CA认证和电子签章是如何做的,请懂的朋友指教

CA认证和电子签章是如何做的,请懂的朋友指教,第1张

1、以美国犹他州电子签名法规定CA提供电子认证服务的条件为例:

(1) 主体资格:可为执业律师;在犹他州注册登记的信托机机能或保险机构;犹他州州长、州法院、市、郡等已经依法律或行政命令指定执行CA认证业务的公务人员并为该机构员工进行认证之组织;任何在犹他州取得营业许可的公司;

(2) 程序:CA本身必须申请公开金钥凭证且须存放在主管机关设置或承认的公开金钥凭证资料库中以供大众检视读取;

(3) 公证资格:须有公证人(a notary public)资格或至少聘雇一具有公证人资格之员工;

(4) 从业人员不得有严重犯罪前科:所雇用的员工中不得有重大犯罪之前科或是犯有其他诈欺、虚伪陈述或欺骗之罪行;

(5) 专业知识:所雇用员工必须具有执行认证业务之专业知识;

(6) 经营担保:除了政府官员或机关申请经营CA业务外,其他申请者必须提供营业担保;

(7) 软硬件设施:对于经营CA业务所需软硬件设施,必须对该设施拥有具有合法的权利;

(8) 营业场所:必须在犹他州设有营业处所或是指定代理人代为执行业务;

(9) 必须遵守主管机构的所有其他规定。

2、电子签章颁发过程

(1)用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。

认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。

用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

(2)目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、证书、WAP证书、代码签名证书和表单签名证书。

(3)数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

扩展资料:

效力

1、以直接的立法形式明示直接承认可被接受的技术方案标准;(如美国犹他州;香港特别行政区法例等。)

2、授权政府主管部门制定相应规则如享有颁发、或吊销CA机构从事电子认证业务许可的权力,同时对违规/违法经营 *** 作的CA机构具有行政处罚权;

3、制定明确的设立及管理CA机构的条件及程序。同时,在监管CA机构层面上,政府主管部门还设置所有合法登记、注册经营电子认证业务的CA机构的资料库供客户查询。

如美国犹他州法律规定,主管机构在其设置的公共密钥凭证资料库中,专门开辟一个存有所有登记注册CA机构详尽档案数据库。其中除了一般公司信息(如公司名称、住址及电话及被授权的营业范围)外,还包括使用的核发认证凭证的机构有无违规经营遭到处罚的记录等等信息。

参考资料来源:百度百科-电子认证

参考资料来源:百度百科-电子签章

如果在一个域内只建立一台服务器,则这台服务器就默认的成为主服务器(Administrator Server),每次在主服务器上更改设置后,必须重新启动服务器,这就不得不暂时停止对外提供服务,这种情况在企业环境中常常是不允许的。要解决这个问题,可以在此域中再增加一台或者多台服务器,这些新增加的有别于主服务器的服务器叫做受控服务器(Managed Servers) ,可以将所有商业服务分散于这些受控服务器上面,而用主服务器来管理它们。这样主服务器可以更改设置,重新启动,而各个受控服务器可以继续对外提供服务。
多服务器域中,必须唯一指定其中一台服务器为主服务器,其他服务器作为受控服务器,每一个受控服务器在这个域中是作为一个节点(Node)存在的,或叫节点服务器。在WLS61的主服务器控制台上提供了管理这些节点的工具,可以方便的启动停止其域内包含的受控服务器。如果要建立多服务器域,则必须使主服务器上的WLS与各个受控服务器上的WLS版本保持一致。先启动主服务器,然后再启动各个受控服务器。主服务器与受控服务器的每一次通信都是通过SSL来进行的。以上就是要点,下面详细说明一下:
关于数字证书:
各个节点与主服务器之间要使用SSL协议来进行通信,这是为了保证通信安全。此协议使用一配对密锁,公锁和私锁。这是一对非对称密锁,用其中任何一个密锁加密信息只能用另一个来解密。值得一提的是,WLS要求节点与主服务器之间采用双向验证。关于SSL协议的详细内容会在以后“安全管理”部分介绍。
在节点管理过程中所使用的数字证书是符合X509格式的,私锁遵循PKCS#5和PKCS#8标准。PKCS#5是基于密码口令的,它描述了用密码口令来加密私锁的方法。PKCS#8是私锁的语法标准,说明了私锁应该具有的特征。用于节点管理中的证书与WLS的数字证书格式是不同的,前者只使用一个crt文件,其中包含了被加过密的私锁(但并不发送密锁),而后者使用的是分开的文件。要使用节点管理,首先必须获得一个crt证书来使用SSL通讯。您可以去CA机构购买一个私锁和数字证书或者使用WLS提供的私锁和数字证书,不管通过哪种办法,如果得到的私锁不是PKCS#5/#8格式的,要使用WLS提供的wlkeytool工具来转换一下。然后再将私锁、公锁和CA的认证授权文件用cat工具合并成一个crt文件。这里举个例子,看看如何使用WLS自带的私锁、公锁和CA认证授权文件来生成一个crt文件。您可以在mydomain这个默认域所对应的文件夹中找到:demokeypem、democertpem和capem,他们分别是私锁、公锁和CA授权文件。这个私锁demokeypem不是基于PKCS#5/#8格式的,因此我们先用wlkeytool转换一下:
wlkeytool demokeypem demokey_new
先是提示您输入demokeypem的解锁密码,如果没有那么直接按回车。然后提示输入新密码,填入密码后,将生成一个PKCS#5/#8格式的新私锁。下面合并这三个文件,生成crt文件:
cat demokey_new democertpem capem > democrt
在mydomain目录下原来就有已经生成好的democrt文件,您可以直接拿来使用,或者为了熟悉一下生成crt文件的过程,不妨按上述方法 *** 作一遍,以后就可以生成自己的crt文件。
有了证书我们就可以开始配置各个节点服务器了。
配置节点:
登陆到主服务器的控制台,选择左侧树状菜单中的“Machines”,在右侧框架中点击“Configure a new Machine…”连接。填入要被管理的节点服务器机器名后点击“create”。然后点击“Node Magager”标签页,在这里设置一些参数,这些参数意义可以在后面“启动节点服务器”中找到说明。“Listen Address”填写节点服务器IP或者DNS名。“Listen Port”默认是“5555”,请与此节点服务器启动时使用的端口一致。“Certificate”默认使用“config/democrt”,可以改成你自己生成的crt文件。“Certificate Passwrod”没有显示,如果更改了数字证书,则也应该同时修改此密码。“Trusted Certs File”默认是“config/trustedcrt”。
全部填写完后,点击“Appley”按钮。
点击左侧树状菜单中的“Servers”,在右侧框架中点击“Configure a new Server…”连接,在“Configuration->General”标签页的“Name”中添上节点服务器的名称,在“Machine”下拉菜单中选择刚刚建立的机器名,然后点击“Create”按钮。
点击“Configuration->Remote Start”标签页,当主服务器远程启动此节点服务器时,会调用这里设置的参数。如果不提供这些参数,那么主服务器会使用节点服务器启动监听时设置的变量值。由于在下面将要介绍的“远程启动节点服务器”中会提到启动监听时的变量设置,这里就不讲如何填写这些参数了,因为不填也可以。
编辑config/nodemanagerhosts这个文件,删除里面的默认值,然后添加主服务器的地址。
本地启动节点服务器:
可以使用节点服务器上的“WLS目录\config\与主服务器相同的域名\startManagedWebLogiccmd”这个脚本文件来在本地启动节点服务器。启动之前需要在此节点机器的系统环境变量中(在“我的电脑”上按右键->属性->高级->环境变量->系统变量->添加…)添加两个环境变量(其值的格式可参考startManagedWebLogiccmd文件的第68行):
ADMIN_URL=主服务器地址和端口
SERVER_NAME=此节点服务器名
再次提醒一下,要启动的节点服务器必须与主服务器在同一个域中(域名相同,比如都是mydomain),而且WLS版本也要相同。添加后,先保证主服务器正在运行,然后执行此脚本来启动节点服务器。在命令行窗口中您会发现,此节点服务器首先连接到主服务器上面来获得配置信息,然后用此配置来启动服务器。
要关闭此节点服务器可以使用命令行:
java weblgoicAdmin url host:port SHUTDOWN username:adminname password password
也可以在主服务器控制台上关闭此节点服务器,只要在左侧菜单中右键选择此节点服务器图标,选择“Stop this server…”即可。“Kill this server…”在这里不能用,必须打开节点服务器监听才可以使用此命令,如何进行监听,请看下面介绍。
远程启动节点服务器:
这与启动主服务器一样,只是启动命令和参数不同。如果一台节点服务器启动了监听,那么主服务器就可以远程启动这台节点服务器。
-DweblogicnodemanagerlistenAddress=host 受控服务器IP或者DNS名
-DweblogicnodemanagerlistenPort=post 监听端口,默认5555
-DweblogicnodemanagersavedLogsDirectory=path 日志目录,默认NodeManagerLogs目录。
-Dweblogic,nodemanagercertificateFile=path 数字证书的路径和文件名
-DweblogicnodemanagercertificateType=type 数字证书类型默认RSA,还可以是DSA。
-DweblogicnodemanagercertificatePassword=pkpassword 私锁密码
-DweblogicnodemanagertrustedCerts=path 被认可的权威授权列表,默认为config/trustedcrt。
-DweblogicnodemanagerreverseDnsEnabled=true 如果使用DNS名来指定受控服务器地址,则要设定此项为true。默认为false。
-DweblogicnodemanagertrustedHosts=path 指定存放可以被信任的主机列表文件路径。默认为config/nodemanagerhosts文件,其中默认设定的是本机地址,请修改成主服务器地址。只有列表中存在的服务器地址才能与本节点服务器通信。一般来说文件只包含主服务器的地址这么一行就够了。
-Dbeahome=dir BEA Home路径
-Djavasecurityplicy==policy_file 默认是“WLS目录/lib/weblogicpolicy”
-DweblogicnodemanagersslHostNameVerificationEnabled=true 默认情况下,节点服务器并不进行主机名验证,如果要使用验证,设此项为true。
如果想使用脚本来启动监听,请用文本编辑器编辑节点服务器上config目录下面的startNodeManagercmd文件,添加一个启动参数:
-DweblogicnodemanagerlistenAddress=此节点服务器的IP或者DNS名
做完以上修改后就可以运行此脚本来启动此节点服务器监听了,启动后命令行窗口会显示正在此节点服务器地址上用端口(5555)进行监听的信息。
您可以将节点服务器作为一项windows服务,这样每次启动计算机都可以自动启动节点服务器。作为节点服务器来说,推荐您将其注册成windows服务。您可以复制installNtServicecmd和uninstallNtServicecmd文件,并改名成installNMNtServicecmd和uninstallNMNtServicecmd。然后参考上面介绍的命令和startManagedWebLogiccmd中的内容修改这两个文件中的内容:将“weblogicServer”改成“weblogicnodemanagerNodeManager”以便启动节点服务器。更改-svcname参数并使installNMNtServicecmd和uninstallNMNtServicecmd中的此参数值保持一致。其他参数请自行修改。
若要远程启动关闭节点服务器,登陆到主服务器的控制台,展开左侧树状菜单中的“Servers”,然后在想要启动的节点服务器图标上点击右键,选择“Start this Server…”,这会启动选中的远程节点服务器。选择“Stop this Server…”会关闭选中的远程节点服务器。选择“Kill this Server…”会杀掉没有响应的远程节点服务器。选择“Get StdOut for this server…”和“Get StdErr for this server…”可以查看此服务器的系统消息。

11 配置服务器证书第一步:执行“开始à程序à管理工具àInternet服务管理器”,打开服务管理器。第二步:右键单击需要采用SSL协议的WEB站点,选择“属性”,在Web站点选项视图中填写SSL端口为:443。(也可以根据需要修改端口)如图第三步:选择“目录安全性”选项,第四步:选择服务器证书,单击下一步会出现设置IIS服务器证书向导,第五步:选择“创建一个新证书”,然后跟随向导填写相关内容,生成证书申请书。用此申请书到CA签发服务器证书。注意在CA填写的证书申请信息一定要同此处填写的证书申请信息相同。第六步:当证书签发完毕后,再次打开向导,现在里边的选项已经不同了,跟随向导将证书导入,关于每一步向导中都备有详细说明,这里不做赘述。第七步:现在,你的服务器已经有了属于自己的证书,我们可以开始配置SSL选项。在“目录安全性”选项视图下的“安全通信”中选择“编辑”选项。如图第八步:在此选择“申请安全通道(SSL)”项,就已经建立起SSL通道,在“客户证书”项下可以选择验证客户证书的具体方式,“忽略客户证书”是不要求验证客户证书,“接收客户证书”是用证书验证拥有证书的客户,没有证书的客户按其他方法来验证。“申请客户证书”是只与拥有证书的客户进行通信。我们可以根据需要来进行选择。对于双向验证要求选择“申请客户证书”。第九步:在服务端导入CA根证书在IIS服务器上,双击打开CA的根证书(必须是签发IIS服务器证书的CA)。CA的根证书可以从CA的网站上下载单击安装证书,出现安装证书向导单击下一步选择证书存储区域,选择“将所有证书放入下列存储区域”,单击“浏览”出现选择存储区域对话框,选中“显示物理存储区”后,选择“受信任的根证书颁发机构->本地计算机”,单击确定。显示我们刚刚选择的路径,单击下一步,显示我们刚刚做过的设置单击完成按钮,导入CA根证书完成。第十步:取消IIS对CRL列表信息的校验在公安PKI/PMI体系中,对于证书有效性的验证在应用程序中进行。故需要取消IIS自身对CRL的检验。在控制台下进入C:\Inetpub\AdminScripts目录(这个目录在安装完IIS后会自动生成)执行如下命令,取消IIS对CRL的校验:cscript adsutilvbs set w3svc/certcheckmode 1

你说的CA服务器应该是指CA认证机构的机房的服务器,或者是企业自建CA的服务器,你先看看下面的文章,有什么不明白的可以再提问~~
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份z明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
数字证书认证中心(Certficate Authority,CA)是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心(根CA)。
电子交易的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
认证中心(CA),是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。

具体步骤如下:
1域控制器上,在管理工具—服务器管理器—角色—打开添加角色向导—添加角色;AD安装服务;
2点击—下一步,在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;
3在指定安装类型中选择”企业”,单击’下一步’;
4在“CA类型中选择根CA”,单击下一步;
5在设置私钥窗口中选择“新建私钥”,单击下一步;
6在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,单击“下一步”;
7选择按指导项单击“下一步”到确认—安装;
8安装完成后,从管理工具中可以看到“Certification Authority”打开证书颁发机构管理器,管理证书的颁发;
9为web站点应用证书前必须生成证书,用以标识证书应用于哪个站点,打开Insternet信息服务管理器中—打开—服务器证书;
10打开后,首先先创建证书申请;在分辨名称属性窗口中通用名称可以是IP或者域名;其他设置根据需求填写;
11在文件名窗口,为该证书申请指定一个文件名和保存路径单击完成创建证书申请;
12打开证书申请文件C:\Users\Administrator\Desktop\qiangmengtxt,可见证书申请文件时Base64编码,复制全部编码,提示:不能随意改动:
13在申请到文件编码后,现在应该提交所申请的证书,在浏览器中输入:>

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/12838193.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-28
下一篇 2023-05-28

发表评论

登录后才能评论

评论列表(0条)

保存