CA证书和客户端系统安装及使用手册
+
CA认证和网上办事大厅客户端系统安装及使用手册
宁波市鄞州地方税务局
https://www.360docs.net/doc/1711581045.html,
2012
目录
1、内容简介
2、办理流程
3、客户端系统—软件下载
4、客户端系统—软件安装
5、CA证书—软件安装
6、CA证书—登录使用
7、CA证书—常见问题
8、客户端操作手册
9、客户端常见问题
10、技术服务
附件资料一: 日常维护与服务说明
附件资料二:关于在全市使用网上办税的纳税人中推广电子签名身份认证技术的通知(甬地税征(2010)218号)
附件资料三:CA证书办理须知
(一) 内容简介
CA数字证书简介
政府机构或企业开发的业务系统大多是基于互联网的,需要通过广泛的、开放的互联网进行数据传输。因此,不可避免地存在着由于互联网的广泛性、开放性所带来的安全隐患,例如:用户身份认证、信息的机密性、信息的完整性、信息的不可抵赖性等。
宁波财税开发的网上办事大厅(客户端)、网上征管、个税全员申报、机打发票等互联网应用系统,涉及企业财务数据和国家财政收入等机密信息,因此,需要确保互联网数据传输的安全。根据业界实践经验,使用CA 数字证书是解决该问题的最佳选择。
使用CA证书将确保用户身份合法性和互联网数据安全
根据国家电子签名法,CA电子签名可替代手写签名或盖章
企业可以不再向财税局报送纸质报表(注:以局方通知为准)
宁波财税网上办事大厅(客户端)简介
网上办事大厅(客户端)是市财税局推出的集纳税申报、财务报表、
个税全员申报、所得税年报、机打发票等各种财税业务于一体的“一窗式”
服务终端,是所有企业涉税信息的统一出入口。“客户端”解决了企业电
脑上浏览器版本众多带来的操作使用问题、大数据量在线填写导致的网络
超时问题、以及企业端涉税软件统一管理和统一服务的问题,为广大纳税
企业提供一体化、方便、安全的办税服务。
客户端实现了所有涉税软件的整合,提供“一窗式”服务
有效避免了互联网浏览器版本不兼容问题,申报过程更稳定
不存在网络链接超时问题,支持长时间操作,以及大数据量填报
所有功能均支持CA数字证书,确保身份真实和数据传输安全
随着纸质报表的取消,真正实现“足不出户”享受办税服务
(二)办理流程
学习参加税局组织的集中培训或自学,学习CA证书及客户端操作要点客户端软件服务商常年提供免费培训,具体参见服务商网站:
https://www.360docs.net/doc/1711581045.html,/art/2011/6/2/art_1442_40000.html
初次安装
已经获取安装文件的企业,按税局通知要求自行完成软件安装
软件安装步骤(含CA 驱动)的具体说明参见“安装过程说明” 培训现场未领取安装文件的企业,可到财税局网站自行下载: 下载地址:https://https://www.360docs.net/doc/1711581045.html,/aWeb/spindex.do
CA 验证登录
已经完成客户端安装的企业,在领取CA 证书“天威盾”后,应在正式启用前验证CA 证书能够正常登录网上办事大厅(客户端),具体
操作步骤参见“CA 验证登录步骤说明”。
验证CA 证书安装正常、可用
验证网上办事大厅(客户端)安装正常、可用
正式启用
请务必按税局通知的正式启用时间使用CA 证书和客户端 使用客户端报税的企业,请注意不要再使用其它软件重复报税
(三) 客户端系统—软件下载
注:在宁波市鄞州地方税务局(https://www.360docs.net/doc/1711581045.html,)的“CA 专栏”(https://www.360docs.net/doc/1711581045.html,/art/2011/6/2/art_1442_40000.html)的“宁波财税网上办事大厅客户端在线学习课件”里提供在线的下载和安装的视频
访问宁波财税局
(https://www.360docs.net/doc/1711581045.html, )网上报税面页
(四) 客户端系统—软件安装
下载成功后,电脑桌面上出现“安装文件”的图标。
点击【保存】开始下载
为方便查找,请将安装文件
保存到电脑桌面
鼠标双击桌面上的安装文件
启动安装……
(五) CA 证书—软件安装
注:在宁波市鄞州地方税务局(https://www.360docs.net/doc/1711581045.html,)的“CA 专栏”(https://www.360docs.net/doc/1711581045.html,/art/2011/6/2/art_1442_40000.html)的“宁波财税网上办事大厅客户端在线学习课件”里提供在线的下载和安装的视频
点击【运行】开始安装
安装过程
大约需要5—10秒钟……
安装成功后,电脑桌面上出现 “宁波财税网上办事大厅(客户端)”的图标
双击该图标,即可运行。
(六) CA 证书—登录使用
在安装CA 前, 要先启动客户端系统 客户端系统的登录界面
点击【CA 管理】菜单
进入CA 管理界面 点击【下载】按钮
下载完成后
系统提示“安装”驱动
点击【安装】按钮
启动安装
安装大约5-10秒钟
提示安装完成
系统自动检测驱动已安装
安装成功后 退出客户端登录界面
(七) CA 证书—常见问题
在在C C A A 驱驱动动程程序序安安装装过过程程中中,,如如果果用用户户电电脑脑上上有有防防病病毒毒软软件件((如如336600、、瑞瑞星星、、卡卡巴巴斯斯基基等等)),,则则C C A A 驱驱动动程程序序的的安安装装可可能能会会遇遇到到拦拦截截监监控控,,如如下下图图::
领取CA 证书USB 介质盘后,插入电脑USB 口 插入电脑 启动客户端系统软件
系统自动带出CA 证书 对应的身份信息
登陆前需要 选择客户端用户类型
点击【登录】按钮
CA 证书进行身份验证 初始口令是:1111 通过身份验证后 可登录系统
如果看到此界面,恭喜您!
CA 证书和客户端软件均可正常使
用啦!
【温馨提醒】
1、USB 介质盘用户口令用于保护存储在USB 介质盘内的数字证书,初始口令为“1111”。为了您的账户安全,请您妥善保管好您的USB 介质盘及口令,不要透露给其他人,强烈建议您在初次使用时就立即将口令修改为安全强度较高的密码。如果连续6次口令输入错误将自动锁定;当您USB 介质盘被锁定后,请联系天威诚信客服进行USB 介质盘解锁。
2、口令修改方法:双击电脑右下角的图标,打开
界面后可以进行[修改口令]。
遇遇到到拦拦截截界界面面时时,,用用户户不不能能直直接接点点击击【【确确定定】】按按钮钮,,应应当当选选择择““允允许许程程序序的的所所有有操操作作””,,以以确确保保C C A A 驱驱动动程程序序能能够够完完整整、、成成功功安安装装,,如如下下图图::
(八)客户端操作手册
纳税申报管理 【安装与升级】
进入登陆宁波财税网上办事大厅(客户端)双击“纳税申报”,系统弹出软件安装的提示,点击立即下载,即可安装。
【一般使用流程】
(1)用户点击“纳税申报表管理”,界面如下;
(2)系统界面显示“纳税申报表管理界面”,管理界面中包括:“申报月份选择框”、“当月已填写未申报表列表”、“当月已经申报的申报表列表”、“当月鉴定应申报和自填的申报表统计”;此处的“申报月份选择框”,选择的是申报月份,而不是“所属时期”,一般来说如果选择了申报月份是11月份,则所属时期将被默认为10月份。
(3)用户选择申报月份(申报月份默认当月),点击“填写”,系统弹出“新建申报表”界面如下;
(4)选中所填写的报表,如“纳税申报表”,点击右下角的“填写”按钮,系统弹出“所属时期”选择框。一般情况下,所属时期选择框中的选项只有一项,无法修改,但对于一些按次申报的报表,是可以选择所属月份的,然后再点击右下角的“填写”
按钮,系统弹出所属时期选择框,用户选择、确认所属时期始止,点击“确定”按钮;
(5)系统展现所要填写报表界面;
(6)填写完成后,点击“保存”按钮,系统成功保存报表,跳转回“纳税申报表管理”界面,并刷新“已填写未申报”列表,界面如下;
(7)如果需要继续填写报表,用户可以点击“新增”按钮(步骤同上);
(8)系统成功保存报表,跳转回“纳税申报表管理”界面,并刷新“已填写未申报”列表中的“填写日期”、“金额”列,界面如下;
(9)用户如要删除所填写的报表,可以点击“已填写未申报”列表中的“删除”列;
(10)系统弹出“是否确定要删除”对话框;
(11)用户点击“是”按钮,系统删除所选报表,并刷新“已填写未申报”列表,界面如下;
(12)用户如要修改所填写的报表,可以点击“已填写未申报”列表中的“修改”列;
(13)用户如要申报所填写的报表,点击“已经申报的申报表报”列表中的“选择框”(可选择多张报表),系统在被点击过的对话框中打上“√”,界面如下;
(14)用户点击“申报”按钮,系统弹出纳税申报表申报确认框;
(15)用户点击“是”按钮,完成申报。系统刷新纳税申报表管理界面,界面如下;
(16)用户可以点击“当月已经申报的申报表列表”中的各行,系统在列表下方显示选中申报表的详细受理情况:受理中、申报成功、申报失败(原因),界面如下;
【温馨提示】
1.在纳税申报表管理界面中,用户能看到的界面里只有“当前申报月份”所申报和填写的报表,其它月份填写、申报情况必须修改“申报月份”进行查看;
2.步骤(3)中,若所有已鉴定报表都已经填写过了,弹出的“新建申报表对话框”中没有报表列表,而是提示“您在某年某月已鉴定未填写申报表都已经填写或申报过了”。用户如果需要新增报表,就选中“列出所有报表”,来进行选择;
3.可以允许同一张报表新增多次,且在申报时会有详细的提示“您本次要申报的表有:××表,所属时期××,金额XX.XX,(列表展示),您确认申报吗?”,如果同一所属时期已经申报过同名的表的,系统会将已经申报的和将要申报两张名称、金额、属期都相同的报表背景色设置成绿色,并且提示“您同一所属时期已经申报了××表,金额为XX.XX,(列表展示)您确认还要申报吗?”;
财务报表管理
【安装与升级】
进入登陆宁波财税网上办事大厅(客户端),双击“财务报表”,会弹出软件安装的提示,点击立即下载,即可安装。
【一般使用流程】
(1)用户点击“财务报表管理”,界面如下;
(2)系统显示财务报表管理界面,管理界面中包括:“申报月份选择框”、“当月已填写的财务报表列表”、“当月已经申报的财务报表列表”、“当月鉴定应申报和自填的财务报表统计”;此处的“申报月份选择框”,选择的是申报月份,而不是“所属时期”,一般来说如果选择了申报月份是11月份,则所属时期将被默认为10月份。
(3)用户选择申报月份(申报月份默认当月),点击“填写”,系统弹出“新建财务报表”界面如下;
(4)选中所要填写的报表,如“利润表”,点击右下角的“填写”按钮,系统弹出所属时期选择框,点击“确定”按钮;
(5)系统展现所要填写报表界面;
(6)填写完成后,点击“保存”按钮,系统成功保存报表,跳转回“财务报表管理”界面,并刷新“已经申报的财务报表”列表,界面如下;
(7)如果需继续填写报表,用户可以点击“新增”按钮(步骤同上);
(8)系统成功保存报表,跳转回“财务报表管理”界面,并刷新“已填写未申报”列表,界面如下;
(9)用户如要删除所填写的报表,可以点击“已填写未申报”列表中的“删除”列;
(10)系统弹出“是否确定要删除”对话框;
(11)用户点击“是”按钮,系统删除所选报表,并刷新“已填写未申报”列表,界面如下;
(12)用户如要修改所填写的报表,可以点击“已填写未申报”列表中的“修改”列;
(13)用户如要申报所填写的报表,点击“已经申报的申报表报”列表中的“选择框”(可选择多张报表),系统在被点击过的对话框中打上“√”,界面如下;
(14)用户点击“申报”按钮,系统弹出财务报表申报确认框;
(15)用户点击“是”按钮,完成申报。系统刷新财务报表管理界面,界面如下;
(16)用户可以点击“当月已经申报的申报表列表”中的各行,系统在列表下方显示选中财务报表的详细受理情况:受理中、申报成功、申报失败(原因),界面如下;
【温馨提示】
1.财务报表可以多次申报,如果一次申报有误,可以重新申报一张,系统已最后一张为准;
2.目前,系统内的财务报表的所属时期都是按月申报的;
3.步骤3中,若所有已鉴定报表都已经填写过了,弹出的“新建申报表对话框”中没有报表列表,而是提示“您在某年某月已鉴定未填写财务报表都已经填写或申报过了”。用户如果需要新增报表,就选中“列出所有报表”,来进行选择;
4.保存后,系统提示“保存成功”本系统保存报表是保存在本地电脑,如要在其他电脑上继续操作该报表,则需使用“导入”“导出”功能,将报表数据导入其他电脑中进行操作。
个税管理
【安装与升级】
进入登陆宁波财税网上办事大厅(客户端)双击“全员申报”,会弹出软件安装的提示,点击立即下载,即可安装。
实验 安装和配置证书服务实验
实验二:安装和配置证书服务实验 实验目的: 1、安装一个独立存在的CA 2、从某个CA请求一个证书 3、发放证书 实验内容: 一、安装和设置证书服务 证书授权服务器是Windows 2000 Server的一个附件,它放在Windows 2000 Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建服务器证书,从而可让你的组织完全控制它自己的证书管理策略 它包含了一个向导来设置安装。要注意的是:你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。 要使用常用的设置选项来安装证书授权服务器附件,你可以使用以下的步骤: 1.将Windows 2000 Server CD-ROM放入光驱,然后选择Install Add-on Components 2.Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会 马上看到一个对话框,提示你一旦安装证书服务,该计算机将不能重命名,也不能 加入或者由一个域中移走。 在选择YES来继续前,你应该考虑一下以下几点: 由于在安装证书服务后,除非你重新安装Windows 2000,否则你将不能修改计算机的名字,因此你需要确保你对当前的名字感到满意,或者在继续前先换一个名字。 在继续前你要确保计算机加入到适当的域中 3.接着,在Windows组件向导中选择证书授权类型,有四种类型: Enterprise root CA Enterprise subordinate CA Stand-alone root CA Stand-alone subordinate CA 4.一个网络上的第一个CA必须是一个root CA。要创建一个Enterprise CA,必须允 许Active Directory。一个Stand-alone CA 并不需要Active Directory。在你的局域网 中可选择Stand-alone CA 来实现证书服务。 证书授权服务不但定义证书服务功能如何在你的服务器上运作,还定义了你将需要如何来管理它。 5.在Windows组件向导中选择CA Identifying Information。输入适当的数据然后继续 安装。 6.在Windows组件向导中选择Data Storage Location。我建议使用默认的位置就可以 了。按Next继续。 7.如果你已经在你的计算机上安装并运行Internet Information Services,按Yes继续。 微软的证书服务将会提示你在继续安装前,必须停止Internet Information Services。 8.Windows组件向导将会设置组件,并且将文件拷贝到你的机器上。你可以通过安装 进度条来监视安装的过程。
服务器证书安装配置指南
服务器证书安装配置指南(Tomcat 6) 一、生成证书请求 1. 安装JDK 安装Tomcat需要JDK支持。如果您还没有JDK的安装,则可以参考Java SE Development Kit (JDK) 下载。下载地址: https://www.360docs.net/doc/1711581045.html,/javase/downloads/index.jsp 2. 生成keystore文件 生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录,运行keytool命令。(示例中粗体部分为可自
定义部分,请根据实际配置情况作相应调整) keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password
备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。 二、导入服务器证书 1. 获取服务器证书中级CA证书 为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA 证书(不同品牌证书,可能只有一张中级证书)。 从邮件中获取中级CA证书: 将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为intermediate1.cer和intermediate2.cer文件。 2. 获取服务器证书 您的keystore密码 将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装 2008-09-24 10:03 安装准备:插入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下: 添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择: Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,
默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’: 填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS 的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP 功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
《网络应用服务管理》形考任务实训配置数字证书服务
实训5:配置数字证书服务 实训环境 1.一台Windows Server 2016 DC,主机名为DC。 2.一台Windows Server 2016服务器并加入域,主机名为Server1。 3.一台Windows 10客户端并加入域,主机名为Win10。 实训操作 假设你是一家公司的网站管理员,需要你完成以下工作: 1.在DC上部署企业根CA。 打开“服务器管理器”,单击“添加角色和功能”,打开“添加角色和功能向导”窗口。 逐步单击“下一步”,在“服务器角色”界面中,勾选“Active Directory 证书服务”复选框,然后单击“下一步”。
在“AD CS角色服务”界面中,勾选“证书颁发机构”和“证书颁发机构Web注册”复选框,然后单击“下一步”。其中“证书颁发机构Web注册”角色,可以实现通过浏览器向CA进行证书申请的网站功能。 4.最后在“确认”界面中,单击“安装”,开始安装证书服务。 完成安装后,单击“配置目标服务器上的Active Directory证书服务”。
在“AD CS配置”向导中的“角色服务”界面,勾选“证书颁发机构”和“证书颁发机构Web注册”。 在“AD CS配置”向导中的“设置类型”界面,选择“企业CA”。
在“AD CS配置”向导中的“CA类型”界面,选择“根CA”。 全部保持默认设置并单击“下一步”,最后单击“配置”按钮,完成证书服务的配置
“证书服务”安装完成后,可以在“服务器管理器”的“工具”菜单中,打开“证书颁发机构”管理工具进行查看。 当域内的用户向企业根CA申请证书时,企业根CA会通过Active Directory 得知用户的相关信息,并自动核准、发放用户所要求的证书。 企业根CA默认的证书种类很多,而且是根据“证书模板”来发放证书的。例如,图中右方的“用户”模板内提供了可以用于将文件加密的证书、保护电子邮件安全的证书与验证客户端身份的证书。
windowsca证书服务器配置——申请数字证书
Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP 不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’:
单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口:
输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下:
Windows server 2008安装企业CA证书服务
Windows server 2008安装企业CA证书服务 CA(证书颁发机构) 为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。证书可以用于多方面,例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。 提示:CA分为两大类,企业CA和独立CA; 企业CA的主要特征如下: 1)企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。 2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域; 3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA; 独立CA主要以下特征: 1.CA安装时不需要AD(活动目录服务)。 2 .情况下,发送到独立CA的所有证书申请都 被设置为挂起状态,需要管理员受到颁发。 这完全出于安全性的考虑,因为证书申请者 的凭证还没有被独立CA验证; 在简单介绍完CA的分类后,我们现在AD (活动目录)环境下安装证书服务; 具体步骤如下: 1.域控制器上,在管理工具—服务器管理器—角色—打开添加角色向导—添加角色;AD安装服务; 2.点击—下一步,在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;
3.在指定安装类型中选择”企业”,单击?下一步?; 4.在“CA类型中选择根CA”,单击下一步;
5.在设置私钥窗口中选择“新建私钥”,单击下一步; 6.在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,单击“下一步”;
Windows_server_2008安装企业CA证书服务
第二周Windows server 2008安装企业CA证书服务 CA(证书颁发机构) 为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。证书可以用于多方面,例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。 提示:CA分为两大类,企业CA和独立CA; 企业CA的主要特征如下: 1)企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。 2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域; 3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA; 独立CA主要以下特征: 1.CA安装时不需要AD(活动目录服务)。 2 .情况下,发送到独立CA的所有证书申请都 被设置为挂起状态,需要管理员受到颁发。 这完全出于安全性的考虑,因为证书申请者 的凭证还没有被独立CA验证; 在简单介绍完CA的分类后,我们现在AD (活动目录)环境下安装证书服务; 具体步骤如下: 1.域控制器上,在管理工具—服务器管理器—角色—打开添加角色向导—添加角色;AD安装服务;
2.点击—下一步,在选择角色服务中选择证书颁发机构和证书颁发机构Web注册; 3.在指定安装类型中选择”企业”,单击?下一步?;
4.在“CA类型中选择根CA”,单击下一步; 5.在设置私钥窗口中选择“新建私钥”,单击下一步;
实验二 安装和配置证书服务
实验二:安装和配置证书服务 一、实验目的 (1)安装/删除证书服务 (2)安装一个独立存在的CA (3)从某个CA申请证书 (4)发放证书 二、实验环境 Windows 2003 三、实验内容 实验A:某公司要求有一个独立存在的根CA。相对于将为某公司发放证书的其他CA来说,这一根CA将位于认证链的顶部。 实验B:添加你的合伙者的CA作为一个信任的根CA。 实验C:请求一个计算机证书。在已经配置好某公司的所有CA之后,必须指定计算机证书,用以加密到各个计算机的所有的IP网络数据流。 实验D:给WORD文档用数字证书签名。 实验E:删除证书服务。 四、实验步骤 实验A 操作步骤: 1.在“控制面板”――“添加、删除windows组件”,在对话框里选择“证书服务”复选框。弹出的对话框如图所示,选择“是”。 2.在“证书颁发机构类型”对话框中,根据本实验目的,选择“独立根CA”,如图示 3.在“CA标识信息”对话框中,输入用户有关信息
4,在“数据储存位置”可以配置数据,数据库和日志的信息,一般情况默认。安装证书需要停止INTERNET信息服务,系统提示用户是否立即停止服务,如图示,点“确定”,以停止INTERNET信息服务 5,完成以上配置过程,系统完成证书服务的安装。 实验B 任务一:请求一个IPSEC证书 1.“开始”――“运行”,输入http://server/certsrv(这里的server是用户根CA的计算机名称,也可以是IP)。选择“检索CA证书或证书吊销列表” 2,单击“安装此CA证书路径”链接,交此证书安装在根路径。完成安装
实验C 任务一:请求一个IPSEC证书 1.“开始”――“运行”,输入http://server/certsrv(这里的server是用户根CA的计算机名称,也可以是IP)。如图所示,选择申请证书 2选择“高级申请” 3选择如图示 4,在“识别信息框中”,输入用户信息,在”I意图”文本框选择自己需要申请的证书,本实验则是选择“IPSEC”证书,在“密钥选项”选项中,选择“使用本地机器保存” 5出现“证书挂起”文本框,证书申请完成. 任务2:颁发证书
服务器证书安装配置指南
服务器证书安装配置指南(Apache for Linux) 作者:天威诚信服务与支持来源:本站原创点击数:更新时间:2010-2-23 一、安装准备 1. 安装Openssl 要使Apache支持SSL,需要首先安装Openssl支持。推荐下载安装openssl-0.9.8k.tar.gz 下载Openssl:https://www.360docs.net/doc/1711581045.html,/source/ tar -zxf openssl-0.9.8k.tar.gz //解压安装包 cd openssl-0.9.8k //进入已经解压的安装包 ./config //配置安装。推荐使用默认配置 make && make install //编译及安装 openssl默认将被安装到/usr/local/ssl 2. 安装Apache ./configure --prefix=/usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/local/ssl --enable-mods-shared=all //配置安装。推荐动态编译模块 make && make install 动态编译Apache模块,便于模块的加载管理。Apache 将被安装到/usr/local/apache 二、生成证书请求文件 1. 创建私钥 在创建证书请求之前,您需要首先生成服务器证书私钥文件。 cd /usr/local/ssl/bin //进入openssl安装目录 openssl genrsa -out server.key 2048 //运行openssl命令,生成2048位长的私钥server.key文件。如果您需要对 server.key 添加保护密码,请使用 -des3 扩展命令。Windows环境下不支持加密格式私钥,Linux环境下使用加密格式私钥时,每次重启Apache都需要您输入该私钥密码(例:openssl genrsa -des3 -out server.key 204 8)。 2. 生成证书请求(CSR)文件 openssl req -new -key server.key -out certreq.csr Country Name: //您所在国家的ISO标准代号,中国为CN State or Province Name: //您单位所在地省/自治区/直辖市 Locality Name: //您单位所在地的市/县/区 Organization Name: //您单位/机构/企业合法的名称 Organizational Unit Name: //部门名称 Common Name: //通用名,例如:https://www.360docs.net/doc/1711581045.html,。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。
测试一 安装IIS、CA证书服务、配置SSL与抓包
测试一安装IIS、CA证书服务、配置SSL与抓包 专业年级:班级:学号:姓名: (第一件事:将此文件改为“12安全245李大可.DOC”的形式) 一、实验目的: (1)掌握Windows环境下网络参数的配置与调试方法; (2)掌握Windows2003 Server环境下IIS的配置与使用方法; (3)掌握Windows2003 Server环境下FTP的配置与使用方法; (4)掌握Windows2003 Server环境下CA系统的配置与使用方法; (5)掌握SnifferPro协议分析抓包软件使用方法; 二、实验设备 逻辑图: 硬件:PC机二台和交换机一台,一台PC既作证书服务器,又作WWW服务器,另一台PC作为WWW客户机 软件:一台服务器安装Windows 2003 Server,一台PC安装WIN XP。 拓朴结构图:
三、任务描述 某大公司要求该公司的原材料供应商通过Internet访问该公司的原材料订单数据库,为了确保数据的安全性,要求对网络数据流进行加密,并对供应商进行合法认证。该公司技术人员决定利用windows2003 sever建立独立的CA中心,对供应商的计算机发放证书,并对订单数据库与供应商计算机之间的IP数据流利用SSL进行加密。 为此目的须先做一项调研,现在你要用分析软件对网络上的数据进行抓取,并找到目标数据包,获得分析样本。 四、实验内容和要求 1、在网络参数正常的WINDOWS系统环境中,设置指定网络参数。 2、安装IIS和FTP服务器并调试完成,其中文件内容须按指定要求。 3、安装独立根CA,用以发放证书;在两台机分别申请用户证书。 4、为供应商的计算机申请证书,对供应商进行合法认证。 5、安装SnifferPro协议分析抓包软件,并调试正常。 6、在访问WEB、FTP服务器期间,抓取指定的index.htm(内容有“24500008888”) 和mylib.log(内容有“My full name is XXXXX”)并截图证明。 ————注意事项:上面亮蓝色字体为你的学号,你的姓名全拼。 7、*为Web服务器申请、安装CA证书,防止网站欺骗,在Web服务器和访问客户之 间加密数据流;(此为可选择内容) 8、*抓好取对应的加密包数据。(此为可选择内容) 五、实验步骤: 同学们截图记录结果,并粘贴文档指定位置,实验报告中一定要是自己的实验结果! 1、实验准备: a)为了保存自己的数据,在桌面创建文件夹,文件夹为自己的班号和学号,如: 2班245。在该文件夹下放本次实验的数据存放在该实验一文件夹下。 b)为了避免各组的IP地址发生冲突,将本组机的IP地址设为192.168.X.1和 192.168.X.22,X为学号。 证书服务器、WEB服务器的IP: 客户机的IP: 下面请放置上文对应的截图:(图1、图2)