《ASP3高级编程》学习资料（讲稿）第二十五章 证书的使用

China°beo 第25章证书的使用 在前面的章节中,研究了许多基于web的应用程序的安全技术。这些技术都是用于处理 Internet上的安全问题。在网上,一些用户能够很容易地访问和操纵数据,而不需要任何事先 的验证。这些安全系统通过对非授权用户隐藏信息和在公用网上(如 Internet)建立虚拟的专 用网来工作。 然而,对访问数据的限制只是整个问题的一部分。在我们处理一些敏感数据传输时,我 们需要保证这些数据能安全到达其目的地,而不发生改变或在途中丢失数据。例如,从 dell. com网站购买一台新型电脑,用户不希望他们的信用卡号以明码传送。以这种方式传送的 信息,对于知道如何分析TCP数据包的应用程序(例如微软的 Netmon产品)而言,是完全可 以浏览的。使用类似于 NewMen的工具,可非常容易地读取这样的原始数据。因此可同时让零 售商和用户以加密的格式传送数据,以致于这种证书包除了他们,别人都不能破译数据的信 息。通信过程中证书的使用就是这样一种方式,可以确保客户和服务器之间的通信都是以安 全的方式进行的 在本章中,我们将研究证书( Certificate)如何验证用户确实是他声称的那个人,如何确 保在 Internet上传送的数据不被篡改。本章主要涉及证书的一些基本技术、证书的工作方式和 如何融合到Web站点之中。我们讨论的主要内容是: 致性和可靠性的基本概念。 证书的类型和证书机构( Certificates Authoritie) 有关获取证书的信息。 获取证书的示例 怎样使用证书 怎样用ASP管理证书。 怎样用 MS Certificate Services建立一个证书机构。 本章所涉及的内容用于处理服务器证书管理,要求在 Windows2000 Server或 Advanced Server操作系统下运行。但不能用于 Windows2000工作站版本,因为工作站版本没有证书服 务器选项 25.1安全性、一致性和可靠性 敏感数据传送的机制要求满足以下三个方面: ·安全性( Security):数据不能被其他人读取。 一致性( Identity):通信中的对方确实是他声称的身份 可靠性( Authenticity):获得的数据与传送的一致 提供安全通信的技术必须基于具有上述三个特点的机制,通常这些技术依赖于加密算法 这些算法用一种既难又费时的方法加密数据。因此,实际上任何人都不可能只根据加密数据 推算出原始数据。目前最好的加密算法基于一种名为非对称密钥加密( asymmetric key

下载 第25章 证书的使用 在前面的章节中，研究了许多基于 We b的应用程序的安全技术。这些技术都是用于处理 I n t e r n e t上的安全问题。在网上，一些用户能够很容易地访问和操纵数据，而不需要任何事先 的验证。这些安全系统通过对非授权用户隐藏信息和在公用网上（如 I n t e r n e t）建立虚拟的专 用网来工作。 然而，对访问数据的限制只是整个问题的一部分。在我们处理一些敏感数据传输时，我 们需要保证这些数据能安全到达其目的地，而不发生改变或在途中丢失数据。例如，从 d e l l . c o m网站购买一台新型电脑，用户不希望他们的信用卡号以明码传送。以这种方式传送的 信息，对于知道如何分析 T C P数据包的应用程序（例如微软的 N e t M o n产品）而言，是完全可 以浏览的。使用类似于 N e t M e n的工具，可非常容易地读取这样的原始数据。因此可同时让零 售商和用户以加密的格式传送数据，以致于这种证书包除了他们，别人都不能破译数据的信 息。通信过程中证书的使用就是这样一种方式，可以确保客户和服务器之间的通信都是以安 全的方式进行的。 在本章中，我们将研究证书（ C e r t i f i c a t e）如何验证用户确实是他声称的那个人，如何确 保在I n t e r n e t上传送的数据不被篡改。本章主要涉及证书的一些基本技术、证书的工作方式和 如何融合到We b站点之中。我们讨论的主要内容是： • 一致性和可靠性的基本概念。 • 证书的类型和证书机构（Certificates Authoritie）。 • 有关获取证书的信息。 • 获取证书的示例。 • 怎样使用证书。 • 怎样用A S P管理证书。 • 怎样用MS Certificate Services建立一个证书机构。 本章所涉及的内容用于处理服务器证书管理，要求在 Windows 2000 Server或A d v a n c e d S e r v e r操作系统下运行。但不能用于 Windows 2000 工作站版本，因为工作站版本没有证书服 务器选项。 25.1 安全性、一致性和可靠性 敏感数据传送的机制要求满足以下三个方面： • 安全性（S e c u r i t y）：数据不能被其他人读取。 • 一致性（I d e n t i t y）：通信中的对方确实是他声称的身份。 • 可靠性（A u t h e n t i c i t y）：获得的数据与传送的一致。 提供安全通信的技术必须基于具有上述三个特点的机制，通常这些技术依赖于加密算法， 这些算法用一种既难又费时的方法加密数据。因此，实际上任何人都不可能只根据加密数据 推算出原始数据。目前最好的加密算法基于一种名为非对称密钥加密（ asymmetric key

china-pub.com 第5章证书的使用757 下载 encry ption)的技术,这种加密方法看起来十分简单,但却依赖于复杂的数学算法。这种非对 称密钥加密机制不仅可以保证安全性,还可以保证一致性和可靠性 非对称密钥加密 下面简要解释一下非对称密钥加密机制 两个用户要在网络中以保密方式交换数据。接收者有两个数学上相关的密钥。一个密钥就 是一段数据,通过密钥可以对其他数据加密或解密。这两个密钥有特殊的关系,一个对数据加 密,只有另一个才能解密并恢复原始信息。接收者给发送者一个密钥,发送者用它来加密。在 两个用户间传送的这个密钥叫公共密钥( public key),另一个叫私有密钥( private key)。 接收者永远不会泄露其专用密钥,但可以将公共密钥给任何人。如果发送者要向接收者 发送一些秘密数据,可以先用接收者的公共密钥加密。只有持有私有密钥的人,才能破译加 密数据。图25-1显示了采用非对称密钥加密交换数据的步骤 ①发送者发送他的公共密钥 公共密钥一 ②接受者用发送者的 公共密钥加密数据 ③接受者发送加密后 的数据给发送者 发送者④发送者用他的私有密钥解码数据接收者 私有密钥 图25-1采用非对称密钥加密交换数据 这种基于公共与私有密钥的数学关系的加密机制功能很强大,有很高的安全性。但这种 数学关系十分复杂,这两种密钥间特有的关系基于分解巨大的数字。一台指令周期为1us的计 算机分解一个200位的数字需要40亿年。由此可以看出分解数字的数学复杂性和加密的安全性 这种非对称密钥加密机制是在网络上安全通信的基础,可用于安全通信协议,如安全套接字 层( Security Socket Layer,SsL)。SSL协议为启动τcPP连接提供安全握手。IS用它来建立 客户和服务器间的安全连接,在254.1节中,我们会看到在IS中使用SSL进行安全连接 1.非对称密钥加密与一致性 在有些环境下,这种安全通信形式不能保证发送者的身份可靠性,这就涉及到一致性的 确认。假设我们收到朋友发来的一封电子邮件,就可以通过非对称密钥加密方式来防止他人 偷看这些秘密信息,这能保证不会有第三者读取我们的秘密信息,但不能确保这些信息确实 是发自我们的朋友。因为任何人都可以获取公共密钥,这样任何人都可假冒我们的朋友给我 们发送信息。 这个问题在电子商务应用程序中非常重要。人们要确信是从与他们在网上洽谈的卖方购 买东西,而卖方也需想确认真正的买主,以及他们是否要购买选定的东西。总之,想要确认 对方的身份,就会遇到这个问题

e n c r y p t i o n）的技术，这种加密方法看起来十分简单，但却依赖于复杂的数学算法。这种非对 称密钥加密机制不仅可以保证安全性，还可以保证一致性和可靠性。 非对称密钥加密 下面简要解释一下非对称密钥加密机制。 两个用户要在网络中以保密方式交换数据。接收者有两个数学上相关的密钥。一个密钥就 是一段数据，通过密钥可以对其他数据加密或解密。这两个密钥有特殊的关系，一个对数据加 密，只有另一个才能解密并恢复原始信息。接收者给发送者一个密钥，发送者用它来加密。在 两个用户间传送的这个密钥叫公共密钥（public key），另一个叫私有密钥（private key）。 接收者永远不会泄露其专用密钥，但可以将公共密钥给任何人。如果发送者要向接收者 发送一些秘密数据，可以先用接收者的公共密钥加密。只有持有私有密钥的人，才能破译加 密数据。图2 5 - 1显示了采用非对称密钥加密交换数据的步骤。 图25-1 采用非对称密钥加密交换数据 这种基于公共与私有密钥的数学关系的加密机制功能很强大，有很高的安全性。但这种 数学关系十分复杂，这两种密钥间特有的关系基于分解巨大的数字。一台指令周期为 1ms的计 算机分解一个2 0 0位的数字需要4 0亿年。由此可以看出分解数字的数学复杂性和加密的安全性。 这种非对称密钥加密机制是在网络上安全通信的基础，可用于安全通信协议，如安全套接字 层（Security Socket Layer，S S L )。S S L协议为启动T C P / I P连接提供安全握手。I I S用它来建立 客户和服务器间的安全连接，在 2 5 . 4 . 1节中，我们会看到在I I S中使用S S L进行安全连接。 1. 非对称密钥加密与一致性 在有些环境下，这种安全通信形式不能保证发送者的身份可靠性，这就涉及到一致性的 确认。假设我们收到朋友发来的一封电子邮件，就可以通过非对称密钥加密方式来防止他人 偷看这些秘密信息，这能保证不会有第三者读取我们的秘密信息，但不能确保这些信息确实 是发自我们的朋友。因为任何人都可以获取公共密钥，这样任何人都可假冒我们的朋友给我 们发送信息。 这个问题在电子商务应用程序中非常重要。人们要确信是从与他们在网上洽谈的卖方购 买东西，而卖方也需想确认真正的买主，以及他们是否要购买选定的东西。总之，想要确认 对方的身份，就会遇到这个问题。 第25章 证书的使用计计757 下载 ①发送者发送他的公共密钥 ②接受者用发送者的 公共密钥加密数据 ③接受者发送加密后 的数据给发送者 发送者 ④发送者用他的私有密钥解码数据 私有密钥 接收者 公共密钥

758 ASP3高级编程 China coM 下载 在本章里,一致性指的是识别一个人或一个公司的机制。从技术上讲,它是从一个真实 实体(如一个人或一个公司)到一个 Internet实体(如一个网址、网络浏览器或一个电子邮件 程序)的映射 我们可以用非对称密钥加密机制来确认一致性。注意,我们用公共密钥加密的数据只能用 私有密钥解密。然而,反过来也是如此,用私有密钥加密的数据只能用公共密钥才能解密。因 此,只需颠倒这对密钥的角色就可以确认一致性。发送者用他的私有密钥发送信息,接收者用 发送者的公共密钥对信息解密,这就确保了他接收的信息来自持有私有密钥的人,图25-2显示 了一致性确认过程 公共密钥 ①发送者发送他的公共密钥 发送者用他的私有 密钥加密数据 ③发送者发送加密后的数据给接收 接收者 私有密钥 ④接收者用发送者的公共密钥解码 图25-2一致性确认示意图 2.非对称密钥加密与可靠性 致性的确认也暗示了数据传输的可靠性,即接收的数据与发送的数据完全相同。其实 非对称密钥加密本身的特点就意味着如果信息有误,接收者将不可能用发送者的公共密钥解 密。然而,有时我们想发送一些普通数据,也需要接收者能够证明数据发自于我们,而且没 有发错。例如每个人都可读取一个公用合法文件,但其可靠性应该得到确认。为了使人们都 能确认数据的可靠性,可以使用一种数字签名( digital signature)技术。 数字签名相当于一个人的手写签名,可用来确认发送者的身份和确保数据(文件、消 息、软件等)在传输中没有改变。它来自于一个字符串,叫做文档散列或校验和,是从文 发送者发送文档和签名 签名算法 验证算法 数字签名 数字签名 私有密钥 公共密钥 图25-3数字签名使用示意图

在本章里，一致性指的是识别一个人或一个公司的机制。从技术上讲，它是从一个真实 实体（如一个人或一个公司）到一个 I n t e r n e t实体（如一个网址、网络浏览器或一个电子邮件 程序）的映射。 我们可以用非对称密钥加密机制来确认一致性。注意，我们用公共密钥加密的数据只能用 私有密钥解密。然而，反过来也是如此，用私有密钥加密的数据只能用公共密钥才能解密。因 此，只需颠倒这对密钥的角色就可以确认一致性。发送者用他的私有密钥发送信息，接收者用 发送者的公共密钥对信息解密，这就确保了他接收的信息来自持有私有密钥的人，图 2 5 - 2 显示 了一致性确认过程。 图25-2 一致性确认示意图 2. 非对称密钥加密与可靠性 一致性的确认也暗示了数据传输的可靠性，即接收的数据与发送的数据完全相同。其实， 非对称密钥加密本身的特点就意味着如果信息有误，接收者将不可能用发送者的公共密钥解 密。然而，有时我们想发送一些普通数据，也需要接收者能够证明数据发自于我们，而且没 有发错。例如每个人都可读取一个公用合法文件，但其可靠性应该得到确认。为了使人们都 能确认数据的可靠性，可以使用一种数字签名（ digital signature）技术。 数字签名相当于一个人的手写签名，可用来确认发送者的身份和确保数据（文件、消 息、软件等）在传输中没有改变。它来自于一个字符串，叫做文档散列或校验和，是从文 758计计ASP 3 高级编程 下载 公共密钥 ①发送者发送他的公共密钥 ③发送者发送加密后的数据给接收者 ②发送者用他的私有 密钥加密数据 私有密钥 ④接收者用发送者的公共密钥解码 发送者 接收者 发送者发送文档和签名 签名算法 验证算法 私有密钥 公共密钥 数字签名 数字签名 图25-3 数字签名使用示意图

inaopub.com 第3章证的使用759 下载 档中通过计算得出的,并由建立文档的人用私有密钥加密而成。文档散列就像是文档的指 纹,产生于散列算法,这些算法提取大量数据并只返回一小部分,通常是固定大小的。散 列算法对不同的文档得到相同的文档散列是极困难的,而仅通过改变一些字符来获取相同 的散列值更困难 数字签名机制将散列字符串绑定到文档和私有密钥的持有者。要确认文档的可靠性,可 以用发送者的公共密钥解密签名(这样就确认了发送者的一致性),生成文档校验和,并将之 与接收的数据比较,图25-3显示了如何运用数字签名过程 为文档建立一个数字签名称为给文档签名,给文档签名并不是改变其内容,只是生成一 个数字签名,可以将其绑定到文档上或单独传送 252证书与证书机构 非对称密钥加密是保证传输数据的安全性、一致性和可靠性的基本机制。所有功能都依 赖于公共密钥的分发,以及私有密钥与公共密钥匹配。换句话说,如果给他人发送加密信息, 需要知道他的公共密钥:或者如果收到一个签名的文档,就需要用发送者的公共密钥去核实 他的可靠性。 然而,我们收到一个公共密钥,并不能确认发送信息的人正是所找的人。很可能会有人 错发了公共密钥。需要记住的是非对称密钥加密只确保密钥匹配机制的工作,而不是公共密 钥掌握在哪个人手中 证书可以解决匹配问题。证书技术允许个人被唯一地确认身份,这样如果证书是有效的, 所信任的应用程序或服务器就可以轻易验证他。然而,证书技术并不限于对单个用户进行验 证。它也可以验证文档,如电子邮件或其他任何支持证书加密的应用程序 1.证书的概念 数字证书是一个唯一的记录,包含用于证实个人或组织的身份的必要信息。数字证书来 源于ⅹ.509标准化格式,执行了RSA实验室提出的公共密钥密码标准( Public-Key Cryptography Standards,PKCS)。我们可以在htt/ vww. rsa. com/ rsalabs/pubs/PKCS/上找到 更多的关于这些标准的信息 X.509标准描述了一些证书要求: 证书使用的格式版本 ·证书的序列号。 用于签署证书的算法的标识符。 ·发出证书的证书机构 证书的初始日期与终止日期。 拥有者的姓名。 拥有者的公共密钥 证书机构的数字签名。 每项都对应于证书结构的特定字段。证书也可以包括其他信息,如邮政地址、电子邮件 地址、国家、年龄、性别等等。这种附加的数据是可选的,取决于特定的证书类型。表25-1 显示了证书的字段的一个典型实例

档中通过计算得出的，并由建立文档的人用私有密钥加密而成。文档散列就像是文档的指 纹，产生于散列算法，这些算法提取大量数据并只返回一小部分，通常是固定大小的。散 列算法对不同的文档得到相同的文档散列是极困难的，而仅通过改变一些字符来获取相同 的散列值更困难。 数字签名机制将散列字符串绑定到文档和私有密钥的持有者。要确认文档的可靠性，可 以用发送者的公共密钥解密签名（这样就确认了发送者的一致性），生成文档校验和，并将之 与接收的数据比较，图2 5 - 3显示了如何运用数字签名过程。 为文档建立一个数字签名称为给文档签名，给文档签名并不是改变其内容，只是生成一 个数字签名，可以将其绑定到文档上或单独传送。 25.2 证书与证书机构 非对称密钥加密是保证传输数据的安全性、一致性和可靠性的基本机制。所有功能都依 赖于公共密钥的分发，以及私有密钥与公共密钥匹配。换句话说，如果给他人发送加密信息， 需要知道他的公共密钥；或者如果收到一个签名的文档，就需要用发送者的公共密钥去核实 他的可靠性。 然而，我们收到一个公共密钥，并不能确认发送信息的人正是所找的人。很可能会有人 错发了公共密钥。需要记住的是非对称密钥加密只确保密钥匹配机制的工作，而不是公共密 钥掌握在哪个人手中。 证书可以解决匹配问题。证书技术允许个人被唯一地确认身份，这样如果证书是有效的， 所信任的应用程序或服务器就可以轻易验证他。然而，证书技术并不限于对单个用户进行验 证。它也可以验证文档，如电子邮件或其他任何支持证书加密的应用程序。 1. 证书的概念 数字证书是一个唯一的记录，包含用于证实个人或组织的身份的必要信息。数字证书来 源于 X . 5 0 9标准化格式，执行了 R S A实验室提出的公共密钥密码标准（ P u b l i c - K e y Cryptography Standards，P K C S）。我们可以在h t t p : / / w w w.rsa.com /rsalabs/pubs/PKCS/上找到 更多的关于这些标准的信息。 X . 5 0 9标准描述了一些证书要求： • 证书使用的格式版本。 • 证书的序列号。 • 用于签署证书的算法的标识符。 • 发出证书的证书机构。 • 证书的初始日期与终止日期。 • 拥有者的姓名。 • 拥有者的公共密钥。 • 证书机构的数字签名。 每项都对应于证书结构的特定字段。证书也可以包括其他信息，如邮政地址、电子邮件 地址、国家、年龄、性别等等。这种附加的数据是可选的，取决于特定的证书类型。表 2 5 - 1 显示了证书的字段的一个典型实例。 第25章 证书的使用计计759 下载

76093高级程 Chinapub coM 表25-1证书的典型结构 字段 Version Serial number 6F314B0248C6243D2FCD6B7BDC881D8 Sign algorithm RSA(512位) Issuer ensIgn In Initial date Expiration date 07/070023.59.59 Owner's name John smith Owner's public key 3047024007E9C8F3EDEC8ADA4C57A46F1C9D07BF BEF54680B4FD3CF9E406465A702030100016A72F1 存储在证书字段中的有些信息将在以后的章节内详细讲述。表25-1说明的是证书所必需 的基本结构。注意,证书本身并不能确认个人的身份,任何人都可根据标准格式创建和发布 证书。发布证书的系统要遵守一些非常严格的标准,这样证书才能提供我们所要的安全性。 2.证书机构 在标准证书格式所需的信息中,注意一下证书机构( Certificate Authority,CA),也就是 表25-1中的发行者( Issuer)。CA是负责确认公共密钥的匹配的一个受信任的第三方伙伴,即 它证实某一公共密钥是属于已知用户的。CA负责发布、撤消、刷新数字证书以及为数字证书 提供目录。在为个人或组织发证书前,CA必须经过严格的过程才确认他们。这就确保了该密 钥匹配过程的合法性。CA可以被认为是 Internet上的公证人 表25-1显示的证书结构有两项与CA有关的字段: Issuer与 Issuer's signature。这说明CA 确保它所存储的公共密钥属于证书的持有者。这种办法只是将个人可信性转变为CA的可信 性问题。但谁又能保证CA是可信的?回答这个问题并不简单。但是,信任是CA存在的基 目前,许多组织提供证书服务。由于电子商务的需要,这种组织日益增多。表25-2显示 些知名的CA和他们的网址。 表25-2一些知名的CA和他们的网址 机构名称 URL Belser www.belsign.be Certisign Certificadora Digita www.certsign.com.br COST ww. cost. se Entrust Technologies trust. com Www. GTE CyberTrust www.cybertrust.gte.com www.interclear.co.u Keywitness SETco www.thawte.com Xcert Software www.xcert.com 当两个用户或两个组织交换他们的证书后,只要他们信任发布证书的CA,就可以确认对

表25-1 证书的典型结构 字 段 内 容 Ve r s i o n V 3 Serial Number 6 F 3 1 4 B 0 2 4 8 C 6 2 4 3 D 2 F C D 6 B 7 B D C 8 8 1 D 8 3 S i g n . A l g o r i t h m RSA(512 位) I s s u e r VeriSign Inc. Initial date 07/08/99 0.00.00 Expiration date 07/07/00 23.59.59 O w n e r’s name John Smith O w n e r’s public key 3 0 4 7 0 2 4 0 0 7 E 9 C 8 F 3 E D E C 8 A D A 4 C 5 7 A 4 6 F 1 C 9 D 0 7 B F 0… I s s u e r’s signature 9 B E F 5 4 6 8 0 B 4 F D 3 C F 9 E 4 0 6 4 6 5 A 7 0 2 0 3 0 1 0 0 0 1 6 A 7 2 F 1… 存储在证书字段中的有些信息将在以后的章节内详细讲述。表 2 5 - 1说明的是证书所必需 的基本结构。注意，证书本身并不能确认个人的身份，任何人都可根据标准格式创建和发布 证书。发布证书的系统要遵守一些非常严格的标准，这样证书才能提供我们所要的安全性。 2. 证书机构 在标准证书格式所需的信息中，注意一下证书机构（ Certificate Authority，C A），也就是 表2 5 - 1中的发行者（I s s u e r）。C A是负责确认公共密钥的匹配的一个受信任的第三方伙伴，即 它证实某一公共密钥是属于已知用户的。 C A负责发布、撤消、刷新数字证书以及为数字证书 提供目录。在为个人或组织发证书前， C A必须经过严格的过程才确认他们。这就确保了该密 钥匹配过程的合法性。C A可以被认为是I n t e r n e t上的公证人。 表2 5 - 1显示的证书结构有两项与 C A有关的字段： I s s u e r与I s s u e r’ s signature。这说明C A 确保它所存储的公共密钥属于证书的持有者。这种办法只是将个人可信性转变为 C A的可信 性问题。但谁又能保证 C A是可信的？回答这个问题并不简单。但是，信任是 C A存在的基 础。 目前，许多组织提供证书服务。由于电子商务的需要，这种组织日益增多。表 2 5 - 2显示 了一些知名的C A和他们的网址。 表25-2 一些知名的C A和他们的网址 机 构 名 称 U R L B e l s i g n w w w. b e l s i g n . b e Certisign Certificadora Di g i t a l w w w. c e r t s i g n . c o m . b r C O S T w w w. c o s t . s e Entrust Technologies w w w. e n t r u s t . c o m E u r o S i g n w w w. e u r o s i g n . c o m GTE CyberTr u s t w w w. c y b e r t r u s t . g t e . c o m I n t e r C l e a r w w w. i n t e r c l e a r. c o . u k Keywitness w w w. k e y w i t n e s s . c a S E Tc o w w w. s e t c o . o rg T h a w t e w w w. t h a w t e . c o m Ve r i s i g n w w w. v e r i s i g n . c o m Xcert Software w w w. x c e r t . c o m 当两个用户或两个组织交换他们的证书后，只要他们信任发布证书的 C A，就可以确认对 760计计ASP 3 高级编程 下载

第5章证的使用761 下载 方的身份。每个证书都包含持有者的公共密钥,因此,可以用它加密数据发送给证书的持有 者。证书还包含CA的数字签名,这就确保没有人修改过证书,它所存储的信息准确无误。 数字签名是文档建立者用私有密钥制作的。因此,为了确认证书是由特定的CA签发的, 就需要CA的公共密钥。在25.5节中会看到,多数CA的公共密钥通常与浏览器、电子邮件程序 以及其他软件包一起分发。这样用户就可以确认某一证书的可靠性。 3.证书的类型 Internet上常用的数字证书有四种,每一种都有其特定的作用范围: ·服务器证书( Server Certificate):即 Server id。这些证书允许确认使用安全通信协议 (如SSL)的服务器的身份。用户可以在发送秘密信息前确认服务器或Web站点的身份 个人证书( Personal certificate):用于确认个人。服务器可以用他们来鉴别用户,或安 全发送电子邮件。 ·软件发布者证书( Software publisher Certificate):用来给在 Internet上发布的软件签名 它们解决了目前软件产业面临的一个重大问题,即用户怎样才能相信 Internet上发布的 代码。软件包用商标和密封包装使用户相信他们的完整性,商标代表着信用和声誉,密 封包装则保证封装后就没人动过它。但在 Internet上发布的代码没有这些安全保证。为 了提供这种保证,软件发行商就需要一个数字的安全保证,代码签名就是 Internet上的 商标和密封包装。然而软件发布者证书不能确保签名的代码可以安全运行或没有错误。 ·CA证书( Certificate Authority Certificate),用于确认CA。这种类型的证书需要做出 些解释。CA可以分为两大类:根CA和中介CA。它们的区别在于,根CA可以发布任 何形式的证书,并由本身确认。而中介CA除了不能发布其本身的证书外,可以发布其 他任何形式的证书。根CA证书是唯一一种发布者和持有者是同一人的证书。根CA可 以给中介CA发布证书,而且中介CA可以给其他中介CA发布证书。CA发布给其他CA 的证书就是CA证书,这就有了证书的层次结构,每一层都向他的发布者寻求信誉担保 直到根CA。这个层次结构就是CA链。这种CA的层次结构来自于它的组织形式,如地 理位置、发给的证书类型、管理的方便性等。 图25-4显示了基于地理位置和发给的证书类型的CA链的示例 根CA 美国CA 中介C 欧洲CA 个人证书CA (服务器证书C 个人证书CA 服务器证书CA 图25-4CA链的示例 这种层次结构主要优点是只要信任相应的根CA,就可以信任证书。也就是说只要相信 CA链的根CA,就可以相信每个中介CA

方的身份。每个证书都包含持有者的公共密钥，因此，可以用它加密数据发送给证书的持有 者。证书还包含C A的数字签名，这就确保没有人修改过证书，它所存储的信息准确无误。 数字签名是文档建立者用私有密钥制作的。因此，为了确认证书是由特定的 C A签发的， 就需要C A的公共密钥。在2 5 . 5节中会看到，多数C A的公共密钥通常与浏览器、电子邮件程序 以及其他软件包一起分发。这样用户就可以确认某一证书的可靠性。 3. 证书的类型 I n t e r n e t上常用的数字证书有四种，每一种都有其特定的作用范围： • 服务器证书（ Server Certificate）：即Server ID。这些证书允许确认使用安全通信协议 （如S S L）的服务器的身份。用户可以在发送秘密信息前确认服务器或 We b站点的身份。 • 个人证书（Personal Certificate）：用于确认个人。服务器可以用他们来鉴别用户，或安 全发送电子邮件。 • 软件发布者证书（Software Publisher Certificate）：用来给在I n t e r n e t上发布的软件签名。 它们解决了目前软件产业面临的一个重大问题，即用户怎样才能相信 I n t e r n e t上发布的 代码。软件包用商标和密封包装使用户相信他们的完整性，商标代表着信用和声誉，密 封包装则保证封装后就没人动过它。但在 I n t e r n e t上发布的代码没有这些安全保证。为 了提供这种保证，软件发行商就需要一个数字的安全保证，代码签名就是 I n t e r n e t上的 商标和密封包装。然而软件发布者证书不能确保签名的代码可以安全运行或没有错误。 • C A证书（Certificate Authority Certificate），用于确认C A。这种类型的证书需要做出一 些解释。C A可以分为两大类：根 C A和中介 C A。它们的区别在于，根 C A可以发布任 何形式的证书，并由本身确认。而中介 C A除了不能发布其本身的证书外，可以发布其 他任何形式的证书。根 CA 证书是唯一一种发布者和持有者是同一人的证书。根 CA 可 以给中介 C A发布证书，而且中介 C A可以给其他中介 C A发布证书。C A发布给其他C A 的证书就是C A证书，这就有了证书的层次结构，每一层都向他的发布者寻求信誉担保， 直到根 C A。这个层次结构就是 C A链。这种C A的层次结构来自于它的组织形式，如地 理位置、发给的证书类型、管理的方便性等。 图2 5 - 4显示了基于地理位置和发给的证书类型的 C A链的示例。 图25-4 CA 链的示例 这种层次结构主要优点是只要信任相应的根 C A，就可以信任证书。也就是说只要相信 C A链的根C A，就可以相信每个中介C A。 第25章 证书的使用计计761 下载 根CA 美国CA 中介CA 欧洲CA 个人证书CA 服务器证书CA 个人证书CA 服务器证书CA

762 SP3高级编程 下载 25.3从证书机构获取证书 要得到一个证书,必需与证书机构(CA)打交道。获取证书的过程称为注册( enrollment, 获取不同类型的证书的过程又有些不同。 在注册前,应该认真考虑选择CA。这儿有几个需考虑的问题 A是否值得依赖,它的证书业务是否既可满足我们的需要又能在我们的区域内有效? 作为一个知名的值得依赖的组织,客户和其他CA应该能立刻识别他。如果选择了不著名 的CA,其他用户很可能们拒绝我们的证书 CA是否熟悉我们组织的商业利益?从技术、法律和商业角度选择相应的CA。 ·CA为了确认身份,会要求我们提供哪些类型的信息?大多数CA要求提供详细的信息 如我们的身份、我们组织的身份及管理web服务器的正式权力。根据所需身份识别担保 的级别,CA可能需要更多的信息,如专业关系或财政收入,以及公证人对这些信息 认可 CA是否有一个接收在线证书请求的系统,如那些由密钥管理服务器产生的请求?一个 在线系统能够加快处理证书请求的速度。多数CA都有该系统 每个CA都有其相应的证书操作说明( Certification Practices Statement,CPS),公开陈述 执行的操作过程,通常发布在CA的网站上。因此在申请证书前可以阅读它。 图25-5显示了 Thawte CA的主页,注意到CPS及证书注册窗体的连接 THAWTE C tD Thawte Digital Certificate Services 如试,Bsc dude wh ao of the Irternet's SSL Web terver make w L Crm for 5125 Secure Montle Server art 2000 m已 图25-5 Thawte Ca的主页 1.获取服务器证书 为了在Web上安全通信,服务器证书用于标识使用SSL协议的服务器。当浏览器通过 HTPS协议(HTTP协议的变体与已证明的web服务器进行通信时,它同时收到服务器的证书 和公共密钥。这样浏览器就能安全地标识服务器的拥有者,并用它的公共密钥加密数据 为了使web服务器能使用SSL和证书,必须执行一个特定的过程,这个过程取决于所用的 Web服务器和CA。然而,执行过程的每一步都与所有服务器及多数CA相适应。如下所述

762计计ASP 3 高级编程 下载 25.3 从证书机构获取证书 要得到一个证书，必需与证书机构（C A）打交道。获取证书的过程称为注册( e n r o l l m e n t )， 获取不同类型的证书的过程又有些不同。 在注册前，应该认真考虑选择 C A。这儿有几个需考虑的问题： • C A是否值得依赖，它的证书业务是否既可满足我们的需要又能在我们的区域内有效？ 作为一个知名的值得依赖的组织，客户和其他 C A应该能立刻识别他。如果选择了不著名 的C A，其他用户很可能们拒绝我们的证书。 • CA是否熟悉我们组织的商业利益？从技术、法律和商业角度选择相应的 C A。 • C A为了确认身份，会要求我们提供哪些类型的信息？大多数 C A要求提供详细的信息， 如我们的身份、我们组织的身份及管理 We b服务器的正式权力。根据所需身份识别担保 的级别，C A可能需要更多的信息，如专业关系或财政收入，以及公证人对这些信息的 认可。 • C A是否有一个接收在线证书请求的系统，如那些由密钥管理服务器产生的请求？一个 在线系统能够加快处理证书请求的速度。多数 C A都有该系统。 每个C A都有其相应的证书操作说明（ Certification Practices Statement，C P S )，公开陈述 执行的操作过程，通常发布在 C A的网站上。因此在申请证书前可以阅读它。 图2 5 - 5显示了Thawte CA的主页，注意到C P S及证书注册窗体的连接： 图25-5 Thawte CA的主页 1. 获取服务器证书 为了在 We b上安全通信，服务器证书用于标识使用 S S L协议的服务器。当浏览器通过 H T T P S协议( H T T P协议的变体)与已证明的We b服务器进行通信时，它同时收到服务器的证书 和公共密钥。这样浏览器就能安全地标识服务器的拥有者，并用它的公共密钥加密数据。 为了使We b服务器能使用S S L和证书，必须执行一个特定的过程，这个过程取决于所用的 We b服务器和C A。然而，执行过程的每一步都与所有服务器及多数 C A相适应。如下所述：

ha°pdeN 第5章证书的程763 下载 ·服务器证书要被捆绑到在一个已注册的 Internet域,因此确保为web站点正确地注册一个 域。如果没有的话,必需在申请证书前为Web站点注册一个域 用服务器软件附带的工具生成一对密钥和一个证书签名请求( Certificate Signing Request,CSR)。密钥生成阶段生成了服务器的私有密钥和公共密钥,因为生成的CSR 含有服务器的公共密钥,因此这一步很重要。在CSR生成阶段,必需提供其他一些信息 如web站点的URL、公司或组织的名称和地址。该步骤的结果是一个ASCI文件,包含 标准格式(即PKCS#10)的证书请求 ·此时,可以向CA发送CSR。这可用多种方式完成,可以通过发送电子邮件或使用CA网站 的在线注册窗体。在后一种情况中,必须执行从CSR文件到Web窗体的剪切与粘贴操作 CSR文件的内容应该如下 BEGIN NEW CERTIFICATE REQUEST- MilBJTCBOAIBADBtMQSWCQTDVQQQEWJVUZEQMA4GAlUEChs4IBMHQXJpemguY TENAIUEBXMETWVzYTEfMBOGAlUEChMWTWVs3Xbnz Y SBDb2Itdw5pdHkgQ29sbGVnZ TEAlUEAXMTd3d3LmljLmlhcmljb3 BhLm VkdTBaMAGCSq Gsib3DQEBAQUAAOkAMEYC QQDRNU6XSIWjG41163gAsj/P108sFmjkjzMuUUFYbmtZX4RFxf/U7cZZdMagz4IMmYOF9cdp DLTAutULTSZKDcLAgEDoAAwDQYJKoZlhVcNAQEEBQADQQAjIFpTLgfmB Vhc9SqaipSSF NXtzAmhY zv Jkt5JJ4X2r7VJYG3JOvauJ5VjkXz9aevJ8dzx 37ir3P4Xpz+NFXKIR= -END NEW CERTIFICATE REQUEST- 在同一窗体上,也可能会询问其他管理信息(如联系人姓名、费用等)和技术信息(如 服务器软件,询问短语( challenge phrase)等)。多数CA要求询问短语,我们能用它来取消 和更新证书。 ·在向CA发送CSR后,必须等待CA的确认。CA会确认提供的信息,并询问其他一些信息。 用来确认我们的身份的信息叫权利证明( proof of rights),可以是传统的文档,如 Business license、 Articles of Incorporation或 Tax ID号码。确认过程所用的规则由CA决 定,并取决于所需的身份级别 当确认过程完成时,CA会创建一个证书,并用私有密钥签署它。该证书包括相应的信息, 如公共密钥、终止日期及其他数据。然后CA将它发送给我们,或发布到网站上以供下载。我 们收到的证书是一个ASCI文件,包括PKCS#7标准格式的数据。内容如下 ----BEGIN CERTIFICATE. CBHem9lcCBDQSSjcmwwRqBEoEKGQGZpbGU6Ly 9cXENFUIRTUIZcQ2 VydFNydlxDZ XJORWSyb2xsXEITIENIcnRTcnY gVGVzdCBHem9lcCBDQSSjcmwwCQYDVROTBAIwADBi BggrBgEFDQcBAQRWMFQwUgYIKwYBBQUHMAKGRmhodHA6Ly9DRVJUUIJWLONIcnR TenYvQ2VydEVucm9sbC9DRVJUUlJWXOITTENIcnRTcnYgVGVzCBHcm9lcCBDQS5jcnQwD QYJKoZIhVcNAQEEBQADQQAhq7ORlseOulPstU+lwdjeNj5p ----END CERTIFICATE---- ·最后可以按相应文档的提示在web服务器上安装服务器证书。记住要为收到的文件制作 拷贝。注意CA从不占有你的私有密钥。如果丢失服务器证书,必须申请一个新的CSR 上面所讲的是从CA获取服务器证书的最一般的步骤,适用于多数服务器软件和CA,下面 是证书的请求与安装的一个示例。将使用IS50作为web服务器, Verisign Inc为CA

第25章 证书的使用计计763 下载 • 服务器证书要被捆绑到在一个已注册的 I n t e r n e t域，因此确保为We b站点正确地注册一个 域。如果没有的话，必需在申请证书前为 We b站点注册一个域。 • 用服务器软件附带的工具生成一对密钥和一个证书签名请求（ Certificate Signing R e q u e s t，C S R）。密钥生成阶段生成了服务器的私有密钥和公共密钥，因为生成的 C S R 含有服务器的公共密钥，因此这一步很重要。在 C S R生成阶段，必需提供其他一些信息， 如We b站点的U R L、公司或组织的名称和地址。该步骤的结果是一个 A S C I I文件，包含 标准格式（即P K C S＃1 0）的证书请求。 • 此时，可以向C A发送C S R。这可用多种方式完成 ,可以通过发送电子邮件或使用 C A网站 的在线注册窗体。在后一种情况中，必须执行从 C S R文件到We b窗体的剪切与粘贴操作。 C S R文件的内容应该如下： ----BEGIN NEW CERT I F I C ATE REQUEST- - - - M I I B J T C B 0 A I B A D B t M Q s w C Q T D V Q Q Q E w J V U z E Q M A 4 G A 1 U E C h s 4 1 B M H Q X J p e m 9 u Y T E N A 1 U E B x M E T W V z Y T E f M B 0 G A 1 U E C h M W T W V s 3 X b n z Y S B D b 2 1 t d W 5 p d H k g Q 2 9 s b G V n Z T E A 1 U E A x M T d 3 d 3 L m 1 j L m 1 h c m l j b 3 B h L m V k d T B a M A 0 G C S q G S I b 3 D Q E B A Q U A A 0 k A M E Y C Q Q D R N U 6 x s l W j G 4 11 6 3 g A s j / P 1 0 8 s F m j k j z M u U U F Y b m t Z X 4 R F x f / U 7 c Z Z d M a g z 4 IMm Y 0 F 9 c d p D LTA u t U LTs Z K D c L A g E D o A Aw D Q Y J K o Z I h v c N A Q E E B Q A D Q Q A j I F pT Lg f m B V h c 9 S q a i p 5 S F N X t z A m h Y z v J k t 5 J J 4 X 2 r 7 V J Y G 3 J 0 v a u J 5 V j k X z 9 a e v J 8 d z x 3 7 i r 3 P 4 X p z + N F x K 1 R = ----END NEW CERT I F I C ATE REQUEST- - - - 在同一窗体上，也可能会询问其他管理信息（如联系人姓名、费用等）和技术信息（如 服务器软件，询问短语（ challenge phrase）等）。多数C A要求询问短语，我们能用它来取消 和更新证书。 • 在向C A发送C S R后，必须等待C A的确认。C A会确认提供的信息，并询问其他一些信息。 用来确认我们的身份的信息叫权利证明（ proof of rights ），可以是传统的文档，如 Business License、Articles of Incorporation或Tax ID号码。确认过程所用的规则由 C A决 定，并取决于所需的身份级别。 当确认过程完成时，C A会创建一个证书，并用私有密钥签署它。该证书包括相应的信息， 如公共密钥、终止日期及其他数据。然后 C A将它发送给我们，或发布到网站上以供下载。我 们收到的证书是一个A S C I I文件，包括P K C S＃7标准格式的数据。内容如下： ----BEGIN CERT I F I C AT E - - - - C B H c m 9 1 c C B D Q S 5 j c m w w R q B E o E K G Q G Z p b G U 6 Ly 9 c X E N F U I RT U I Z c Q 2 Vy d F N y d l x D Z X J 0 RW 5 y b 2 x s X E 1 T I E N l c n RTc n Y g V G V z d C B H c m 9 1 c C B D Q S 5 j c m w w C Q Y D V R 0 T B A I w A D B i B g g r B g E F D Q c B A Q RW M F Q w U g Y I K w Y B B Q U H M A K G R m h 0 d H A 6 Ly 9 D RV J U U 1 J W L 0 N l c n R Tc n Yv Q 2 Vy d E Vu c m 9 s b C 9 D RV J U U 1 J W X 0 1 T I E N l c n RTc n Y g V G V z C B H c m 9 1 c C B D QS5 j c n Q w D Q Y J K o Z I h v c N A Q E E B Q A D Q Q A h q 7 0 R l s e 0 u l P s t U + I w d j e N j 5 p ----END CERT I F I C AT E - - - - • 最后可以按相应文档的提示在 We b服务器上安装服务器证书。记住要为收到的文件制作 拷贝。注意C A从不占有你的私有密钥。如果丢失服务器证书，必须申请一个新的 C S R。 上面所讲的是从C A获取服务器证书的最一般的步骤，适用于多数服务器软件和 C A，下面 是证书的请求与安装的一个示例。将使用 IIS 5.0作为We b服务器，Ve r i s i g n . I n c为C A

764sp3高级程 (1)生成密钥对和CSR 第一步,必须先生成密钥对和CSR,这可 以用 Internet Service Manager来完成。右击要 为其申请证书的Web站点并选择 Properties,接 着单击 Directory Security选项卡,会看到这个 如图25-6所示的窗口。 可以看到 Secure communications框中的 Edit按钮是无效的,因为还没有安装任何服务 器证书。单击 Server Certificate按运Wb= Serrer Certificate wizard来搜集用于生成CSR 的信息 点击“Next”,在出现的窗口中,选择Crea a New Certificate。在下一界面中,选择单选按 钮“ Prepare the request now, but send it later” 图25-6站点的 Diretory Serurity选项卡 再点击“Next”,你将被要求为CSR提供详细信息。接下来会要求输入公司和web站点的信息。 这种信息就是服务器的区别名称( Distinguished Name)。向导将询问以下详细信息 Organization:该项填写拥有此域名的组织或公司。组织名称(公司、大学、政府机制) 必须是在国家、省、市级权力机关注册的。必须提供组织注册的法定名称。 Organizational Unit::可以用此项来区别同属一个组织的部门 Common name:这个普通名是完全限定的域名,DNS用它来查找服务器(如 www.wroxcom)。浏览器通过该信息标识我们的Web站点,如果改变我们的主机名,则 需要再申请一份证书。连接到主机的客户浏览器将检测证书的普通名是否与URL匹配 在这个字段中,不能使用通配符(*、?等)、IP地址或端口号,也不能包括http://或 https://. Country/ Region:在该项中,需输入两个字符的ISO格式代码,如美国为US,意大利为 T,英国为GB State/ Province:必须输入组织所在的州或省。 City/ Locality:填写组织所在的城市 输入所有必需的信息后,还要输入存储CSR的文本文件名。然后会有一个界面显示已输 入的所有信息,接着向导会生成密钥对,创建CSR并存储到刚指定的文件中。点击 Finish按钮 便完成了该过程。 (2)申请证书 现在可以连接到VerisignWeb站点进行注册。地址是http://www.verisign.com在主页中 按照链接找到在线注册窗体并输入所需信息。要输入CSR,须先用 Notepad之类的文本编辑器 打开CSR文件并复制CSR,包括 BEGIN NEW CERTIFICATE REQUEST和 END NEW CERTIFICATE REQUEST两行,再粘贴到窗体中,如图25-7所示。 输入我们的组织的联系人和酬金。 (3)等待确认 在提出申请后,要等待证实通知。会收到一封证实注册的电子邮件,该邮件包括个人识

(1) 生成密钥对和C S R 第一步，必须先生成密钥对和 C S R，这可 以用Internet Service Manager来完成。右击要 为其申请证书的We b站点并选择P r o p e r t i e s，接 着单击Directory Security选项卡，会看到这个 如图2 5 - 6所示的窗口。 可以看到 Secure communications框中的 E d i t按钮是无效的，因为还没有安装任何服务 器证书。单击Server Certificate按钮，运行We b Serrer Certificate Wi z a r d来搜集用于生成 C S R 的信息。 点击“N e x t”，在出现的窗口中，选择C r e a t e a New Certificate。在下一界面中，选择单选按 钮“Prepare the request now, but send it later”。 再点击“N e x t”，你将被要求为C S R提供详细信息。接下来会要求输入公司和 We b站点的信息。 这种信息就是服务器的区别名称（ Distinguished Name）。向导将询问以下详细信息： • O rg a n i z a t i o n：该项填写拥有此域名的组织或公司。组织名称（公司、大学、政府机制） 必须是在国家、省、市级权力机关注册的。必须提供组织注册的法定名称。 • Organizational Unit：可以用此项来区别同属一个组织的部门。 • Common Name ：这个普通名是完全限定的域名， D N S用它来查找服务器（如 w w w. w r o x . c o m）。浏览器通过该信息标识我们的 We b站点，如果改变我们的主机名，则 需要再申请一份证书。连接到主机的客户浏览器将检测证书的普通名是否与 U R L匹配。 在这个字段中，不能使用通配符（ *、?等）、I P地址或端口号，也不能包括 h t t p : / /或 h t t p s : / /。 • C o u n t r y / R e g i o n：在该项中，需输入两个字符的 I S O格式代码，如美国为 U S，意大利为 I T，英国为G B。 • State/Province：必须输入组织所在的州或省。 • City/Lo c a l i t y：填写组织所在的城市。 输入所有必需的信息后，还要输入存储 C S R的文本文件名。然后会有一个界面显示已输 入的所有信息，接着向导会生成密钥对，创建 C S R并存储到刚指定的文件中。点击 F i n i s h按钮 便完成了该过程。 (2) 申请证书 现在可以连接到Verisign We b站点进行注册。地址是 h t t p : / / w w w. v e r i s i g n . c o m。在主页中， 按照链接找到在线注册窗体并输入所需信息。要输入 C S R，须先用N o t e p a d之类的文本编辑器 打开 C S R文件并复制 C S R，包括 BEGIN NEW CERT I F I C ATE REQUEST 和 END NEW C E RT I F I C ATE REQUEST两行，再粘贴到窗体中，如图 2 5 - 7所示。 输入我们的组织的联系人和酬金。 (3) 等待确认 在提出申请后，要等待证实通知。会收到一封证实注册的电子邮件，该邮件包括个人识 764计计ASP 3 高级编程 下载 图25-6 站点的Diretory Serurity 选项卡

Chinapub.com 第5章证书的使765 载 别码( Personal identification number,PIN)和URL,我们可以用PIN检查证书请求的状态。电 子邮件会在提出申请后两小时内发送。然后确认过程开始。 Verisign将检测你发出的信息,也 「能需要其他文件。如果不需要其他文件,可以在3~5天后获得证书 Step 2 of 5: Submit CSR 三操群 图25-7申请证书的窗口 (4)接收证书 Verisign用电子邮件发送证书。其他CA(如 Thawte)将证书发布在web服务器上供下载。 在这个示例中,我们应该在电子邮件的附件中收到证书。现在,准备将其安装到web服务器 (5)安装证书 为安装证书,必须重新打开 Internet Service Manager,并点击 Directory Security选项卡中 的 Server certificate来重新启动 Web server certificate wizard。该向导将提示有一个未定的证 书请求。下一步就可以处理或删除请求。如果不想删除,可选择 Process the pending request and install the certificate。向导要求输入含有CA发送的证书的文件的路径和名称。最后一步, 该向导安装服务器证书 安装证书后,Web服务器将启用SSL。然而,除非明确地在一个IS资源(HTML页面、 ASP页面或虚拟目录)上需要SSL,否则服务器不使用SSL。我们将会在254节中看到如何使 SSL在IS资源上可用,如果需要证书来测试一下你的系统,可从 Verisign和其他的CA上免费 获得。 2.获得个人证书 个人证书用来核实个人的身份。电子邮件程序能用它发送加密的消息。或者,浏览器借 助于它访问要求客户身份验证的web站点。要获取个人证书,必须按照一定的过程进行。总 结为以下几点 ·对于个人证书,不必显式地建立私有密钥和公共密钥,它们由浏览器在申请时生成。第 一步,访问选择的CA的web站点,填写CA提供的窗体提出证书请求。必须输入身份信 息(全名、地址和出生日期)、电子邮件地址,还要根据CA的要求输入其他一些数据 如性别、护照号码、纳税号码等。 向CA发送请求后,要等待CA的核实。尤其是我们的电子邮件地址,要通过发送指令检

第25章 证书的使用计计765 下载 别码 (Personal Identification Number，P I N )和U R L，我们可以用P I N检查证书请求的状态。电 子邮件会在提出申请后两小时内发送。然后确认过程开始。 Ve r i s i g n将检测你发出的信息，也 可能需要其他文件。如果不需要其他文件，可以在 3～5天后获得证书。 图25-7 申请证书的窗口 (4) 接收证书 Ve r i s i g n用电子邮件发送证书。其他 C A（如T h a w t e）将证书发布在We b服务器上供下载。 在这个示例中，我们应该在电子邮件的附件中收到证书。现在，准备将其安装到 We b服务器。 (5) 安装证书 为安装证书，必须重新打开 Internet Service Manager，并点击Directory Se c u r i t y选项卡中 的 Server Certificate来重新启动Web Server Certificate Wi z a r d。该向导将提示有一个未定的证 书请求。下一步就可以处理或删除请求。如果不想删除，可选择 Process the pending request and install the certificate。向导要求输入含有 C A发送的证书的文件的路径和名称。最后一步， 该向导安装服务器证书。 安装证书后， We b服务器将启用 S S L。然而，除非明确地在一个 I I S资源（H T M L页面、 A S P页面或虚拟目录）上需要 S S L，否则服务器不使用 S S L。我们将会在2 5 . 4节中看到如何使 S S L在I I S资源上可用，如果需要证书来测试一下你的系统，可从 Ve r i s i g n和其他的C A上免费 获得。 2. 获得个人证书 个人证书用来核实个人的身份。电子邮件程序能用它发送加密的消息。或者，浏览器借 助于它访问要求客户身份验证的 We b站点。要获取个人证书，必须按照一定的过程进行。总 结为以下几点： • 对于个人证书，不必显式地建立私有密钥和公共密钥，它们由浏览器在申请时生成。第 一步，访问选择的 C A的We b站点，填写C A提供的窗体提出证书请求。必须输入身份信 息（全名、地址和出生日期）、电子邮件地址，还要根据 C A的要求输入其他一些数据， 如性别、护照号码、纳税号码等。 • 向C A发送请求后，要等待 C A的核实。尤其是我们的电子邮件地址，要通过发送指令检 测