RouterOS+RadiusManager3.8实现互联进行认证计费
RouterOS+RadiusManager3.8实现互联进行认证计费(一)
一、拓扑介绍(试验成功的关键是对拓扑的了解)
1. 我经常会告诉各位,兵马未动粮草先行的重要性,一定在动手之前先要构建拓扑,按照拓扑实施才会思路明确。
2. 该拓扑使用微软visio2010构建。以下操作通过Routeros和RadiusManager 对接实现校园网络流量管理。
二、安装配置RadiusManager
1. 安装操作系统
i. RadiusManager是一套基于web可管理Radius服务器的程序,需要使用PHP 环境运行,并且必须安装在Linux操作系统上才行。在这里我们选择了CentOS5这款RHEL5的再编译操作系统。Linux操作系统的安装在这里不做冗述,请参见
其他文章进行安装。(当然,其他Linux发行版也可用,目前我只测试过Debian、RHEL和CentOS可以正常运行)
ii. 更改IP地址,执行setup进行设置即可,设置完成之后执行:
service network restart指令使网卡ip设置生效。
iii. 更改系统默认运行级别和默认语言
# vi /etc/sysconfig/i18n #更改系统默认语言为英文
LANG="en_US"
# vim /etc/inittab
id:3:initdefault: #找到类似内容更改为3,使Linux默认工作在文本模式
# reboot #重启系统让更改生效
2. 添加YUM源,实现在线yum安装php5.2
#安装GPG密钥
# rpm --import https://www.360docs.net/doc/a215832087.html,/media/RPM-GPG-KEY-jlitka
#添加源实现yum安装php5.2。请注意:用系统默认php5.1是不行的。
# vi /etc/yum.repos.d/utterramblings.repo
[utterramblings]
name=Jason’s Utter Ramblings Repo
baseurl=https://www.360docs.net/doc/a215832087.html,/media/EL$releasever/$basearch/ enabled=1
gpgcheck=1
gpgkey=https://www.360docs.net/doc/a215832087.html,/media/RPM-GPG-KEY-jlitka
3. 使用YUM安装必须软件
#安装RadiusManager所需RPM包,目前发现PHP5.2可以正常工作,PHP5.1中症状为访问RadiusManager页面为空白页。
# yum install gcc php mysql mysql-server mysql-devel php-mysql php-mcrypt curl php-curl compat-libstdc++-33 libtool-ltdl-devel httpd
#启动MySQL服务并且设置密码保证安全性
# service mysqld start
#设置MySQL数据库密码为123456(请按自己的需求修改切记!!)
# mysqladmin -u root password '123456'
4. 安装ionCube
i. 可以到:https://www.360docs.net/doc/a215832087.html,/downloads下载ionCube,该组件为使PHP可以解密加密过的文件,因为RadiusManager程序是加密过的,该组件为关键组件请确保安装无误。
#解压缩下载的软件包
# tar -zxvf ioncube_loaders_lin_x86.tar.gz
# cp -r ioncube /usr/local/
#修改PHP配置文件
# vi /etc/php.ini
zend_extension=/usr/local/ioncube/ioncube_loader_lin_5.2.so
# php -v
#如果输出的最后几行类似于下面内容则证明配置正确ionCube已经安装成功Zend Engine v2.1.0, Copyright (c) 1998-2006 Zend Technologies
with the ionCube PHP Loader v3.1.31, Copyright (c) 2002-2007, by ionCube Ltd.
5. 编译安装FreeRadius
i. 可以到https://www.360docs.net/doc/a215832087.html,/downloads下载FreeRadius2.1.8(请注意版本,其他版本我未尝试是否可安装成功)。
#解压缩下载的软件包
# tar -zxvf freeradius-server-2.1.8-dmamod-2.tar.gz
#请记住一点编译四步走,这是我的私藏秘籍:1,编译一定要进入源码目录中(我的人生中只见到在做LFS的时候有过一次编译不许进入源码目录的时候)。2,执行预编译:./configure 3,执行编译:make 4,执行安装make install 其实Linux编译安装是非常简单的。
# cd freeradius-server-2.1.8
#预编译生成Makefile
# ./configure
#编译生成2进制文件
# make
#拷贝2进制文件和配置文件到他们该去的地方
# make install
#测试FreeRadius是否工作正常,红色字体表示安装正常
# radiusd -X
...
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on command file /usr/local/var/run/radiusd/radiusd.sock Listening on proxy address * port 1814
Ready to process requests.
#修改权限
# chown apache /usr/local/etc/raddb
# chown apache /usr/local/etc/raddb/clients.conf
#修改FreeRadius配置文件和MySQL数据库结合工作
# vi /usr/local/etc/raddb/sql.conf
#按如下内容进行修改(用户名和密码可以自定义,但是之后的用户名和密码也需要按需修改才行)
# Connection info:
server = "localhost"
#port = 3306
login = "radius" #访问MySQL时的用户名
password = "radius123" 访问MySQL时使用的密码
6. 修改网卡MAC地址
i. 修改MAC地址的用意是因为我手头的RadiusManager是别人购买好的版本,RadiusManager是根据MAC地址授权用户的。我只需要将自己的MAC地址更改为已授权即可了
ii. 查看网卡MAC地址:(如需购买正版RadiusManager应该将该MAC地址递交获取授权文件)
# ifconfig
#红色字体为本地网卡的MAC地址我们要修改其为已授权网卡MAC地址
eth0 Link encap:Ethernet HWaddr 00:0C:29:6A:68:2F
inet addr:172.16.4.10 Bcast:172.16.255.255 Mask:255.255.0.0
inet6 addr: fe80::20c:29ff:fe6a:682f/64 Scope:Link
iii. 修改网卡MAC地址:
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth0
#将自动识别到的MAC地址注释,按照我的软件修改MAC地址。MACADDR为更改MAC地址的配置选项,请根据实际情况修改MAC地址
#HWADDR=00:0c:29:6a:68:2f
MACADDR=00:50:11:22:33:44
ONBOOT=yes
NETMASK=255.255.255.0
IPADDR=192.168.1.3
TYPE=Ethernet
GATEWAY=192.168.1.1
#更改MAC地址之后重新启动计算机
# service network restart
Shutting down interface eth0: [ OK ]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0: [ OK ]
7. 安装RadiusManager
i. 配置MySQL为RadiusManager创建MySQL帐号
#登陆MySQL服务器进行用户创建(注意:-p之后紧跟数据库管理员密码,无空格)
# mysql -u root -p123456
mysql>CREATE DATABASE radius;
mysql>CREATE DATABASE conntrack;
#CREATE USER后紧跟的为MySQL帐号用户名,IDENTIFIED BY之后紧跟的为密码mysql>CREATE USER 'radius'@'localhost' IDENTIFIED BY 'radius123'; mysql>CREATE USER 'conntrack'@'localhost' IDENTIFIED BY 'conn123'; mysql>GRANT ALL ON radius.* TO radius@localhost;
mysql>GRANT ALL ON conntrack.* TO conntrack@localhost;
ii. 解压缩RadiusManager
# tar -zxvf radiusmanager-3.8.0.tgz
iii. 开始安装RadiusManager
# cd radiusmanager-3.8.0-rel
# chmod 755 install.sh
# ./install.sh
#提示信息如下几乎一路回车即可,只是在最后输入一个“y”
Radius Manager installer
Copyright 2004-2010, DMA Softlab LLC
All right reserved.
(Use CTRL+C to abort any time)
Select the type of your operating system:
1. Redhat (Fedora, CentOS etc.)
2. Debian (Ubuntu etc.)
Choose an option: [1]
Select installation type:
1. New installation
2. Upgrade old system
Choose an option: [1]
Choose an option: [1] 1
Selected installation method: NEW INSTALLATION
WWW root path: [/var/www/html]
RADIUS database host: [localhost]
RADIUS database username: [radius]
RADIUS database password: [radius123]
CTS database host: [localhost]
CTS database username: [conntrack]
CTS database password: [conn123]
Freeradius UNIX user: [root]
Httpd UNIX user: [apache]
Create rmpoller service: [y]
Create rmconntrack service: [y]
Create database backup: [y]
WARNING! If You continue You will overwrite the existing RADIUS database! Are You sure to start the installation? [n] y
#开始安装的提示信息
Starting installation process...
Backing up radiusmanager.cfg
Backing up system_cfg.php
Backing up netcash_cfg.php
Backing up paypal_cfg.php
Backing up authorizenet_cfg.php
Backing up dps_cfg.php
Copying web content to /var/www/html/radiusmanager
Copying binaries to /usr/local/bin
Copying rootexec to /usr/local/sbin
Copying radiusmanager.cfg to /etc
Creating database backup
Creating mysql tables
Creating rmpoller service
Creating rmconntrack service
Copying logrotate script
Setting permission on raddb files
Copying radiusd init script to /etc/init.d
Installation finished!
iv. 更改任务计划
# vi /etc/crontab
#在任务计划末尾增加如下内容,如需修改密码请查看system_cfg.php
02 0 * * * root /usr/bin/php /var/www/html/radiusmanager/rmscheduler.php 12345
#拷贝授权文件到RadiusManager安装目录中
# cp /root/lic/lic.txt /var/www/html/radiusmanager
# cp /root/lic/mod.txt /var/www/html/radiusmanager
#更改Apache的配置文件如下(注意:是修改不是增加)
# vi /etc/httpd/conf/httpd.conf
DocumentRoot “/var/www/html/radiusmanager”
DirectoryIndex index.html index.html.var user.php
#重启Apache使配置生效
# service httpd restart
# service mysqld restart
#打开浏览器,在地址栏中输入:
http://192.168.1.3即可浏览。如果浏览白屏请确认几件事情:
1就是php是否安装版本为5.2。
2. ionCube那个步骤测试是否正常。
3.你的授权文件lic.txt和mod.txt是否复制到了RadiusManager安装目录中。
4.你的浏览器字符集是不是不对,尝试使用UTF-8进行浏览
v. 进行测试
# radiusd -X
#返回如下信息为正常
...
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on command file /usr/local/var/run/radiusd/radiusd.sock Listening on proxy address * port 1814
Ready to process requests.
#在打开一个命令行终端执行以下操作
# radtest user 1111 localhost 1812 testing123
#返回如下内容为正常
Sending Access-Request of id 57 to 127.0.0.1 port 1812
User-Name = "user"
User-Password = "1111"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=57, length=50
WISPr-Bandwidth-Max-Up = 262144
WISPr-Bandwidth-Max-Down = 262144
Acct-Interim-Interval = 60
#执行如下语句关闭Freeradius
# service radiusd stop
8. 修改php.ini优化日志输出
#如果你仔细观察Apache的错误日志会发现一些错误提示,不用担心这是因为PHP默认对于日志筛选的安全级别设置过低造成的,并不是错误,只需要按如下内容修改就可以避免看到该死的错误日志。
# vi /etc/php.ini
#找到error_reporting选项修改如下。
error_reporting = E_ERROR | E_WARNING | E_PARSE
#重启Apache服务
# service httpd restart
9. 尝试登陆RadiusManager配置NAS支持RouterOS
i. 打开浏览器:http://192.168.1.3/admin.php
ii. 默认帐号:admin 密码:1111
iii. 选择NAS菜单下的列出NAS选项,如图所示进行修改。(密钥可以根据需求自己修改,主要是为了和RouterOS进行连接时使用,如果这里更改了,那么RouterOS中对应步骤也需要更改)
至此RadiusManager基本安装完毕。
RadiusManager3.8最新下载地址(自解压)
后记:部分朋友反映在配置文件配置正确的前提下,提示“could not
connect to”。可以尝试一下我的方法:在my.cfg加入以下内容
“set-variable=max_connections=1000”尝试重启mysqld服务试试。RouterOS+RadiusManager3.8实现互联进行认证计费(二)
三、安装配置RouterOS
1. 安装RouterOS
i. 版本的选择:网络上的RouterOS版本是在是太多了,大家可以根据自己的需求选择需要使用的版本,在这里我选择了RouterOS3.22_L6_Registed这个版本,解压缩之后得到一个ISO文件,大家可以将ISO文件刻录成光盘用于启动安装RouterOS。
ii. 从光盘启动后如下图界面选择第一项安装RouterOS到硬盘上。
iii. 根据需要选择组件,我的选择如下图所示。按“i”键开始安装。
iv. 回车重启后设置为还是从光驱启动选择第二项进行破解。破解完成之后计算机将重新启动(适计算机配置不同破解的时间不同,我的机器只需要5分钟左右即可)。
2. 配置IP地址
i. 破解成功并且登陆后输入用户名:admin 密码为,空如下图所示。
ii. 使用以下命令输入查看IP地址:ip address print
iii. 当然IP地址为空,因为我们还没有设置,使用如下命令进行配置IP地址
#设置ether1网卡接口IP地址
ip address add interface=ether1
address=192.168.1.2/24
#查看网卡接口IP地址
ip address print
#测试IP地址配置的网卡接口对不对,因为有双网卡我们
先尝试随意配置一块网卡IP地址如果可以ping通网关
192.168.1.1说明接口正确,如果不能ping通就更换IP
地址到另一个接口上。很明显,如图我的网卡地址不通说
明配置错误,更换一个接口测试一下。
ping 192.168.1.1
#删除网卡IP地址
ip address remove 0
ip address print
#重新为另一块网卡设置IP地址测试连通性
ip address add interface=ether2
address=192.168.1.2/24
ip address print
ping 192.168.1.1
#配置默认网关
setup
#按a
#再按g
#网关输入192.168.1.1
#按两次x保存退出
iv. 打开浏览器浏览地址:http://192.168.1.2,下载图形化的管理工具
3. 通过图形工具连接进行配置
i. 通过图形工具连接并且上传授权文件,如图所示选择:system—license。点击Import Key按钮导入授权文件,如图
ii. 重新启动后为另一个网卡配置IP地址,按照拓扑地址应该为:172.16.1.1/16
选择IP—address如图添加另一块网卡的IP地址
iii. 添加Radius服务器,点击Radius菜单如图设置
iv. 设置RouterOS使用hotspot认证方式到RadiusManager服务器进行身份认证。选择IP—hotspot点击hotspot setup
选择需要认证的接口
需要地址转换的接口ip地址(一般默认即可)
其他步骤一路默认即可,同事创建了一个用户名为admin密码为空的测试账号,测试完成后请将其删除。
选择Server profiles标签页,双击编辑hsprof1配置文件如图进行设置
删除默认用户admin,选择users标签页删除admin即可v. 至此RouterOS基本配置完成。
广州市数字证书管理中心国税网办应用数字证书申办指引
广州市数字证书管理中心国税网办应用数字证书申办指引 一.申办流程 (一)申办方式 办理方式分为网上申办和培训现场填表办理两种。 1.网上申办:准备好已连接打印机且能上互联网的电脑,登录数字证书管理中心网站https://www.360docs.net/doc/a215832087.html, 点击“机构证书在线申请”,根据界面提示,认真阅读申请责任书,并填写相关信息,填写完毕后,需要打印一式三份的申请表和协议书。 2.现场填表办理:与网上申办不同之处在于用户是在网点现场填写申请表格,用户需携带公章到经 办网点。流程相对网上申办方式复杂,建议所有用户采用网上申办方式。 (二)网上申办流程 下面根据用户目前的两种类型分别介绍网上申办流程: A.全新证书用户B.已有证书用户(已申领广州市市国家税务局网上报税证书用户) A全新证书用户申办流程 1)登陆https://www.360docs.net/doc/a215832087.html,选择“机构或企业数字证书在线申请”,首先认真阅读数字证书申请责任书, 同意责任书中条款方可进入申请页面,询问是否办理过数字证书选项选择否 2)选择您要开通的国税业务和年费缴纳期限 3)自助选择您要领取证书的地点。 4)如实填写机构相关资料信息。 5)填写完毕按提交后,注意同时打印申请表格一式三份,并加盖公章。请保存好您的受理编号和 证书申请ID号,该号可用于在证书管理中心的网站上查询您的证书状态。 6)申请完毕后,请保留好您的申请表格,数字证书管理中心会在7到10个工作日内生产出您申请的 数字证书。您将会在这个时间范围内得到数字证书管理中心的证书领取通知,如果您没有得到 通知也可以登录网站https://www.360docs.net/doc/a215832087.html,查询您的证书受理状态,用户名为您的ID号,受理编号为 密码,登陆网站后可以查询您的证书状态,状态为“受理中”则您还需要继续等待,当您看到证书状 态为“可领取”或“已派区”时,请携带好相关资料前往相关证书服务网点领取您的数字证书。 7)前往服务网点领取数字证书 需要携带的资料及费用包括: ?单位性质的证明文件原件及复印件(营业执照(副本))(复印件一式三份需加盖单位公章)。 ?组织机构代码证原件及复印件(副本)(复印件一式三份需加盖单位公章) ?国税税务登记证原件及复印件(复印件一式三份需加盖单位公章) ?法定代表人或办理人的身份证原件及复印件(复印件一式三份需加盖单位公章)。 ?打印好的申请表及申请责任书(一式三份需加盖单位公章)。 ?证书介质费用和服务费用。收费标准见后续收费表。 8)证书安装和使用,详见安装使用手册。 B 已有证书用户 此类用户本身已经申办过社保机构数字证书,需要开通市国税网办服务有两种选择:?新办理市国税网办业务专用的机构业务(操作员)证书。 ?共用原来的机构数字证书,直接开通市国税网办服务。 9)机构操作员证书申办流程 登录网站https://www.360docs.net/doc/a215832087.html,,进入机构操作员证书申请窗口后,、填写您的机构数字证书ID号。 (请注意:此ID号为您企业领取网上社保数字证书时系统所赋予的ID号,请在您的数字证书 包装盒外表查找。如果无法找到,请电话咨询客户热线。由于省社保证书用户的机构证书ID 号没有告知用户本身,因此用户需要先电话咨询客户热线,我们的服务人员将为您查询系统 分配给您的ID号。)
苏州市数字证书认证中心电子认证服务协议(非个人)
苏州市数字证书认证中心电子认证服务协议(非个人) 数字证书(以下简称证书)是苏州市数字证书认证中心(以下简称苏州CA中心)签发的网上凭证,是为身份确实、资信可靠的个人、单位和服务器等在网上进行安全电子交易、安全电子事务处理等提供的一种身份认证。凡企业、机关团体、行政事业等单位、个人和服务器数字证书申请人(以下简称证书申请人)均可向苏州CA中心的业务受理审批单位申请领用数字证书。 为了保障数字证书申请人的合法权利,维护苏州市数字证书认证中心的合法经营权益,双方本着自愿、平等的原则,达成以下协议书条款,双方共同遵守执行。 一、协议双方的权利与责任 1.证书申请人的权利与责任 (1)证书申请人必须按照苏州CA中心的有关规定办理申请手续,如实提交各种申请材料,如实填写证书申请表格。证书申请人必须对所提供资料的真实性、合法性及完整性负责。 (2)证书申请人在身份审核时,故意或过失提供不真实资料,导致苏州CA中心签发证书错误,因而造成损失时,由证书申请人承担一切相关责任。 (3)证书申请人应当妥善保管苏州CA中心所签发的数字证书和私钥及保护密码,不得泄漏或交付他人。如因故意、过失导致他人知道或遭盗用、冒用、伪造或者篡改时,证书申请人应当自行负责承担一切责任;如遇遗失或被窃,应立即向苏州CA中心或其受理审批单位办理挂失/报失,并配合调查。 (4)如发生第(3)条情况,或者证书申请人不希望继续使用数字证书时,应当立即到受理审批单位申请报失数字证书。报失手续遵循苏州CA中心的规定。苏州CA中心在接到受理审批单位的报失申请后,在24小时内废止证书申请人数字证书。证书申请人应当承担在数字证书废止之前所有使用数字证书造成的责任。 (5)证书申请人数字证书的有效期为1年或2年。证书申请人必须及时提出数字证书更新请求。苏州CA中心对此不负任何责任。 (6)证书一律不得转让、转借或转用。因转让、转借或转用而产生的一切损失均由证书申请人负责。若单位的法人、网站等发生变动,应立即通知苏州CA中心。因证书申请人信息发生变化且未及时通知苏州CA中心更新证书信息而造成的不良后果由证书申请人自行承担。 (7)所有使用证书在网上进行的电子商务活动均视为证书申请人所为,因此而产生的一切后果均由证书申请人负责,证书申请人必须遵守国家的相关规定。 (8)证书申请、废止、更新等的审核权在苏州CA中心,证书申请人必须按照苏州CA中心制定的有关规定按期缴纳相关费用。如申请人未能按时缴纳费用的,由此产生的一切后果均由证书申请人承担。 (9)如果证书申请人单位停业或解散时,则其法定责任人需要携带相关证明文件及原数字证书申请表格存根,向苏州CA中心请求报失证书申请人数字证书。如果数字证书申请证明遗失,凭法律效力证明废止证书申请人数字证书。相关责任人应当承担其数字证书在废止前产生的一切行为。 2.苏州CA中心的权利与责任 (1)苏州CA中心发放的各类型数字证书只能用于在网络上标识身份、加密数据、保证网络安全通讯,不能作为其他任何用途。若证书申请人将其数字证书用于其他用途,苏州CA中心不承担任何责任。
数字证书驱动安装说明
数字证书驱动安装说明 驱动安装步骤: 第一步:在GDCA网站(https://www.360docs.net/doc/a215832087.html,)或者网挂系统网站下载数字证书客户端普通版驱动(3.9版本以上)。 第二步:在安装包中,双击“Setup.exe”文件执行运行程序,进入程序安装主页面,如图1。 (图1) 第三步:在图1中,选择“安装GDCA数字证书客户端”选项,进入准备安装页面,如图2。 (图2) 第四步:单击“下一步”,进入用户信息页面,如图3。正确填写“用户姓名”和“单
位”,其他保持默认设置即可。 (图3) 第五步:单击“下一步”,进入到“自定义安装”页面,如图4。 (图4) 第六步:保持所有默认值设置,单击“下一步”,进入“请输入GDCA KEY序列号”页面,如图5。
(图5) 第七步:在“序列号”输入框输入已经办理的数字证书外壳上由字母和数字组成的8位序列码(如W807####)。单击“下一步”,进入“已做好安装程序的准备”页面,如图6。 (图6) 第八步:单击“安装”按钮,计算机自动进行安装。在自动安装过程中会弹出“请确认UKEY已经拔出!”页面,如图7。请在确定正在安装驱动程序的计算机上没有插入数字证书后,单击“继续”按钮。
(图7) 第九步:驱动程序安装完成后,自动弹出“安装完成”提示页面,如图8。单击“完成”按钮即可。 (图9) 第十步:在如图1所示的页面中,选择“退出”按钮退出“程序安装主页面”,并重新启动计算机。 第十一步:计算机重新启动后,插入数字证书,计算机会自动弹出提示信息,如图10所示。
(图10) 第十二步:打开IE浏览器(建议使用IE8版本),输入网上挂牌交易系统域名,在登录网页输入密码,并单击“登录”按钮。若出现如图11所示的提示信息,说明IE自动禁止了数字证书的加载。请查看浏览器是否有如图12所示的提示信息,重新进入登录页面,右键该提示信息并选择“允许运行该加载项”,装载完成后,输入密码进行登录即可。 (图11) (图12)
北京数字证书认证中心
北京数字证书认证中心 单位数字证书申请表 用户在填写申请表之前,请仔细阅读以下注意事项: ●请用钢笔或圆珠笔如实、准确、清楚地一式两份填写,用户与证书受理点各执一份。 ●申请证书所需要提交的资料如下: ①企业需提交“企业法人营业执照(副本)”或“营业执照(副本)”的原件和复印件; 事业单位需提交“事业单位法人登记证(副本)”或“事业单位登记证(副本)”的原件和复印件; 其他单位提交上级主管部门或具有法人资格的挂靠单位签发的有效证明文件原件和复印件。 ②所有单位都需提交组织机构代码证(副本)的原件和复印件。 ③所有单位都需提交税务登记证(副本)的原件和复印件。 ④所有单位都需提交办理人有效身份证件的原件和复印件。 (注:以上所有复印件,必须加盖申请单位公章) ●用户在正式递交申请之前请仔细阅读“数字证书用户责任书”,一旦递交则视作承认并遵守责任书中的 各项规定,如违反规定,将接受处罚至承担法律责任。 ------------------------------------------------------------------------------------------------------------------------------------- 以下信息由单位填写: 计算机代码:□□□□□□□ 单位名称:______________________________________________________________________ 主管单位名称:___________________________________________ (如无主管单位,则填本单位名称) 邮政地址:_________________________________________邮政编码:□□□□□□ 单位电话:_______________________ 单位传真:______________________________________ 法人姓名:____________法人电话:____________ 法人电子邮件:_________________________ 组织机构代码:□□□□□□□□-□ 工商营业执照注册号:________________________________________________________________ 税务登记证号(地税):□□□□□□□□□□□□□□□□□□ 办理人姓名:_______________________ 联系电话:___________________________________ 办理人身份证号:□□□□□□□□□□□□□□□□□□ 申请单位在此郑重申明:表内所填内容完全属实,接受据此颁发的数字证书,保证遵守证书申请责任书中所明确的职责,并承担相关法律责任。 单位法人签名:_______________ 日期:_____年____月____ 日申请单位盖章处 ------------------------------------------------------------------------------------------------------------------------------ 以下信息由证书受理点填写: 密码信封序列号:□□□□□□□□□□□□□□□ 受理人签名:________________ 受理日期:_____ 年____月____ 日证书受理点盖章处
数字证书认证服务机构名单
卫生部复审、测试的数字证书认证服务机构名单 根据《卫生系统电子认证服务管理办法(试行)》和《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》和卫生系统电子认证服务体系建设系列技术规范的要求,经认真复核和测试,现公布通过卫生部复审、测试的数字证书认证服务机构名单,名单如下: 第一批通过卫生部复审、测试的数字证书认证服务机构名单(中华人民共和国卫生部通告(2010)23号)(中华人民共和国卫生部 2010-11-0414:35:09) 一、北京数字证书认证中心有限公司 二、上海市数字证书认证中心有限公司 三、江苏省电子商务证书认证中心有限公司 四、东方中讯数字证书认证有限公司 五、湖南省数字认证服务中心有限公司 六、福建省数字安全证书管理有限公司 第二批通过卫生部复审、测试的数字证书认证服务机构名单(中华人民共和国卫生部通告(2011)1号)(中华人民共和国卫生部2011-01-07 08:57:21) 一、新疆数字证书认证中心(有限公司) 二、国投安信数字证书认证有限公司 三、山西省数字证书认证中心(有限公司) 四、河南省数字证书有限责任公司 五、山东省数字证书认证管理有限公司 六、江西省数字证书有限公司 第三批通过卫生部复审、测试的数字证书认证服务机构名单(卫通〔2011〕9号) (中华人民共和国卫生部 2011-05-09 17:55:03)
一、陕西省数字证书认证中心有限责任公司 二、广东省电子商务认证有限公司 三、辽宁数字证书认证管理有限公司 四、广东数字证书认证中心有限公司 五、西部安全认证中心有限责任公司 六、河北省电子商务认证有限公司 第四批通过卫生部复审、测试的数字证书认证服务机构名单(卫通〔2012〕2号) (中华人民共和国卫生部 2012-03-01 12:28:43) 一、安徽省电子认证管理中心有限责任公司 二、湖北省数字证书认证管理中心有限公司 三、浙江省数字安全证书管理有限公司 四、深圳市电子商务安全证书管理有限公司
数字证书详解要点
数字证书 一. 什么是数字证书? 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在互联网上用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容: 证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049; 证书所有人的名称,命名规则一般采用X.500格式; 证书所有人的公开密钥; 证书发行者对证书的签名。
使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。 二. 为什么要使用数字证书? 基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。 1、信息的保密性 交易中的商务信息均有保密的要求。如信用卡账号和用户名被人知悉,就可
实验二 数字证书的申请及安装
实验二数字证书的申请及安装 【实验目的】1. 了解认证体系的体制结构、功能、作用、业务范围及运行机制。 2. 掌握网上申请个人数字证书的方法。 3.掌握数字证书的导入、导出和安装。 【实验环境】Internet、Internet Explorer 【主要内容】1. 通过搜索国内认证机构网站,了解其功能、作用及所提供的业务 2.在“中国协卡认证体系”网站(https://www.360docs.net/doc/a215832087.html,)为自己 申请“个人安全电子邮件证书”。 3.登录广东省电子商务认证中心网站(https://www.360docs.net/doc/a215832087.html,),为 自己申请试用版网证通数字证书。 【操作流程】 图1-9 数字证书的申请及安装流程 【实验导读】 数字证书的原理及作用 数字证书采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用一对互相匹配的密钥进行加密和解密。用户采用自己的私钥对发送信息加以处理,形成数字签名。由于私钥为本人所独有,这样可以确定发送者的身份,防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。
数字证书的颁发 数字证书是由认证中心(CA机构,Certificate Authority)颁发的。 认证中心是能向用户签发数字证书以确认用户身份的管理机构。它作为电子商务交易中受信任的第三方,一方面为每个使用公开密钥的用户发放一个数字证书,其作用是证明证书中列出的用户合法拥有证书中列出的公开密钥;另一方面承担公钥体系中公钥的合法性检验的责任。 ?数字证书颁发过程 数字证书颁发过程如下:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。 作为个人用户,你既可以为自己申请数字证书,也可以为一台安全服务器申请数字证书。数字证书有试用版和正式版两种,试用版申请过程在网上即时完成,并立即可以免费使用。正式版数字证书则需要额外的处理方法及时间,一般过程是用户首先在网上填写数字证书申请资料,认证中心在接收到申请请求后,它将对申请人的身份进行审核,当用户的申请请求满足认证中心的所有要求后,认证中心将为其制作证书,然后发送给申请人或者是申请人在网上下载自己的证书。 ?根证书及根证书下载 所谓根证书,是CA认证中心与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系。根证书是一份特殊的证书,它的签发者是它本身,下载根证书就表明你对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 ?个人数字证书 数字证书是在Internet上用来证明用户身份的一种方式,它是一份包含用户身份信息、用户密钥信息以及CA中心数字签名的文件。申请个人数字证书可以为Internet用户提供发送电子邮件的安全和访问需要安全连接(需要客户证书)的站点。
数字证书安全认证解决方案
数字证书安全认证 解决解决方案方案 广东省数字证书认证中心 2008年
目 录 1 概述............................................................................................................3 2 需求............................................................................................................ 3 3 系统架构....................................................................................................5 4 主要产品及需求实现................................................................................6 4.14.1 客户端....................................................................................................6 4.24.2 服务器端................................................................................................6 4.34.3 安全需求的实现 (7) 5 设备配置清单 (8)
数字证书常见故障处理
数字证书常见故障处理 广东省电子商务认证中心 2013
目录 1问题描述 (1) 2数字证书故障的排查顺序 (1) 3问题归类判断 (1) 3.1硬件识别问题 (1) 3.2驱动问题 (3) 3.2.1卸载注意 (3) 3.2.2安装注意 (3) 3.2.3常见的驱动问题 (3) 3.3证书应用问题 (4)
1问题描述 当遇到用户证书使用存在问题,首先确定问题大致方向,总结有以下3种情况: 硬件识别问题:识别不到硬件或硬件识别异常,导致客户端识别不到证书; 驱动问题:能识别到硬件,但是驱动异常,导致客户端无法识别到证书; 证书应用问题:客户端能识别到证书,但是在登录应用时获取不到证书或报错。 2数字证书故障的排查顺序 如果数字证书使用中存在问题,请按以下次序进行排查: 1.访问数字证书测试网页,检测功能是否正常; 2.有条件的情况下,换台机器测试; 目的:【检测是否本机故障】 如通过,基本判断本机驱动程序安装或机器设置存在问题;按章节3描述检测处理; 如出现未知故障,请记录故障现象及截图,发送网证通客服人员,进行处理; 3.有条件的情况下,换电子密钥(KEY)测试; 目的:【检测是否KEY故障】 如通过,基本判断KEY或数字证书存在问题;请联系网证通客服,重新做证; 3问题归类判断 3.1硬件识别问题 当识别不到证书后,检查硬件识别是否正常,首先打开设备管理器,在开始菜单-计算机-(右键)管理,如下图
再打开设备管理器,插入key根据设备管理器的变化确定硬件识别情况,常见的key在设备管理器出现状态如下: 图:明华KEY 2版,3版 注意:如果能在设备管理器找到设备并显示正常说明硬件识别到了,如果在设备管理器找不到对应的设备,说明识别硬件有问题,此时处理方式:一、检查设备是否有指示灯,指示灯亮否,有指示灯指示灯不亮可能是设备已损坏;二、找其他电脑装上驱动,插上key检查是否正常,排除电脑原因;三、如果有多把key,建议插上另外的key试试。
数字证书介绍
数字证书介绍 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。 数字证书又称为数字标识(Digital Certificate,Digital Identity),标识某一主体(个人、单位、服务器、智能终端等)的身份信息。信息系统的用户或设备需要使用数字证书来表明自己的身份,并用其进行信息加密、电子签名等相关操作。通俗地讲,数字证书就是个人、单位或相关设备的电子身份证。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。 1.1数字证书的特点 ●安全性 (1)为了避免传统数字证书方案中,由于使用不当造成的证书丢失等安全隐患,支付宝创造性的推出双证书解决方案:支付宝会员在申请数字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员当前所使用的计算机。 (2)第二张证书不能备份,会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取,仍可保证其账户不会受到损失。 (3)支付盾是一个类似于U盘的实体安全工具,它内置的微型智能卡处理器能阻挡各种的风险,让您的账户始终处于安全的环境下。目前保证电子邮件安全性所使用的方式是数字证书。 ●唯一性 (1)支付宝数字证书根据用户身份给予相应的网络资源访问权限 (2)申请使用数字证书后,如果在其他电脑登录支付宝账户,没有导入数字证书备份的情况下,只能查询账户,不能进行任何操作,这样就相当于您拥有
湖南省数字认证服务中心有限公司数字证书使用手册
湖南省数字认证服务中心有限公司数字证书使用手册 一、数字证书的安装 、安装前请先关闭或卸载“防火墙”、“上网助手”等程序及、等文档; 、运行与证书一起发放的安装光盘里面的“”或运行从网上(湖南)下载的“数字证书安装光盘”(双击“”文件即可),按照默认安装下一步进行完成安装; 、安装成功后电脑右下角任务栏会有企业数字证书程序运行标志(如图): 二、客户端工具使用 、口令修改:插入至计算机的接口,双击桌面的“湖南数字证书认证中心用户工具”或点击“开始”>“所有程序”>“湖南省数字证书认证中心”>“客户端工具”>“用户工具”,选择修改口令,即可修改口令。如果选择查看证书,可以看到有两张证书,一张为身份验证证书,一张为签名证书。 、设备信息查看与保存:点击设备信息按钮,如果正常的话,可以看到设备的序号,容量,系统的基本信息等,并且会提示用户是否需要保存,如果需要保存则会提示保存的位置。如果没有显示设备信息,说明设备可能损坏。
、手工下载列表:点击服务按钮,进入服务的配置和客户端列表的下载,列表主要是为了进行证书有效性验证,所以第一次使用的时候,请一定要先进行列表的手工下载,在下载前先保证能够上网浏览网页,界面如下: 三、证书应用 登陆 首先插入,进入应用系统登录界面,系统会提示输入密码,密码如果修改过,则用修改后的密码,如果没有修改过,则用初始密码””,如下图:
四、常见问题及解决办法 问题:加密设备故障 解决办法:重新安装驱动程序。 判断驱动程序安装是否成功的办法:绿灯亮秒钟,然后灭掉即正常。 如果安装不成功,可以将驱动光盘和同时连接在电脑上,右键单击“我的电脑”—左键点击“属性”—“硬件”—“设备管理器”—其他设备里左键双击(黄色小问号)—点击“重新安装驱动程序”—“下一步”至出现“完成”即可 尝试电脑的其它接口 问题:“验证失败” 解决办法: 判断是否被锁,点击“开始”>“所有程序”>“湖南省数字证书认证中心”>“客户端工具”>“用户工具”选择“修改密码”,输入原始密码“”(或用户修改后的口令),如果提示验证失败,请及时与湖南省数字认证服务中心有限公司联系。 问题:无法进入系统或者证件办理无法保存 解决办法: 如果没有提示输入密码,说明没有插入电脑,请先插入电脑,然后在重新登陆系统或者重新操作。请在使用过程中,一定不要拔出。 五、联系方式 湖南省数字认证服务中心有限公司 咨询电话:-,传真:网址: 地址:长沙市芙蓉区五一大道号综合信息楼楼(乔庄五一大道路口) 邮编:
ca认证中心
CA认证机构系统概况实验 第一章基础知识 1.1数字证书 定义 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。 数字证书的原理 数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。 1.2CA 相关定义 CA(Certificate Authority)认证中心,采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。 根证书 根证书,是指CA认证中心与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故
数字证书说明
什么是数字证书 Internet 浪潮把我们的社会带入到全新的信息化时代,也使每个企业都面对着巨大的机遇和挑战。从生产到销售、从操作到管理、从税收到年检,自动化办公、电子商务、电子政务等一系列网络信息化操作模式已经彻底改变了企业的传统运作模式。充分适应网络环境、合理利用信息化手段是网络时代企业发展取胜的关键。 但在进入互联网角色之后,许多企业也许会经常遇到这样的困惑:内部管理时怎样在网上确认员工的身份?网上交易时对方发出的信息是否真实可信?网上纳税时怎样有效的表明企业的身份?等等。由此可见,信任是每个企业及实体进行各种网上行为的基础,构架一个安全可信的网络环境是各种网上操作顺利开展的有利保障。SHECA数字证书正是这样一种建立网上信任的可靠工具。 那么,您了解数字证书吗?下面我们将会就企业所关心的数字证书相关情况进行详细的说明。 问:什么是数字证书?有哪些功能和作用? 答:数字身份认证是基于国际PKI标准的网上身份认证系统,数字证书相当于网上的身份证,它以数字签名的方式通过第三方权威认证有效地进行网上身份认证,帮助各个实体识别对方身份和表明自身的身份,具有真实性和防抵赖功能。与物理身份证不同的是,数字证书还具有安全、保密、防篡改的特性,可对企业网上传输的信息进行有效保护和安全的传递。 举个例子来说:随着电子政务的发展,网上报税已经成为也必将成为许多企业进行日常税务申报的常用方式。网上报税即税务部门建立专门的申报网站,纳税户通过Internet访问税务部门网站上的网上报税系统,正确填写电子化申报表后,传送申报数据至税务部门服务器,税务部门对这些数据进行处理、储存,并将处理结果反馈给纳税人的一种电子申报方式。在此过程中,纳税人通过使用标识其身份的数字证书登录网上纳税服务系统,就可以安全地进行网上税务申报,所有诸如企业账号、纳税额等申报信息都是经过高强度加密过的,保证信息可以安全无误地在纳税人与税务系统中传递,即使有人从中非法截获,也无从知道真实内容。同时也可以表明该企业有效身份并证明其纳税实事。 问:数字证书主管机构在哪里? 答:上海市数字证书认证中心有限公司(简称“上海 CA中心”或SHECA)是上海市政府投资的上海市唯一一家进行数字证书服务的第三方认证中心。 问:数字证书该如何申请? 答:一般来讲,用户要携带有关证件到各地的证书受理点,或者直接到证书发放机构即CA中心填写申请表并进行身份审核,审核通过后交纳一定费用就可以得到装有证书的相关介质(IC卡或Key)和一个写有密码口令的密码信封。拿到这两样物品用户需要登SHECA的网站(https://www.360docs.net/doc/a215832087.html,)下载证书私钥,然后就可以在网上操作时使用数字证书了。 目前,为了方便企业网上办公,上海市CA中心与上海市组织机构代码管理中心合作,共同为广大上海注册的企业(包括准备注册的企业和已经注册进行换证企业)提供数字证书,并以比国内同类数字证书平均价格标准优惠很多的价格为企业提供同等高质量的认证服务。 问:数字证书该如何使用? 答:用户在进行需要使用证书的网上操作时,必须准备好装有证书的存储介质。如果用户是在自己的计算机上进行操作,操作前必须先安装SHECA的根证书。一般所访问的系统如果需要使用数字证书会自动弹出提示框要求安装根证书,用户直接选择确认即可;当然也可以直接登陆CA中心的网站,下载安装根证书。操作时,一般系统会自动提示用户出示数字证书或者插入证书介质(IC卡或Key),用户插入证书
上海市数字证书认证中心
上海市数字证书认证中心 一、网站的结构: 首页、数字证书、产品方案、服务支持、业务合作、协卡知识、关于我们。 二、网站发布的信息内容包括: 新闻动态: 上海CA工会召开第三届第四次全体会员大会 (2012年02月22日) 上海:法人网上身份将“一证通用” (2012年02月14日) 法人数字证书将一证通用韩正听取汇报要求实施 (2012年02月13日) 上海CA参加市国家保密局保密专项培训 (2012年02月09日) 上海CA召开2012年度员工大会 (2012年02月08日)等。 产品介绍: UniTrust?通用证书系统 UniTrust?安全引擎 UniTrust?时间戳服务系统 UniTrust?证书管理器 UniTrust?文件安全宝 DIDMS? I DIDMS? II DIDMS? III 等。 产品运用的解决方案: 招投标系统数字证书应用方案 网上教育系统数字证书应用方案 于数字证书的可信终端解决方案 网上报税系统数字证书应用方案 公文流转系统数字证书应用方案 网络银行系统数字证书解决方案 网上证券系统数字证书解决方案等。 三、认证中心的职能和提供的服务包括: 大客户服务: 网上报税服务 上海市存量房经纪合同和交易合同网上备案 上海银行企业网络银行 中国银行个人网上外汇保证金业务 上海二手房交易合同网上备案
建设工程网上招标 中国拍卖行业协会 保持共产党员先进性证书等。 政府软件服务: 中心介绍 最新产品目录 技术服务目录 成功案例 安全公告等。 四、中心签发的数字证书的类型包括: 个人身份证书、企业证书、机构证书、支付网关证书、服务器证书、个人代码签名证书。 五、下载证书,说明来源,并记录安装的详细步骤: 证书名称:国家信任源根证书(互联互通) 证书来源:上海市数字证书认证中心 证书安装步骤: 1、点击下载“国家信任源根证书(互联互通)”, 2、下载后点击打开文件“SHECA.p7b”, 3、打开后出现 点击“证书”,出现选项
数字证书注册审批系统(RA)
数字证书注册审批系统 产品介绍 东方中讯数字证书注册审批系统(RA:Registration Authority),是东方中讯CA证书授权(Certificate Authority)中心证书发放、管理等业务的延伸,它负责用户的证书申请、身份审核和证书下载,同时,对发放的证书的生命周期进行管理。根据客户的实际需求,东方中讯因地制宜提供远程RA模式和本地自建RA模式(企业版RA)两种解决方案: 1)远程RA模式: 远程RA模式就使用东方中讯数字证书认证中心已建设好的证书注册审批系统,证书用户通过东方中讯提供的Web链接,进行证书申请及证书生命周期的管理,管理员使用管理员证书登录位于东方中讯数字证书认证中心的控制中心,来批准证书和管理整个系统。用户也可以通过东方中 讯提供的安全套件接口远程调用RA服务进行下载、更新证书等操作。远程RA模式在用户的本地不需要建设任何的RA模块。只要拥有RA系统管理员证书,就可以在任何一台机器上通过Web方式登录东方中讯CA 认证中心的RA控制中心,对整个系统进行全权的管理。 2)本地RA模式(企业版RA): 本地RA模式中CA系统部分使用东方中讯数字认证中心已建成系统,由东方中讯负责CA中心的整体安全;在客户的本地建设面向最终用户的证书注册中心(RA中心)系统,最终用户访问本地RA中心的Web页面完成证书的注册,RA管理登录本地RA中心完成对用户证书申请的批准、证书生命周期管理等操
作。 产品功能 ?证书管理:RA系统提供了用户信息维护、企业信息维护、证书申请、证书 下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、CRL发布等功能; ?证书审核:对证书申请、更新、注销、冻结等操作进行审核,经过证书管理 员审核确认之后,用户才能进行下一步操作; ?角色权限管理:管理每个角色的对应权限; ?模板管理:RA定时与CA模板保持同步,下载CA中模板信息,也可以通过 手动方式进行与CA的模板同步操作; ?审核策略:设置证书手动或自动策略。 ?证书统计:支持证书统计功能,提供丰富的统计条件与简单易用的统计界面, 包括证书签发量统计、证书月签发量统计和证书过期统计多种统计功能; ?批量申请和制证:系统支持批量进行证书申请和制证的功能,以包含用户证 书信息的XML格式的文件作为批量申请文件,进行批量证书申请,批量证书申请成功后可以对其进行批量制证的操作。 功能指标 ?算法支持:支持非对称算法RSA(1024/2048)、SM2、SHA1、SM3,支 持128位对称加密算法;
实验__数字证书的申请及安装
实验数字证书的申请及安装 【实验目的】1. 了解认证体系的体制结构、功能、作用、业务范围及运行机制。 2. 掌握网上申请个人数字证书的方法。 3.掌握数字证书的导入、导出和安装。 【实验环境】Internet、Internet Explorer 【主要内容】1. 通过搜索国内认证机构网站,了解其功能、作用及所提供的业务 2.在“中国协卡认证体系”网站(https://www.360docs.net/doc/a215832087.html,)为自己 申请“个人安全电子邮件证书”。 3.登录广东省电子商务认证中心网站(https://www.360docs.net/doc/a215832087.html,),为 自己申请试用版网证通数字证书。 【操作流程】 图1-9 数字证书的申请及安装流程 【实验导读】 数字证书的原理及作用 数字证书采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用一对互相匹配的密钥进行加密和解密。用户采用自己的私钥对发送信息加以处理,形成数字签名。由于私钥为本人所独有,这样可以确定发送者的身份,防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。
数字证书的颁发 数字证书是由认证中心(CA机构,Certificate Authority)颁发的。 认证中心是能向用户签发数字证书以确认用户身份的管理机构。它作为电子商务交易中受信任的第三方,一方面为每个使用公开密钥的用户发放一个数字证书,其作用是证明证书中列出的用户合法拥有证书中列出的公开密钥;另一方面承担公钥体系中公钥的合法性检验的责任。 ?数字证书颁发过程 数字证书颁发过程如下:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。 作为个人用户,你既可以为自己申请数字证书,也可以为一台安全服务器申请数字证书。数字证书有试用版和正式版两种,试用版申请过程在网上即时完成,并立即可以免费使用。正式版数字证书则需要额外的处理方法及时间,一般过程是用户首先在网上填写数字证书申请资料,认证中心在接收到申请请求后,它将对申请人的身份进行审核,当用户的申请请求满足认证中心的所有要求后,认证中心将为其制作证书,然后发送给申请人或者是申请人在网上下载自己的证书。 ?根证书及根证书下载 所谓根证书,是CA认证中心与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系。根证书是一份特殊的证书,它的签发者是它本身,下载根证书就表明你对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 ?个人数字证书 数字证书是在Internet上用来证明用户身份的一种方式,它是一份包含用户身份信息、用户密钥信息以及CA中心数字签名的文件。申请个人数字证书可以为Internet用户提供发送电子邮件的安全和访问需要安全连接(需要客户证书)的站点。
数字证书的构成和原理
数字证书的构成和原理 1、数字证书的格式 认证中心颁发的证书均遵循X.509 V3标准。 2、数字证书的作用 数字证书是PKI标准基于公钥密码体制,用于标志通讯各方身份的一种证书。一般是由权威的CA认证机构颁发,用于在网络流通中让别人识别自己的身份。主要用于密钥管理上。 在使用公钥协商对称密钥的安全通讯中,客户端会先收到服务端收到的数字证书,证书中包含了服务端的公开密钥,再使用这个公开密钥加密客户端产生的对称密钥,就组成了数字信封。客户端会先查看证书是否过期,发行服务器证书的CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果符合要求,用户就可以用该证书里的公钥来验证服务端私钥的签名。 数字证书为什么能作为标志身份的工具,并运用在密钥管理之上呢? 因为数字证书具有安全性、唯一性、不可篡改性等特性(具体实现在后面的原理部分会体现)。因此被权威的CA认证中心颁发了证书的个人或者单位,可以用它来唯一的标识自己的身份。 3、数字证书的构成与原理 1)数字证书的构成 数字证书是一连串被处理过的信息的集合。下面是一个已经存在于计算机中的证书样板:
一个证书中包含很多内容,下面是其中几个主要的内容(仅列出一部分):Version 证书版本号,不同版本的证书格式不同 Serial Number 序列号,同一身份验证机构签发的证书序列号唯一 Issuer 证书发布机构,指出这个证书是哪个公司创建的,这是哪个CA中心的证书 Valid from,Valid to 证书的有效期,也就是证书的使用期限 Subject 主题,就是这个证书的所有者(由于上面的证书是在电脑中的根证书,所以Issuer跟Subject是一样的) Public key 公钥,即该证书持有人的公钥 Signature algorithm 签名算法,指的是这个数字证书中的数字签名所使用的加密算法,可以通过根证书中的公钥对这个证书中的指纹进行解密Thumbprint,Thumbprint algorithm 指纹以及指纹算法,在证书发布的时候,发布机构会根据指纹算法先计算出整个证书的hash值,并使用证书发布机构的私钥对其进行签名构成一个指纹,并将指纹与该证书放在一起 2)基于数字证书的PKI公钥密码体制 一个公司想要在网络上标志自己的身份,可以向一个权威的CA中心购买证书。假如某公司A向某知名CA中心B购买证书,CA中心首先会去确认该公司的身份,确认完之后,会给该公司颁发一个数字证书(内容和上面的基本一致)。此外还会给公司一个证书公钥对应的私钥。 之后,如果有一个客户需要在网络上认证该公司身份,公司会先将自己的数字证书发送给客户。客户查看证书中的版本、认证中心是否权威、证书是否过期、证书持有人是否是该公司、CA认证的根证书是否能解开该证书中的数字签名、证书是否被修改,查看完之后确认该证书确实是该公司所有。然后发送一条明文给服务端,让服务端用私钥签名之后返回。客户收到签名后的消息,用证书中的公钥解开,看是否与自己发送的消息一致,如果一致则确认对方确实是你要连接的公司。 那该客户又是哪里来的CA认证根证书呢?每个CA中心都会给自己颁发一个根证书,根证书中包含CA中心自己私钥对应的公钥。用该公钥可以解开所有经过CA中心签名的证书。这些认证公司的根证书在我们安装系统的时候就已经安装好了,微软(或者其他一些操作系统的公司)在系统中已经安装了一些数字证书,并将它们设置为受信任的证书。这些数字证书都是一些权威认证中心的根证书。这样就防止了一些不靠谱的CA中心来随便颁发根证书,从而影响了证书体制(所有的公司都能发布证书,这在后面将会讲到)。 3)数字证书如何支持公钥密码体制的运行 每个数字证书中都包含了证书所有人的信息、公钥等内容。 那么如何保障数字证书的安全性、权威性、不可篡改性、唯一性的? 首先,先看权威性。数字证书经常用于密钥的分发,由受认可的CA中心颁发的数字证书,可受到该CA中心保证。除此之外也可以是任意一家公司颁发的数字证书,如果用于特定范畴之内是行得通的。但是如果是用于在互联网上流通,这个证书是不会受到国际认可的,一个用户发现收到的数字证书的颁发机构不受信任,也不会对该证书信任的。