-40 選擇客戶端數(shù)字證書(shū) 圖4-41 客戶端證書(shū)信息</p>

72、<p>　　(10)單擊按鈕，可以查看該證書(shū)的詳細(xì)信息，如圖4-41所示。從圖4-41中可以看到這個(gè)證書(shū)的目的是客戶機(jī)用來(lái)向遠(yuǎn)程計(jì)算機(jī)(服務(wù)器)證明自己身份。</p><p>　　(11)單擊圖4-40所示對(duì)話框中的“確定”按鈕，訪問(wèn)Web站點(diǎn)。到此，完成了整個(gè)數(shù)字證書(shū)的安裝和使用實(shí)驗(yàn)。</p><p>　　需要說(shuō)明的是，盡管SSL能提供實(shí)際不可破譯的加密功能，但是SSL安全機(jī)

73、制的實(shí)現(xiàn)會(huì)大大增加系統(tǒng)的開(kāi)銷，增加了服務(wù)器CPU的額外負(fù)擔(dān)，使SSL加密傳輸?shù)乃俣却蟠蟮陀诜羌用軅鬏數(shù)乃俣?。因此，為了防止整個(gè)Web網(wǎng)站的性能下降，可以考慮只把SSL安全機(jī)制用來(lái)處理高度機(jī)密的信息，如提交包含信用卡信息的表格。</p><p><b>　　致 謝</b></p><p>　　三年時(shí)光，轉(zhuǎn)瞬即逝。在此即將畢業(yè)之際，向眾多給予我?guī)椭徒ㄗh的老師、親人、朋友

74、和同學(xué)們表示衷心的感謝！</p><p>　　我首先要感謝的是我的指導(dǎo)師，x老師。x老師淵博的知識(shí)、踏實(shí)的治學(xué)風(fēng)格和認(rèn)真負(fù)責(zé)的精神讓我受益匪淺，他是我學(xué)習(xí)的榜樣。耐心指導(dǎo)我畢業(yè)論文如何寫(xiě)作，注意事項(xiàng)，錯(cuò)誤改進(jìn)；這些日子以來(lái)的進(jìn)步離不開(kāi)陳老師的幫助。</p><p>　　最后我要特別感謝遠(yuǎn)在營(yíng)山的我的父母，是您們含辛茹苦的養(yǎng)育了我二十多年，從您們長(zhǎng)滿老繭的雙手以及飽經(jīng)風(fēng)霜而布滿皺紋的面頰上就

75、可以知道您們對(duì)我付出了多少辛勞和汗水。我為我一直不能長(zhǎng)時(shí)間陪伴二老而感到十分愧疚。養(yǎng)育之恩當(dāng)涌泉相報(bào)，我會(huì)繼續(xù)努力取得更好的成績(jī)，不辜負(fù)您們的期望。還要感謝我的姐姐是你每月用自己微薄的工資給我交生活費(fèi)用是你給了我前進(jìn)的動(dòng)力！還有所有的親戚朋們我在這里由衷地感謝你們的鼓勵(lì)與支持，謝謝！</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]《信息安全技

76、術(shù)教程》 荊繼武 主編 中國(guó)人民公安大學(xué)出版社</p><p>　　[2]《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》（第2版） 石淑華 池瑞楠 編著 人民郵電出版社</p><p>　　[3]《數(shù)字證書(shū)應(yīng)用技術(shù)指南》 《中國(guó)商用密碼認(rèn)證體系結(jié)構(gòu)研究》課題組編著 電子工業(yè)出版社</p><p>　　[4]《網(wǎng)絡(luò)設(shè)備互聯(lián)技術(shù)》梁廣民 王隆杰 編著 清華大學(xué)出版社</p>