SSL加密验证方案

1 SSL 加密验证方案 操作手册 北京彩虹天地信息技术有限公司 2003 年 2 月 2 第一章第一章 Windows2000 Server 端的配置端的配置 第一节第一节 Active directory 配置配置 如果 Windows2000 Server 已经配置好 Active directory 和 DNS 请跳过此节 转入第一章第二节开始 注 在以后章节中 系统会提示需要注 在以后章节中 系统会提示需要 windows2000 的安装盘 请自行指定的安装盘 请自行指定 windows2000 安装盘的路径 安装盘的路径 1 以域管理员身份登录到系统 2 单击 开始 设置 控制面板 3 在控制面板中双击 配置服务器 如图 1 1 1 图 1 1 1 4 从左侧选择 Active directory 在右侧下拉滚动条 选择 启动 5 进入 Active Directory 安装向导 单击下一步 如图 1 1 2 3 图 1 1 2 6 选择 新域的域控制器 单击下一步 如图 1 1 3 图 1 1 3 7 选择 创建一个新的域目录树 单击下一步 如图 1 1 4 4 图 1 1 4 8 选择 创建新的域目录林 单击下一步 如图 1 1 5 图 1 1 5 9 键入新域的 DNS 名 例如 单击下一步 键入域 NetBios 名 例如 rainbow 单击下一步 如图 1 1 6 图 1 1 7 5 图 1 1 6 图 1 1 7 10 选择数据库 日志文件的存储位置 要求存储在 NTFS 格式的分区 单击下一步 选择 Sysvol 的位置 单击下一步 如图 1 1 8 图 1 1 9 6 图 1 1 8 图 1 1 9 11 如未配置 DNS 选择安装和配置 DNS 服务器 如图 1 1 10 7 图 1 1 10 12 选择权限 选中 只与 WIN2000 服务器兼容的权限 单击下一 步 如图 1 1 11 图 1 1 11 13 输入密码 作为用户名 密码形式的认证密码 请牢记此密码 单击下一步 向导开始配置组件 如图 1 1 12 8 图 1 1 12 14 确认 DNS 配置信息 点击下一步 如图 1 1 13 图 1 1 13 15 等待 DNS 配置过程 可能需要数分钟 如图 1 1 14 注 此过程中会需要注 此过程中会需要 Windows2000 安装光盘 请放入光盘 按提示操作 安装光盘 请放入光盘 按提示操作 9 图 1 1 14 16 Active directory 和 DNS 配置完成 单击完成 并重新启动计算 机 如图 1 1 15 图 1 1 16 图 1 1 15 10 图 1 1 16 第二节第二节 安装企业根证书颁发机构安装企业根证书颁发机构 1 以域管理员身份登录到系统 2 单击 开始 指向 设置 然后单击 控制面板 3 双击 添加 删除程序 单击 添加 删除 Windows 组件 如图 1 2 1 图 1 2 1 4 在 Windows 组件向导 中 选中 证书服务 复选框 屏幕上将出现 一个对话框 通知您计算机在安装证书服务之后不能更名且不能加入域或从域 中删除 单击 是 然后单击 下一步 如图 1 2 2 11 图 1 2 2 5 选择 企业根 CA 然后单击 下一步 如图 1 2 3 图 1 2 3 6 键入证书颁发机构的名称和其他必要信息 在 CA 设置完成后这些信息 都不能改变 如图 1 2 4 12 图 1 2 4 7 在图 1 2 4 有效期限 中 指定根 CA 的有效期时间 有关设置这 个值时应考虑的事项 请参阅下面的注释 单击 下一步 注意注意 安装企业根 CA 要求主机是域的成员并且使用 Active Directory 安装 企业 CA 的管理员必须对 Active Directory 具有写权限 如果对 Active Directory 具有写权限 则指定共享文件夹是可选的 一 般情况下对企业证书颁发机构不这么做 为 CA 选择的有效持续时间将决定 CA 到期 的时间 8 指定证书数据库 证书数据库日志和共享文件夹的存储位置 单击 下 一步 如图 1 2 5 13 图 1 2 5 9 如果正在运行 WWW 发布服务 您将会看到一条要求在安装之前停止此 项服务的请求信息 单击 确定 如图 1 2 6 图 1 2 6 10 如果出现提示 则键入证书服务安装文件的路径 注 此过程中会需要注 此过程中会需要 Windows2000 安装光盘 请放入光盘 按提示操作 安装光盘 请放入光盘 按提示操作 11 点击 完成 完成 windows 安装组件向导 至此 证书颁发机构安装 完毕 14 第三节第三节 建立企业证书颁发机构可以颁发的智能卡证书类型建立企业证书颁发机构可以颁发的智能卡证书类型 1 单击 开始 指向 程序 指向 管理工具 然后单击 证书颁发机 构 2 打开已设定的证书颁发机构 如本书中的 rainbow 3 颁发用于通过智能卡进行 Windows 登录的证书 a 在控制台树中 单击 策略设置 位置 证书颁发机构 计算机 CA 名称 策略设置 b 在 操作 菜单上 指向 新建 然后单击 颁发证书 图 1 3 1 图 1 3 1 c 单击 智能卡登录 证书模板 再单击 确定 如图 1 3 2 图 1 3 2 15 6 在控制台树中 单击 策略设置 7 在 操作 菜单上 指向 新建 然后单击 要颁发的证书 8 单击 注册代理 证书模板 然后单击 确定 如图 1 3 3 至此 证书颁发机构设置完成 图 1 3 3 注意注意 证书模板的安全权限设置指示谁被允许请求该类型的证书 注册代理证书不必从将颁发智能卡证书的相同 CA 颁发 在该过程中已作 阐明 注册代理证书的颁发 CA 只需要是域中可信任的企业 CA 在该情况下 需要确保您的域中有一个企业 CA 并且可以按照该 CA 上 的第 1 2 和 5 至 7 步颁发注册代理证书 该过程只应用于企业 CA 16 第四节第四节 准备智能卡证书注册站准备智能卡证书注册站 1 以管理员身份登录 Windows 2 单击 开始 单击 运行 并键入 mmc 如图 1 4 1 图 1 4 1 3 控制台 菜单上 单击 添加 删除管理单元 然后单击 添加 如 图 1 4 2 1 4 3 图 1 4 2 17 图 1 4 3 4 在 管理单元 中 请双击 证书 如果作为用户登录 证书管理单元 将自动加载 如果作为管理员登录 请单击 我的用户帐户 然后单击 完成 如图 1 4 4 图 1 4 5 图 1 4 4 18 图 1 4 5 5 单击 关闭 6 双击 证书 当前用户 使 证书 当前用户 进入 管理单元添加 到 控制栏中 单击确定 如图 1 4 6 图 1 4 7 图 1 4 6 19 图 1 4 7 7 展开 控制台根结点 树 单击 个人 位置 证书 当前用户 个人 图如 1 4 8 图 1 4 8 8 在 操作 菜单上 指向 所有任务 然后单击 申请新证书 如图 1 4 9 20 图 1 4 9 9 出现证书申请向导 点击下一步 选择 注册代理 证书模板 单击 下一步 系统还会要求您提供友好名称和对证书的描述 如图 1 4 10 图 1 4 11 图 1 4 12 图 1 4 10 21 图 1 4 11 图 1 4 12 10 单击 下一步 确认申请的证书 单击 完成 如图 1 4 13 22 图 1 4 13 11 证书申请完成 请单击 安装证书 您现在有了代表用户申请智能卡 证书所需的证书 如图 1 4 14 图 1 4 14 12 单击 确定 选择 保存控制台 并指定相应存储目录 注意注意 在为用户申请智能卡登录证书之前 智能卡管理员必须有可用的注册代理 证书 用来代表其他用户生成智能卡证书申请 这是该过程的目的 要执行该操作 必须拥有访问注册代理证书模板的安全权限 这些任务可 以在要用作智能卡证书注册站的任何 Windows 2000 计算机 Professional 或 Server 上执行 23 第五节第五节 配置配置 IIS 服务器证书服务器证书 1 单击 开始 设置 控制面板 管理工具 Internet 信息服务器 右键单击 默认 Web 站点 选择 属 性 2 单击 服务器证书 24 3 单击 下一步 25 4 选择 创建一个新的证书 单击 下一步 5 输入 证书名称 更改位长为 1024 单击 下一步 6 填写相应的组织信息 单击 下一步 26 7 输入站点的公用名称 点击 下一步 8 写入相应的信息 单击 下一步 27 9 选择证书保存路径和文件名 单击 下一步 10 单击 下一步 完成 28 11 打开 IE 浏览器 在地址栏敲入网址 http 127 0 0 1 certsrv 选择 申请证书 单击 下一步 12 如果该网页需要 域用户验证 请输入正确的管理员密码和相 应的域名 29 13 选择 高级申请 单击 下一步 14 如下图所示 选择相应的选项 单击 下一步 30 15 从 C 盘找到相应的刚才保存的文本文件 certreq txt 打开 选 择所有的文字内容 16 将上一步所选择的文字资料 拷贝到下图中的 保存的申请 中的 文本框里 并选择相应的证书模板 Web 服务器 单击 提交 31 17 下载 CA 证书路径 18 将申请成功的证书存储在硬盘上 32 19 回到 IIS 的 默认 Web 站点属性 页面 单击 服务器证书 33 20 单击 下一步 21 单击 浏览 选择刚才存储的证书路径 选择相应的证书 34 22 单击 下一步 完成 35 23 回到 IIS 的 默认 Web 站点属性 页面 单击 编辑 36 24 选择 申请安全通道 复选框 选择 申请客户证书 选择 启用证书信任列表复选框 单击 新建 37 25 单击 下一步 26 单击 从存储添加 27 在列表中选择相应的根证书颁发机构 38 28 单击 下一步 29 添加相应的信息 单击 下一步 39 30 单击 完成 40 第二章第二章 制作要登录域的成员制作要登录域的成员 iKey 第一节 安装 iKey1000 客户端软件 第二节 注 在安装注 在安装 iKey 软件前和过程中 不要插入软件前和过程中 不要插入 iKey 1 插入 iKey1000 开发光盘 如果使用的计算机开启了自动播放功能 iKey 开发软件将自动运行 如没有自动运行 请双击光盘根目录的 iKeyall exe 安 装 2 单击下一步 如下图 单击 finish 安装完毕 41 42 第三节第三节 初始化初始化 iKey 1 将 iKey 插入计算机 USB 接口 系统将自动识别 iKey 2 双击屏幕右下角的 iKey 管理工具图标 如图 2 2 1 3 在 iKey 管理工具内选择 Admin Tools 向 iKey 存储证书前应先 Format 点击 Format 如图 2 2 2 4 点击 Format 后会要求输入初始化后的 iKey 的 SO PIN 密码 请 根据实际购买的 iKey 的 PIN 密码来输入 如有问题 请于彩虹公司联系 默认得 SO PIN 密码为 rainbow 5 输入 PIN 密码后会显示成功 请点击 确定 6 在 PKI Configuration 里选择 Initialize 输入 iKey 登录所存 证书空间的大小 建议输入 7000 然后点击 Initialize 之后要求输 43 入初始化后的 iKey 的 SO PIN 密码 请根据实际购买的 iKey 的 PIN 密 码来输入 本例中的 PIN 密码为 rainbow 同时 用户可以决定是否设 置 PIN 码尝试次数 7 设置使用 iKey 登录时的证书密码 本例中使用的密码是 1234 如 图 2 2 6 图 2 2 6 8 点击 OK iKey 初始化完毕 44 第四节第四节 配置用户帐户配置用户帐户 1 单击 开始 指向 程序 指向 管理工具 然后单击 配置服务器 如图 2 3 1 图 2 3 1 2 单击 Active Directory 3 单击 管理用户帐户和组设置 4 展开左侧目录树 单击 USERS 点右键 新建 用户 来创 建新用户 填入相应信息 如图 2 3 2 图 2 3 3 图 2 3 4 注 如果在此节配置中有任何问题 请参见 Windows2000 Server 参考 手册的相关章节 45 图 2 3 2 图 2 3 3 46 图 2 3 4 47 第五节第五节 为为 iKey 用户申请证书用户申请证书 1 以管理员身份登录 Windows2000 Server 2 打开 Internet Explorer 3 在 Internet Explorer 地址 中 键入颁发智能卡登录证书的证书颁 发机构 CA 的地址 如 http usdep server1 certsrv 然后按下 ENTER 4 选中 申请证书 然后单击 下一步 选中 高级申请 再单击 下 一步 如图 2 4 1 注 证书服务器的地址是服务器名称后跟 Certsrv 例如 为了连接到 SmartcardCA 服务器上的 CA 在本书中 该地址为 http usdep server1 certsrv 请确保使用的是安装了 CA 的服务器的名称 而不是 CA 名称本身 大多数情况下 这些名称是不同的 本例中的证书服务器名称就是 本机的主机名 图 2 4 1 5 插入初始化后的 iKey 6 选中 使用智能卡注册站为代表另一个用户的智能卡申请一个证书 然 后单击 下一步 如果系统提示接受智能卡签名证书 请单击 是 如图 2 4 2 48 图 2 4 2 7 证书模板 中选择 智能卡登录 如图 2 4 3 图 2 4 3 8 在 证书颁发机构 中 请单击要让其颁发智能卡证书的 CA 的名称 如 rainbow 图 2 4 3 9 在 加密服务提供程序 中 请选择彩虹天地公司的加密服务提供程序 49 Rainbow iKey 1000 RSA Cryptographic Service Provider 如图 2 4 3 10 在 管理员签名证书 中 请单击将签署注册申请的注册代理证书 要注册的用户 中 单击 选择用户 如 usdept 如图 2 4 3 11 单击 注册 然后在系统提示时 输入 iKey 的个人身份号 PIN 如 图 2 4 4 图 2 4 4 注 此注 此 PIN 密码为第二章第二节初始化密码为第二章第二节初始化 iKey 时设置的密码 见图时设置的密码 见图 2 2 3 12 可选 如果您正在设置的 iKey 上有以前安装的证书 将显示一条信息 询问您是否想要替换 iKey 上现有的证书 请单击 是 13 当在 iKey 上安装好证书后 CA Web 页将向您提供刚安装证书的查看 选项 或者开始新的智能卡证书申请 如图 2 4 5 图 2 4 5 注意注意 50 对于第 1 步 在域中拥有注册代理证书并具有颁发智能卡证书安全权限 的任何用户均被认为是 注册代理 51 第三章第三章 Windows2000 Professional 端的配置端的配置 第一节 客户端基本配置 安装 iKey 驱动 运行 iKey 开发光盘根目录下的 iKeyall exe 同第二章 52 附录一修改 iKey 的超级用户密码 1 要修改 iKey 的超级用户密码 必须安装 iKey1000 SDK and Authentication Solution 2 选择开始 程序 Rainbow Technologies iKey 1000 Series Software iKe