下载文档原格式
证书助手用户手册浙江省行政首脑机关信息中心2019年7月目录1前言 (3)1.1 文档目的 (3)1.2 文档结构 (3)2总体介绍 (3)2.1 产品概述 (3)2.2 功能简介 (3)2.3 运行环境 (3)3安装说明 (4)4功能示例 (6)4.1 软件界面 (6)4.2 介质及证书识别 (7)4.3 修改密码 (7)4.4 证书查看 (8)4.5 保存证书 (9)4.6 在线服务 (10)1 前言1.1 文档目的本手册提供了浙江省政务证书助手的总体介绍、安装说明与相关操作示例,希望使用人员借助此手册能够更好地使用本产品。
1.2 文档结构本手册包括浙江省政务证书助手的总体介绍、安装说明和功能示例三部分。
2 总体介绍2.1 产品概述浙江省政务证书助手是为浙江省政务数字证书现有的服务需求开发的一个客户端软件。
该客户端能够对数字证书及数字证书介质进行一系列操作解析及应用,包括USB KEY 操作、证书操作、证书在线延期和介质在线解锁等功能。
该客户端是数字证书用户在使用数字证书操作过程中必不可少的工具。
2.2 功能简介浙江省政务证书助手包含以下功能:1.介质厂商整合,支持RSA、SM2算法。
2.数字证书信息枚举。
3.数字证书在线服务。
4.客户端自动更新。
2.3 运行环境硬盘环境:CPU PII-233MHz 、64M内存、10MB硬盘空间及以上。
操作系统: Windows XP /Windows Vista / Windows7 / 8/ 8.1 / 10 (32/64-bit)3 安装说明1.双击点开安装包“ZWCA CMT V.1.0.13.0”,运行后如下图:2.选择语言后,点击确认,如下图:3.点击下一步,如下图:4.点击“安装”,如下图:5.等待安装,如下图:6.点击“完成”,完成ZJCA 证书助手政务版V1.0 的安装,如下图:4 功能示例4.1 软件界面4.2 介质及证书识别1. 插入介质后,如下图:4.3 修改密码1. 点击修改PIN码,初始密码6个1,如下图:2.输入旧PIN码和新PIN码后,点击“修改”即可完成,用户有义务妥善保密自己的证书介质PIN码,如下图:修改PIN码后,需要插拔介质才能生效。
证书助手(UniAgent3.0)使用手册上海数字证书认证中心有限公司2012年7月说明:UniAgent3.0中文名为“证书助手”。
相关参数:支持的操作系统:●Windows XP(包括32bit、64bit版本)●Windows 2003 Server(包括32bit、64bit版本)●Windows Vista(包括32bit、64bit版本)●Windows 7(包括32bit、64bit版本)●Windows 2008 Server(包括64bit版本)支持的应用模式:●SafeEngine API应用●CSP应用安装前的准备:1、请先卸载掉旧版本的证书管理器以及驱动的安装包,以保证安装的正确性。
2、请在安装之前移除掉插在您电脑上的USBKEY,并关闭使用USBKEY的程序,例如IE等。
程序的获取和安装:您可以从上海市数字证书认证中心有限公司的网站上获取程序的安装包,具体路径为:●/service/driver.aspx本版本的安装程序内置了文鼎创、明华和华大的驱动安装包,无需用户进行选择。
如用户需要其他类型的设备驱动(如握奇、飞天等USBKEY),可以直接在本版本的安装程序基础上进行安装,需要说明的是其他类型的设备是否支持64bit的操作系统不由本安装程序决定。
1、开始安装:2、安装向导:3、许可协议,请仔细阅读:4、安装路径选择:5、开始安装:6、安装完成:安装完成之后,即可插入相应的USBKEY设备进行应用操作。
关于UNIAGENT3.0本版本的安装软件集成了新版本的UniAgent的程序,可以提供如下的功能:●CSP应用●密码验证功能插入USBKEY之后,右键呼出UniAgent菜单,点击“证书设备”,选中您的证书,点击“验证密码”,在如下的框中输入您的USBKEY密码,确认之后,UniAgent程序将会告诉您密码是否正确。
如下图所示:●密码修改功能插入USBKEY之后,右键呼出UniAgent菜单,点击“证书设备”,选中您的证书,点击“修改密码”,在如下的框中输入您现在的密码,并重复输入您想修改的密码,确认之后,UniAgent 将会告诉您密码是否修改成功。
WatchSAFE V2.0 使用手册一、产品介绍 (2)二、安装、设置及卸载 (3)1.安装WatchSAFE硬件 (3)2.安装WatchSAFE软件 (3)3.卸载WatchSAFE系统软件 (4)三、WatchSAFE V2.0安全模块的使用 (4)1.下载根证书 (5)2.申请、下载用户证书 (9)3.访问安全网站 (14)4.发送安全的电子邮件 (14)5.表单签名(formsign) (19)四、工具软件 (20)WatchSAFE用户工具 (20)五、工作原理: (23)1.安全通信技术与智能卡 (23)2.WatchSAFE智能卡/ WatchKEY PRO工作原理 (25)3.证书的发放和管理 (27)六、WatchSAFE常见问题回答 (29)七、技术规格 (30)八、产品保修与售后服务 (31)一、产品介绍客户端网络安全套件WatchSAFE是由北京握奇数据系统有限公司研制的完全自主产权并通过中国信息安全测评认证中心认证的网络安全产品。
WatchSAFE严格按照国际标准为用户提供完整的先进的安全通讯服务(CSP:Cryptographic Service Provider)。
它是一种基于PKI体系,采用智能卡技术提高安全性的网络安全产品,存储介质选用握奇智能卡或WatchKEY PRO,可使证书及私钥受到智能卡的保护,只有知道密码的持卡人才可以使用。
它是目前电子交易、数据安全、通讯安全领域的最佳选择。
客户端网络安全套件WatchSAFE由硬件和软件两部分组成。
根据硬件设备的不同形态,WatchSAFE 又细分为两种:WatchSAFE/CARD :硬件设备为WatchSAFE智能卡(TimeCOS/PK)和符合PC/SC规范的智能卡读写器(CRW-V)。
WatchSAFE/KEY :硬件设备为WatchKEY PRO。
WatchSAFE/CARD 与WatchSAFE/KEY使用同一软件包——握奇安全模块,目前为2.0版,功能组成有:●WatchSAFE CSP模块(用于IE浏览器);●PC/SC驱动程序;●USB接口的驱动程序;●WatchSAFE用户工具WatchSAFETool;●发卡商发卡工具(对直接用户不提供)。
WCF开发框架- 证书加密使用说明书V0.2目录1.引言 (2)1.1.背景 (2)1.2.编写目的 (3)1.3.参考资料 (4)1.4.术语与缩写 (4)2.WCF框架中使用证书加密 (4)2.1.注意事项 (4)2.2.证书加密的开发步骤 (5)2.2.1.创建WCF服务应用以及调用客户端 (5)2.2.2.创建客户证书和服务端的X509证书 (9)2.2.3.配置服务端的配置文件,使之使用X509证书服务 (10)2.2.4.授权IIS访问服务器证书 (11)2.2.5.在服务器证书管理中导入服务器端证书 (13)2.2.6.在客户端导入客户端证书,完成X509证书配置并调用服务 (14)3.WCF框架中使用自定义用户名密码认证 (17)3.1.注意事项 (17)3.2.用户名密码认证说明 (17)3.3.证书加密的开发步骤 (18)3.3.1.创建自定义认证类 (18)3.3.2.配置服务端参数 (19)3.3.3.配置调用端参数并调用 (21)1.引言1.1. 背景在网络化的环境中,特别是基于互联网发布的WCF分布式应用程序,数据的加密传输就显得非常重要,通过对网络数据的加密可以有效保障系统的安全可靠性、私密性。
默认情况下,WCF调用是不经过数据加密的。
通过默认操作实现的服务以及客户端调用,数据传输情况是如何的。
我这里通过HTTP网络包分析工具Http Analyzer来对数据进行监控看看,如下所示。
可以看到,输入及输出的结果全部是明文,数据传输没任何秘密可言。
当然,你也可以对这些数据自己加密后发送出去,但是每个接口,大量信息也要这样自己手工加密吗,难道微软的WCF那么弱智?当然不是,这些操作交给WCF处理会便捷很多,传说中有一个X509的证书加密,不过如果是第一次搞这个,要完全调通要走不少弯路,我就是参考了很多文章(很多文章都介绍了一部分内容,很少能系统性的给你提出完全的解决方法),遇鬼杀鬼,遇佛拜佛,逐步排除各种险阻,这样慢慢才有一个清晰的思路,逐步解决问题,最终才有心思来写这篇文章,后面的随笔我会介绍完整的解决思路来处理X509加密的操作。
fidic红皮书使用指南一、引言随着我国改革开放和现代化建设的不断深入,基础设施建设、房地产开发等领域取得了举世瞩目的成就。
在这个过程中,FIDIC(国际咨询工程师联合会)红皮书作为国际通用的工程咨询服务合同范本,在我国得到了广泛的应用。
本文将对FIDIC红皮书的使用进行简要概述,分析其在我国工程项目的应用现状,并提出相关建议。
FIDIC红皮书全称为《设计采购施工(EPC)/交钥匙工程合同条件》,适用于设计、采购、施工一体化工程。
作为国际上最具权威性的工程咨询合同范本,FIDIC红皮书在全球范围内得到了广泛认可和应用。
我国自20世纪80年代开始引入FIDIC合同范本,经过30多年的发展,FIDIC红皮书在我国工程项目中的应用越来越广泛,对我国工程建设领域的合同管理、工程质量和进度控制等方面产生了积极的影响。
二、FIDIC红皮书的主要内容FIDIC红皮书主要包括以下几个方面的内容:1.合同条款:FIDIC红皮书为双方提供了一套完整的合同条款,包括一般条款和特殊条款。
这些条款涵盖了工程设计、采购、施工、验收、保修等各个阶段,为双方明确了权利和义务。
2.双方责任和义务:FIDIC红皮书明确了业主和承包商在工程项目中的责任和义务,包括工程设计、采购、施工、验收等方面的要求,以确保工程的顺利实施。
3.工程进度和质量控制:FIDIC红皮书强调工程进度和质量的重要性,要求双方严格控制工程进度,确保工程质量达到合同要求。
4.支付和结算:FIDIC红皮书对工程款项的支付和结算进行了详细规定,确保双方合法权益得到保障。
5.争议解决机制:FIDIC红皮书为双方提供了一套成熟的争议解决机制,包括调解、仲裁和诉讼等途径,有利于快速、公正地解决工程争议。
三、FIDIC红皮书在我国工程项目的应用案例分析本文将选取两个典型案例,分析FIDIC红皮书在我国工程项目的应用情况。
1.案例一:某基础设施项目某基础设施项目采用FIDIC红皮书作为合同范本。
数字证书使用手册一、证书管理器安装打开证书管理器安装程序目录,双击安装文件“setup.exe ”,执行安装,安装过程如下:点击“下一步”;点击“接受”;点击“下一步”;点击“下一步”;可点击“浏览”来选择安装目录,程序默认的安装路径是:%Root%:\%program Files%\UniTrust\UniTrust CertMgr(证书管理器),然后点击“下一步”;点击“完成”;安装程序将文件复制到用户指定的安装目录;证书管理器安装成功,点击“确定”。
二、明华ekey驱动程序安装在安装前,请确定没有将ekey插在电脑的usb接口上。
打开明华ekey驱动程序的安装程序目录,双击安装文件“setup.exe ”,执行安装,安装过程如下:点击“下一步”;点击“接受”;点击“下一步”;点击“下一步”;可点击“浏览”来选择安装路径,也可按上图默认的路径安装,然后点击“下一步”;点击“完成”;点击“下一步”;程序自动复制文件;点击“完成”,安装成功;三、ekey密码的修改打开公文交换系统网页,插入ekey到电脑的usb端口,登陆公文交换系统码登陆系统。
四、证书的导入在成功安装证书管理器程序后,通过点击开始—〉程序—〉unitrust证书管理器—〉unitrust证书管理器,或双击桌面的快捷方式“sheca证书管理器”,打开证书管理器程序进入操作界面,如下图:点击工具栏上的图标,打开“导入证书”对话框;在“证书存储设备”和“私钥存储设备”,选择“其它设备”。
此时在“IC卡类型”应该有深圳明华(usb)的字样,如果没有,说明没有安装或没有正确安装深圳明华ekey驱动程序,请重新安装。
确认将ekey插入电脑的usb接口,点击“导入证书”,弹出“密码输入框”,输入ekey的密码,点击“确定”,弹出对话框,点击确定,此时在操作界面左边的框中会出现证书的用户名称,如下图的“czj32”,五、注意事项1、务必先安装证书管理器、再安装明华ekey驱动程序;2、在安装明华ekey驱动程序时,确认没有将ekey插入电脑;3、不要将ekey与其他usb外部设备同时插入电脑的usb端口,否则无法使用证书;4、修改ekey密码时,请记住将ekey插入电脑usb端口,然后登陆公文交换系统修改密码,请不要在证书管理器里修改密码。
電子證書(伺服器)用戶指南Microsoft Exchange Server 2010 適用修訂日期:2022年12 月目錄A.電子證書(伺服器)申請人指引 (2)新申請及續期申請 (3)B.產生證書簽署要求(CSR) (4)C.提交證書簽署要求(CSR) (12)D.安裝中繼 / 交叉證書 (17)安裝授權撤銷清單(ARL) (23)E.安裝伺服器證書 (27)F.備份密碼匙 (31)G.還原密碼匙 (34)A. 電子證書(伺服器)申請人指引香港郵政核證機關在收到及批核電子證書(伺服器)申請後,會向獲授權代表發出主旨為“Submission of Certificate Signing Request (CSR)” 的電郵,要求獲授權代表到香港郵政核證機關的網站提交CSR。
本用戶指南旨在提供參考給電子證書(伺服器)申請人如何在Windows 2008 上的Exchange Sever 2010 產生配對密碼匙和證書簽署要求(CSR)的詳細步驟。
包含公匙的CSR 將會提交到香港郵政核證機關以作證書簽署。
如閣下在證書簽發後遺失密碼匙,您將不能安裝或使用該證書。
因此強烈建議閣下於提交證書簽署要求(CSR)前及完成安裝伺服器證書後均為密碼匙進行備份。
有關備份及還原密碼匙的方法,請參閱以下部分的詳細步驟:F.備份密碼匙 (31)G.還原密碼匙 (34)新申請及續期申請首次及續期申請電子證書(伺服器),請參閱以下部分的詳細步驟:B.產生證書簽署要求(CSR) (4)C.提交證書簽署要求(CSR) (12)D.安裝中繼 / 交叉證書 (17)安裝授權撤銷清單(ARL) (23)E.安裝伺服器證書 (27)B. 產生證書簽署要求(CSR)1.按[開始]>[所有程式]>[Exchange Sever 2010]>[Exchange 管理主控台] 來啟動Exchange 管理工具。
2.在[Exchange 管理主控台]視窗內,展開[Microsoft Exchange 内部部署]。
CA证书操作手册一、使用前准备插入证书锁,打开我的电脑打开ZGHD,双击HDCSP.exe,点击是安装完成以后,在所有程序中点击中国华大证书工具软件->中国华大->CSP工具输入新旧的口令(6个1,111111),就可以修改密码了。
浏览器找不到证书有的杀毒软件禁止自动注册证书,那么使用CSP工具,点击证书操作-》注册证书就可以了。
1.1 证书锁密码修改插入证书锁,在所有程序中点击中国华大证书工具软件->中国华大->CSP工具输入新旧的口令(6个1,111111),就可以修改密码了。
请注意,修改以后的密码一定要牢记。
浏览器找不到证书有的杀毒软件禁止自动注册证书,那么使用CSP工具,点击证书操作-》注册证书就可以了。
翔晟电子签章介绍资料一、电子签章产品介绍南京翔晟信息技术有限公司通过自身研发形成一系列信息安全应用产品——翔晟电子签章。
翔晟电子签章通过与数字证书无缝整合及对接,完全达到信息安全标准,把对身份的唯一性、信息的私密性、完整性和不可否认性的标准,通过实际应用,给客户带来操作方便,易学易懂傻瓜式的便捷操作。
翔晟电子签章产品目前在政府内网、外网,企事业单位、互联网上参与应用,保证了客户信息的安全。
同样也使得翔晟电子签章安全性的作用得到市场的认可。
1.1 相关产品➢电子签章应用系统服务器端授权软件提供多接口的PDF OCX,多功能,多接口的制章软件系统,提供电子签名、时间戳接口(南京翔晟提供终身免费升级)➢电子签章服务器签章用户管理、印章管理、签章权限管理、签章日志等➢电子签章客户端支持多种电子文件格式:WORD、EXCEL、AUTOCAD、WEB、WPS、PDF等。
可实现:盖章签名、验证签章、撤销印章、防篡改复制、联合签章、批量签章、分层保护、打印控制、签章过程跟踪等。
1.2 总体架构产品分为表现层、应用层、基础层、支持层、物理层。
翔晟电子签章系统软件:开发环境:VS6.0开发语言:C/C++ 执行速度快,安全级别高1.3 特色功能翔晟电子签章采用独特的技术,使得通过翔晟电子签章系统颁发出来的签章带有客户指定的防伪图样。
版权声明随附本产品发行的文件为研华公司2021年版权所有,并保留相关权利。
针对本手册中相关产品的说明,研华公司保留随时变更的权利,恕不另行通知。
未经研华公司书面许可,本手册所有内容不得通过任何途径以任何形式复制、翻印、翻译或者传输。
本手册以提供正确、可靠的信息为出发点。
但是研华公司对于本手册的使用结果,或者因使用本手册而导致其它第三方的权益受损,概不负责。
认可声明ARM为ARM Corporation的商标。
TI为Texas Instruments Inc.的商标。
ITE为ITE Tech Inc.的商标。
Eink为E Ink Holding Inc.的商标。
Microsoft Windows®为Microsoft Corp.的注册商标。
所有其它产品名或商标均为各自所属方的财产。
产品质量保证(两年)从购买之日起,研华为原购买商提供两年的产品质量保证。
但对那些未经授权的维修人员维修过的产品不予提供质量保证。
研华对于不正确的使用、灾难、错误安装产生的问题有免责权利。
如果研华产品出现故障,在质保期内我们提供免费维修或更换服务。
对于出保产品,我们将会酌情收取材料费、人工服务费用。
请联系相关销售人员了解详细情况。
如果您认为您购买的产品出现了故障,请遵循以下步骤:1.收集您所遇到的问题信息(例如,CPU主频、使用的研华产品及其它软件、硬件等)。
请注意屏幕上出现的任何不正常信息显示。
2.打电话给您的供货商,描述故障问题。
请借助手册,产品和任何有帮助的信息。
3.如果您的产品被诊断发生故障,请从您的供货商那里获得RMA (ReturnMaterial Authorization) 序列号。
这可以让我们尽快地进行故障产品的回收。
4.请仔细地包装故障产品,并在包装中附上完整的售后服务卡片和购买日期证明(如销售发票)。
我们对无法提供购买日期证明的产品不提供质量保证服务。
5.把相关的RMA序列号写在外包装上,并将其运送给销售人员。
证书开发套件用户手册四川省数字证书认证管理中心有限公司Sichuan Digital Certificate Authority Co.,Ltd.2008年3月目录1所涉及的产品名称及版本 (3)2数字证书身份认证 (3)2.1数据传输加密 (3)2.2SSL双向认证 (4)2.3用数字签名来实现数字证书身份认证(SSL双向认证的替代方案) (6)3证书开发套件 (7)3.1PTA (8)3.1.1PTA安装 (8)3.1.2对象模型 (8)3.1.3创建PTA对象实例 (8)3.1.4iTrusPTA对象与属性 (9)3.2iTrusJavaCertAPI (12)3.2.1应用iTrusJavaCertAPI (13)3.2.2证书验证模块(Certificate Validation Module) (13)3.2.3签名验证模块(Signature Verifying Module) (16)3.2.4证书解析模块(Certificate Parsering Module) (17)3.3数字证书身份认证应用场景 (17)3.3.1CertLogonWebDemo目录及文件说明 (18)3.3.2配置WebServer支持SSL双向认证 (19)3.3.3部署CertLogonWebDemo (27)4参考文档 (27)1所涉及的产品名称及版本2数字证书身份认证2.1 数据传输加密我们所指的数据加密是指的传输过程加密。
而对于B/S架构的应用系统我们是依赖SSL 加密技术来实现的。
什么是SSL加密技术?为了保护敏感数据在传送过程中的安全,全球许多知名企业采用SSL(Security Socket Layer)加密机制。
SSL是Netscape公司所提出的安全保密协议,在浏览器(如Internet Explorer、Netscape Navigator、Firefox等)和Web服务器(如Apache、Tomcat、IIS等等)之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5 以及RSA等加密算法,使用40位/128位的密钥,适用于商业信息的加密。
同时,Netscape公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是SSL over HTTP,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。
HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。
为使SSL 发挥作用,必须在Web 服务器上安装由某个证书颁发机构签发的SSL证书。
此后才可以将SSL用于加密浏览器与Web服务器之间的数据传输(保护SSL事务)。
浏览器通过HTTP改变为HTTPS并显示一个小锁符号,来指示用SSL加密的会话。
网站访问者可单击该锁符号来查看SSL 证书。
一个网站的服务器证书一方面为加密传输发挥作用,另一方面代表了网站的身份,可以防止被DNS劫持和域名假冒。
要实现SSL加密传输的功能并不复杂,主流WEB服务器几乎都提供了对SSL加密传输良好的支持。
如需相关方面的配置资料,可以参考:Apache 2.x: /docs/2.0/ssl/Tomcat 5.x: /tomcat-5.0-doc/ssl-howto.htmlMicrosoft IIS6:/technet/prodtechnol/WindowsServer2003/Library/IIS/d6dd7932-909c-423b-8bf7-868c5ae4c694.mspx?mfr=true2.2 SSL 双向认证为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议。
SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。
SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:① 客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
② 服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。
③ 客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期?发行服务器证书的 CA 是否可靠?发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”?服务器证书上的域名是否和服务器的实际域名相匹配?如果合法性验证通过,将继续进行第④步;如果浏览器检查到以上任意一项有问题,就会给客户一个安全警报,询问客户是否需要继续。
下图是用户使用IE 浏览器访问一个有问题的SSL 站点时,所弹出的安全警报窗口。
如果用户点击“否(N)”,合法性验证失败将导致通讯断开;如果用户点击“是(Y)”忽略这个安全问题,将继续进行第四步。
④ 用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。
⑤ 由于是SSL双向认证,服务器会主动把发证机构的CA 证书发送给客户端,客户端浏览器根据服务器提供的CA证书列出满足要求的用户证书。
下图是用户使用IE浏览器访问一个双向SSL 站点时,所弹出的“选择数字证书”窗口。
当用户选定其中一张并确认后,浏览器将建立一个随机数然并自动调用所选用户数字证书对其进行数字签名,将这个含有签名的随机数、用户数字证书以及加密过的“预主密码”一起传给服务器。
⑥服务器会检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效?为客户提供证书的CA 是否可靠?发行CA 的公钥能否正确解开客户证书的发行CA 的数字签名?检查客户的数字证书是否被吊销?(实际工作中,我们发现除了IIS会自动检查证书吊销列表,其他Web服务器,诸如:Apache、Tomcat、Weblogic等都不会主动检查CRL或者检查功能有限)检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于SSL 协议的安全数据通讯的加解密通讯。
同时在SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
上面所述的是双向认证SSL 协议的具体通讯过程,这种情况要求服务器和用户双方都有证书。
单向认证SSL 协议不需要客户拥有数字证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程(步骤⑤、⑥)去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响SSL 过程的安全性)密码方案。
这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。
而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,就足够的安全。
这也是我们强调要求使用128 位加密通讯的原因。
请注意第⑥步骤中,提到除了微软的IIS,其他大多数WEB服务器都不会承担检查CRL 的任务,也就是说大多数WEB服务器只能验证证书的合法性(是否是合法机构颁发?),时效性(是否过期?),但是不能验证证书的有效性(是否被吊销?)。
一、什么是CRL?证书注销列表(Certificate Revocation List,简称CRL),是一种包含注销的证书列表的签名数据结构。
CRL是证书注销状态的公布形式,CRL就像信用卡的黑名单,它通知大家某些电子证书不再有效。
二、为什么要吊销证书?当数字证书在有效期内出现损坏、丢失、被盗等原因无法继续使用时,您需要终止该证书的有效性,从而保障自身利益不被侵害。
吊销证书的目的是为了使损坏、丢失尤其是被盗的证书不再继续使用。
否则,当用户重新申领了一张新的数字证书后,原证书和新证书都可以继续使用,由此可见,服务端忽略验证证书的有效性是一个严重的安全漏洞。
那么如何来验证证书的有效性呢?我们将在后面的“证书开发套件”中“证书验证模块”一节中进行介绍。
2.3 用数字签名来实现数字证书身份认证(SSL双向认证的替代方案)由于传统的SSL双向认证方式在用户访问网站的一开始就要求客户端出示数字证书,如果没有数字证书,将被禁止访问网站的任何内容。
这样用户无法从所访问的网站上了解到被拒绝的原因。
为了提高用户体验,简化使用证书步骤,我们还提供另一种比较友好的方式实现证书登陆。
这种方式仅在WEB服务器上配置服务器证书,采用SSL加密通道传输数据,但不要求验证客户端证书。
用户在浏览器输入网址,将首先访问网站的默认页面,例如index.jsp。
该页面调用iTrusPTA(基于COM的ActiveX组件,后面有详细介绍)列出用户计算机上所安装的证书,让用户选择证书进行登录。
当用户点击登录按钮后,PTA使用用户选择的证书对一段随机数进行签名,并以表单的方式提交到服务端进行处理。
服务端对该签名字串和随机数进行签名验证,一旦验证通过,将获得签名证书的X509Certificate对象。
然后再调用SVM/ CVM/SVM对证书进行有效性验证,最后解析证书,实现证书登陆的功能。
具体登录流程如下:3证书开发套件我们从证书开发套件中提取出几个常用的接口,提供给用户实现证书应用集成的功能,主要包括:3.1 PTAPTA (P ersonal T rust A gent )是完成对windows 平台证书操作的COM 控件,利用控件提供的接口,可以设置系统证书列表的过滤条件,显示证书的各种属性,使用证书对字符串签名验证,以及对数据加密解密。
CLISID :1E0DFFCF-27FF-4574-849B-55007349FEDA3.1.1 PTA 安装当PTA 运行于IE 客户端时,不需要手工安装。
