对企业来说,建立自己的网络销售体系,实现真正意义上的电子商务是件很有吸引力的事情。然而,网络上的种种不安全性又使众多企业望而却步。如何在网上方便地营造一个安全的环境呢?Windows 2000为企业加强电子商务的安全性提供了有效工具,限于篇幅的关系,我们主要探讨一下其中能够提供CA认证的证书管理服务。
什么是密钥和电子证书?
---- 在电子商务过程中,网络上往往要传输机密的或隐私的信息。在Internet环境中交易双方不是面对面的,如何保证信息传输中的安全性,又如何在这种环境下建立一种信任关系呢?网上传输的关键信息应进行加密,可以利用密钥体系和CA认证来相互确认并传输加密信息。现在,这种方式在电子商务中正越来越多地被采用。我们首先来了解一下密钥和电子证书的概念。
---- 在Windows 2000中,系统主要采取2种验证协议,即Kerberos和公用密钥体制(PKI)。Kerberos是对称密钥,即双方的密钥是相同的。公用密钥是非对称密钥,即双方的密钥是不同的。显然,不同的密钥是更安全的。在Internet 环境中我们采用公用密钥体制,即每个密钥拥有者都拥有2个密钥: 公钥和私钥。公钥用来加密和验证签名,私钥用来解密和进行数字签名。具体地说,公钥是公开的,用来给别人在向自己传输信息时进行加密。私钥自己留着,只有用这把私钥才能解开传输过来的用公钥加密的信息。既然如此,如何获得公钥并确认公钥拥有者的身份呢?我们可以建立一个认证中心(CA),大家都信任它,由它来颁发含有公钥及其拥有者身份信息和数字签名的电子证书。任何信任认证中心的一方,都可以通过验证对方的电子证书来建立同对方的信任关系,并获取对方的公钥进行加密通信。如此看来,建立认证中心是所有环节中最重要的。Windows 2000 Server提供了一整套颁发证书和管理证书的功能。通过此类功能,企业就可以为相关用户颁发证书,并利用它来控制只有获取证书的用户才可以进行基于安全通道协议(简称SSL,即对Web网站上加密文件的访问使用“https://”,而非“http://”方式)验证的访问。
如何建立认证中心?
---- 建立认证中心的过程是这样的: 选择“控制面板”*“添加/删除程序”*“添加/删除Windows 组件”,在可选项中选择“证书服务”,点击“详细信息”,确保“证书服务Web注册支持”和“证书服务颁发机构(CA)”2个选项都被选中(如图1所示),开始安装。此时,系统会提示您一旦选择了证书服务,计算机的域和机器名是不可更改的。安装开始,选择证书颁发的类型,主要包括企业根CA、企业从属CA、独立根CA和独立从属CA。由于证书颁发机构的设置是很重要的,这里需要特殊说明,企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构,可以独立地颁发证书。企业根CA需要Active Directory 支持,而独立根CA不需要。从属级的CA由于只能从另一证书颁发机构获取证书,所以一般不被选择。在Windows 2000 Server中,企业根CA使用 Active Directory 来确定申请人的身份,确定申请人是否具有申请他们所指定的证书类型的安全权限,并由此自动确定是否立即颁发证书或拒绝申请,这种策略设置不能被更改。如果选择此选项一定注意保护含有此服务的服务器,不能直接暴露在外。独立根CA可以选择在收到申请时自动颁发证书或将申请保持为搁置状态,由管理员验证证书申请者的真实性及合法性,决定是否颁发证书。我们可以根据需求选择合适的证书颁发类型。选好类型后,选择该页中的“高级”选项,进入下一步安装,填写CA的相关信息,如CA名称、单位、城市、电子邮件和有效期限等,再下一步进入高级选项页(如图2所示),此时可以选择用来生成密钥对的加密服务提供程序(CSP)、散列算和密钥长度,并可选择现有的密钥及相关证书等。选项的选择取决于对安全程度的要求、计算机的复杂运算能力、对响应时间的要求和系统管理证书的负载程度等。点击“下一步”按钮,选择证书数据库及日志的位置,确认后即可进行安装。
图1 证书服务对话框
图2 证书类型对话框
设置证书服务管理
---- 安装结束后,进行证书服务管理。如果选择的是企业根CA,您可以选择“管理工具”*“证书颁发机构”*“策略设置”(如图3所示),添加您所需的证书模板,如经过验证的会话、代码签名和注册代理等。选择“管理工具”*“Active Directory站点和服务”选项,点击菜单中“查看”*“显示服务节点”,拓展“Services”选项,查看“Publics key services”容器,可看到“Certificate Templates”(证书模板)选项(如图4所示),您可以指定某一模板为您指定的用户专用,也可以控制某一模板的用户和其安全控制权限。在“管理工具”*“域安全策略”选项中,选择“公钥策略”*“自动证书申请设置”进行设置,可以选择“计算机可以自动申请的证书类型”等使您的证书管理自动化。对于独立根CA,需要进行的设置较少。您可以选择“在收到证书申请时确定证书颁发机构”的默认动作,设置方法是:打开“证书颁发机构”,点击CA名称,选择“属性”*“策略模块”*“配置”,选择“证书申请设为待定,系统管理员必须专门颁发证书”,这样管理者可以直接控制证书的发放。对于相关的申请,在“证书颁发机构”*“待定申请”中选择相应的申请证书,可以选择“颁发”或“拒绝”选项。另外,无论企业根CA还是独立根CA都可以在“已颁发证书”选项中选择相应证书,单击右键进行“吊销证书”的操作。
图3 证书服务管理对话框
图4 证书模板对话框
证书服务的应用分析
---- 下面讲一下证书服务的一项应用:实现对IIS相关目录的安全访问。选择“管理工具”*“Internet信息服务”*“默认Web站点”,单击右键“属性”,选择“目录安全性”选项(如图5所示)。在“安全通信”下首先申请“服务器证书”。申请成功后,对IIS相关目录单击右键“属性”,选择“目录安全性”,在“匿名访问和验证控制”中选择“匿名访问”,然后在“安全通信”中选择“编辑”进入图6界面,在选择框中选“申请安全通道(SSL)”选项,再选择“接收客户证书”选项。客户端的用户通过证书服务Web登记页申请证书,为确保安全,也可在非CA服务器上安装Web登记页链接到CA服务器上。安装时在“证书服务”的安装选项(如图1所示)中取消“证书服务颁发(CA)”的复选框,确保选中“证书服务Web注册支持”复选框,在“计算机名称”选项中,键入安装证书颁发机构(CA)的计算机名称,然后进行安装。申请证书时在客户端用IE浏览器登录相关IIS主页下的Certsrv目录进行证书申请(如图7所示)。一般在用户申请中有Web浏览器证书和电子邮件保护证书2种,应先申请浏览器证书。申请递出后,将返回安装证书页面或拒绝的页面。如果在证书管理的策略模块中设置的是申请待定,则返回申请已被挂起的页面。在得到申请批准的消息后重新登录Certsrv目录,选择“检索CA证书目录或CA吊销列表”选项进行下一步,点击“安装此CA证书路径”选项进行证书的安装(如图8所示)。在证书安装成功后,在IE浏览器中选择“工具”*“lnternet选项”,在“高级”选项中加上PCT、SSL、TLS协议支持的选项。此时用浏览器浏览IIS下相应的目录,以https方式访问则出现所需证书的提示画面(没有证书则不能访问),选择您已申请的证书,若一切正确,则登录成功。
图5 目录安全性选项对话框
图6 安全通信编辑对话框
图7 认证申请对话框
图8 证书安装对话框