一、测试环境配置 (1)
1、win2003系统_1 (1)
1.1. 安装IIS以承载CA证书服务 (1)
1.2. 安装证书服务,CA的公用名称设置为TestCA (1)
2、win2003系统_2 (2)
2.1. 安装IIS (2)
3、win2003系统_3 (2)
二、配置过程 (3)
1、win2003系统_2申请并配置IIS 的SSL的服务端证书 (3)
1.1. 生成证书申请文件 (3)
1.2. 提交证书申请 (8)
1.3. 颁发证书 (8)
1.4. 上安装证书 (9)
1.5. 将web站点配置为要求SSL 访问 (11)
1.6. 测试IE使用SSL浏览 (11)
2、win2003系统_3申请安装客户端证书ClientCert2003 (12)
3、在win2003系统_2上设置客户证书映射 (12)
3.1. Web服务器上导入客户端证书 (12)
3.2. 导入客户端证书的根证书 (13)
3.3. 设置IIS中网站的客户端证书映射 (16)
3.4. Web网站读取客户端映射的windows账户 (18)
三、测试 (18)
本文给出了如何配置IIS通过SSL安全通道进行访问的方法,并在此基础上详细讨论了IIS 如何设置要求对客户端提供客户端证书进行身份验证。IIS端SSL服务器证书申请和安装,从
而配置SSL安全访问通道。客户端证书的申请和安装,IIS端如何映射客户端证书到服务器上的windows账户等等。
一、测试环境配置
准备三台机器,都是windows 2003操作系统,每台机器的作用,和其上需要安装的服务和配置如下:
1、win2003系统_1
ip:192.168.1.11
机器名:win2003base1
服务器作用:这个服务器是用来安装证书服务,作为一个CA提供证书服务。
1.1.安装IIS以承载CA证书服务
1.2.安装证书服务,CA的公用名称设置为TestCA
在安装证书服务过程中会生成一个证书服务的证书,一个自己颁给自己的证书作为这个CA的根证书:
在安装了证书服务后,会把这个TestCA证书保存证书存储区的多个位置:
●本地计算机存储区中的“个人”、“受信任的根证书颁发机构”、“中级证书颁发机构”,其中在“中级证书颁发机构”下的“证书”和“证书吊销列表”中都有(为什么会出现在“证书吊销列表”中?)。
●当前用户存储区的“个人”。
2、win2003系统_2
ip:192.168.1.12
机器名:win2003base2
服务器作用:这个服务器是用来作为web server,建立一个网站,设置为SSL安全通道访问,并需要客户端证书进行访问。
2.1.安装IIS
默认网站作为测试客户端证书访问的web站点。
3、win2003系统_3
ip:192.168.1.13
机器名:win2003base3
机器作用:这个机器只是作为一个单纯的IE客户端,用来申请客户端证书并使用证书访问web server。
二、配置过程
1、win2003系统_2申请并配置IIS 的SSL的服务端证书
1.1.生成证书申请文件
在IIS要访问的那个网站的属性中,“目录安全性”--“服务器证书”,选新建证书:
下一步:
下一步:
向导使用当前Web 站点名称作为默认名称。它不在证书中使用,但作为友好名称以助于管理员识别。下一步:
单位和部门,这些信息将放在证书申请中,因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的Web 站点的用户需要查看这些信息,以便决定他们是否接受证书。下一步:
公用名是证书最后的最重要信息之一。它是Web 站点的DNS 名称(即用户在浏览您的站点时键入的名称)。如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题。
如果您的站点在Web 上并且被命名为https://www.doczj.com/doc/de8191011.html,,这就是您应当指定的公用名。
如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的NetBIOS 或DNS 名称。
这里因为win2003系统_2服务器的机器名是win2003base2,所以共用名称设为win2003base2。
下一步:
下一步:
会要求证书申请的文件名,这是您的证书申请的Base 64 编码表示形式。申请中包含输入到向导中的信息,还包括您的公钥和用您的私钥签名的信息。
将此申请文件发送到CA。然后CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA 也验证申请中提供的信息。
当您将申请提交到CA 后,CA 将在一个文件中发回证书。然后您应当重新启动Web 服务器证书向导。
下一步:
完成生成申请过程。
1.2.提交证书申请
证书申请现在可以发送到CA 进行验证和处理。当您从CA 收到证书响应以后,可以再次使用IIS 证书向导,在Web 服务器上继续安装证书。
使用“记事本”打开在前面的过程中生成的证书文件,将它的整个内容复制到剪贴板。
启动Internet Explorer,导航到http://192.168.1.11/certsrv,指向win2003系统_1的证书服务。
单击“申请一个证书”,然后单击“下一步”。
在“选择申请类型”页中,单击“高级申请”,然后单击“下一步”。
在“高级证书申请”页中,单击“使用Base64 编码的PKCS#10 文件提交证书申请”,然后单击“下一步”。
在“提交一个保存的申请”页中,单击“Base64 编码的证书申请(PKCS #10 或#7)”
文本框,按住CTRL+V,粘贴先前复制到剪贴板上的证书申请。
单击“提交”。
1.3.颁发证书
提交申请后,在win2003系统_1机器上证书颁发机构中批准颁发这个win2003base2证书。
确认该证书显示在“颁发的证书”文件夹中,然后双击查看它。
在“详细信息”选项卡中,单击“复制到文件”,将证书保存为Base-64 编码的X.509 证书。
关闭证书的属性窗口。
1.4.上安装证书
在win2003系统_2在IIS的Web 站点,然后单击“属性”,单击“目录安全性”选项卡。
单击“服务器证书”启动Web 服务器证书向导。
单击“处理挂起的申请并安装证书”,然后单击“下一步”。
输入包含CA 响应的文件的路径和文件名,然后单击“下一步”。
检查证书概述,单击“下一步”,然后单击“完成”。
现在,已在Web 服务器上安装了证书。
win2003base2证书就会被安装到win2003系统_2机器上,证书会被安装到证书存储区的本地计算机存储区中的“个人”。
1.5.将web站点配置为要求SSL 访问
在IIS中查看这个Web 站点的属性。单击“目录安全性”选项卡。单击“安全通信”
下的“编辑”。单击“要求安全通道(SSL)”。现在客户端必须使用HTTPS 浏览到此虚拟目录。
1.6.测试IE使用SSL浏览
用IE通过SSL浏览此网站,如下:
2、win2003系统_3申请安装客户端证书ClientCert2003
在win2003系统_3机器上上打开win2003系统_1机器上证书服务的URL:http://192.168.1.11/certsrv,提交一个“Web 浏览器证书”,姓名为
“ClientCert2003”。
提交申请后,在win2003系统_1机器上证书颁发机构中批准颁发这个ClientCert2003证书。
在win2003系统_3机器上“查看挂起的证书申请的状态”,会看到整个证书申请已被批准,并能够被安装。
点击安装证书,同样在安装过程中会提示是否安装ClientCert2003证书的根证书TestCA,选择安装。
安装好证书后,ClientCert2003证书就会被安装到win2003系统_3机器上,证书会被安装到证书存储区的当前用户存储区中的“个人”。
同时,ClientCert2003证书的根证书TestCA也被安装,被安装到了当前用户存储区中的“受信任的根证书颁发机构”。
3、在win2003系统_2上设置客户证书映射
3.1.Web服务器上导入客户端证书
在IIS中要映射客户端的证书到windows账户,必须在IIS所在的服务器上用这个客户端的cer证书。
在win2003系统_1机器上证书颁发机构中导出客户端申请后已经颁发的ClientCert2003证书,导出为ClientCert2003.cer
在win2003系统_2机器上导入这个证书到当前用户存储区的个人目录下。
3.2.导入客户端证书的根证书
Web服务端有了客户证书,还需要这个客户端证书的根证书,只有在服务器信任这个客户端证书的根证书时客户端证书才能正常访问web服务器。
在证书管理中双击ClientCert2003证书查看此证书:
可以看到,ClientCert2003的根证书TestCA在此服务器上不被信任,需要把TestCA 证书安装到此服务器的受信任的根证书颁发机构存储里。
查看此根证书:
点击“安装证书”按钮,出现证书导入向导,选择“将所有的证书放入下列存储”,然后点击“浏览”按钮选择证书安装的存储区:
选择把证书保存到“受信任的根证书颁发机构”-“本地计算机”。
TestCA证书导入成功,到证书管理中查看,发现TestCA证书其实被安装到两个地方,分别是:
●证书当前用户存储区的“受信任的根证书颁发机构”
●证书本地计算机存储区的“受信任的根证书颁发机构”
3.3.设置IIS中网站的客户端证书映射
在win2003系统_2机器上IIS中,查看web网站的属性,导航到“目录安全性”,首先把所有的身份验证方法都清除:
然后在安全通讯区域内,点击“编辑”按钮:
设置“要求客户端证书”,并选择“启用客户端证书映射”,最后点击“编辑”添加ClientCert2003客户端证书映射到的本服务器上的windows账户:
由于是测试,这里把ClientCert2003客户端证书映射为administrator
3.4.Web网站读取客户端映射的windows账户
在测试网站中设计一个test.aspx页面,用来读取当前用户身份并显示出来,简单的下面一条语句:
当前证书映射的用户是:<%
=https://www.doczj.com/doc/de8191011.html, %>
三、测试
win2003系统_3是测试客户端,已经安装了客户端证书ClientCert2003,在win2003系统_3的IE中输入test.aspx的URL,首先弹出选择证书的对话框:
其中ClientCert2003_3证书是win2003系统_3在证书服务器上另外又申请了一个web 浏览器证书,跟ClientCert2003是同一个根证书,当浏览器中存在跟服务端相匹配的多个证书时,浏览器会弹出上面的对话框让用户选择使用哪个证书。
如果浏览器中只有一个证书跟服务器能匹配,则浏览器不弹出选择对话框,直接把匹配的证书发送到服务端。如果把ClientCert2003_3证书从win2003系统_3机器上删除,访问test.aspx将不会再出现上面的对话框。
如果浏览器中没有证书跟服务器匹配,浏览器就会显示需要提供SSL的客户端证书。
选择了ClientCert2003证书,点击“确定”按钮:
有关构建安全地应用程序地起点和完整概述,请参见登陆页面. 总结 支持客户端证书身份验证.本“如何做”说明如何将应用程序配置为需要客户端证书.它还说明如何在客户端计算机上安装证书,以及在调用应用程序时如何使用证书.个人收集整理勿做商业用途 如何做:设置客户端证书 为了执行授权,服务经常需要能够对它们地调用方(其它应用程序)进行身份验证.客户端证书为服务提供了一种非常好地身份验证机制.如果您使用客户端证书,您地应用程序也会得益于客户端应用程序和服务之间地安全通道创建(使用安全套接字层[]).这样您就可以安全地在服务之间传送保密信息. 确保消息地完整性和机密性.个人收集整理勿做商业用途 本“如何做”包括调用配置为需要客户端证书地服务地分步指导. 注意:本“如何做”中地信息也适用于由承载地远程组件. 要求 以下各项介绍了推荐地硬件、软件、网络基础结构、技巧和知识以及您需要地服务包. ●带地? ? 操作系统个人收集整理勿做商业用途 ●? 开发系统 ●访问证书颁发机构() 以生成新地证书 ●一个已安装了服务器证书地服务器 有关安装服务器证书地更多信息,请参见本指南“参考”部分地“如何做:在服务器上设置”.个人收集整理勿做商业用途 本“如何做”中地过程还要求您具有使用? 开发工具进行开发地知识.个人收集整理勿做商业用途 总结 本“如何做”包括如下过程: . 创建简单地应用程序 . 将应用程序配置为需要客户端证书 . 需要并安装客户端证书 . 验证客户端证书操作 . 创建简单地应用程序 创建简单地应用程序 . 启动,创建一个名为地新应用程序.个人收集整理勿做商业用途 . 从工具箱中将一个标签控件拖放到窗体上,然后将其属性设置为.个人收集整理勿做商业用途 . 再拖放一个标签至窗体上,然后将其属性设置为.个人收集整理勿做商业用途. 将下面地代码添加到事件过程中. ; ; " " ; ;个人收集整理勿做商业用途 () { " "; } { " "; } . 在“构建”菜单中,单击“构建解决方案”
实验二:安装和配置证书服务实验 实验目的: 1、安装一个独立存在的CA 2、从某个CA请求一个证书 3、发放证书 实验内容: 一、安装和设置证书服务 证书授权服务器是Windows 2000 Server的一个附件,它放在Windows 2000 Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建服务器证书,从而可让你的组织完全控制它自己的证书管理策略 它包含了一个向导来设置安装。要注意的是:你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。 要使用常用的设置选项来安装证书授权服务器附件,你可以使用以下的步骤: 1.将Windows 2000 Server CD-ROM放入光驱,然后选择Install Add-on Components 2.Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会 马上看到一个对话框,提示你一旦安装证书服务,该计算机将不能重命名,也不能 加入或者由一个域中移走。 在选择YES来继续前,你应该考虑一下以下几点: 由于在安装证书服务后,除非你重新安装Windows 2000,否则你将不能修改计算机的名字,因此你需要确保你对当前的名字感到满意,或者在继续前先换一个名字。 在继续前你要确保计算机加入到适当的域中 3.接着,在Windows组件向导中选择证书授权类型,有四种类型: Enterprise root CA Enterprise subordinate CA Stand-alone root CA Stand-alone subordinate CA 4.一个网络上的第一个CA必须是一个root CA。要创建一个Enterprise CA,必须允 许Active Directory。一个Stand-alone CA 并不需要Active Directory。在你的局域网 中可选择Stand-alone CA 来实现证书服务。 证书授权服务不但定义证书服务功能如何在你的服务器上运作,还定义了你将需要如何来管理它。 5.在Windows组件向导中选择CA Identifying Information。输入适当的数据然后继续 安装。 6.在Windows组件向导中选择Data Storage Location。我建议使用默认的位置就可以 了。按Next继续。 7.如果你已经在你的计算机上安装并运行Internet Information Services,按Yes继续。 微软的证书服务将会提示你在继续安装前,必须停止Internet Information Services。 8.Windows组件向导将会设置组件,并且将文件拷贝到你的机器上。你可以通过安装 进度条来监视安装的过程。
数字证书登陆常见问题解决方法 问题一、-10101042错误信息没有符合条件的证书 原因分析:由于客户使用了安全卫士等工具在启动项把我们的 (SMKEYU1O00没有检测到证书所以导致这样的问题 KEY的启动程序g SMKeyU 1000_禄圳性启盘和金晉无眉弁8.23M 錐捋呱扶匕开启荼止启功 解决办法: 第一步,检查数字证书是否已接到电脑上,灯是否亮。 第二步,检查数字证书的驱动是否已安装 第三步,用管理工具登陆检查一下有没有数字证书在UKEY里面 第四步,检查电脑的右下角任务栏里有没有一个U盘图标 U USBKET设备 诟BK町已经插 ZJ 如果没有U盘图标执下面的操作 (1 )执行桌面上的管理工具会自动的调用SMKEY Mon itor.exe 言理工具 (2需手动找到下面这个目录 深圳CA数字证书EKEY t理工具\SMKEYMonitor.exe 双击运行SMKEYMonitor.exe
SMKEYIMonitor. exe; 执行以上操作后应该可以出来一个这样的图标 廿 USBKET设备 USBKtygg 插入I 出现这样的图标就可以登陆本系统。 问题二: 登陆时提示,登陆失败,请检查是否正确安装驱动程序!点击这里下载安装驱动程序。 M”瑛圳帀顷必积盘営理申心”审的聳和c#芋证芳咗?如集氓仍任话耐和谊财ujrjmit辰農诩加軟攻」山頼 解决办法: 双击IE上面的黄色提示加载项,并安装深圳CA数字证书控件 并检查IE的加载项有没有启动(IE-工具-管理加载项) 此忙站龍鼻妥捷以下血星n ”瑕MI帀住翦公积丄誉理申匕”即的“诺划忙皿芋哑於园徉?.如簾够広任适障站和逗负珥莽打鼻宜農话加蛊3b d学i
BJCA数字证书使用指南及常见问题 一、为什么要使用CA证书? 为提高药品分类采购系统信息安全水平,保证系统中敏感信息的机密性、完整性,保证身份鉴别与授权的真实性,增强抗抵赖性,保障供应商的合法权益,我们引入CA数字证书,CA证书是用户在系统中的唯一合法电子化标识。 二、CA证书如何申请? 需在湖北省公共资源交易中心11层提交数字证书申请资料,审核通过后,根据北京数字认证股份有限公司(BJCA)提供的申请指南进行在线证书申请和付费,由BJCA制作数字证书,并快递。 三、收到BJCA快递的数字证书之后,如何登录药品分类采购系统? 1.第一步,数字证书客户端安装:进入药品分类采购系统首页,首先点击“CA证书 登录”,如图 点击“CA证书安装下载”,进行证书客户端安装(具体安装方法见“CA安装说明 下载”)。 2.第二步,在USBKey口插入数字证书,检查证书状态。双击“”如下 图:
若未安装成功客户端,请重新安装;若未显示证书信息,则重新插入CA和进行“环境检测”。 3.第三步,修改密码。将CA初始密码修改为便于记忆的密码,点击上图“修改密码” 操作即可。CA初始密码从CA初始密码刮刮卡获取。 4.第四步,登录药品分类采购系统。在登录首页将会显示企业用户名称,指需要输入 修改之后的CA密码,即可登录系统。如图所示: 若出现登录失败等情况,可通过如下方式获取帮助:
四、关于报价加密和解密CA的使用 1.使用CA登录系统之后,业务未处理完成之前,不允许拔掉CA证书。若在此过程中, 拔掉了CA,则需重新登录系统。 2.若报价过程中出现“加密失败”、“解密失败”“签名失败”等字样,先使用CA 客户端检查CA状态,若状态正常,请通过以下方式寻求帮助:
+ CA认证和网上办事大厅客户端系统安装及使用手册 宁波市鄞州地方税务局 https://www.doczj.com/doc/de8191011.html,
2012
目录 1、内容简介 2、办理流程 3、客户端系统—软件下载 4、客户端系统—软件安装 5、CA证书—软件安装 6、CA证书—登录使用 7、CA证书—常见问题 8、客户端操作手册 9、客户端常见问题 10、技术服务 附件资料一: 日常维护与服务说明 附件资料二:关于在全市使用网上办税的纳税人中推广电子签名身份认证技术的通知(甬地税征(2010)218号) 附件资料三:CA证书办理须知 (一) 内容简介 CA数字证书简介 政府机构或企业开发的业务系统大多是基于互联网的,需要通过广泛的、开放的互联网进行数据传输。因此,不可避免地存在着由于互联网的广泛性、开放性所带来的安全隐患,例如:用户身份认证、信息的机密性、信息的完整性、信息的不可抵赖性等。 宁波财税开发的网上办事大厅(客户端)、网上征管、个税全员申报、机打发票等互联网应用系统,涉及企业财务数据和国家财政收入等机密信息,因此,需要确保互联网数据传输的安全。根据业界实践经验,使用CA 数字证书是解决该问题的最佳选择。
使用CA证书将确保用户身份合法性和互联网数据安全 根据国家电子签名法,CA电子签名可替代手写签名或盖章 企业可以不再向财税局报送纸质报表(注:以局方通知为准) 宁波财税网上办事大厅(客户端)简介 网上办事大厅(客户端)是市财税局推出的集纳税申报、财务报表、 个税全员申报、所得税年报、机打发票等各种财税业务于一体的“一窗式” 服务终端,是所有企业涉税信息的统一出入口。“客户端”解决了企业电 脑上浏览器版本众多带来的操作使用问题、大数据量在线填写导致的网络 超时问题、以及企业端涉税软件统一管理和统一服务的问题,为广大纳税 企业提供一体化、方便、安全的办税服务。 客户端实现了所有涉税软件的整合,提供“一窗式”服务 有效避免了互联网浏览器版本不兼容问题,申报过程更稳定 不存在网络链接超时问题,支持长时间操作,以及大数据量填报 所有功能均支持CA数字证书,确保身份真实和数据传输安全 随着纸质报表的取消,真正实现“足不出户”享受办税服务 (二)办理流程 学习参加税局组织的集中培训或自学,学习CA证书及客户端操作要点客户端软件服务商常年提供免费培训,具体参见服务商网站: https://www.doczj.com/doc/de8191011.html,/art/2011/6/2/art_1442_40000.html
使用IE登录邮箱、网银或者淘宝时经常会碰到“该站点安全证书的吊销信息不可用。是否继续?”等类似的信息提示安全警报。 一般出现这样的安全警报,用户不必过多的担心所处的网络环境对帐号密码造成威胁。这种情况只不过是一种突发性的系统认证错误,一般不会涉及到正真的所谓安全问题。那么出现类似情况的原因何在?细心的网友应该会发现网址上的链接方式是从http://链接方式变成了https://链接了。 首先我们先来了解什么是SSL和https。SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”。它是被设计用来保护传输中的资料,它的任务是把在网页以及服务器之间的数据传输加密起来。这个加密(encryption)的措施能够防止资料窃取者直接看到传输中的资料,像是密码或者信用卡号码等等。 https是以安全为目标的http通道,简单讲是http的安全版。在http下加入SSL层,将传输的数据采用SSL 加密方式起来。 当我们在使用https(SSL)访问WEB站点时,浏览器会从服务器上下载其证书,并根据证书的“CRL分发点”指定的站点下载CRL(证书吊销列表),检查当前的证书是否在列表内。CRL包含有“下一次的更新”的日期,在该日期到来之前,Windows会直接使用已被缓存起来的CRL,否则会从再次下载CRL。假设CRL不能被正常下载时,我们访问HTTPS站点时,就会提示不能检查服务器证书的吊销信息。 如何解决该问题?提供两种方法: 1、当弹出“该站点安全证书的吊销信息不可用。是否继续?”的对话框时,点击“查看证书”,切换到“详细信息”TAB页,找到其“CRL分发点”的URL,复制下来,用迅雷等下载工具或找一台可以正常访问该URL的机器将该文件下载后并复制过来。点击鼠标右键,选择“安装”,按照向导完成安装。此时再重浏览该站点就不会再收到“不能检查服务器证书的吊销信息”了。当然,当超过了“下一次的更新”日期,运气不佳的你可能又需要重做一次。 2、打开Internet Explorer浏览器——工具——Internet选项——高级,依次做如下操作: 以上文章出自阿伟仔,转载请注明。
关于产品认证证书注销、暂停(恢复)、撤销状态 获取方式的通知 各产品认证证书持有人: 为进一步落实国家认监委《强制性产品认证证书注销、暂停、撤销实施规则》的相关要求,同时便于产品认证证书持有人及时了解证书的状态,有效的管理、使用产品认证证书,中国质量认证中心特对“产品认证证书注销、暂停(恢复)、撤销状态获取方式”通知如下: 1、第一种获取方式:自产品认证证书注销、暂停(恢复)、撤销状态生成当日,注册用户通过“用户名”和“密码”在中国质量认证中心网站(https://www.doczj.com/doc/de8191011.html,)“产品认证登录”中进去,点击左侧的“证书处理通知书”,即可了解您产品认证证书处于注销、暂停(恢复)、撤销某一状态,并请按此状态合理、有效的使用您的产品认证证书,同时您也可打印所需要的“产品认证证书注销、暂停(恢复)、撤销通知书”; 2、第二种获取方式:自产品认证证书注销、暂停(恢复)、撤销状态生成的次日起,产品认证证书持有人可以登录到中国质量认证中心网站(https://www.doczj.com/doc/de8191011.html,),在“信息查询”中输入“证书编号”即可了解到您产品认证证书处于注销、暂停(恢复)、撤销某一状态,并请按此状态合理、有效的使用您的产品认证证书; 3、第三种获取方式:自产品认证证书注销、暂停(恢复)、撤销状态生成的二个工作日后(标准换版除外),产品认证证书持有人将收到中国质量认证证书以“挂号信”方式按“申请人地址”邮寄的“产品认证证书注销、暂停(恢复)、撤销通知书”,您可以通过书面通知书了解到您的产品认证证书处于注销、暂停(恢复)、撤销某一状态,并按此状态合理、有效的使用您的产品认证证书; 4、第四种获取方式:自产品认证证书注销、暂停(恢复)、撤销状态生成的一个星期后,产品认证证书持有人可以登录到中国国家认证认可监督管理委员会的网站(https://www.doczj.com/doc/de8191011.html,),在“查询专区”中输入“证书编号”即可了解到您产品认证证书处于注销、暂停(恢复)、撤销某一状态,并按此状态合理、有效的使用您的产品认证证书; 5、第五种获取方式:自产品认证证书注销、暂停(恢复)、撤销状态生成后,中国质量认证证书会“挂号信”方式按“申请人地址”邮寄的“产品认证证书注销、暂
农行网银打不开解决方法农业银行,您请求的业务需要提交客户端证书农行网银打不开,怎么办呢? 终于找到解决方法。 每次都提示:农业银行,您请求的业务需要提交客户端证书。 不能打开农业银行的网上银行,也不能充值了。 进入到证书支付页面的时候,农行冲值页面就提示错误信息:您请求的业务需要提交客户端证书!怪事,我明明插上Key宝的啊。难道是没有开启飞天诚信那个管理的原因么?于是我试着把飞天诚信那个应用程序打开,再重试一次,发现还是不行。这个纠结的“您请求的业务需要提交客户端证书!”,把人弄崩溃了。上网一搜一大把相同的答案:1、证书存放在IE浏览器的方法;2、证书存放在K宝中的方法。这些千篇一律的东西用了也没有什么效果。 按照网上说的办法都整过一遍,结果还是不行,直接无语了。 甚至还有的说去银行重新申请证书,那可以10块钱了,可是我用农行华大工具,把k包插上,在查看证书,有效期到2023年呢,口令也认证成功,Key 宝也正常的啊,应该不是证书的问题。 可以为什么就是不行呢,在排除Key宝与电脑故障的情况下,仔细想了想,觉得还是浏览器的问题。于是我找到了一份资料,能够应对农行:您请求的业务需要提交客户端证书的解决方法:打开IE->工具->Internet选项->内容->清除SSL状态(点击清除SSL状态后IE弹窗提示SSL缓存成功清除)->确定。重启按照支付宝流程来进行充值操作,充值成功! 首先你的K宝在家里提示“打开设备失败”(这个应该是点查看证书后显示的,不是点注册证书,点注册证书应该提示"设备中没有证书")。 这个错误提示指的是电脑没有识别到K宝里面的数据,简单说就是K宝没有插好,普通如果是K宝里面没有证书的话,至少点了查看证书会显示"智能钥匙,容器一,容器名等"所以首先建议你更换USB接口,你说银行能用说明K宝里面有证书,就是你电脑不识别导致的,然后在确定了查看证书能查到证书的情况下再登入农行证书登录,如果还是"您请求的业务需要提交客户端证书"那可以通过IE-工具-Internet选项-内容-清除SSL状态然后关闭IE重启IE后就可以解决了.补充: 第二个解决方案是在K宝能查看到证书而登不进的时候使用的,那像你说的单位电脑能用,那很明显就是你家的电脑不识别K宝导致的,解决方案一般如下:(K宝确实与U盘有区别,因为K宝里面的东西在我的电脑里是查不到新盘,改不了里面文件的) 先删除掉农行的所有驱动软件,一般从开始采单里CSP卸载还有卸载网银辅助工具.然后登入农行直接下载最新的K宝软件包连接直接给你:/wwwroot/images/upload/private/1/chinese/index/document/HDCSPSetu p.exe文件为1M不到的,运行后会自动连接农行下载,看看重装了驱动之后是不是能够解决.或者试下用其他的如呵呵,轻松找到了农行:您请求的业务需要提交客户端证书的解决方法。
服务器证书安装配置指南(Tomcat 6) 一、生成证书请求 1. 安装JDK 安装Tomcat需要JDK支持。如果您还没有JDK的安装,则可以参考Java SE Development Kit (JDK) 下载。下载地址: https://www.doczj.com/doc/de8191011.html,/javase/downloads/index.jsp 2. 生成keystore文件 生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录,运行keytool命令。(示例中粗体部分为可自
定义部分,请根据实际配置情况作相应调整) keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password
备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。 二、导入服务器证书 1. 获取服务器证书中级CA证书 为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA 证书(不同品牌证书,可能只有一张中级证书)。 从邮件中获取中级CA证书: 将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为intermediate1.cer和intermediate2.cer文件。 2. 获取服务器证书 您的keystore密码 将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括
上海域联软件技术有限公司 PKI/CA系统解决方案 1 前言 (2) 2 应用安全需求概述 (2) 3 域联PKI/CA系统简介 (3) 3.1 认证体系设计 (3) 3.2 域联PKI/CA系统功能模块 (5) 3.2.1 证书签发 (5) 3.2.2 证书生命周期管理 (5) 3.2.3 CRL服务功能 (6) 3.2.4 目录服务功能 (6) 3.2.5 CA管理功能 (6) 3.2.6 日志与审计功能 (6) 3.2.7 CA密钥管理 (7)
1前言 以Internet为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统、企业内部应用系统,逐渐扩展到政府办公系统应用。在这股浪潮的推动下,为了提高企业的办事效率,各个企业纷纷利用先进的IT技术来降低政务办公的成本和加强信息管理,广泛的开展电子政务。 由于业务发展的需要,用户也建设了自己的各种应用信息系统,为了保证系统的正常运转,有必要采取安全的措施来保障各个应用系统运行的安全。本文主要目的是旨在分析用户的系统安全需求,然后阐明采用PKI/CA技术,来保障用户的信息系统安全。 2应用安全需求概述 随着用户信息系统的建设,大量的办公业务数据文件通过网络相互传递,同时大量的数据文件也保存于文件服务器之上。如果不能保证这些系统的用户登录认证安全,保证这些数据的传输安全,其后果是可想而知的。此外,在实现资源和数据共享的同时,也面临巨大的威胁和风险,我们必须对这些资料进行严格控制,保证只有被授权的人员才能够访问合法的资源,并且对于每个人产生的信息,需要保留相应的记录。由于互联网的广泛性和开放性,给应用系统带来了很多安全隐患,主要体现在如下几个方面: (1)身份认证 目前,应用系统是采用“用户名+密码”的方式来验证访问用户的身份。采用“用户名+密码”的方式登录应用系统时,用户输入的用户名和密码都是通过明文的方式,传输给系统服务器,系统服务器根据用户提交的用户名和密码,查询数据库,来判断用户的身份是否真实。这种方式存在巨大的安全隐患,非法用户可以通过口令攻击、猜测或窃取口令等方式,假冒合法用户的身份,登录系统进行非法操作或获取机密信息。因此,需要采用安全的手段,解决应用系统身份认证需求。 (2)访问控制 对于系统的不同用户,具有不同的访问操作权限。因此,应用系统在身份认证的基础上,需要给不同的身份授予不同的访问权限,使他们能够进行相应授权的操作。因此,需要采用有效的手段,解决应用系统访问控制的需求。 (3)信息机密性和完整性 通过应用系统传输很多敏感资料,如通过应用系统,需要通过开放的互联网,非法用户很容易监听网络传输的数据甚至篡改相关数据,或者入侵到应用系统,窃取有关资料。因此,需要采用有效的方式保证应用系统传输数据的机密性和完整性。 (4)信息抗抵赖 信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统中传输的很多信息,都需要实现信息抗抵赖。比如财务部进行财务汇报时,如果采用纸质的方
数字证书驱动及客户端安装操作指引 广州市数字证书管理中心 二○一二年十月十日
目录 一、用户须知 (3) 二、安装要求 (3) 三、安装数字证书驱动程序 (5) 四、安装数字证书客户端 (9) 五、数字证书客户端功能介绍 (11) 1、证书注册功能 (11) 2、数字证书功能 (14) 3、系统设置功能 (26) 4、软证书功能 (28) 六、软件的卸载 (33)
一、用户须知 1、请到广州市数字证书管理中心网站下载数字证书客户端安装包:https://www.doczj.com/doc/de8191011.html,/ 2、该压缩包包含以下三个文件 数字证书USB驱动程序; 数字证书客户端安装程序; 数字证书驱动及客户端安装操作指引。 在安装“数字证书USB驱动程序”及“数字证书客户端程序” 前请先查看“数字证书驱动及客户端安装操作指引”,然后再按照安装步骤先安装“数字证书USB驱动程序”,接着安装“数字证书客户端程序”。 3、目前数字证书客户端主要功能包括以下几部分: 数字证书注册 数字证书管理和测试 欠费提醒和控制 二、安装要求 操作系统版本: windows XP、windows2003、windows7(需兼容32位,暂不支持纯64位系统) 硬件要求: CPU:800MHZ或以上 内存:256M或以上 其中安装了windows7的用户请注意,进行安装前需要按以下步骤调节系统:
1、点击屏幕左下角“开始”; 2、在搜索栏输入UAC ,点击旁边的“搜索”按钮,如 图: 3、点击上方的“更改用户账号控制设置” 4、把滑动按钮拉到“从不通知”,如图:
5、点击“确定”后即可继续安装数字证书客户端。 6、待完成安装数字证书驱动程序和数字证书客户端后,按 照以上步骤把滑动条拉回原来位置。 三、安装数字证书驱动程序 注意:在安装驱动程序前如果已经插入了数字证书,请先拔出数字证书再进行安装。 (1)双击USB驱动包.exe,如下图:
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备:插入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下: 添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:
Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’: 填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS 的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP 功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
CA证书使用问题及解决方法 1、企业点击“签名”时,显示“安全证书上的名称不一致”或“站点名称不匹配”。 解决方法:出现是否继续浏览的提示框时,选择“是”。 2、企业登录插入CA证书后,出现“无法显示站点”。 解决方法:将IE浏览器“工具”标签“Internet 选项”-“高级”标签中“检查服务器证书吊销”选项前的对勾去掉即可。 3、输入证书口令后,显示“内部错误、程序出错,给您带来不便敬请谅解”。 解决方法:首先打开IE浏览器-工具-IE选项-内容-证书,选择证书-详细信息-主题,点击主题,出现代码,查看一个选项 2.5.4.31=XXXX(这个是用户税号),查看税号是否正确,如不正确请用户携带资料去窗口进行更改;如正确,请国税局做一下用户信息的内外网同步。 4、签名时,点击“查看证书”,提示“证书已过期或尚未生效”。 解决方法:当显示“立即延期”和“以后再说”选项时,用户应优先选择自主在线延期。在线延期操作:打开“证书助手”点击“在线延期”按钮,即可跳转到在线延期页面,点“立即延期”。 关于延期问题:a、IE浏览器不识别证书过期,推荐使用或;b、紫色的key 的纳税人,如果选择“立即延期”,要先登录CA网站(http :后刷新页面。如果什么提示都没有,请尝试刷新。以上方法都不能解决,请致电江苏CA苏州地区客服05。 8、原方法登录,到CA签名时显示“对不起,程序出错,内部出错。” 解决方法:推荐用户用CA进行登录,基本由于用户未使用CA登录会造成该情况。 9、企业迁移登记后,地税税号未改,国税如何进行CA申报? 解决方法:让用户携带新的资料到CA公司服务点,先更改国税信息,等地税也迁移过来以后,携带新的资料再去服务点更改即可。 10、CA登录时显示证书,输入口令后显示“无法显示该页”,改用用户名、密码登录后,到预提交步骤时无法显示证书,返回后显示“错误107,纳税人取消该操作”。
Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置 转载自“菩提树下的杨过” 一.CA证书服务器安装 1.安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态 2.在“控制面板”中运行“添加或删除程序”,切换到“添加/删除Windows组件”页
3.在“Windows组件向导”对话框中,选中“证书服务”选项,接下来选择CA类型,这里选择“独立根CA” 4.然后为该CA服务器起个名字(本例中的名字为CntvsServer),设置证书的有效期限,建议使用默认值“5年”即可,最后指定证书数据库和证书数据库日志的位置后,就完成了证书服务的安装。 5.安装完成后,系统会自动在IIS的默认站点,建几个虚拟目录CertSrc,CertControl,CertEnroll
二.客户端证书申请 1. 运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。证书申请页面,输入相应的申请信息,然后点击[申请一个证书]。 接下来选择"Web浏览器证书"
填写相关信息
2. 系统将处理您提交的申请,此过程可能要等待10秒钟左右。建议最好记下申请ID(本例为4) 三。客户端证书的颁发
打开“管理工具”选择“证书颁发机构”,打开"挂起的申请",右击-->"颁发" 四。客户端证书的下载及安装 1.运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态” 2.找到自己申请的证书
全证书是用来唯一确认安全电子商务交易方身份的工具。持卡人安全证书是付款卡的一种电子表示。由于它由证书管理中心做了数字签名,因此,任何第三方都无法修改证书的内容。相信大家在第一次访问一些网站时,自动为用户安装此网站的安全证书,假如本地的安装证书过期,网站就会提醒用户们该安全证书有问题,那有些用户就会直接绕过安全证书,但是下次访问,又还是会提醒我们,那该怎么办呢? 首先我们在解决此问题时,我们先要确定这个网站是否安全,如果安全我则可以用一下三种方法解决。 方法一: 假如你有电子证书,那就点击网页的“继续浏览此网站(不推荐)”链接即可访问网站。接着点击的地址栏后面安全报告按钮,在弹出网站标识窗口中点击“查看证书”,然后在点击“安装证书”,弹出警告消息,点击“是”安装证书即可。
方法二: 那去你要是没有证书的话,可以将你要的进入的网站设为信任站点。首先我们打开浏览器,点击右上角的“齿轮”图标,接着再点击“Internet选项”,在弹出Internet选项窗口中,选择“安全”卡,点击“受信任的站点”,点击“站点”,在弹出的窗口中添加你要信任的网站。
方法三: 首先我们打开浏览器,点击右上角的“齿轮”图标,接着再点击“Internet选项”,在打开的界面中切换到“内容”选项卡,然后点击“证书”按钮; 2、然后我们在“证书”界面中,点击”受信任的根证书颁发机构”,然后点击“导入”安装相关的证书即可。
其实安全证书在上网是一个很少见的问题,一般只有在大型安全网站会提醒,那我们就可以
不用去理会,如果所有安全网站都会提示该故障,可能是系统时间不正确以上就是我们在遇到安全证书有问题时修复解决的方法。
证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL、OCSP、SCEP等。 PEM– Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默 认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息: 1.内容类型:表明本文件存放的是什么信息内容,它的形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。 2.头信息:表明数据是如果被处理后存放,openssl 中用的最多的是加密信息,比如加 密算法以及初始化向量 iv。 3.信息体:为 BASE64 编码的数据。可以包括所有私钥(RSA 和 DSA)、公钥 (RSA 和 DSA)和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据,用 ascii 报头包围,因此适合系统之间的文本模式传输。 使用PEM格式存储的证书: —–BEGIN CERTIFICATE—– MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCV VMx ……… 1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU= —–END CERTIFICATE—– 使用PEM格式存储的私钥: —–BEGIN RSA PRIVATE KEY—– MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCV VMx ……… 1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU= —–END RSA PRIVATE KEY—– 使用PEM格式存储的证书请求文件: —–BEGIN CERTIFICATE REQUEST—–MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCV VMx ……… 1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU= —–END CERTIFICATE REQUEST—– DER–辨别编码规则 (DER) 可包含所有私钥、公钥和证书。它是大多数浏览器的缺省 格式,并按 ASN1 DER 格式存储。它是无报头的- PEM 是用文本报头包围的 DER。PFX 或 P12–公钥加密标准 #12 (PKCS#12) 可包含所有私钥、公钥和证书。其以二进 制格式存储,也称为 PFX 文件。通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式合并转换为标准的PFX文件,你可以将PFX文件格式导入到微软IIS 5/6、微软ISA、微软Exchange Server等软件。转换时需要输入PFX文件的加密密码。
开票服务器证书申请 --详细操作说明
航天信息股份有限公司 2012-09-11 目录 1、证书申请简介 (3) 2、开始申请证书 (3) 2.1登陆申请开票服务器证书网站 (3) 2.2网站功能说明 (4) 2.3证书申请具体操作 (5) 2.3.1企业信息设置 (5) 2.3.2申请服务器证书 (6) 2.3.3申请客户端证书 (8) 2.3.4申请tomcat证书 (14) 2.3.5申请管理员软证书 (15) 3、证书的使用 (21) 3.1软证书的使用 (21) 3.2硬证书的使用 (21) 3.3管理员证书的使用 (22)
开票服务器V3.0证书申请 1、证书申请简介 每一个企业服务器用户,都要通过登录网站https://https://www.doczj.com/doc/de8191011.html,:6002/frontra4/logon.do申请四类证书:服务器证书、客户端证书、tomcat证书、管理员证书。其中服务器证书、tomcat证书为软证书,安装于服务器端;客户端证书为硬证书,用于开票服务器客户端的使用,管理员证书既可以申请软证书(优选软证书),也可以申请硬证书,用于管理端的使用。 2、开始申请证书 2.1登陆申请开票服务器证书网站 【第一步】:安装“kpAdmin”证书,双击安装即可,安装密码:111111。按照默认安装提示,一步一步向下安装完。 【第二步】:登录申请证书的网站:https://https://www.doczj.com/doc/de8191011.html,:6002frontra4/logon.do 将此网站地址加入到浏览器的受信站点中。具体见下图 注:要选中“对该区域中的所有站点要求服务器验证(https:)”。
Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP 不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’:
单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口:
输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下:
一、测试环境配置 (1) 1、win2003系统_1 (1) 1.1. 安装IIS以承载CA证书服务 (1) 1.2. 安装证书服务,CA的公用名称设置为TestCA (1) 2、win2003系统_2 (2) 2.1. 安装IIS (2) 3、win2003系统_3 (2) 二、配置过程 (3) 1、win2003系统_2申请并配置IIS 的SSL的服务端证书 (3) 1.1. 生成证书申请文件 (3) 1.2. 提交证书申请 (8) 1.3. 颁发证书 (8) 1.4. 上安装证书 (9) 1.5. 将web站点配置为要求SSL 访问 (11) 1.6. 测试IE使用SSL浏览 (11) 2、win2003系统_3申请安装客户端证书ClientCert2003 (12) 3、在win2003系统_2上设置客户证书映射 (12) 3.1. Web服务器上导入客户端证书 (12) 3.2. 导入客户端证书的根证书 (13) 3.3. 设置IIS中网站的客户端证书映射 (16) 3.4. Web网站读取客户端映射的windows账户 (18) 三、测试 (18)
本文给出了如何配置IIS通过SSL安全通道进行访问的方法,并在此基础上详细讨论了IIS 如何设置要求对客户端提供客户端证书进行身份验证。IIS端SSL服务器证书申请和安装,从而配置SSL安全访问通道。客户端证书的申请和安装,IIS端如何映射客户端证书到服务器上 的windows账户等等。 一、测试环境配置 准备三台机器,都是windows 2003操作系统,每台机器的作用,和其上需要安装的服务 和配置如下: 1、win2003系统_1 ip:192.168.1.11 机器名:win2003base1 服务器作用:这个服务器是用来安装证书服务,作为一个CA提供证书服务。 1.1.安装IIS以承载CA证书服务 1.2.安装证书服务,CA的公用名称设置为TestCA 在安装证书服务过程中会生成一个证书服务的证书,一个自己颁给自己的证书作为这个 CA的根证书:
如果要解決這個問題,請使用下列其中一種方法。 回此頁最上方 方法1 將Microsoft Windows Small Business Server 2003 (Windows SBS) 自我簽署憑證安裝在用戶端電腦上。如果要執行這項操作,請依照下列步驟執行: 在Windows Internet Explorer 7 中,按一下[繼續瀏覽此網站(不建議)]。 紅色的[網址列] 和憑證警告隨即出現。 按一下[憑證錯誤] 按鈕,開啟資訊視窗。 按一下[檢視憑證],再按一下[安裝憑證]。 在出現的警告訊息上,按一下[是],安裝憑證。 注意在Windows Vista 中,當您使用Internet Explorer 7 時,自我簽署憑證也會發生相同的問題。不過,除非以系統管理員權限執行Windows Internet Explorer 7,否則您將無法使用安裝憑證的選項。如果要執行這項操作,請用滑鼠右鍵按一下Internet Explorer 圖示,然後選取[以系統管理員身分執行]。 回此頁最上方 方法2 將URL 新增至「信任的網站」安全性區域。如果要執行這項操作,請依照下列步驟執行: 在Windows Internet Explorer 7 中,按一下[工具] 功能表中的[網際網路選項]。 按一下以選取[安全性] 索引標籤。 按一下以選取[信任的網站],再按一下[網站] 按鈕。 在[將此網站加到該區域] 方塊中輸入URL,然後按一下[新增]。 按一下[關閉]。 按一下[確定]。 回此頁最上方 此网站的安全证书有问题 说明 当您尝试使用Windows? Internet Explorer? 7 或更高版本定位到BlackBerry? Administration Service 或BlackBerry Monitoring Service 时,浏览器显示此错误消息。 可能的解决方法 将BlackBerry Administration Service 或BlackBerry Monitoring Service 的Web 地址添加到Windows Internet Explorer 的可信站点列表中,并且在计算机的证书存储区中安装BlackBerry Administration Service 或BlackBerry Monitoring Service 的证书。 在Windows Internet Explorer 中,定位到BlackBerry Administration Service 控制台或BlackBerry Monitoring Service 控制台。 单击继续浏览此网站(不推荐)。 在工具菜单中,单击Internet 选项。 在安全选项卡,单击本地Intranet。