CFCA 數字證書的安裝與使用
前言
服務器證書(以下稱WebServer 證書)是Web Server 與瀏覽器用戶建立安全連接時所必須具備的證書���。
WebServer 證書的密鑰對由相應的Web Server 自己產生和管理,申請證書時只需將Web Server 產生的
證書申請數據包提交給CFCA 證書下載中心即可�����,密鑰位長為512 位(或1024 位)���。按照一定的步
驟CFCA 證書下載中心將返回證書應答�,即可將證書裝載到Web Server 中���。目前���,CFCA 能夠簽發
Netscape Web Server���,Microsoft IIS server���,Apache WebServer 等WWW 服務器的證書�����。
目錄
第一章、WEB SERVER 證書的安裝配置
1、在WEB SERVER 上產生證書請求
1.1 在Web Server 端產生密鑰對
1.2 在Web Server 上產生證書申請
2�����、WEB SERVER 證書的下載
3���、在WEB SERVER 端安裝得到的證書
4、CFCA 證書鏈的安裝
4.1 獲取cer 格式的證書鏈
4.2 獲取編碼格式的證書鏈
5、WEBSERVER 證書安裝配置常見問題
第二章、WEB SERVER 證書的使用
配置服務器開啟SSL 服務
WEBSERVER 證書使用常見問
第三章、WEB SERVER 證書的更新
WEBSERVER 證書更新的流程
WEBSERVER 證書更新的常見問題
第一章�����、 Web Server 證書的安裝配置
服務器證書(WebServer 證書)的申請操作流程如下:
1���、 需要申請證書的Web Server 管理員登錄CFCA 網站�����,選擇證書申請
(http://www.cfca.com.cn/down/shenqing.htm)���,下載生產或者ET-01 系統的WebServer 證書申請表
并填寫���。如果下載E-01 系統的證書���,填寫好的表格交給CFCA 市場部�;如果下載ET-01 系統的證書�,
填寫好的表格Email 給abc@cfca.com.cn 郵箱即可。相關的CFCA 人員將返回參考號和授權碼給申請
人�。
2、 得到參考號和授權碼后�����,申請人在相應的Web Server 運行證書申請數據包生成程序�,生成證書
請求包(通常為pkcs10 的請求)。
3�����、 申請人得到證書請求后登錄CFCA 證書下載中心�����,輸入參考號�����、授權碼以及證書申請后,可以獲
得證書�����。
請注意區分E-01 系統和ET-01 系統���,只有在對應的系統進行下載才能夠成功�。
4、 Web Server 管理員在相應的Web Server 運行證書裝載程序�,就可以將申請成功的證書裝載到Web
Server 中了�����。
下面以Solaris 平臺 Netscape Enterprise Server Standard Edition 3.5.1 為例說明Web Server 證書的
申請安裝過程:
前提條件
在申請和安裝Web Site 證書之前,須具備如下條件:
1.已經安裝了Web Server�。
2.已經從你的RA 操作員獲得Web Server 類型證書的參考號(reference number)和授權碼
(authorization code)�。
1�、在WEB SERVER 上產生證書請求
1.1 在Web Server 端產生密鑰對
1.2 在Web Server 上產生證書申請
2、WEB SERVER 證書的下載
3�����、在WEB SERVER 端安裝得到的證書
4�����、CFCA 證書鏈的安裝
4.1 獲取cer 格式的證書鏈
4.2 獲取編碼格式的證書鏈
5、WEBSERVER 證書安裝配置常見問題
在Web Server 上產生證書請求
1.1 在Web Server 端產生密鑰對
1.打開瀏覽器進入到Web Server 的管理界面���,選擇管理選項keys and Certificates。
2.選擇 Generate Key 選項���。
3.點擊Help 按鈕。按照彈出的幫助信息找到產生密鑰對的程序的路徑���。在Unix 下該程序文件
名通常為sec-key(應以幫助信息為準)。
4.到該路徑下運行產生密鑰的程序(sec-key),按照提示,產生密鑰對�����。運行該程序時需要為
存放密鑰的文件指定名字(alias),要記住這個名字�。
1.2 在Web Server 上產生證書申請
1.確定是否仍在keys and Certificates 管理界面下�,否則請在管理主界面下選擇管理選項keys
and Certificates�。
2.Request Certificate 新的證書
3.在出現的申請表單中填寫各項信息。下面是各表單項的含義:
·選擇New Certificates
·CA URL:此處填寫頒發證書的CA 的URL�。
·Alias:此處填寫產生密鑰對時指定的名字�����。
·Key Pair File Password:此處填寫密鑰的保護密碼。
·Requestor Name:此處填寫申請者名字(不能為ip 地址)���。
·Telephone Number:此處填寫申請者的電話號碼(必須填寫)。
·Common Name:此處填寫從管理員處獲得的參考號(reference number)
·E-mail Address:此處填寫申請者的電子郵件地址(必須填寫)�。
·Organization:填寫申請人所在組織�,(必須填寫)�����。
·Country:此處填寫申請人所在國家,(必須填寫)�����。
4.填寫完畢提交���。如果提交成功���,應該返回PKCS#10 格式證書請求�。
5.把上述證書請求拷貝下來,以備后用,注意拷貝完整�����,要包括BEGIN 和END�����。
Web Server 證書的下載
1. 用戶獲得Web Server 證書的參考號和授權碼后�,訪問CFCA 網站�����。
2. 在CFCA 網站上點擊"證書下載"后�,選擇"E-01 系統證書下載"中的"Web Server 證書"頁面如下:
3. 點擊Web 站點管理員后�,如果沒有下載CA 證書鏈的話,可以在該頁面上先點擊下載證書鏈(詳
細介紹見本章4.2)���,然后點擊"為你的Web 服務器下載一張站點證書 "
4. 輸入參考號和授權碼,并在Options 域選擇返回的證書的數據格式。例如選擇PKCS-7���,把前面得
到的PKCS#10 格式證書請求粘貼到下面的文本框�。
5.提交該表單,證書將被產生并返回�,如果在前面選擇了PKCS#7 格式���,則返回數據是PKCS#7 格式的���。
在Web Server 端安裝得到的證書
1.確定是否仍在keys and Certificates 管理界面下�����,否則請在管理主界面下選擇管理選項keys and
Certificates。
2.選擇Install Certificate 選項���。
3.在出現的申請表單中填寫各項信息。下面是各表單項的含義:
·Certificate For:選擇This Server
·Certificate Name:此處是證書的名字,可以不填。
·Message text(with headers):把前面拷貝的證書粘貼到這個表單域中���。
·Alias:此處填寫產生密鑰對時指定的名字。
4.提交表單,然后在新頁面點擊Add Certificate���,新證書安裝完畢
CFCA 證書鏈的安裝
通常,在CFCA 證書下載中心下載證書的過程中可以自動下載證書鏈。如果沒有下載證書鏈成
功或者有其它需要的話���,也可以通過如下兩種方法進行下載:
4.1 獲取cer 格式的證書鏈
下載CA 證書鏈(或ET-01 系統CA 證書鏈),內含rca.cer,pca.cer 和oca.cer 三張CA 證書�。
分別打開三個 cer 文件選擇"安裝證書…"啟動證書導入向導�,一路默認即可;或者通過瀏覽器的
證書導入,即點擊菜單"工具/Internet 選項"�����,在彈出的對話框中選擇"內容/證書"�,點擊"導入" 啟動證
書導入向導,一路默認即可。最終將把rca.cer 導入"受信任的根證書頒發機構",將pca.cer 和oca.cer
導入"中級證書頒發機構。"
下面是證書導入所經歷的對話框提示�,通常選擇默認即可:
導入完成后可在"受信任的根證書頒發機構"中看到RCA 的證書���,在"中級證書頒發機構"中看到
PCA 和OCA 的證書�。
4.2 獲取編碼格式的證書鏈
如果無法使用cer 格式的文件���,也可以直接到CFCA 證書下載中心獲得編碼格式的證書���,獲取方
法如下:
首先���,登錄CFCA 網站在證書下載頁面(http://www.cfca.com.cn/down/xiazai.htm )選擇對
應系統的企業普通(測試)證書�����,即可進入對應系統的證書下載中心。注意區分E-01 系統和對外測
試系統�����。下面以E-01 系統為例�。
點擊Web 站點管理員后,看到如下界面即可分別下載rca�����、pca 和oca 證書的編碼:
4.2.1 RCA
下載根證書(RCA 證書)�����,選擇"為你的Web 服務器下載一張根CA 證書"���。
根據需要復制相應的編碼內容�����。這主要是指是否復制"BEGIN CERTIFICATE"和 "END
CERTIFICATE"這兩行,這與WebServer 產品本身相關�����。將編碼內容復制到寫字板上�,可以存成cer
后綴的文件�����,或者其它WebServer 需要的文件類型�����。
4.2.2 PCA 和OCA
下載二、三層證書(二層證書即PCA 證書���,三層證書即OCA 證書),選擇"為你的Web 服務器下載第
二�����、三層CA 證書"�。
根據需要復制相應的編碼內容。
WebServer 證書安裝配置常見問題
1).在Win2000 下iis5 中的密鑰管理器在什么地方�?我如何把證書導成*.key 的文件�����?我現在只能給
導成*.pfx 的文件。
原因:Win2000 下iis5 沒有密鑰管理器���,因此不能導出*.key 文件
解決辦法:首先使用NT 的IIS 的密鑰管理器來生成一個pkcs10 證書請求,證書名使用主機名或IP
地址,通用名使用參考號,單位匹配證書的o=選項�����,部門匹配證書的ou=選項。用NT 的IIS 生成的
pkcs#10 證書請求去申請證書���,然后在NT 的IIS 上安裝�,將生成的密鑰導出,到win2000 上將證書
導入。
2).下載Web-Server 證書時關于申請域一欄如何填寫�����?
解答:在Web-Server 上生成一個請求���,不同的Web-Server 有不同的請求方式�,通常情況下可在"生成
證書申請請求"的菜單中獲得。如果Web-Server 的種類比較特殊的話�����,還需查看該Web-Server 的有關
文檔�。生成以后可將該請求拷貝到申請域一欄里即可提交。
3).下載Web-Server 證書時報錯:-2731�����,非法請求數據���?或者報:-3262,加密解密錯誤�����?
原因: 引起上訴錯誤的的原因是請求生成錯誤�����,有兩個可能:
a、在web servers 上生成證書請求時或者common name(即通用名)一項沒有填寫參考號;
b���、或者"組織單位名稱"(OU)和"組織名稱"(O)時,輸入帶空格的字符。
解決辦法:按照正確的內容生成證書請求���。
4).如何在Apache 上下載Web-server 證書���?
解答:登錄cfca 網站下載Web-server 證書(E-01 系統/ET-01 系統)及Apache 用戶的證書鏈(E-01 系
統/ET-01 系統)�。
5).weblogic 用戶使用產生的web 服務器證書請求時報錯,(具體錯誤信息沒有全部得到,因此不能
列舉,錯誤信息可能是提示時區有問題)
原因:weblogic 填寫證書請求信息時���,沒有common name 項,而CA 服務器需要檢查common name
的內容是用戶的參考號。
解決辦法:在CA 服務器的entmgr.ini 中的policy 項���,添加DisablePrivateKeyProof=1,將不檢查web
服務器證書請求中common name 是否等于參考號���。
6).使用JDK4.1 中的keytool 安裝WebServer 證書,正常下載證書�����,但是在使用keytool 導入證書的
時候報錯:keytool error: java.lang.Exception:Failed to establish chain from reply
原因:用戶使用linux 系統�����,安裝了多個jdk�,但是系統環境變量中的jdk 路徑�����,與產生證書請求的jdk
路徑不相同�����。
解決辦法:修改環境變量的設置,或者使用絕對路徑執行keytool�。
Web Server 證書的使用
安裝了WebServer 證書的Web Server 可以申請安全通道(SSL)�����。根據Web Server 進行相關的
配置后,即可與用戶瀏覽器建立安全連接�。支持SSL 2.0 的Web Server 證書在與用戶瀏覽器建立連
接時���,不需要用戶端的瀏覽器證書���,服務器的SSL 證書用于向用戶表明服務器身份和建立安全連接通
道�。支持SSL 3.0 的Web Server 證書在與用戶瀏覽器建立連接時���,除服務器自身擁有SSL 證書外�����,
還要求瀏覽器客戶端擁有用戶證書�����,建立通信時Web Server 和瀏覽器交換證書,驗證對方身份后建
立安全連接通道�,保證網上信息傳遞的安全�����。
用戶登錄https://開頭的網站后,可以在下面偏右的位置看到鎖形圖標���,雙擊它可以查看
WebServer 證書。
如果用戶登錄的https://網站要求驗證用戶證書�,將會彈出"客戶身份驗證"對話框羅列可以登
錄該網站的用戶瀏覽器里的全部證書�。
用戶只有選擇正確的證書才能登錄�,否則應用服務器會返回相應的錯誤提示。
配置服務器開啟SSL 服務
下面以IIS 為例介紹如何開啟SSL 服務:
在IIS 上查看已經安裝了WebServer 證書的站點的屬性的"目錄安全性"�����,將看到"安全通信" 部
分的"查看證書"和"編輯"按鈕已經可用�。點擊"編輯"按鈕�����,彈出"安全通信"對話框�。勾中上面的"申
請安全通道(SSL)"并應用后���,就必須通過https://訪問該站點了���。在"安全通信"對話框還可以配
置是否要求客戶端有證書�����。
接受客戶證書 --用戶可以使用客戶證書訪問資源�����,但證書并不必需。
申請客戶證書 --服務器在將用戶與資源連接之前要請求客戶證書。將拒絕沒有有效客戶證書的用戶
的訪問�����。
忽略客戶證書 --無論用戶是否擁有證書�,都將被授予訪問權限。
WebServer 證書使用常見問題
證書下載成功后�,無法正常使用���。
原因:沒有安裝證書鏈�����。
解決辦法:從CFCA 網站下載相應系統的證書鏈到本地進行安裝�����。注意Win2000 上IIS 的證書鏈安裝
需要通過證書管理單元完成�����。具體操作參見第一章的6.3���。
第三章�、Web Server 證書的更新
WebServer 證書有自己的生命周期���,請在過期日到來之前進行更新工作���,否則將會在用戶登錄此
Web Server 的時候得到WebServer 證書已經過期的安全警報���。
1�、WEBSERVER 證書更新的流程
2、WEBSERVER 證書更新的常見問題
WebServer 證書更新的流程
通常來講,WebServer 證書的更新需要首先刪除舊證書,之后需要完成如下WebServer 證書的申
請更新操作流程(與申請下載相似):
1�����、需要更新證書的 Web Server 管理員登錄CFCA 網站�,選擇證書申請
( http://www.cfca.com.cn/down/shenqing.htm ),下載生產或者ET-01 系統的WebServer 證書
申請表并填寫�。請在 "備注"寫明WebServer 證書的DN�����,以便確定對哪個證書進行更新。如果下載
E-01 系統的證書,填寫好的表格交給CFCA 市場部;如果下載ET-01 系統的證書,填寫好的表格Email
給 abc@cfca.com.cn 郵箱即可�。相關的CFCA 人員將返回參考號和授權碼給申請人���。
2、得到參考號和授權碼后���,申請人在相應的 Web Server 運行證書申請數據包生成程序,生成證書
請求包(通常為pkcs10 的請求)�����。
3�����、申請人得到證書請求后登錄 CFCA 證書下載中心�����,輸入參考號、授權碼以及證書申請后�,可以
獲得證書�����。
請注意區分 E-01 系統和ET-01 系統,只有在對應的系統進行下載才能夠成功�。
4���、 Web Server 管理員在相應的Web Server 運行證書裝載程序�,就可以將申請成功的證書裝載到Web
Server 中了���。
WebServer 證書更新的常見問題
由于更新流程與下載流程基本一樣���,所以像下載流程一樣�,更新時依然需要注意如下問題:
1、 正確的證書請求�����,特別注意公用名稱填寫參考號�;
2���、 正確的參考號和授權碼�,兩碼本身要匹配,也要注意區分在CFCA 網站相應E-01 系統和ET-01
系統的證書下載中心進行下載�。
此外�����,還有如下常見問題:
1).更新Win2000 上的IIS5.0 的WebServer 證書在下載過程中報錯3236(解碼錯誤)。
原因:用戶直接在IIS5.0 上選擇了更新證書。
解決辦法:刪除現有證書后,像新申請證書一樣再重新生成證書請求�����。具體操作參見第一章的5。注
意公用名稱填寫為更新證書獲得的參考號�����。
附錄: SSL(Server Socket Layer)簡介
在網絡上信息在源-宿的傳遞過程中會經過其它的計算機�����。一般情況下�����,中間的計算機不會監聽
路過的信息。但在使用網上銀行或者進行信用卡交易的時候有可能被監視���,從而導致個人隱私的泄露。
由于Internet 和Intranet 體系結構的原因�,總有某些人能夠讀取并替換用戶發出的信息�����。隨著網上
支付的不斷發展���,人們對信息安全的要求越來越高�����。因此Netscape 公司提出了SSL 協議�,旨在達到
在開放網絡(Internet)上安全保密地傳輸信息的目的���,這種協議在WEB 上獲得了廣泛的應用�����。 之后
IETF(www.ietf.org)對SSL 作了標準化�����,即RFC2246,并將其稱為TLS(Transport Layer Security)���,
從技術上講,TLS1.0 與SSL3.0 的差別非常微小���。
SSL 工作原理
SSL 協議使用不對稱加密技術實現會話雙方之間信息的安全傳遞。可以實現信息傳遞的保密性�����、
完整性�����,并且會話雙方能鑒別對方身份。不同于常用的http 協議���,我們在與網站建立SSL 安全連接
時使用https 協議,即采用https://ip:port/的方式來訪問���。
當我們與一個網站建立https 連接時,我們的瀏覽器與Web Server 之間要經過一個握手的過程來完
成身份鑒定與密鑰交換���,從而建立安全連接。具體過程如下:
1. 用戶瀏覽器將其SSL 版本號�、加密設置參數�、與session 有關的數據以及其它一些必要信息發送
到服務器�����。
2. 服務器將其SSL 版本號���、加密設置參數���、與session 有關的數據以及其它一些必要信息發送給瀏
覽器�,同時發給瀏覽器的還有服務器的證書。如果配置服務器的SSL 需要驗證用戶身份,還要發出請
求要求瀏覽器提供用戶證書。
3. 客戶端檢查服務器證書�,如果檢查失敗�,提示不能建立SSL 連接�����。如果成功���,那么繼續���。
4. 客戶端瀏覽器為本次會話生成pre-master secret���,并將其用服務器公鑰加密后發送給服務器。
5. 如果服務器要求鑒別客戶身份�,客戶端還要再對另外一些數據簽名后并將其與客戶端證書一起發
送給服務器���。
6. 如果服務器要求鑒別客戶身份�,則檢查簽署客戶證書的CA 是否可信�。如果不在信任列表中,結束
本次會話。如果檢查通過,服務器用自己的私鑰解密收到的pre-master secret�,并用它通過某些算
法生成本次會話的master secret���。
7. 客戶端與服務器均使用此master secret 生成本次會話的會話密鑰(對稱密鑰)���。在雙方SSL 握手
結束后傳遞任何消息均使用此會話密鑰���。這樣做的主要原因是對稱加密比非對稱加密的運算量低一個
數量級以上���,能夠顯著提高雙方會話時的運算速度�����。
8. 客戶端通知服務器此后發送的消息都使用這個會話密鑰進行加密。并通知服務器客戶端已經完成
本次SSL 握手���。
9. 服務器通知客戶端此后發送的消息都使用這個會話密鑰進行加密。并通知客戶端服務器已經完成
本次SSL 握手���。
本次握手過程結束,會話已經建立�。雙方使用同一個會話密鑰分別對發送以及接受的信息進行加�����、解
密。