陈学平

(重庆电子工程职业学院，重庆 401331)

1 公共密钥基础结构(PKI)简介

对于电子商务系统中的身份识别，以及内部和外部网络上的数据加密来说，公共密钥技术是一项重要的技术。与公共密钥技术相关的两个基本概念分别是公钥加密和公钥认证。公共密钥基础结构是由数字证书(Digital Certificate)、证书颁发机构(Certificate Authority)所组成的系统。此系统可以用于解决信息加密和身份识别等问题。

1.1 公钥加密

对于电子邮件信息或者通过Internet或其他网络通信传送的信用卡信息等重要资源，都可以使用公钥加密技术来实现数据的加密，从而保证数据的安全性。由于公钥是自由发行的，任何人都可以得到，而私钥是保密的，只有本人知道，因此，任何两个人只要通过检索彼此的公钥，并用对方的公钥对数据进行加密，就可以在公共网络上建立安全的私人通信。

公钥和私钥：公钥加密使用两个在数字上相关的密钥。密钥是一个随机字符串(如数字、ASCII码等)，它结合算法使用。在公钥加密操作中，每个用户都有一对在数字上相关的密钥，它们分别是私钥和公钥。 私钥：该密钥是保密的，只有本人持有。

公钥：该密钥向所有可能的通信者公开。

加密和解密：PKI的基本概念是将一个密钥用于加密数据，而另一个密钥用于解密数据。加密密钥无法对加密的数据进行解密。公钥和私钥也可以逆向使用，即使用私钥加密数据，用公钥解密数据。但因为任何人都可以获得公钥，因此这种方法不能防止其他用户读取消息。但此种方式可以用来识别发送消息的人的身份。

1.2 公钥认证

可使公钥密码技术来验证电子邮件、电子商务和其他电子交易中电子数据的发送人。与公钥加密一样，公钥认证也使用了密钥对。然而，它不是用接收方的私钥来解密消息，而用发送方的公钥来认证和验证消息的发送方。通过使用私钥加密唯一标识的消息内容就可以创建数字签名。通过使用数字签名将私钥和公钥的作用进行了交换。

2 证书颁发机构属性

证书颁发机构(CA)负责提供和分配密钥，用来加密、解密和认证。CA通过颁发证书来分配密钥，证书中包含公钥和一系列属性。

2.1 证书的概念

每个使用Windows PKI的用户或计算机都会分配到一个公钥和一个私钥。私钥保留在计算机上，而且从不在网络上传输。为了保证PKI的正确运行，必须有一种可控制和可验证的方法来分配公钥。数字证书就是这样一种机制，用来在网络上分配公钥。证书的主要目的是为了让人相信证书中的公钥确实属于证书中指定的实体。数字证书包含公钥本身和一组描述公钥所有者属性的信息(如所有者的姓名和联系方式等)。证书是由证书颁发机构(CA)颁发的。

CA是可信任的机构或程序，它向个体用户颁发有效的证书。CA主要有两类：商业CA公司和Windows Server 2003自代的CA程序(称为Microsoft证书服务MCS)。CA机构或程序相当于公证人，CA负责验证证书接受人的身份是否属实。用户可以根据实际应用需求选择CA机构。

2.2 证书的类型

证书有外部CA和内部CA。外部CA：外部的发行公司，如大型的商业CA。内部CA：内部发行的，如公司安装了自己的服务器来颁发和验证证书。另每个CA都有一个证明它自己身份的证书，是由另外一个可信任的CA或它自己颁发的。信任某个CA，表示同时接受该CA的策略和过程，这些策略和过程用来确认证书接受实体的身份。

2.3 颁发证书的过程

颁发证书的基本步骤如下：生成密钥→申请证书→验证信息→创建证书→发送或公布证书

2.4 证书吊销

可以在证书有效期截止之前使证书无效(原因：泄漏、欺诈、不再可信等)。

3 证书服务的安装

要创建安全的SSL站点需要使用CA证书，而CA证书需要一个颁发机构，这就需要安装证书服务，通过证书颁发机构来颁发证书。通过安装证书服务，可以创建一个CA来颁发运行PKI所需的证书。在Windows Server 2003上，证书颁发机构可以是两种类型之一：企业类或独立类。每个类型都可以有一个根CA和一个(或多个)从属CA。对单个Windows 2003网络中的用户或计算机颁发证书，必须安装一个企业CA。企业CA要求所有申请证书的用户和计算机在Active Directory中有一个账号。

如果对单个的Windows Server 2003网络外的用户或计算机颁发证书，则须安装一个独立CA。独立CA不需Active Directory的支持。证书服务与其他Windows Server 2003系统组件一样，使用【添加/删除程序】工具进行安装。安装证书服务后，计算机可以作为证书颁发机构，管理和颁发证书，但是安装证书服务的计算机不可以更改计算机名称。对于企业根CA或企业从属CA也不能删除Active Directory。具体安装步骤从略。

4 证书颁发机构和证书的管理

证书管理员的主要任务是管理证书颁发机构，包括启动/暂停证书服务、配置证书颁发机构的属性、备份/还原证书颁发机构信息、更新证书颁发机构证书等。其目的是保证证书服务可以提供证书申请、备份和还原证书颁发机构信息，以及更新证书颁发机构证书以提高系统的性能和可靠性。

证书颁发机构的管理分为三种情况：

1)启动和停止证书服务。在Windows Server 2003网络环境下，证书服务是以标准的服务方式来执行的，所以管理员在管理证书颁发机构或客户端申请证书时，必须先启动CA上的证书服务。如果不希望客户端申请证书，可以暂停证书服务。

2)配置CA证书。管理员可以管理证书颁发机构的信息，包括策略模块、退出模块、审核、故障恢复代理、安全等，只要在证书颁发机构视图中右键单击服务器图标，选择【属性】菜单，即可进行设置。

3)备份和还原CA。CA的证书、设置信息是非常重要的，如果这些信息出现问题，可能导致CA不能颁发证书，客户端也不能继续申请证书，甚至其他人也无法确认CA所颁发的证书是否有效，所以证书管理员必须定期备份CA。以便在CA系统出现问题时，及时还原CA。

证书的管理主要是指在【证书颁发机构】控制台窗口中，管理员可以管理证书模板，设置客户端可以申请的证书类型。为了满足各种不同的需要，Windows Server 2003预先定义了许多证书模板。证书管理员还需要管理吊销的、已颁发的、挂起的或者失败的证书，保证CA的正常使用。

5 网络客户端申请CA证书

配置了企业的CA之后，就可以为网络中的用户或计算机分配一个证书，以保证网络中传输的数据是有效的、可靠的、加密的。下面介绍客户端证书申请和安装方法。

步骤1，在客户端打开IE浏览器，在地址栏中输入：http://computer.win2003.com/certsrv或者http://win2003.com/certsrv(其中computer.win2003.com为CA服务器的域名名称名称)。打开Windows 证书服务页面。

步骤2，在【选择一个任务】下选择【申请一个证书】，打开【申请一个证书】页面。

步骤3，选择【高级证书申请】，打开【高级证书申请】页面。

步骤4，选择【创建并向此CA提交一个申请】，打开【高级证书申请】的【证书模板】页面。

在【证书模板】页面中的证书模板下面，可以选择不同模板的证书，证书模板在前面已经介绍，对于证书模板中没有列出的证书，可以用新建证书模板的方法添加。

在密钥选项中，可以选择【创建新密钥集】还是【使用现存的密钥集】，还可以设置密钥的大小，以及是否启用私钥保护等参数。

在其他选项中，可以设置哈希算法、证书的属性、是否保存申请到一个文件，以及为证书起一个好记的名称等选项。

设置完参数选项后，单击【提交】按钮，系统将自动提交申请。会弹出一个【潜在的脚本冲突】对话框。如果CA设置成自动颁发证书，客户端将自动安装申请的证书。

6 煤炭信息SSL站点的构建

前面的CA证书安装完成后，我们可以接着做下面的工作。

1)生成证书申请。首先，单击【默认网站】|【属性】，在【默认网站 属性】对话框中单击【目录安全性】，切换到【目录安全性】选项卡。接着单击【服务器证书】按钮，弹出【欢迎使用WEB服务器证书向导】对话框，并单击【下一步】。出现【服务器证书】对话框，选择【新建证书】。然后一路单击下一步按照提示操作， 直到完成。

2)提交证书申请，申请证书。首先按照前面的介绍申请证书。然后选择【高级证书申请】，打开【高级证书申请】页面，选择【第二项 使用base64编码……】，打开【高级证书申请】的【证书模板】页面，在【保存的申请】中粘贴我们前面申请的证书，即证书文件名的文件再单击【提交】按钮，完成证书颁发，我们下载下来保存。

3)Web服务器上安装证书。回到【默认网站 属性】对话框，单击【服务器证书】，在弹出的对话框，选择【处理挂起的请求并安装证书】。然后单击【下一步】，出现【处理挂起的请求】对话框，浏览选择【路径和文件名】，单击【下一步】，出现【SSL端口】对话框，再单击【下一步】，出现【证书摘要】对话框，然后直到完成证书安装。

4)启用安全通道。在【默认网站 属性】对话框，切换到【目录安全性】，单击【编辑】，出现【安全通信】对话框，勾选【要求安全通道SSL】。

5)客户机用https：//访问安全的Web站点检测是否成功。客户端输入http://computer.win2003.com/访问服务器，出现“该页必须通过安全通道查看”的对话框，表明不能直接这样访问。如果我们再在客户端输入https://computer.win2003.com/访问服务器，出现一个安全警报对话框，提示“即将通过安全连接查看网页”，到此为止，我们的基于CA认证的煤炭信息安全站点就已经构建成功了。

[1] 陈学平.Windows 2003配置与与应用[M].北京：化学工业出版社，2011.

[2] 王萍.浅谈基于CA认证的电子商务安全[J].商场现代化，2008(17)：175.