实验二:安装和配置证书服务实验 实验目的: 1、安装一个独立存在的CA 2、从某个CA请求一个证书 3、发放证书 实验内容: 一、安装和设置证书服务 证书授权服务器是Windows 2000 Server的一个附件,它放在Windows 2000 Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建服务器证书,从而可让你的组织完全控制它自己的证书管理策略 它包含了一个向导来设置安装。要注意的是:你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。 要使用常用的设置选项来安装证书授权服务器附件,你可以使用以下的步骤: 1.将Windows 2000 Server CD-ROM放入光驱,然后选择Install Add-on Components 2.Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会 马上看到一个对话框,提示你一旦安装证书服务,该计算机将不能重命名,也不能 加入或者由一个域中移走。 在选择YES来继续前,你应该考虑一下以下几点: 由于在安装证书服务后,除非你重新安装Windows 2000,否则你将不能修改计算机的名字,因此你需要确保你对当前的名字感到满意,或者在继续前先换一个名字。 在继续前你要确保计算机加入到适当的域中 3.接着,在Windows组件向导中选择证书授权类型,有四种类型: Enterprise root CA Enterprise subordinate CA Stand-alone root CA Stand-alone subordinate CA 4.一个网络上的第一个CA必须是一个root CA。要创建一个Enterprise CA,必须允 许Active Directory。一个Stand-alone CA 并不需要Active Directory。在你的局域网 中可选择Stand-alone CA 来实现证书服务。 证书授权服务不但定义证书服务功能如何在你的服务器上运作,还定义了你将需要如何来管理它。 5.在Windows组件向导中选择CA Identifying Information。输入适当的数据然后继续 安装。 6.在Windows组件向导中选择Data Storage Location。我建议使用默认的位置就可以 了。按Next继续。 7.如果你已经在你的计算机上安装并运行Internet Information Services,按Yes继续。 微软的证书服务将会提示你在继续安装前,必须停止Internet Information Services。 8.Windows组件向导将会设置组件,并且将文件拷贝到你的机器上。你可以通过安装 进度条来监视安装的过程。
数字证书登陆常见问题解决方法 问题一、-10101042错误信息没有符合条件的证书 原因分析:由于客户使用了安全卫士等工具在启动项把我们的 (SMKEYU1O00没有检测到证书所以导致这样的问题 KEY的启动程序g SMKeyU 1000_禄圳性启盘和金晉无眉弁8.23M 錐捋呱扶匕开启荼止启功 解决办法: 第一步,检查数字证书是否已接到电脑上,灯是否亮。 第二步,检查数字证书的驱动是否已安装 第三步,用管理工具登陆检查一下有没有数字证书在UKEY里面 第四步,检查电脑的右下角任务栏里有没有一个U盘图标 U USBKET设备 诟BK町已经插 ZJ 如果没有U盘图标执下面的操作 (1 )执行桌面上的管理工具会自动的调用SMKEY Mon itor.exe 言理工具 (2需手动找到下面这个目录 深圳CA数字证书EKEY t理工具\SMKEYMonitor.exe 双击运行SMKEYMonitor.exe
SMKEYIMonitor. exe; 执行以上操作后应该可以出来一个这样的图标 廿 USBKET设备 USBKtygg 插入I 出现这样的图标就可以登陆本系统。 问题二: 登陆时提示,登陆失败,请检查是否正确安装驱动程序!点击这里下载安装驱动程序。 M”瑛圳帀顷必积盘営理申心”审的聳和c#芋证芳咗?如集氓仍任话耐和谊财ujrjmit辰農诩加軟攻」山頼 解决办法: 双击IE上面的黄色提示加载项,并安装深圳CA数字证书控件 并检查IE的加载项有没有启动(IE-工具-管理加载项) 此忙站龍鼻妥捷以下血星n ”瑕MI帀住翦公积丄誉理申匕”即的“诺划忙皿芋哑於园徉?.如簾够広任适障站和逗负珥莽打鼻宜農话加蛊3b d学i
实训5:配置数字证书服务 实训环境 ?1.一台Windows Server 2016 DC,主机名为DC。 ?2.一台Windows Server 2016服务器并加入域,主机名为Server1。 ?3.一台Windows 10客户端并加入域,主机名为Win10。 实训操作 假设你是一家公司的管理员,需要你完成以下工作: ?1.在DC上部署企业根CA。 打开“服务器管理器”,单击“添加角色和功能”,打开“添加角色和功能向导”窗口。 逐步单击“下一步”,在“服务器角色”界面中,勾选“Active Directory证书服务”复选框,然后单击“下一步”。 在“AD CS角色服务”界面中,勾选“证书颁发机构”和“证书颁发机构Web注册”复选框,然后单击“下一步”。其中“证书颁发机构Web注册”角色,可以实现通过浏览器向CA进行证书申请的功能。
4.最后在“确认”界面中,单击“安装”,开始安装证书服务。 完成安装后,单击“配置目标服务器上的Active Directory证书服务”。 在“AD CS配置”向导中的“角色服务”界面,勾选“证书颁发机构”和“证书颁发机构Web 注册”。
在“AD CS配置”向导中的“设置类型”界面,选择“企业CA”。 在“AD CS配置”向导中的“CA类型”界面,选择“根CA”。
全部保持默认设置并单击“下一步”,最后单击“配置”按钮,完成证书服务的配置 “证书服务”安装完成后,可以在“服务器管理器”的“工具”菜单中,打开“证书颁发机构”管理工具进行查看。 当域的用户向企业根CA申请证书时,企业根CA会通过Active Directory得知用户的相关信息,并自动核准、发放用户所要求的证书。 企业根CA默认的证书种类很多,而且是根据“证书模板”来发放证书的。例如,图中右方的“用户”模板提供了可以用于将文件加密的证书、保护电子安全的证书与验证客户端身份的证书。
使用IE登录邮箱、网银或者淘宝时经常会碰到“该站点安全证书的吊销信息不可用。是否继续?”等类似的信息提示安全警报。 一般出现这样的安全警报,用户不必过多的担心所处的网络环境对帐号密码造成威胁。这种情况只不过是一种突发性的系统认证错误,一般不会涉及到正真的所谓安全问题。那么出现类似情况的原因何在?细心的网友应该会发现网址上的链接方式是从http://链接方式变成了https://链接了。 首先我们先来了解什么是SSL和https。SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”。它是被设计用来保护传输中的资料,它的任务是把在网页以及服务器之间的数据传输加密起来。这个加密(encryption)的措施能够防止资料窃取者直接看到传输中的资料,像是密码或者信用卡号码等等。 https是以安全为目标的http通道,简单讲是http的安全版。在http下加入SSL层,将传输的数据采用SSL 加密方式起来。 当我们在使用https(SSL)访问WEB站点时,浏览器会从服务器上下载其证书,并根据证书的“CRL分发点”指定的站点下载CRL(证书吊销列表),检查当前的证书是否在列表内。CRL包含有“下一次的更新”的日期,在该日期到来之前,Windows会直接使用已被缓存起来的CRL,否则会从再次下载CRL。假设CRL不能被正常下载时,我们访问HTTPS站点时,就会提示不能检查服务器证书的吊销信息。 如何解决该问题?提供两种方法: 1、当弹出“该站点安全证书的吊销信息不可用。是否继续?”的对话框时,点击“查看证书”,切换到“详细信息”TAB页,找到其“CRL分发点”的URL,复制下来,用迅雷等下载工具或找一台可以正常访问该URL的机器将该文件下载后并复制过来。点击鼠标右键,选择“安装”,按照向导完成安装。此时再重浏览该站点就不会再收到“不能检查服务器证书的吊销信息”了。当然,当超过了“下一次的更新”日期,运气不佳的你可能又需要重做一次。 2、打开Internet Explorer浏览器——工具——Internet选项——高级,依次做如下操作: 以上文章出自阿伟仔,转载请注明。
服务器证书安装配置指南(Tomcat 6) 一、生成证书请求 1. 安装JDK 安装Tomcat需要JDK支持。如果您还没有JDK的安装,则可以参考Java SE Development Kit (JDK) 下载。下载地址: https://www.doczj.com/doc/b115508157.html,/javase/downloads/index.jsp 2. 生成keystore文件 生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录,运行keytool命令。(示例中粗体部分为可自
定义部分,请根据实际配置情况作相应调整) keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password
备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。 二、导入服务器证书 1. 获取服务器证书中级CA证书 为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA 证书(不同品牌证书,可能只有一张中级证书)。 从邮件中获取中级CA证书: 将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为intermediate1.cer和intermediate2.cer文件。 2. 获取服务器证书 您的keystore密码 将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括
新版Windows CA 证书服务器配置——申请数字证书 Windows CA证书服务器配置(二) —- 申请数字证书 在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请. 这里我们以点击申请‘Web浏览器证书’为例:
申请‘Web浏览器证书',‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN 代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项'里,默认的CSP为Microsoft Enhanced CryptographicProvider v1。0,选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将
证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’: 单击‘是’: 单击‘设置安全级别':
将安全级别设置为‘高',单击‘下一步’后会弹出口令设置窗口: 输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口. 单击‘完成’: 单击‘确定',浏览器页面跳向如下:
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备:插入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下: 添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:
Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’: 填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS 的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP 功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
CA证书使用问题及解决方法 1、企业点击“签名”时,显示“安全证书上的名称不一致”或“站点名称不匹配”。 解决方法:出现是否继续浏览的提示框时,选择“是”。 2、企业登录插入CA证书后,出现“无法显示站点”。 解决方法:将IE浏览器“工具”标签“Internet 选项”-“高级”标签中“检查服务器证书吊销”选项前的对勾去掉即可。 3、输入证书口令后,显示“内部错误、程序出错,给您带来不便敬请谅解”。 解决方法:首先打开IE浏览器-工具-IE选项-内容-证书,选择证书-详细信息-主题,点击主题,出现代码,查看一个选项 2.5.4.31=XXXX(这个是用户税号),查看税号是否正确,如不正确请用户携带资料去窗口进行更改;如正确,请国税局做一下用户信息的内外网同步。 4、签名时,点击“查看证书”,提示“证书已过期或尚未生效”。 解决方法:当显示“立即延期”和“以后再说”选项时,用户应优先选择自主在线延期。在线延期操作:打开“证书助手”点击“在线延期”按钮,即可跳转到在线延期页面,点“立即延期”。 关于延期问题:a、IE浏览器不识别证书过期,推荐使用或;b、紫色的key 的纳税人,如果选择“立即延期”,要先登录CA网站(http :后刷新页面。如果什么提示都没有,请尝试刷新。以上方法都不能解决,请致电江苏CA苏州地区客服05。 8、原方法登录,到CA签名时显示“对不起,程序出错,内部出错。” 解决方法:推荐用户用CA进行登录,基本由于用户未使用CA登录会造成该情况。 9、企业迁移登记后,地税税号未改,国税如何进行CA申报? 解决方法:让用户携带新的资料到CA公司服务点,先更改国税信息,等地税也迁移过来以后,携带新的资料再去服务点更改即可。 10、CA登录时显示证书,输入口令后显示“无法显示该页”,改用用户名、密码登录后,到预提交步骤时无法显示证书,返回后显示“错误107,纳税人取消该操作”。
1. 用户认证实现 用户使用数字证书进行身份认证时,可以使用SSL协议(https即是基于SSL协议之上的http协议)实现、现在主流的浏览器都支持SSL协议,因此采用https协议通讯的BS系统能够方便地使用数字证书做为身份认证方式。除SSL 协议外,还有签名认证的方式实现身份认证,签名认证无标准的实现协议或是流程,神州融信基于PKI/CA接口开发套件设计实现了签名认证的过程。 下面介绍业务系统在不同结构下,所能身份认证的实现技术。 1.1 C S结构: 可以直接通过UTrust签名认证组件实现。 1.2 B S结构: BS结构时,按协议分,可以分为http和https的访问的方式。https是基于SSL协议基础之上的http通讯。使用https时,可以配置WEB服务器要求使用数字证书对客户端进行认证。 ◆使用https协议时 使用https时,无需使用UTrust签名认证组件。服务器端调用windows 的API即可获得用户通过浏览器提交的数字证书的信息,实现对用户身份的认证。 但此种方式需要数字证书安装到浏览器或是数字证书在标准的符合PKCS12的USB KEY中。 ◆使用http协议时 使用http协议时,浏览器不会自动获取用户的数字证书提交给服务器端。此时认证需要使用UTrust签名认证组件实现服务器端的编程。在客户端,使用微软的CAPICOM实现获取浏览器中安装的数字证书。 此种方式时,数字证书安装到浏览器中。如果使用USB KEY,则需要KEY厂家提供读取数字证书的API。 2. 数字签名实现 数字签名应用主要包括签名以及验签两个过程。 数字签名时,使用用户的私钥对需要签名的原始数据进行签名,得到了对原始数据指纹加密后的密文。
Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置 转载自“菩提树下的杨过” 一.CA证书服务器安装 1.安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态 2.在“控制面板”中运行“添加或删除程序”,切换到“添加/删除Windows组件”页
3.在“Windows组件向导”对话框中,选中“证书服务”选项,接下来选择CA类型,这里选择“独立根CA” 4.然后为该CA服务器起个名字(本例中的名字为CntvsServer),设置证书的有效期限,建议使用默认值“5年”即可,最后指定证书数据库和证书数据库日志的位置后,就完成了证书服务的安装。 5.安装完成后,系统会自动在IIS的默认站点,建几个虚拟目录CertSrc,CertControl,CertEnroll
二.客户端证书申请 1. 运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。证书申请页面,输入相应的申请信息,然后点击[申请一个证书]。 接下来选择"Web浏览器证书"
填写相关信息
2. 系统将处理您提交的申请,此过程可能要等待10秒钟左右。建议最好记下申请ID(本例为4) 三。客户端证书的颁发
打开“管理工具”选择“证书颁发机构”,打开"挂起的申请",右击-->"颁发" 四。客户端证书的下载及安装 1.运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态” 2.找到自己申请的证书
全证书是用来唯一确认安全电子商务交易方身份的工具。持卡人安全证书是付款卡的一种电子表示。由于它由证书管理中心做了数字签名,因此,任何第三方都无法修改证书的内容。相信大家在第一次访问一些网站时,自动为用户安装此网站的安全证书,假如本地的安装证书过期,网站就会提醒用户们该安全证书有问题,那有些用户就会直接绕过安全证书,但是下次访问,又还是会提醒我们,那该怎么办呢? 首先我们在解决此问题时,我们先要确定这个网站是否安全,如果安全我则可以用一下三种方法解决。 方法一: 假如你有电子证书,那就点击网页的“继续浏览此网站(不推荐)”链接即可访问网站。接着点击的地址栏后面安全报告按钮,在弹出网站标识窗口中点击“查看证书”,然后在点击“安装证书”,弹出警告消息,点击“是”安装证书即可。
方法二: 那去你要是没有证书的话,可以将你要的进入的网站设为信任站点。首先我们打开浏览器,点击右上角的“齿轮”图标,接着再点击“Internet选项”,在弹出Internet选项窗口中,选择“安全”卡,点击“受信任的站点”,点击“站点”,在弹出的窗口中添加你要信任的网站。
方法三: 首先我们打开浏览器,点击右上角的“齿轮”图标,接着再点击“Internet选项”,在打开的界面中切换到“内容”选项卡,然后点击“证书”按钮; 2、然后我们在“证书”界面中,点击”受信任的根证书颁发机构”,然后点击“导入”安装相关的证书即可。
其实安全证书在上网是一个很少见的问题,一般只有在大型安全网站会提醒,那我们就可以
不用去理会,如果所有安全网站都会提示该故障,可能是系统时间不正确以上就是我们在遇到安全证书有问题时修复解决的方法。
在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面: 如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例: 申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’: 在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人
设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’: 单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口: 输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下: 到这一步,申请人已经向CA服务器发送证书信息,并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书,则申请人在其颁发之后再次访
Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP 不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’:
单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口:
输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下:
问题处理 5.1通用处理技能 5.1.1添加信任站点 查看方法:一般在当前打开的网页右下方会显示“可信站点”字样(如下图)。 如在当前网页右下方未显示信任站点的状态栏,点击当前浏览器上方的查看,状态栏一项打勾即可显示。 如果当前网页状态栏未显示“可信任站点”,而显示“未知区域”,则说明该站点还未被添加为可信站点,需重新添加。操作方法如下: 打开IE浏览器,点击工具—Internet选项—安全,选中受信任的站点或可信站点后点击站点,将需要添加信任站点的网址输入到“将该网站添加到区域中”并将“对该区域中的所有站点要求服务器验证”选项勾选去除,点击“添加”即可。 5.1.2安装证书信任链文件 当遇到证书路径有问题的情况下,电脑时间正常,则需要到汇信网下载中心,下载“ZJCA 证书信任链文件”(下图), 信任链文件 解压后分别安装两个证书即可。以下图分解说明信任链安装过程:
备注:顺序从左至右。 5.1.3确认IE浏览器版本 打开任意一个网页,点击浏览器上方“帮助-关于Internet Explorer”即可查看浏览器的版本。 “e照通”支持的是以IE核心的浏览器版本,如世界之窗(The World)、傲游浏览器(Maxthon)、腾讯TT(Tencent Traveler)、360安全浏览器(360SE)、搜狗浏览器等;不支持的浏览器有火狐(Firefox)、Opera、苹果等非IE核心的浏览器。
5.1.4安全警报 登录网站时涉及到安全证书的情况下,浏览器将会提示安全警报,点击“是”继续即可。如下图。 5.1.5启用控件 (一)浏览器上被拦截的控件 点击拦截工具条,再点击“为此计算机上的所有用户安装此加载项”,在点击安装后即可,如下图。
如果要解決這個問題,請使用下列其中一種方法。 回此頁最上方 方法1 將Microsoft Windows Small Business Server 2003 (Windows SBS) 自我簽署憑證安裝在用戶端電腦上。如果要執行這項操作,請依照下列步驟執行: 在Windows Internet Explorer 7 中,按一下[繼續瀏覽此網站(不建議)]。 紅色的[網址列] 和憑證警告隨即出現。 按一下[憑證錯誤] 按鈕,開啟資訊視窗。 按一下[檢視憑證],再按一下[安裝憑證]。 在出現的警告訊息上,按一下[是],安裝憑證。 注意在Windows Vista 中,當您使用Internet Explorer 7 時,自我簽署憑證也會發生相同的問題。不過,除非以系統管理員權限執行Windows Internet Explorer 7,否則您將無法使用安裝憑證的選項。如果要執行這項操作,請用滑鼠右鍵按一下Internet Explorer 圖示,然後選取[以系統管理員身分執行]。 回此頁最上方 方法2 將URL 新增至「信任的網站」安全性區域。如果要執行這項操作,請依照下列步驟執行: 在Windows Internet Explorer 7 中,按一下[工具] 功能表中的[網際網路選項]。 按一下以選取[安全性] 索引標籤。 按一下以選取[信任的網站],再按一下[網站] 按鈕。 在[將此網站加到該區域] 方塊中輸入URL,然後按一下[新增]。 按一下[關閉]。 按一下[確定]。 回此頁最上方 此网站的安全证书有问题 说明 当您尝试使用Windows? Internet Explorer? 7 或更高版本定位到BlackBerry? Administration Service 或BlackBerry Monitoring Service 时,浏览器显示此错误消息。 可能的解决方法 将BlackBerry Administration Service 或BlackBerry Monitoring Service 的Web 地址添加到Windows Internet Explorer 的可信站点列表中,并且在计算机的证书存储区中安装BlackBerry Administration Service 或BlackBerry Monitoring Service 的证书。 在Windows Internet Explorer 中,定位到BlackBerry Administration Service 控制台或BlackBerry Monitoring Service 控制台。 单击继续浏览此网站(不推荐)。 在工具菜单中,单击Internet 选项。 在安全选项卡,单击本地Intranet。
电大专科《网络应用服务管理》网络核心课实训5配置数字证书服务试题及答案 形考任务5 实训5配置数字证书服务试题及答案 假设你是一家公司的网站管理员,需要你完成以下工作: 1.在DC上部署企业根CA。 2.发布证书申请网站。 3.在Server1上创建基于SSL的网站。 实验目的 1.了解PKI体系 2.了解用户进行证书申请和CA颁发证书过程 3.掌握证书服务的安装及配置方法 4.掌握使用数字证书配置安全站点的方法 实验原理 PKI简介 PKI是Public Key Infrastructure的缩写,通常译为公钥基础设施。PKI通过延伸到用户的接口为各种网络应用提供安全服务,包括身份认证、识别、数字签名、加密等。一方面PKI对网络应用提供广泛而开放的支撑;另一方面,PKI系统的设计、开发、生产及管理都可以独立进行,不需要考虑应用的特殊性。 PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的完整性、机密性、不可否认性。 PKI组件 PKI主要包括==认证中心CA==、==注册机构RA==、==证书服务器==、==证书库==、==时间服务器==和==PKI策略==等。 CA用于创建和发布证书,还负责维护和发布证书废除列表CRL。根CA证书,是一种特殊的证书,它使用CA自己的私钥对自己的信息和公钥进行签名。 RA负责申请者的登记和初始鉴别,在PKI体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向LDAP(轻量目录访问协议)服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。 证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。 证书库是发布证书的地方,提供证书的分发机制。到证书库访问可以得到希望与之通信的实体的公钥和查询最新的CRL。它一般采用LDAP目录访问协议,其格式符合X.500标准。 时间服务器:提供单调增加的精确的时间源,并且安全的传输时间戳,对时间戳签名以验证可信时间值的发布者。 PKI安全策略建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控制的级别。 一般情况下,在PKI中有两种类型的策略:
Windows server 2008安装企业CA证书服务 CA(证书颁发机构) 为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。证书可以用于多方面,例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。 提示:CA分为两大类,企业CA和独立CA; 企业CA的主要特征如下: 1)企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。 2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域; 3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA; 独立CA主要以下特征: 1.CA安装时不需要AD(活动目录服务)。 2 .情况下,发送到独立CA的所有证书申请都 被设置为挂起状态,需要管理员受到颁发。 这完全出于安全性的考虑,因为证书申请者 的凭证还没有被独立CA验证; 在简单介绍完CA的分类后,我们现在AD (活动目录)环境下安装证书服务; 具体步骤如下: 1.域控制器上,在管理工具—服务器管理器—角色—打开添加角色向导—添加角色;AD安装服务; 2.点击—下一步,在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;
3.在指定安装类型中选择”企业”,单击?下一步?; 4.在“CA类型中选择根CA”,单击下一步;
5.在设置私钥窗口中选择“新建私钥”,单击下一步; 6.在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,单击“下一步”;
Windows CA 证书服务器配置(一) ——Microsoft 证书服务安装 放入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下:
添加‘证书服务’组件: 如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择: Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’:
填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始——管理工具——证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
网络安全证书 篇一:Ie7、Ie8访问https安全证书错误解决办法 Ie7、Ie8访问https安全证书错误解决办法 通过Ie7或Ie8访问Drac5的https加密网页,会提示安全证书错误。并且每次连接都会提示。可以按照以下方法操作: 1、点击继续浏览此网站 2、点击证书错误,会提示证书无效信息,点查看证书 3、取消浏览器的“启用保护模式”:按Alt键,让Ie浏览器显示工具栏,在“工具”菜单中选“Internet选择” 在“安全”标签里,取消“启用保护模式” 4、点安装证书 6、保存证书:选“将所有的证书放入下列存储”,再浏览 选“受信任的根证书颁发机构” 导入成功后,发现还是会提示错误证书,再点击具体信息为不匹配的地址(原因是Drac5的安全证书的地址和我们设置的Ip地址不一样,因为证书的地址无法更改,并且Drac5卡的Ip地址也是网络内规划好的,所以只有采用关闭地址检测的方法) 篇二:网上银行安全证书工作原理 网上银行安全证书工作原理 何谓数字证书?
数字证书是一个经证书认证中心(cA)数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件。认证中心的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。 认证中心(cA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循x.509V3标准。x.509标准在编排公共密钥密码格式方面已被广为接受。 数字证书的功能主要包括:身份验证、信息传输安全、信息保密性(存储与交易)、信息完整性、交易的不可否认性。 数字安全证书的工作流程 如果客户A想和银行b通信,他首先必须从数据库中取得银行b的证书,然后对它进行验证。如果他们使用相同的cA(证书认证中心),事情就很简单,客户A只需验证银行b证书上cA的签名。如果他们使用不同的cA,问题就较为复杂。客户A必须从cA的树形结构底部开始,从底层cA往上层cA查询,一直追踪到同一个cA为止,找出共同的信任cA。目前个人获取网上银行安全证书的途径都是通过银行申请,所以双方肯定采用同一证书认证中心颁发的证书。 现在假设客户A向银行b传送数字信息,为了保证信息传送的真实
打开网页时提示此网站的安全证书有问题怎么办 篇一:Ie在淘宝等网页中“安全警告”、“证书错误”、“已阻止此网站显示有安全证书错误的内容”的处理方法 Ie在淘宝等网页中“安全警告”、“证书错误”、“已阻止此网站显 示有安全证书错误的内容”的处理方法 Ie7、Ie8浏览器由于其安全级别的默认设置,在访问如淘宝等某些特殊网站时,总会出现“是否只查看安全传送的网页内容”、“不受信任的证书”、“已阻止此网站显示有安全证书错误的内容”的提示,给使用者带来很大的不便,但是这些安全提示并没有什么实际意义。 怎样关掉这些阻止和提示呢,在网上可以搜到很多的方法,但基本上介绍的不完整或过于专业繁琐甚至不能真正解决问题,经过多次的反复实验使用,针对这些阻止和提示,现把最有效的方法做简明扼要的总结如下: 一、Ie安全警告“是否只查看安全传送的网页内容”: 工具->Intemt选项->安全->自定义安全级别->在“其他”分类里边找到“显示混合内容”,选“启用”。另外,在自定义级别下,除了“仅允许未经批准的域....”以外,其他设置尽量都选择“启用”,然后重启浏览器。 二、关于Ie8证书错误:不受信任的证书: 在百度中输入“证书服务”,搜索下载cA证书并按提示安装,安装
十分简单。安装完毕就彻底解决了“根证书”问题。 三、已阻止此网站显示有安全证书错误的内容: 1、把你的电脑时间与互联网一致。 2、工具->Intemt选项->高级,将其中“安全”选项下的前六项中的“√”都去 掉即可。 经过以上三个步骤的设置,你在浏览有关网页时一定会发现彻底解决了那些无用的错误阻止和提示。 篇二:Ie浏览器出现此网站的安全证书有问题解决方法 我们在平常使用网银或者是上淘宝等购物网站时,有时间会出现Ie 或谷歌浏览器会提示此网站的安全证书有问题,或者提示此网站的安全证书已过期(如下图)。遇见此问题是怎么回事呢?那又如何应对否?下面看小编的完美解决方法。 分析:这个报错虽然提示证书有问题,但是根据小编的实践经验却不是这些问题,真正的原因其实是电脑的时间设置不对,调整正确的时间就可以解决这个问题。 点开系统实践一看,发现果然是日期时间不对,点击更改日期和时间设置; 接着选择Internet时间标签,然后点击更改设置; 然后勾选与Internet时间服务器同步,然后点击立即更新按钮,最后确定。 完成上面的操作后,系统时间同步成功以后,再次打开刚才的网站就
WindowsCA证书服务器配置(二)——申请数字证书 在IE地址栏中输入证书服务系统的地址,进入服务主页:点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘浏览器W证e书b’或‘高级证书申请’,一般用户申请‘We浏b览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘浏W览eb器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管 理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为MicrosoftEnhancedCryptographicProviderv1.0, 选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有
该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’: 单击‘是’: 单击‘设置安全级别’:
将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口: 输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。