bcactc信任站点pdf

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。

它是由一个由权威机构-----CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。

使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下：1、登陆Windows Server 2008服务器；2、打开【服务器管理器】；（图2）3、点击【添加角色】，之后点击【下一步】；（图3）4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；（图4）5、进入证书服务简介界面，点击【下一步】；（图5）6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；（图6）7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”）(图7)8、首次创建，勾选【根CA】，之后点击【下一步】；（图8）9、首次创建勾选【新建私钥】，之后点击【下一步】；（图9）10、默认，继续点击【下一步】；（图10）11、默认，继续点击【下一步】；（图11）12、默认，继续点击【下一步】；（图12）13、默认，继续点击【下一步】；（图13）14、点击【安装】；（图14）15、点击【关闭】，证书服务器安装完成；（图15）Wind ows Server 2008上使用IIS如何配置WEB服务器上证书应用（SSL应用）？此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全；注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下：1、打开IIS，WEB服务器，找到【服务器证书】并选中；（图1）2、点击【服务器证书】，找到【创建证书申请】项；（图2）3、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写；注：下面的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】；（图3）4、默认，点击【下一步】；（图4）5、选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭；（图5）6、接下来，点击IE（浏览器），访问：http://192.168.1.203/certsrv/；注：此处的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；（图6-1）此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能；（图6-2）在进行后继内容前，相关术语名词解释：HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

关于受信任站点设置等三个问题的说明一、关于受信任站点的设置如何将设置为浏览器的受信任站点，是培训的重点内容，也是事业单位登录网上登记管理系统前首先应完成的操作。

网上登记管理系统要求使用IE6.0以上版本的浏览器。

学员在设置受信任站点过程中出现的错误输入主要有：（1）https:// 未先将“对该区域中的所有站点要求服务器验证（https://）（S）”前复选框的“√”去掉。

（2） 错误输入“sydi”，应为“sydj”。

（3） 错误输入“chian”，应为“china”。

（4）http;// 错误输入“http;”，应先按住“shift”键，然后再按“：”键。

（5） 错误添加“www”，网站地址输入时，不需要输入“www”。

二、关于插件（FileReader.ocx）的安装只有正确安装光盘密码读取插件（FileReader.ocx）后，浏览器才能够读取事业单位专用光盘的密码。

因此，如何安装插件是事业单位培训中的重点和难点。

1、必须设置信任站点为保护操作系统免受恶意插件的破坏，IE（Internet Explorer）浏览器会禁止未获得微软数字签名的插件程序的自动安装。

因此，在浏览器中将设置为信任站点是成功安装插件的前提。

否则，在安装插件的过程中，系统会提示“当前安全设置禁止运行该页中的ActiveX控件。

因此，该页可能无法正常显示”，如下图：2、安装插件的页面只有在需要调用光盘密码插件的页面中，才会弹出安装插件的对话框。

网上登记管理系统需要调用插件的页面包括：绑定专用光盘页面、申请变更登记登录页面、申办年度检验登录页面、申请注销登记登录页面、申请证书补领登录页面。

因此，插件的安装只能在上述五个页面中进行。

将事业单位专用光盘插入光驱，光盘自动运行后，单击光盘运行页面上的按钮进入相应页面。

3、判断插件是否成功安装当进入上述五个页面后，浏览器会检测光盘密码插件是否已经成功安装，如果尚未安装，则浏览器页面下部状态栏的左侧会显示一个黄色的惊叹号图标和“完毕”或“该页有错误”等字样。

北京市工程建设招标投标交易与监管平台数字身份认证锁使用手册北京华瑞实创信息技术有限公司2012年06月感谢您选择北京市工程建设发包承包交易中心的ePass3000型数字身份认证锁。

为了您能安全、正确地使用数字身份认证锁，请您在使用之前仔细阅读本手册。

目录第1章数字身份认证锁型号说明 (3)第2章安全使用数字身份认证锁说明 (3)第3章快速安装指南 (4)第4章详细安装和操作说明 (7)4.1 下载北京市工程建设招标投标交易与监管平台远程版 (7)4.1.1 下载方式一：登录北京市工程建设信息网下载 (7)4.1.2 下载方式二：登录北京市工程建设招标投标交易与监管平台下载 (9)4.2 北京市工程建设招标投标交易与监管平台远程版安装环境说明 (13)4.3 安装北京市工程建设招标投标交易与监管平台远程版程序软件 (14)4.3.1 卸载ePass 2000数字身份认证锁（飞天诚信）驱动程序(或标识为“专业劳务交易中心智能卡工具“驱动程序) (14)4.3.2 安装北京市工程建设招标投标交易与监管平台远程版程序软件 (15)4.4 修改数字身份认证锁密码 (26)4.5 登录北京市工程建设招标投标交易与监管平台 (28)第5章数字身份认证锁管理工具 (31)5.1 修改数字身份认证锁密码 (32)5.2 查看数字证书详细信息 (33)第6章卸载北京市工程建设招标投标交易与监管平台远程版 (34)第7章卸载数字身份认证锁驱动程序 (38)第1章数字身份认证锁型号说明本文档所述的数字身份认证锁，是指北京市工程建设发包承包交易中心2011年推出的ePass 3000数字身份认证锁（飞天诚信），其外形特征如图：或请注意：ePass3000数字身份认证锁（飞天诚信）的驱动程序软件集成于“北京市工程建设招标投标交易与监管平台远程版”中，请您先访问北京市工程建设招标投标交易与监管平台首页进行下载。

第2章安全使用数字身份认证锁说明数字身份认证锁专用于存储您使用北京市工程建设招标投标交易与监管平台时需要的数字证书。

文档打开错误，请检查是否已将该站点添加到信任站点
1、检查是否已将oa.petrochina和rms.petrochina加入受信任站
点。

2、查看根证书是否过期（Internet选项——内容——证书——中
级和受信任的根证书颁发机构），将过期的根证书删除
3、安装最新的根证书（OA帮助——产品下载——证书——certnew2012）,cnpc用户需要安装certnew2012和cnpc专用证书。

4、运行setpolice （cnpc用户运行cnpc专用的setReg）
5、手工添加XML扩展包
(帮助——产品下载——常用工具软件——SDXML)
打开一个新的word文档，点击“工具”菜单，选择“模版和加载项”，选择xml架构，点击“架构库”，选中该架构，点“删除架构”。

如架构中为空则直接添加即可。

在XML扩展包中点击“添加”，选中已下载好的SDXML扩展包。

设置可信任站点的操作步骤：
1.打开IE浏览器
2.点击菜单栏中的“工具”选项
3.选择“Internet选项”一栏
4.在弹出的“Internet选项”对话框中点击“安全”页
5.点击“受信任的站点”图标（带绿色小勾）
6.弹出如下窗口：
选择“默认级别”按钮或拖动“该区域的安全级别”下的滑块，使安全级别降到低级别。

7.点击“站点”按钮
8.在新弹出的“可信站点”对话框中：
（1）将“对该区域中的所有站点要求服务器验证（https:）
(s)”栏目前方框中的对勾或黑点去掉（点击方框即可实现）。

（2）在“将该网站添加到区域”栏目下的文本框中输入：http://124.128.246.58，（如需在内网登陆输入：http://192.168.3.100），点击旁边的“添加”按钮。

（3）点击右下角的“关闭”按钮，返回“Internet选项”对话框。

9.重新启动浏览器登陆到OA办公系统。

北京市建设工程招标投标交易与监管平台数字身份认证锁办理指南为满足北京市建设工程招标投标交易与监管平台（以下简称电子化平台）安全运行要求，保障招标投标活动当事人交易信息的安全，增加交易主体办理招投标业务的责任意识和法律意识，电子化平台将启用数字身份认证锁，电子化平台内的所有业务都需要通过数字身份认证锁办理，办理流程如下：一、使用范围数字身份认证锁是电子化平台的唯一身份识别方式，各市场主体通过电子化平台从事招标、投标和招标代理活动必须使用数字身份认证锁。

二、数字身份认证锁种类数字身份认证锁按使用功能分为业务主锁、业务副锁、财务锁，各市场主体应当办理业务主锁，业务副锁、财务锁由各市场主体根据自身工作需要进行办理。

1)业务主锁：一个企业只能办理一个；用于电子化平台登录、数字签名、文件加解密、网上申报等操作。

2)业务副锁：一个企业可以办理多个，也可以不办理；除不能用于投标报名外，与业务主锁功能一致。

3)财务锁：仅限具备自开票资格的企业办理，一个企业只能办理一个；用于办理代征税业务。

三、办理对象下列单位应当办理数字身份认证锁：1)在有形建筑市场办理企业信息备案登记的各类施工、监理、材料设备企业；2)在有形建筑市场办理招标人信息备案登记的招标人；3)在有形建筑市场办理信息备案登记的招标代理机构；四、办理程序数字身份认证锁办理方式有两种：网上申请现场领取、现场申请现场领取。

1、网上申请现场领取登陆北京市建设工程信息网()"网上办事"频道；点击"北京市建设工程招标投标交易与监管平台数字身份认证锁申请"按钮，在线填写申请表；并按照要求扫描上传相关附件；携带相关材料到市交易中心"数字身份认证锁办理窗口"领取数字身份认证锁。

领取数字身份认证锁所需材料：1)业务主锁数字证书申请表（加盖公章）2份营业执照副本复印件（加盖公章）1份组织机构代码证书复印件（加盖公章）1份持锁人身份证原件及复印件（加盖公章）1份数字证书申请表（加盖公章）2份持锁人身份证原件及复印件（加盖公章）1份持锁人在职证明（加盖公章）1份3)财务锁数字证书申请表（加盖公章）2份营业执照副本复印件（加盖公章）1份组织机构代码证书复印件（加盖公章）1份北京市建筑业企业档案管理手册原件及复印件（加盖公章）1份持锁人身份证原件及复印件（加盖公章）1份2、现场申请现场领取携带如下材料到市交易中心"数字身份认证锁办理窗口"办理。

Pki系统中多个CA间建立信任的方法一、概述在公钥基础设施（PKI）系统中，多个证书颁发机构（CA）之间建立信任是至关重要的。

因为不同CA颁发的证书需要相互认可才能确保数字证书的有效性和信任性。

在实际应用中，如何实现不同CA之间的信任是一个复杂而又关键的问题。

本文将从技术层面介绍Pki系统中多个CA间建立信任的方法，以期为相关领域的研究和实践提供参考。

二、证书颁发机构（CA）介绍1. 什么是证书颁发机构（CA）证书颁发机构是始终提供数字证书的实体，它是PKI体系结构中的最基本组成部分。

CA的主要职责是验证证书颁发申请者的身份信息，并签发数字证书。

数字证书是公钥加密系统中用于标识用户身份和公钥的一种数据结构，CA在签发数字证书时，会将用户的公钥和身份信息绑定在一起，通过数字签名的方式来保证证书的真实性和完整性。

2. CA的种类在实际应用中，不同的CA可能存在不同的种类，主要包括根CA、中级CA和终端CA。

根CA是整个体系中的最高层次，它自签发自己的数字证书，而中级CA和终端CA则是基于根CA的数字证书构建而成。

不同种类的CA在PKI系统中具有不同的作用和地位。

三、Pki系统中多个CA间建立信任的方法1. 交叉认证（Cross-Certificate）交叉认证是一种常见的多CA之间建立信任的方法，其基本原理是相互签发数字证书并相互认可。

具体操作步骤如下：(1) CA A和CA B相互签发各自的数字证书；(2) CA A将CA B的数字证书加入到自己的信任列表中，从而信任CA B；(3) CA B也将CA A的数字证书加入到自己的信任列表中，从而信任CA A。

借助交叉认证，不同的CA可以相互信任，并且扩展PKI系统的信任范围。

2. 层级信任（Hierarchical Trust）层级信任是指根据不同CA的地位和层级关系，建立不同层级的信任。

具体操作步骤如下：(1) 将根CA的数字证书作为信任锚点，所有其他CA的数字证书都必须由根CA签发；(2) 中级CA通过交叉认证或者证书链的方式与根CA建立信任，然后中级CA再签发终端CA的数字证书。

CA认证安全解决方案某某信息技术股份有限公司2021年05月目录1 方案背景 (2)2 需求分析 (3)3 系统框架设计 (4)4 系统逻辑设计 (5)5 产品介绍 (6)5.1身份认证网关 (6)5.1.1 系统架构 (6)5.1.2 系统功能 (7)5.1.3 系统流程 (9)5.2数字签名服务器 (9)5.2.1 系统架构 (9)5.2.2 系统功能 (10)5.2.2.1 数字签名服务器 (10)5.2.2.2 数字签名客户端 (12)5.2.3 系统流程 (13)5.2.3.1 数字签名流程 (13)5.2.3.2 签名验证流程 (13)6 网络拓扑设计 (14)1方案背景随着信息化建设的推进，信息化的水平也有了长足的提高，信息化已经成为政府、企业提高工作效率，降低运营成本、提升客户体验、增加客户粘度，提升自身形象的重要手段。

信息化是架构在网络环境世界来展开，网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险，如何解决虚拟身份的真实有效，敏感信息在网络传输的安全保密且不被攻击者非法篡改，如何防止网络操作日后不被抵赖？同时，随着信息系统的不断增加，信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。

因此，安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋，上述问题逐渐给信息化建设管理者提出了新的挑战。

此外，国家安全管理部门发布了《信息安全等级保护管理办法》，提出了“计算机信息系统实行安全等级保护”的要求，等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。

鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求，本方案提出一套基于数字证书的安全应用支撑解决方案，全面解决上述信息安全问题。

2需求分析目前，“用户名+口令”的认证方式普遍存在各个信息系统，基于用户名口令的认证方式是一种弱认证方式，由于其具有容易被猜测、字典攻击、非法拦截、责任认定无法到人等系列弱点，已经无法满足信息系统的安全需要，因此，需要提供一套基于数字证书的安全应用支撑平台，通过PKI密码技术实现强身份认证、信息保密性、信息完整性以及敏感操作的抗抵赖性等各项安全功能，同时，作为安全应用支撑平台，还应该面向众多的信息系统提供统一身份认证功能，实现SSO单点登录功能，满足应用级的授权管理需要。

ACS 4.1 和WLC 4404联动做MAC_FILTERING硬件环境：Cisco 4404 wlc that run software version 4.1.185Cisco secure acse 1113 that run software version 4.1Cisco 1131AG series LAPs802.11a/b/g wireless clientACSE1113需要打2个path才可以applACS-4.1-set-ip-CSCsm73656-Patch.zipapplAcs-4.1.1.23.5.zipSETP 1 Add triple A client，authen type using radius cisco aironet or airospaceSetp 2 , configure triple a serverStep 3 安装一个证书，如果你要做EAP类型的认证，那么acs install certificate 是必须的EAP 类型的认证，只需要server端才需要安装cerificate，client是不需要安装的，哪什么认证才需要双向cerificate呢，在cisco 只有EAP-TLS/TTLS是需要server、client都需要证书验证的，在这里我们就不做证书了，因为普通的ms wireless client是不可以通过cerificate 认证的，需要购买client，所以这里只做wpa_TKIP MAC FILTERING。

1、产生一个自签证书，点击acs certificate setup – Generate self-signed certificate里面的设置参照右侧的help进行配置就可以了。

2、acs certificate authority setup这步是把该self-signed certificate 存储在local，这样在下一步的trust list中才会出现该cer4, edit certificate trust listSetp 4、gloab authentication setup这里就是用什么就选什么Setp5\ add user在这里需要建立client mac database，建立的user的时候需要主意，我使用的是no delimiter,cisco官方是用colon的，但是我用colon返回的错误是password invalid。

windows信任证书组策略
要在Windows上信任证书并使用组策略进行配置，可以按照以下步骤进行操作：
1. 下载CA证书：首先，确保已从可信任的证书颁发机构（CA）下载了证书。

2. 编辑组策略：打开组策略管理编辑器。

在组策略管理控制台中，展开“计算机配置”或“用户配置”，然后选择“策略”文件夹。

3. 配置公钥策略：在策略文件夹下，展开“Windows设置”->“安全设置”->“公钥策略”。

4. 导入证书：在公钥策略下，右键单击“受信任的根证书颁发机构”文件夹，选择“导入”。

5. 浏览并选择证书文件：在出现的“要导入的文件”对话框中，浏览到下载的证书文件并点击“下一步”。

6. 选择证书存储位置：在“证书存储”对话框中，选择“将所有证书放入下列存储”，并选择要存储证书的证书存储位置，然后点击“下一步”。

7. 完成证书导入：在“正在完成证书导入向导”对话框中，点击“完成”。

8. 刷新组策略：在目标计算机上，使用命令 `gpupdate /force` 刷新组策略。

完成以上步骤后，Windows系统将信任指定的CA证书，并且可以通过组策略进行配置和管理。

请注意，这些步骤可能会因Windows版本和具体配置而有所不同。

建议在进行任何更改之前备份系统，并确保具有适当的权限和知识以进行操作。