整理的一些关于CA的资料.docx

整理的一些关于CA的资料.docx

《整理的一些关于CA的资料.docx》由会员分享，可在线阅读，更多相关《整理的一些关于CA的资料.docx（51页珍藏版）》请在冰豆网上搜索。

整理的一些关于CA的资料

CA认证

　　电子商务认证授权机构（CA,CertificateAuthority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

　　CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。

CA机构的数字签名使得攻击者不能伪造和篡改证书。

在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。

　　为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证，并负责管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

CA认证中心管理内容是什么

．CA认证中心

CA认证中心是一个负责发放和管理数字证书的权威机构。

认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

认证中心的主要功能：

·证书的颁发

·证书的更新

·证书的查询

·证书的作废

·证书的归档

2．数字签名

数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。

数字签名提供了对信息来源的确定并能检测信息是否被篡改。

数字签名与数据加密完全独立。

数据可以既签名又加密，只签名，只加密，当然，也可以既不签名也不加密。

发送方计算出的签名和数据一起传送给接收方，签名值是关于发送方的私钥和要发送的信息的一个数学函数的值。

算法的构造保证如果不知道私钥的话就不可能计算出这个签名值。

接收方可以通过依赖发送方的公钥、签名值和接收到的数据的另一个数学算法来验证接收到的信息就是发送方签名的信息。

3．数字证书

1）数字证书的概念：

数字证书就是网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。

它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。

2）数字证书的作用：

访问需要客户验证的安全INTERNET站点。

用对方的数字证书向对方发送加密的邮件。

给对方发送带自己签名的邮件。

3）数字证书的内容：

证书的格式由ITU标准X.509V3来定义。

根据这项标准，证书包括申请证书个体的信息和发行证书CA的信息。

证书由以下两部分组成：

（1）证书数据

版本信息，用来与X.509的将来版本兼容；

证书序列号，每一个由CA发行的证书必须有一个唯一的序列号；

CA所使用的签名算法；

发行证书CA的名称；

证书的有效期限；

证书主题名称；

被证明的公钥信息，包括公钥算法、公钥的位字符串表示；

包含额外信息的特别扩展。

（2）发行证书的CA签名

证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。

任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。

4．安全套接字层（SSL）

SSL（SecureSocketsLayer：

安全套接层）是一种提供INTERNET上保密性的在线协议。

它允许客户/服务器应用以一种不能被偷听的方式通讯。

它是INTERNET网上安全通讯与交易的标准。

SSL协议使用通讯双方的证书，在通讯双方间建立一条安全的、可信任的通讯通。

什么是RA（跟CA认证有什么关系）

RA就是证书注册审批系统（RegisterAuthority），该系统具有证书的申请、审批、下载、OCSP、LDAP等一系列功能，为整个机构体系提供电子认证服务。

RA作为CA认证体系中的一部分，能够直接从CA提供者那里继承CA认证的合法性。

能够使客户以自己的名义发放证书，便于客户开展工作。

CA认证系统设计

　1.1 系统简介

　　本系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。

系统具有完善的功能，能够完成从企业自主建立标准CA到政府、行业建立大型服务型CA等全面的需求。

　　CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如下图：

　　图1 CA系统模块架构图

　　CA系统能提供完善的功能，包括：

证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等全面的功能。

　　CA系统按照用户数量的不同分为小型iTrusCA、标准型iTrusCA、企业型iTrusCA和大型iTrusCA，不同类型系统的网络建设架构是不同的。

　　CA系统具有下列特点：

　　A. 符合国际和行标准；

　　B. 证书类型多样性及灵活配置。

能够发放包括邮件证书、个人身份证书、企业证书、服务器证书、代码签名证书和VPN证书等各种类型的证书；

　　C. 灵活的认证体系配置。

系统支持树状的客户私有的认证体系，支持多级CA，支持交叉认证；

　　D. 高安全性和可靠性。

使用高强度密码保护密钥，支持加密机、智能卡、USBKEY等硬件设备以及相应的网络产品（证书漫游产品）来保存用户的证书；

　　E. 高扩展性。

根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。

　　F. 易于部署与使用。

系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。

　　G. 高兼容性。

支持各种加密机、多种数据库和支持多种证书存储介质。

　　1.2 认证体系设计

　　认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。

证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA，以此递推，最后某一级子CA签发最终用户的证书。

　　认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。

层次越多，技术实现越复杂，管理的难度也增大。

证书认证的速度也会变慢。

一般的，国际上最大型的认证体系层次都不超过4层，并且浏览器等软件也不支持超过4层的认证体系。

　　本方案设计的用户的CA认证系统采用如下图所示的认证体系：

　　图2 用户CA认证体系图

　　如图所示，认证体系采用3层结构：

　　第一层是自签名的用户根CA，是处于离线状态的，具有用户的权威性和品牌特性。

　　第二层是由用户根CA签发的用户子CA，处于在线状态，它是签发系统用户证书的子CA。

　　第三层为用户证书，由用户子CA签发，从用户证书的证书信任链中可以看出整个用户的CA认证体系结构，用户证书在用户的应用范围内受到信任。

　　采用这种认证体系具有下列特点：

（1）体现用户的权威性

　　从认证体系上看，用户CA具有自己的统一的根CA，由用户进行统一管理，负责整个用户的认证体系、CA策略和证书策略的定制与管理，这样充分体现了用户的权威性。

（2）具有很好的可扩展性

　　如图所示体系具有很好的可扩展性，采用三层结构为体系的扩展预留了空间（因为大多数应用都只支持四层以下），根据用户实际应用需求，将来可以在子CA下，签发下级子CA；或者针对别的应用再签发子CA这样，使得用户CA认证体系具有很好的可扩展性。

　　（3）具有很好的可操作性

采用三层体系结构，相对比较简单，在CA的创建和管理上也相当比较容易。

虽然从技术上认证体系支持无限扩展，但是层次越多，技术实现越复杂，管理的难度也增大。

而采用三层结构是目前业界比较通用的、标准的做法。

这样，使得用户CA认证体系具有很好的可操作性。

　　1.3 系统网络架构

　　采用CA系统将为用户建设一个CA中心和一个RA中心，CA系统的所有模块可以安装在同一台服务器上，也可以采用多台服务器分别安装各模块。

系统网络架构如下图所示：

　　图3 CA系统网络架构示意图

　　如图所示，将CA系统的CA认证中心和RA注册中心各模块安装在CA服务器上，为了保证系统的安全，CA服务器必须位于安全的区域，即采用防火墙与外界进行隔离。

最终用户使用浏览器，访问CA服务器，进行证书申请和管理。

管理员（包括CA管理员和RA管理员，可以是同一个管理员担任）使用浏览器，访问CA服务器，进行证书管理和CA管理。

　　1.4 证书存储介质

　　本方案推荐使用USBKEY来保存用户的证书及私钥。

USBKEY是以USB为接口的存储设备，它便于携带和使用，可以实现在所有的机器（具有USB接口）上的漫游，可以满足用户移动办公的需求。

USBKEY可以设置用户口令保护，增强了证书及私钥的安全性。

　　为了在发生USBKEY丢失等情况时，私钥可以恢复或者还可以用私钥解密以前的加密邮件，在申请证书时，密钥对可以在系统中产生而不是在USBKEY中产生，当证书申请成功后，再将私钥和证书导入到USBKEY中；同时系统可以以文件的形式保留私钥和证书的备份，这就提供了在USBKEY丢失时对用户私钥和证书的保护措施。

　　1.5 CA系统功能

　　CA系统具有完善的功能，采用iTrusCA系统设计的用户CA认证系统也具有完善的功能，包括：

（1）证书签发

　　通过CA认证系统，能够申请、产生和分发数字证书，具有证书签发功能。

用户访问CA认证系统，提交证书申请请求，申请数字证书；RA管理员访问管理员站点，审查和批准用户的证书申请请求；CA认证中心根据RA管理员的批准，签发用户证书，并将数字证书发布到目录服务器中。

用户CA认证系统，获取签发的证书。

（2）证书生命周期管理

　　通过CA认证系统，可以实现证书的生命周期管理，包括：

　　证书申请最终用户使用浏览器，访问CA认证系统，可以进行证书申请，在线提交证书申请请求；

　　证书批准管理员登录管理员站点，完成证书批准功能，可以查看和审批最终用户的证书申请请求；

　　证书查询最终用户可以通过CA认证系统，查询自己或别人的数字证书；

　　证书下载通过CA认证系统，可以下载签发的数字证书；

　　证书吊销最终用户在使用证书期间，有可能会出现一些问题，如：

证书丢失、忘记密码等，最终用户就需要将原证书吊销。

用户吊销证书时，可以直接访问CA认证系统，在线的向CA提交证书吊销请求，CA认证系统根据用户的选择，自动吊销用户的证书，并将吊销的证书添加到证书吊销列表（CRL）中，按照证书吊销列表的发布周期进行发布；

　　证书更新在用户证书到期前，用户需要更新证书，用户访问CA认证系统，查询用户的证书状态，对即将过期的用户证书进行更新。

　　（3）CRL服务功能

　　CA认证系统支持证书黑名单列表（CRL）功能，能够配置指定RA的CRL下载地点及CRL发布时间。

CA认证系统定时产生CRL列表，并将产生的CRL发布至Web层CRL服务模块，可以通过手工下载该CRL。

　　（4）目录服务功能

　　CA认证系统支持目录服务，支持LDAPV3规范，CA认证系统在签发用户证书时或者对证书进行吊销处理时，会及时更新目录内容。

证书目录服务的功能提供给用户进行证书查询的功能，用户可以通过电子邮件（Email）、用户名称（CommonName）、单位名称（Organization）和部门名称（OU）等字段查找CA认证系统签发的用户证书。

　　（5）CA管理功能

　　CA认证系统具有完善的CA管理功能，包括：

　　管理员管理

　　RA管理员管理，包括初始化RA管理员申请、增加RA管理员、删除RA管理员；

　　CA管理员管理，包括初始化CA管理员申请、后续CA管理员证书申请、吊销CA管理员证书。

　　账号管理

　　个人账号管理，包括注册信息，证书信息等管理；

　　RA账号管理，包括RA账号申请、批准、吊销、额外管理员证书申请等。

　　策略管理

　　证书策略配置管理，高度灵活和可扩展的配置CA所签发证书的有效期、主题、扩展、版本、密钥长度、类型等方面；

　　RA策略配置管理，包括语言、联系方法、证书类型、是否发布到LDAP等；

　　CA策略配置管理，包括证书DN重用性检查、CA别名设置等。

　　（6）日志与审计功能

　　系统具有完善的日志与审计功能，可以查看和统计各种日志，包括：

　　统计各CA、RA账号证书颁发情况；

　　记录所有RA与CA的操作日志；

　　对所有操作人员的操作行为进行审计。

　　（7）CA密钥管理

　　系统支持CA密钥管理功能，包括：

　　CA密钥产生和存储（软件与硬件）；

　　CA证书（包括根CA和子CA）的产生和管理；

　　CA密钥归档与备份。

　　1.6 证书应用开发接口（API）

　　为了实现基于数字证书的安全应用集成，提供了完整的证书应用开发接口（API），提供C、JAVA和COM等多种接口，包括：

　　个人信任代理（PTA）

　　个人信任代理（PTA）是客户端的软件包，既包括安装在客户端的文件加密/解密程序，也包括用于数字签名和签名验证的ActiveX控件。

文件加/解密模块可以产生随机数密钥对文件进行加密，以及使用输入的密钥对文件进行解密；ActiveX控件由用户访问相关网页时下载到客户端浏览器中，实现使用本地的证书（私钥）对文件进行数字签名，以及对签名进行验证。

　　证书解析模块（CPM）

　　证书解析模块是一系列平台下的动态链接库，用于解析DER或PEM编码的X.509数字证书，将证书中的信息，包括用户信息、证书有效期、证书公钥等信息分解为字符串。

　　数据签名验证模块（SVM）

　　数据签名及验证模块是一系列平台下的动态链接库或插件，可以应用于客户端和服务器端，实现对传输数据的数字签名，和对数字签名及其证书进行验证。

证书的验证可使用CRL或OCSP来进行有效性验证。

　　1.7 系统工作流程设计

（1）证书发放流程

　　本方案设计的用户CA认证系统的证书发放采用集中发证的方式，即由管理员集中申请好证书，保存在USBKEY中，发放给用户使用。

其工作流程如下图所示：

　　图4 证书发放流程图

　　（a）管理员使用浏览器，访问用户CA认证系统，进入证书申请页面，替最终用户填写证书申请信息，向用户CA认证系统提交证书申请请求。

在本地（本地的USBKEY上）产生证书的公私钥对，并将公钥和用户信息一起作为证书申请请求，提交给CA认证系统；

　　（b）CA认证系统根据管理员提交的证书申请请求，批准并签发用户证书，将用户证书发布到数据库中。

同时，将用户证书返回到管理员端，保存到USBKEY中；

　　（c）管理员将申请好证书的USBKEY发放给最终用户。

（2）证书吊销流程

　　在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书，根据用户信息系统的应用情况，本方案设计证书吊销由管理员进行，其工作流程如下：

　　（a）管理员在发现用户违反使用规定，或者用户自己向管理员发送邮件，请求吊销自己的证书时，管理员访问CA认证系统管理员模块，进行用户证书吊销用户；

　　（b）管理员通过证书管理功能页面，查询到需要吊销的用户证书；

　　（c）管理员选择吊销操作，选择吊销用户证书的原因，向CA认证系统发送证书吊销请求；

　　（d）CA认证系统根据管理员的证书吊销请求，自动的吊销用户的证书，并将吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新；

　　（e）CA认证系统给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己的证书。

　　（3）证书更新流程

　　最终用户在其证书即将过期之前，需要访问CA认证系统，更新自己的证书，其流程为：

　　（a）最终用户在证书即将过期前（一般为一个月），访问用户CA认证系统，登录用户服务页面，点击“证书更新”选项；

　　（b）系统自动识别用户是否具有用户CA认证系统颁发的数字证书，并且判断是否过期，如果即将过期，便提示进行更新；

　　（c）用户选择需要更新的证书，点击提交，向CA认证系统提交证书更新请求。

在提交证书更新请求时，在USBKEY中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给CA认证系统；

　　（d）CA认证系统自动批准证书更新请求，自动更新用户证书，将更新的证书发布到目录服务器，同时将更新证书返回到用户端，自动保存到USBKEY中。

　　1.8 系统性能和特点分析

　　采用iTrusCA系统建设的用户CA认证系统拥有下列性能和特点：

（1）符合国际和行业标准

　　系统在设计中遵循了相应的国际和工业标准，包括X.509标准、PKCS系列标准、IETF的PKIX工作组制定的PKI相关RFC标准，以及HTTP、SSL、LDAP等互联网通讯协议等。

严格遵循这些标准，使得系统具有很好的开放性，能够与各种应用结合，成为真正的安全基础设施。

（2）证书类型多样性及灵活配置

　　系统能够提供各种证书的签发功能，本方案设计的CA认证系统能够签发个人身份证书。

将来根据用户的需要，可以进行扩展，通过灵活配置可以签发企业证书、服务器证书、代码签名证书和VPN证书等。

　　（3）灵活的认证体系配置

　　系统采用“认证体系设计”一节设计的CA认证体系，采用树状结构，支持多级CA，支持交叉认证。

　　（4）注册机关（RA）建设方式多样化

　　本方案设计的CA认证系统采用一个RA的配置，根据用户的要求，将来可以配置多个RA和多级RA，RA界面风格可定制。

　　（5）高安全性和可靠性

　　使用高强度密码保护密钥，支持加密机、智能卡、USBKEY等硬件设备，用户关键信息散列保存，以防遗失。

　　（6）高扩展性

　　根据客户需要，对系统进行配置和扩展，能够发放各种类型的证书；系统支持多级CA，支持交叉CA；系统支持多级RA。

　　（7）易于部署与使用

　　系统所有用户、管理员界面都是B/S模式，CA/RA策略配置和定制以及用户证书管理等都是通过浏览器进行，并具有详细的操作说明。

　　（8）高兼容性

　　支持Windows、Linux、Solaris等多种操作系统；

　　支持多种加密设备

　　支持多种数据库

支持多种证书存储介质：

硬盘、USBKEY和智能卡等。

SSL安全套接协议＋ＣＡ数字证书认证中心

ＳＳＬ简介：

SSL的英文全称是"SecureSocketsLayer"，中文名为"安全套接层协议层"，它是网景（Netscape）公司提出的基于WEB应用的安全协议。

SSL协议可分为两层：

SSL记录协议（SSLRecordProtocol）：

它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

SSL是SecuritySocketLayer的缩写，技术上称为安全套接字，可以简单为加密通讯协议，使用SSL可以对通讯（包括电子邮件）内容进行高强度的加密，以防止黑客监听您的通讯内容甚至是用户密码。

 SSL协议指定了一种在应用程序协议（如HTTP、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

ＣＡ认证：

为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。

数字证书是各实体（持卡人/个人、商户/企业、网关/银行等）在网上信息交流及商务交易活动中的身份证明。

该数字证书具有唯一性。

它将实体的公开密钥同实体本身联系在一起，为实现这一目的，必须使数字证书符合X.509国际标准，同时数字证书的来源必须是可靠的。

这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。

各级CA认证机构的存在组成了整个电子商务的信任链。

如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性，电子商务就根本无从谈起。

　　数字证书认证中心（Certficate Authority,CA）是整个网上电子交易安全的关键环节。

它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。

每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根认证中心（根CA）。

　　电子交易的各方都必须拥有合法的身份，即由数字证书认证中心机构（CA）签发的数字证书，在交易的各个环节，交易的各方都需检验对方数字证书的有效性，从而解决了用户信任问题。

CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。

基于其牢固的安全机制，CA应用可扩大到一切有安全要求的网上数据传输服务。

　　数字证书认证解决了网上交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任关系，即建立安全认证体系（CA）；选择安全标准（如SET、SSL）；采用高强度的加、解密技术。

其中安全认证体系的建立是关键，它决定了网上交易和结算能否安全进行，因此，数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。

　　认证中心（CA），是电子商务体系中的核心环节，是电子交易中信赖的基础。

它通过自身的注册审核体系，检查核实进行证书申请的用户身份和各项相关信息，使网上交易的用户属性客观真实性与证书的真实性一致。

认证中心作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数

试验拓扑：

第一步：

ＣＡ服务器：

１.确定以后是以工作组还是域的方式运行　２.确认主机名　３.有ＩＩＳ和ＡＳＰ的支持　　　　之所以要确认以上三点，是因为服务器成为ＣＡ后以上的信息将无法更改～

第二步：

第三步：

安装必须的组件：

第四步：

　选择ＣＡ类型

－－－－企业根只有在域中才能建立

五.客户端申请注册证书

打开ＩＥ　如图：

选择证书类型：

选择ＷＥＢ浏览器证书－－－－然后填写必要的公司信息后点击完成：

如图

ＣＡ服务器端颁发证书：

客户端：

在收到证书后将其安装～！

建立ＤＮＳ：

　　　　在正向区域中建立的域　　　主机为ＷＷＷ　ＩＰ＝３３.０.０.２

　　　　有兴趣的可以把反向区域也建起来　　这里不再详解

ＷＥＢ服务器：

打开ＩＩＳ

　　默认站点－－－属性－－－如图：

然后　　　建立新站点：

fyn---属性

点选　服务器证书：

按提示操作....直到：

如图

将certreq.txt文档打开－－－－复制其内容

然后在ＷＥＢ服务器端　输入ＣＡ服务器网址　　并申请证书然后

将刚才复制的内容写入：

申请服务器证书完成

ＣＡ端颁发证书后　　ＷＥＢ服务器察看挂起的证书状态　若收到　如图：

将证书下载　　然后打开ＩＩＳ　　在站点ＦＹＮ的属性－－－目录安全中点　服务