chapter9电子政务工程设计

1、网络系统集成与工程设计第9章 人 民 邮 电 出 版 社 编著：杨威 王云 刘景宜 SXTU-INC-YW 本章知识要点点：电子政务务业务模模型电子政务务体系结结构电子政务务通信平平台设计计内、外网网物理隔隔离电子政务务信息系系统PKI技技术，CA证书书服务器器，安装装证书服服务，证证书颁发发机构的的配置和和管理，客户端端的证书书管理SSL安安全机制制，基于于SSL的Web服务务器VPN的的技术与与类型，VPN方案设设计，基基于VPN政务务网络互互连。第9章 电子子政务工工程设计计SXTU-INC-YW本章重点点：电子政务务业务模模型电子政务务体系结结构电子政务务通信平平台设计计内、外网网物理

2、隔隔离电子政务务CA的的建立和和管理SSL安安全机制制VPN的的技术与与方案设设计，基基于VPN政务务网络互互连。本章难点：基于VPN政务务网络互互连第9章 电子子政务工工程设计计SXTU-INC-YW9.1电子政务务概述9.1.1电电子政务务的背景景电子政务务是指政政府机构构利用信信息化手手段，实实现各类类政府职职能。其其核心是是应用信信息技术术，提高高政府事事务处理理的效率率，改善善政府组组织和公公共管理理。背景：信息技术术的飞速速发展发达国家家提出“电子子政务（电子政政府）计计划”我国的电电子政务务SXTU-INC-YW9.1.2电子政务务业务与与信息流流1.电电子政务务业务模模型根据政

3、府府机构的的业务形形态来看看，通常常电子政政务主要要包括三三个应用用领域。其业务务模型可可以用图图9.1表示。图9.1电子政务业务模型 面向社会会公众和和企业组组织，为为其提供供政策、法规、条例和和流程的的查询服服务。借助互联联网实现现政府机机构的对对外办公公，如：申请、申报等等，提高高政府的的运作效效率，增增加透明明度。以信息化化手段提提高政府府机构内内部办公公的效率率，如：公文报报送、信信息通知知和信息息查询等等。SXTU-INC-YW9.1.2电子政务务业务与与信息流流2.电电子政务务信息流流在电子政政务系统统中主要要存在三三种信息息流，如如图9.2所示示。图9.2 电子政务信息流模型

4、SXTU-INC-YW9.1.3电子政务务体系结结构与特特点1.电电子政务务体系结结构构建的电电子政务务体系结结构主要要包括三三个应用用系统和和一个网网络通信信平台。如图9.3所所示。图9.3电子政务平台系统结构 SXTU-INC-YW9.1.3电子政务务体系结结构与特特点2.电电子政务务系统的的特点一个成熟熟的电子子政务系系统，不不但能够够利用信信息技术术，实现现信息流流的高效效率运转转，还应应具备如如下特点点：（1）安安全性。（2）整整合性。（3）可可扩展性性。（4）示示范性。政府机构构的信息息安全是是电子政政务实施施的第一一要素。电子政政务系统统不但能能够实现现内外网网的物理理隔离，有效

5、防防止泄密密；同时时也应确确保内、外网具具有强大大的抵御御攻击能能力，防防止非法法侵入带带来的损损失。电子政务务系统应应能实现现政府内内部办公公和外部部事务处处理的整整合，通通过建立立政务办办公信息息流和事事务信息息流的平平滑对接接，提高高信息流流的效率率。同时时，能够够实现多多种沟通通模式的的整合，通过通通信平台台的多样样化优势势，提高高电子政政务系统统的覆盖盖能力。电子政务务系统的的实施是是一个分分阶段的的长期过过程，电电子政务务系统的的构造应应具有高高度的扩扩展性，以降低低系统扩扩充的投投入成本本，并满满足信息息技术高高速发展展的需要要。电子政务务系统采采用的技技术和产产品应对对社会具具

6、有广泛泛的示范范性和引引导性，电子政政务平台台的总体体结构应应依据国国家电子子政务安安全规范范和电子子政务标标准技术术参考模模型设计计。SXTU-INC-YW9.2电子政务务系统设设计9.2.1电电子政务务网络平平台1.电电子政务务内网电子政务务内网是是各种应应用的统统一通信信平台，主干网网要求具具有安全全、可靠靠和高带带宽等特特性。某市电子子化办公公涉及20多个个业务部部门，这这些部门门分部在在不同的的地理位位置，距距离市政政府大楼楼几十米米至几公公里。考考虑到政政务主干干网的负负载均衡衡和光缆缆敷设便便利等因因素，政政务主干干网可采采用多星星型拓扑扑结构。整体网网络设置置三个主主结点（市政

7、府府主楼、市委主主楼和科科技局主主楼）向向外辐射射，通过过各部门门（局、科室）所在的的建筑楼楼结点构构成主干干网。如如图9.4所示示。SXTU-INC-YW9.2.1电子政务务网络平平台图9.4 市政政府网络络拓扑结结构图SXTU-INC-YW9.2.1电子政务务网络平平台2.电电子政务务外网电子政务务外网（Web网站）位于市市政府主主楼第3层的网网络中心心主机房房内。电电子政务务外网是是政府对对外的门门户网站站，网站站拓扑结结构要严严格按照照DMZ的要求求设计。如图9.5所所示。图9.5 政务外网体系结构图 SXTU-INC-YW9.2.2内、外网网物理隔隔离电子政务务内、外外网物理理隔离采

8、采用物理理隔离网网闸X-gap8100（中中网公司司产品），可以以实现两两个网络络之间的的物理隔隔离。如如图9.6所示示。图9.6 内、外网物理隔离结构图 SXTU-INC-YW9.2.3电子政务务信息系系统1.系系统功能能结构电子政务务信息系系统一般般分为政政府公共共服务网网站和政政府内部部办公网网站，其其功能结结构如图图9.7所示。图9.7 电子政务系统功能结构图 SXTU-INC-YW9.2.3电子政务务信息系系统2.政政务外网网应用面向公共共管理服服务政务务外网业业务系统统主要包包括：为为公众用用户提供供接入和和工作流流引擎、通用电电子政务务构件、个性化化管理以以及服务务集成等等基本的

9、的功能。如：网网上报表表管理、登记申申报及审审批业务务办理、网上人人才招聘聘管理、招商管管理、网网上税务务、网上上劳保等等应用系系统。SXTU-INC-YW9.2.3电子政务务信息系系统3.政政务内网网应用政务内网网应用系系统强调调的是政政府内部部在各类类政务工工作中，运用先先进的信信息技术术和管理理思想，大幅度度提高办办事效率率，提高高政务工工作的质质量。而而在政府府内部，电子政政务的许许多目标标是要通通过办公公自动化化来实现现的。离离开了办办公自动动化，政政府内部部的电子子政务也也就失去去了基础础。面向向办公业业务的OA系统统功能包包括：公公文管理理、督查查管理、档案管管理、政政务信息息、

10、内部部事务、值班管管理、会会议管理理、辅助助决策、公用信信息等。SXTU-INC-YW9.2.3电子政务务信息系系统4.政政务处理理逻辑结结构政务处理理逻辑组组织将系系统结构构划分成成数据层层、组件件层、功功能层和和应用层层，如图图9.8所示。图9.8电子政务处理逻辑结构 SXTU-INC-YW9.3电电子政政务CA的建立立和管理理PKI是是信息安安全技术术的核心心，也是是电子政政务的关关键和基基础技术术。电子子政务在在选择PKI解解决方案案时，可可以向第第三方证证书认证证（CA，Certificate Authority）提提供商外外购PKI；或或部署自自己的政政府级PKI，或部署署混合模模

11、式PKI体系系。由第第三方CA提供供根CA，将CA颁发发限定于于政府内内部范围围。SXTU-INC-YW9.3.1PKI技技术1.PKI的的组成PKI是是一种以以公开密密钥技术术为基础础，以数数据的机机密性、完整性性和不可可抵赖性性为安全全目的，构建的的认证、授权和和加密等等硬件、软件的的综合设设施。PKI的的基础技技术包括括加密、数字签签名、数数据完整整性机制制、数字字信封、双重数数字签名名等。完完整的PKI系系统必须须具有权权威认证证机构（CA）、数字字证书库库、密钥钥备份及及恢复系系统、证证书作废废系统和和应用接接口（API）等基本本构件和和系统。SXTU-INC-YW9.3.1PKI技

12、技术2.PKI的的功能（1）认认证机构构（CA）（2）数数字证书书库（3）密密钥备份份及恢复复系统（4）证证书作废废系统（5）应应用接口口（API）SXTU-INC-YW9.3.1PKI技技术3.PKI的的安全机机制PKI安安全平台台能够提提供智能能化的信信任与有有效授权权服务。其中，信任服服务主要要是解决决在茫茫茫网海中中如何确确认“你你是你、我是我我、他是是他”的的问题；授权服服务主要要是解决决在网络络中“每每个实体体能干什什么”的的问题。SXTU-INC-YW9.3.2CA证书书服务器器的选择择通常来说说，CA是证书书的签发发机构，它是PKI的的核心。公钥体制制的密钥钥管理主主要是针针对

13、公钥钥的管理理问题。目前较较好的解解决方案案是数字字证书机机制。在实际应应用中，CA除除了服务务器硬件件（可选选用PC服务器器），还还要选择择合适的的CA软软件。在在选择CA产品品时，要要重点考考虑所支支持的相相关PKI标准准、易管管理性、伸缩能能力以及及成本费费用。SXTU-INC-YW9.3.3规划证书书颁发机机构1.根根CA与与从属CA根据层次次结构，CA可可划分为为根CA和从属属CA。（1）根根CA是是公钥体体系中第第一个证证书颁发发机构，它是所所有信任任的起源源。根CA可以以为其他他CA创创建证书书，也可可以为其其他计算算机、用用户和服服务创建建证书。根CA最重要要的角色色是作为为信

14、任的的根，是是整个政政府（企企业）认认证体系系的中心心，需要要最根本本的保护护。对大大多数基基于证书书的应用用程序来来说，使使用的证证书认证证都可以以跟踪到到根。（2）从从属CA必须从从根CA或者从从一个已已由根CA授权权，可颁颁发从属属CA证证书的从从属CA处获得得证书。从属CA可直直接颁发发证书。在建立立CA时时，从属属CA要要通过上上级CA获得自自己的CA证书书，而根根CA则则是创建建自签名名的证书书。SXTU-INC-YW9.3.3规划证书书颁发机机构2企业业CA与与独立CA（1）企企业CA具有下下列特点点。企业CA需要要活动目目录（ActiveDirectory）。安装企企业根CA时

15、，对于域域中的所所有用户户和计算算机，它它都会自自动添加加到受信信任的根根证书颁颁发机构构的证书书存储区区中。企业CA根据据申请证证书的类类型设置置策略和和安全权权限，立立即颁发发证书或或立即拒拒绝请求求。可以为为使用智智能卡登登录到Windows2000域颁颁发证书书。企业退退出模块块向活动动目录（Active Directory）发发布用户户证书和和证书吊吊销列表表。企业CA使用用基于证证书模板板的证书书类型。SXTU-INC-YW9.3.3规划证书书颁发机机构2企业业CA与与独立CA（2）独独立CA具有下下列特点点。独立CA不需需要使用用活动目目录（ActiveDirectory）。向独

16、立立CA提提交证书书申请时时，证书书申请者者必须在在证书申申请中明明确提供供所有关关于自己己的标识识信息以以及证书书申请所所需的证证书类型型。（向向企业CA提交交证书申申请时无无需提供供这些信信息，因因为企业业用户的的信息已已经在ActiveDirectory中，并并且证书书类型由由证书模模板说明明。）默认情情况下，发送到到独立CA的所所有证书书申请都都被设置置为特定定状态，由管理理员审查查颁发，也可根根据需要要改为自自动颁发发证书。不使用用验证模模板。使用智智能卡不不能颁发发用来登登录到Windows 2000域域的证书书，但可可以颁发发其他类类型的证证书并存存储在智智能卡上上。管理员员必须

17、向向域用户户的信任任根存储储区明确确分配独独立CA的证书书，或者者必须让让用户自自己执行行该任务务。SXTU-INC-YW9.3.3规划证书书颁发机机构3微软软的4种种CA（1）企企业根CA。证证书层次次结构中中的最高高级证书书颁发机机构，需需要ActiveDirectory，自行签签发自己己的CA证书，并将该该证书发发布至域域中所有有Windows2000服务器器和工作作站上。这种CA安装装在域控控制器或或者域成成员计算算机上。（2）企企业从属属CA。必须从从另一证证书颁发发机构获获得自己己的CA证书。如果使使用ActiveDirectory、证书模模板和智智能卡登登录到Windows 20

18、00计计算机时时，应选选用这种种类型。（3）独独立根CA。也也是证书书层次结结构中的的最高级级证书颁颁发机构构，它不不需要ActiveDirectory支持，适于作作为独立立的证书书颁发机机构，向向外部发发放证书书。独立立CA安安装在独独立的服服务器上上。（4）独独立从属属CA。必须从从另一证证书颁发发机构获获得自己己的CA证书，用于建建立多层层次的独独立证书书颁发体体系。SXTU-INC-YW9.3.3规划证书书颁发机机构4规划划证书层层次结构构通过根CA和从从属CA可建立立证书层层次结构构，如图图9.9所示。图9.9 证书颁发层次体系 SXTU-INC-YW9.3.4安装证书书服务安装企业

19、业CA需需要ActiveDirectory环环境，证证书服务务器必须须是域控控制器或或域成员员服务器器。本例例是在域域控制器器上安装装企业根根CA，用于为为政府内内部提供供证书服服务。（1）鼠鼠标左键键双击“控制面面板”中中的“添添加/删删除程序序”，选选择“添添加/删删除Windows组组件”，然后从从“组件件”列表表中选取取“证书书服务”。（2）鼠鼠标左键键单击“下一步步”按钮钮，打开开“Microsoft证书书服务”对话框框，系统统提示安安装证书书服务后后，不能能更改计计算机名名，也不不能将计计算机加加入到域域或从域域中删除除，鼠标标左键单单击“是是”按钮钮。SXTU-INC-YW9.3

20、.4安装证书书服务（3）选选择证书书颁发机机构（CA）类类型，如如图9.10所所示的对对话框，。共有有4种类类型，这这里选择择默认的的“企业业根CA”，然然后鼠标标左键单单击“下下一步”按钮。图9.10 选择证书颁发机构类型 SXTU-INC-YW9.3.4安装证书书服务（4）如如果选择择“高级级选项”复选框框，将打打开如图图9.11所示示的对话话框，设设置加密密服务提提供程序序、密钥钥长度和和散列算算法，否否则直接接进入下下一操作作步骤。一般来来说，密密钥越长长越安全全，不过过应注意意的是较较长的密密钥，需需要花更更长的时时间才能能生成。图9.11 设置证书类型的高级选项 SXTU-INC-

21、YW9.3.4安装证书书服务（5）设设置证书书颁发机机构标识识信息，如图9.12所示。“CA名称”就是证证书颁发发机构的的命名，对于ActiveDirectory体系，它也是是一个公公用名称称。对于于根证书书颁发机机构，“有效期期”应当当长一些些，以减减少频繁繁续订根根证书的的要求。图9.12 设置证书颁发机构标识信息 SXTU-INC-YW9.3.4安装证书书服务（6）设设置证书书服务数数据库的的存储位位置，如如图9.13所所示的对对话框。证书服服务对数数据库、配置数数据、备备份数据据和记录录数据使使用本地地存储设设备。“证书数数据库”和“证证书数据据库日志志”分别别指定证证书数据据库和日日

22、志记录录的存储储位置，使用默默认值即即可。 图9.13 设置证书数据库存储位置 SXTU-INC-YW9.3.4安装证书书服务（7）鼠鼠标左键键单击“下一步步”按钮钮，如果果计算机机上正在在运行IIS，系统就就提示立立即停止止IIS服务，鼠标左左键单击击“确定定”按钮钮，开始始安装证证书服务务相关的的组件和和程序，直至完完成。安装完毕毕，证书书服务将将自动启启动，这这样也就就建成了了一个基基本的证证书颁发发机构。安装有有证书服服务的计计算机即即为证书书服务器器。SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理1管理理证书选择“开开始”“程序序”“管理工工具”“证书书颁发机机构”，

23、即可打打开如图图9.14所示示的“证证书颁发发机构”管理单单元，通通过该管管理单元元对证书书颁发机机构进行行管理和和配置。图9.14 “证书颁发机构”管理单元 SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理2配置置策略模模块（1）从从“证书书颁发机机构”管管理单元元中选择择相应的的证书服服务，单单击鼠标标右键，从快捷捷菜单中中选择“属性”，打开开属性设设置对话话框，切切换到“策略模模块”选选项卡，鼠标左左键单击击“配置置”按钮钮，打开开如图9.15所示的的对话框框。对于于企业CA来说说，“始始终颁发发证书”是惟一一的选择择，根据据用户申申请自动动颁发证证书。图9.15 设置颁发

24、证书的默认操作 SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理（2）切切换到如如图9.16所所示的“X.509扩扩展”选选项卡，可以添添加或删删除用户户获取证证书吊销销列表和和证书的的URL地址。企业CA的证证书服务务提供基基于Web和LDAP的访问问，这些些URL地址可可以是HTTP、LDAP或或文件地地址。其其中“%SERVERDNSNAME%”表表示证书书名称。图9.16 设置获取证书吊销列表和证书的位置 SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理（3）回回到证书书服务属属性设置置对话框框，切换换到“退退出模块块”，鼠鼠标左键键单击“配置”按钮，打开如

25、如图9.17所所示的对对话框，选中“允许在在Active Directory中发发行征书书”复选选框。图9.17 设置证书发行 SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理3备份份和还原原证书颁颁发机构构备份和还还原操作作的目的的是保护护证书颁颁发机构构及其可可操作数数据，以以免因硬硬件或存存储媒体体出现故故障而导导致数据据丢失。通过使使用证书书颁发机机构管理理单元可可以备份份和还原原：公钥钥、私钥钥和CA证书，证书数数据库，公钥和和私钥使使用PKCS12的的PFX格式备备份或还还原等类类的信息息。证书颁发发机构提提供了备备份向导导和还原原向导。管理单单元选择择相应的的证书服

26、服务，单单击鼠标标右键，从快捷捷菜单中中选择“所有任任务”“备份份CA”或“还还原CA”，即即可启动动向导程程序。SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理4续订订CA证证书由证书颁颁发机构构所颁发发的每一一份证书书都具有有有效期期限。CA的生生存时间间包括其其所有CA证书书的过去去和现在在的有效效期。证书服务务强行实实施的规规则是，CA永永远不会会颁发在在超出自自己证书书的到期期时间后后有效的的证书。因此，当CA自身的的证书达达到它的的有效期期时，它它颁发的的所有证证书也将将到期。这样，如果CA因为为某种目目的没有有续订，并且CA的生生存时间间已到，则管理理员确认认当前到

27、到期的CA发出出的所有有证书不不再作有有效的安安全凭据据。SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理5管理理证书模模板默认情况况下，提提供的证证书模板板有限，可根据据需要添添加，操操作步骤骤如下。（1）以以管理员员身份登登录到系系统，打打开“证证书颁发发机构”管理单单元。鼠鼠标左键键单击控控制台左左侧列表表中的“策略设设置”，右侧窗窗格中显显示已有有的证书书模板列列表。如如图9.18所所示。图9.18 查看现有证书模板 SXTU-INC-YW9.3.5证书颁发发机构的的配置和和管理5管理理证书模模板（2）在在“操作作”菜单单上选择择“新建建”“要颁发发的证书书”，打打开如图

28、图9.19所示示的对话话框。从从列表中中选择要要使用的的新证书书模板，并单击击“确定定”按钮钮。图9.19 选择证书模板 SXTU-INC-YW9.3.6证书申请请和注册册证书注册册是请求求、接收收和安装装证书的的过程。无论是是用户、计算机机还是服服务，要要想利用用证书，必须首首先从证证书服务务器获得得有效的的证书。可以通通过：组策略略自动请请求证书书，使使用证书书申请向向导，浏览器器获得证证书等3种方式式获取证证书。1.通通过组策策略自动动请求证证书在活动目目录域环环境中，通过使使用公钥钥策略中中的自动动证书设设置，活活动目录录域或组组织单位位的计算算机成员员可以向向Windows2000企

29、业证证书服务务器自动动请求证证书，这这样就不不用为每每台计算算机注册册与计算算机相关关的证书书。只有有运行Windows 2000或或WindowsXP的域域成员计计算机能能够自动动请求证证书。配置自动动证书注注册的关关键是在在组策略略创建自自动证书书请求。SXTU-INC-YW9.3.6证书申请请和注册册2.使使用MMC手工工申请证证书符合下列列条件才才能使用用证书申申请向导导。（1）ActiveDirectory环境。（2）客客户端计计算机运运行Windows2000或Windows XP，并且且加入到到域作为为域成员员。（3）证证书颁发发机构必必须是Windows 2000企企业CA。证

30、书申请请向导使使用基于于MMC（管理理控制台台）的证证书管理理单元，能够直直接从企企业CA获取证证书。在在使用证证书管理理单元之之前，必必须将其其添加到到MMC控制台台。SXTU-INC-YW9.3.6证书申请请和注册册3使用用Web浏览器器申请证证书使用Web浏览览器申请请证书是是一种更更通用，自定义义功能更更强的方方法。遇遇到以下下情况之之一时，一般采采用这种种方法。 受理理申请的的证书颁颁发机构构为Windows2000独立立CA，或者是是通过Internet提供供证书服服务的第第三方证证书服务务器。 客户户端计算算机运行行Windows操作作系统，如Macintosh（Apple机）、

31、Linux等。 客户户端计算算机运行行Windows98/Me/NT。 客户户端计算算机运行行Windows2000/XP，但不不是域成成员，或或不能访访问域控控制器。 客户户端计算算机需要要通过NAT服服务器来来访问证证书服务务器。SXTU-INC-YW9.3.6证书申请请和注册册下面以使使用IE浏览器器申请证证书Windows2000企业业CA为为例，说说明操作作过程。（1）打打开IE浏览器器，在地地址栏中中输入证证书颁发发机构的的URL地址。对于集集成到IIS的的证书服服务，其其地址为为“http:/servername/certsrv”。默认认情况下下，将出出现“输输入网络络密码”对话

32、框框，要求求使用Web浏浏览器的的证书申申请者提提供用户户名和密密码。验验证通过过后，将将出现如如图9.20所所示的对对话框。图9.20 基于Web的证书申请页面 SXTU-INC-YW9.3.6证书申请请和注册册（2）选选择“申申请证书书”。鼠鼠标左键键单击“下一步步”按钮钮，出现现“选择择申请类类型”界界面，这这里选择择“高级级申请”单选钮钮。如图图9.21所示示。图9.21 选择证书申请类型 SXTU-INC-YW9.3.6证书申请请和注册册（3）选选择高级级证书申申请方式式。鼠标标左键单单击“下下一步”按钮，出现“高级证证书申请请”界面面，如图图9.22所示示。共有有3个选选项，这这里

33、选择择第1个个选项，以表格格形式提提交申请请。图9.22 高级证书申请方式 SXTU-INC-YW9.3.6证书申请请和注册册（4）填填写申请请表单。鼠标左左键单击击“下一一步”按按钮，出出现“填填写申请请表单”界面，如图9.23所示。在“证证书模板板”下拉拉列表中中选择所所需的证证书类型型。其他他要注意意的选项项填写如如下。“CSP”（加密服服务提供供程序）。MicrosoftBase CryptographicProviderv1.0“密钥钥用法”。签名名或者两两者。“密钥钥大小”。512。如果CSP选择择“MicrosoftEnhancedCryptographic Provider”，

34、则则可以选选择较大大的密钥钥值。但但是，注注册申请请可能会会失败，因为Windows2000的版版本可能能没有安安装StrongCryptographyPack（加加固密码码系统组组件）。“创建建新密钥钥对”。选中该该选项。“使用用本地机机器保存存”。对对于计算算机身份份验证应应选中该该复选框框。SXTU-INC-YW9.3.6证书申请请和注册册（5）安安装此证证书。鼠鼠标左键键单击“提交”（由于于企业证证书服务务器自动动颁发证证书，因因此用户户会立即即收到证证书已发发布的通通知信息息）如图图9.24所示示。鼠标标左键单单击“安安装此证证书”，即开始始安装，证书已已经成功功安装提提示，如如图9

35、.25所所示。 图9.24 安装证书 图9.25安装证书成功 SXTU-INC-YW9.3.6证书申请请和注册册（6）完完成证书书安装后后，关闭闭IE浏浏览器。要进一一步查看看获得的的证书，可通过过“客户户端证书书管理”进行。在企业业证书服服务器上上打开Internet信息息服务管管理器，用鼠标标右键单单击“默默认Web站点点”的CertSrv目录。再鼠标标左键单单击“属属性”，在“目目录安全全性”选选项卡单单击“匿匿名访问问和身份份验证控控制”下下的“编编辑”，打开“验证方方法”对对话框，只选择择“集成成Windows验证证”复选选框，如如图9.26所所示。 图9.26设置证书颁发机构的We

36、b目录安全性 SXTU-INC-YW9.3.7客户端的的证书管管理客户端的的证书管管理主要要包括申申请和安安装证书书，从证证书存储储区查找找、查看看、导入入和导出出证书。导入和和导出证证书也是是常用的的客户证证书还原原和备份份手段。对于Window98计算算机来说说，一般般使用支支持安全全功能的的浏览器器（如IE）来来进行管管理。Windows 2000/XP计计算机机则提供供了基于于MMC的证书书管理单单元，功功能更强强大。使使用Windows2000证书书管理单单元可管管理用户户、计算算机或服服务的证证书。 SXTU-INC-YW9.3.7客户端的的证书管管理可以查看看现有证证书的细细节。

37、如如图9.27所所示，展展开MMC控制制台树；鼠标左左键双击击要查看看的证书书，打开开如图9.28所示的的对话框框，查看看基本信信息。 图9.27 展开MMC控制台树 图9.28查看证书基本信息 SXTU-INC-YW9.3.7客户端的的证书管管理切换到“详细信信息”选选项卡，如图9.29示，查查看详细细信息，显示该该证书的的每个字字段和扩扩展字段段。切换换“证书书路径”选项卡卡，查看看证书的的发行关关系和证证书颁发发信任路路径，如如图9.30示示。 图9.29 查看证书详细信息 图9.30 查看证书路径信息 SXTU-INC-YW9.3.7客户端的的证书管管理检查受信信任的根根证书颁颁发机构

38、构。在MMC控控制台中中展开“受信任任的根证证收颁发发机构”，然后后鼠标左左击“证证书”文文件夹，如图9.31示。 图9.31查找根证书颁发机构证书 SXTU-INC-YW9.3.7客户端的的证书管管理查找带有有颁发者者证书颁颁发机构构（这里里为myCA）的名称称的证书书，然后后查看该该证书是是否有效效，如图图9.32示。 图9.32 查找根证书颁发机构证书常规选项 SXTU-INC-YW9.3.7客户端的的证书管管理打开证书书管理单单元，选选择菜单单“查看看”“选项”，选择择证书模模式。这这里选择择“证书书目的”，鼠标标左键单单击“确确定”按按钮，将将切换到到如图9.33所示的的界面，按证书

39、书用途来来显示排排列证书书。 图9.33 “证书目的”视图模式 SXTU-INC-YW9.4基于SSL的Web安安全机制制9.4.1SSL安安全机制制SSL是是一种安安全性很很高的认认证方式式，是通通过SSL安全全机制使使用的数数字证书书。SSL位于于HTTP层和和TCP层之间间，建立立用户与与服务器器之间的的加密通通信，确确保所传传递信息息的安全全性。SSL是是工作在在公共密密钥和私私人密钥钥基础上上的，任任何用户户都可以以获得公公共密钥钥来加密密数据，但解密密数据必必须要通通过相应应的私人人密钥。使用SSL安全全机制时时，首先先客户端端与服务务器建立立连接，服务器器把它的的数字证证书与公公

40、共密钥钥一并发发送给客客户端。客户端端随机生生成会话话密钥，用从服服务器得得到的公公共密钥钥对会话话密钥进进行加密密，并把把会话密密钥在网网络上传传递给服服务器；而会话话密钥只只有在服服务器端端用私人人密钥才才能解密密。这样样，客户户端和服服务器端端就建立立了一个个惟一的的安全通通道。 SXTU-INC-YW9.4基于SSL的Web安安全机制制9.4.2基基于SSL的Web服服务器在浏览器器和IISWeb服服务器之之间建立立SSL连接，必须具具备以下下条件。（1）在在Web服务器器上安装装“证书书服务”组件。（2）从从可信的的证书颁颁发机构构获取Web服服务器证证书。（3）在在Web服务器器上

41、安装装服务器器证书。（4）在在Web服务器器上设置置SSL选项。（5）客客户端必必须同Web服服务器信信任同一一证书认认证机构构（安装装CA证证书）。IIS 5.0提供供了三个个新的安安全任务务向导，用来简简化大多多数维护护Web站点的的安全所所需的安安全任务务。 SXTU-INC-YW9.4基于SSL的Web安安全机制制9.4.2基基于SSL的Web服服务器（6）Web服服务器证证书向导导用来管管理IIS和服服务器证证书中的的SSL。（7）CTL向向导用来来管理证证书信任任列表（CTL，Certificate Trust List）。证书书信任列列表列出出了每个个Web站点或或虚拟目目录所信

42、信任的证证书颁发发机构。（8）权权限向导导分配Web和和NTFS访问问权限给给Web站点、虚拟目目录以及及服务器器上的文文件。建立了SSL安安全机制制后，只只有SSL允许许的客户户才能与与SSL允许的的Web站点进进行通信信，并且且在使用用URL资源定定位器时时，输入入https:/，而不是是http:/。 SXTU-INC-YW9.5电电子政政务VPN的建建立及使使用9.5.1VPN技技术与类类型1.VPN技技术：要要能够使使得政务务网内一一个局域域网的数数据透明明的穿过过公用网网到达另另一个局局域网，VPN采用了了一种称称之为隧隧道的技技术。如如图9.34所所示。 图9.34 基于隧道的V

43、PN网络 SXTU-INC-YW9.5.1VPN技技术与类类型根据ISO模型型，VPN的主主要协议议如表9.2所所示。 表9.2VPN的的主要要协议标标准OSI模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCKSv5/SSL网络层数据链路层物理层包过滤IPSecPPTP/L2F/L2TPSXTU-INC-YW9.5.1VPN技技术与类类型2.VPN类类型（1）AccessVPN（远程程访问虚虚拟专网网）（2）IntranetVPN（内部虚虚拟专网网）（3）ExtranetVPN（扩展内内部虚拟拟专网） 该类型与与传统的的远程访访问网络络相对应应。在AccessVPN方式下下

44、，远端端用户不不需要通通过长途途电话拨拨号到政政府远程程接入端端口，而而是拨号号接入到到用户本本地的ISP，利用VPN系系统在公公众网上上建立一一个从客客户端到到网关的的安全传传输通道道。该类型与与政府内内部的Intranet相对对应。在在IntranetVPN 方式式下，政政府两个个异地机机构的局局域网互互连不租租用专线线，而是是政府分分支机构构网络利利用VPN特性性可以在在ChinaNET上上组建省省、市和和县范围围内的IntranetVPN。该类型与与政府网网和相关关企业网网、教育育网所构构成的Extranet相对对应。该该类型与与IntranetVPN没有本本质的区区别，但但由于是是不

45、同集集团用户户的网络络相互通通信，所所以要更更多的考考虑设备备的互连连，地址址的协调调，安全全策略的的协商等等问题。SXTU-INC-YW9.5.2VPN方方案选型型以北京天天融信网网络安全全有限公公司的VPN产产品为例例，介绍绍端到端端的VPN解决决方案。天融信的的VPN产品由由三部分分组成。它们是是网关VPN、VPN客户端端VRC（VPNRemoteClient），以以及VPN安全全集中管管理系统统SCM（Security CenterManager）。网关VPN，包包括SJW11-A网网络密码码机及带带VPN功能的的防火墙墙系列产产品。主主要用于于网络边边界处，可以提提供边界界与边界界之

46、间，边界与与客户端端之间的的传输加加密和认认证，支支持SCM统一一管理。SJW11-A具有有多个网网络接口口，可安安装于政政府内网网的各局局域网出出口处，或安装装于政府府内网与与外网的的接口处处。 SXTU-INC-YW9.5.2VPN方方案选型型以北京天天融信网网络安全全有限公公司的VPN产产品为例例，介绍绍端到端端的VPN解决决方案。VPN客客户端VRC主主要用于于客户端端。可以以提供桌桌面与桌桌面、桌桌面与边边界之间间的传输输加密和和认证，支持SCM统统一管理理。VRC运行行于Windows98/2000/XP平台台，可以以满足移移动用户户、家庭庭办公用用户、分分支机构构用户的的需求。T

47、OPSEC密密钥存储储器。VRC客客户端密密钥的存存储TOPSEC-KEY，用于客客户端的的证书和和密钥信信息存储储加密，可以和和VPN网关和和VRC配合使使用。VPN安安全集中中管理系系统SCM支持持对网关关VPN和VRC策略略集中管管理、安安装配置置自动分分发和运运行监控控等功能能。SCM主主要用于于网络边边界处，可以提提供边界界与边界界之间，边界与与客户端端之间传传输的加加密和认认证，支支持SCM统一一管理。 SXTU-INC-YW9.5.3基基于VPN的政政务网络络互连市政府网网络和县县分支网网络均在在同一个个大的局局域网里里，IP可以任任意分配配。要求求各县分分支网络络能够安安全访问

48、问市政府府网络的的同时，各县分分支网络络之间也也能实现现安全访访问。 1.方方案设计计图9.35 基于VPN政务网络互连拓扑图 SXTU-INC-YW9.5.3基基于VPN的政政务网络络互连（1）端到到端的隧隧道通信信。（2）网网络到网网络的隧隧道通信信。（3）端端到网络络的隧道道通信。 2.系系统运行行市政府网网内部计计算机和和县政府府内部计计算机都都已经分分别安装装了VRC软件件，当市市政府计计算机和和某县政政府计算算机需要要通信时时，VRC软件件会自动动从SCM处获获得隧道道政策，然后在在市政府府计算机机和县政政府计算算机之间间建立端端到端的的隧道。在市政政府计算算机和县县政府计计算机的

49、的所有通通信都可可以通过过这条隧隧道进行行保护，从而实实现了政政府网内内部主机机的私有有通信。此外在在任意两两县政府府网的计计算机之之间，同同样也通通过VRC软件件建立了了端到端端的加密密隧道。这样也也就实现现了不同同网络之之间主机机的私有有通信。市政府内内部网和和县的分分支机构构网络已已经安装装了VPN网关关SJW11-A，在在两个VPN网网关之间间通过SCM建建立了市市政府内内部网到到县分支支机构网网的加密密隧道，网络之之间的所所有通信信都经过过隧道加加密。同同时与政政府的下下属组织织（如税税务局）有业务务的企业业也可以以安装VPN网网关SJW11-A，政府内内部网可可以和企企业内部部网络之之间建立立安