由于現在安全問題日益嚴重,為了保證資料傳輸的機密性,交易者雙方身份的确定性等問題,我們需要采用一種安全機制來實作這些功能,在這裡我們來探讨以下PKI體系中的“證書”,也就是如何來建構一個CA的環境來保證安全性。
CA(證書頒發機構)主要負責證書的頒發、管理以及歸檔和吊銷,我們可以把證書認為是我們開車需要使用的駕駛執照。證書内包含了擁有證書者的姓名、位址、電子郵件帳戶、公鑰、證書有效期、發放證書的CA、CA的數字簽名等資訊。證書主要有三大功能:加密、簽名、身份驗證。這裡不在具體闡述加密相關知識,這裡主要讨論如何來實作CA的環境。
CA的架構是一種層次結構的部署模式,分為“根CA”和“從屬CA”:“根CA”位于此架構中的最上層,一般它是被用來發放證書給其他的CA(從屬CA)。在windows系統中,我們可以建構4種CA:企業根CA和企業從屬CA(這兩種CA隻能在域環境中);獨立根CA和獨立從屬CA。
安裝CA:通過控制台--添加删除程式--添加删除windows元件--證書服務,在安裝過程中選擇安裝的CA類型,再這裡我們選擇獨立根CA,輸入CA名稱以及設定有效期限,完成向導即可。(在這裡注意:安裝證書服務前先安裝IIS) 申請證書:CA服務裝好以後就可以直接申請證書了,申請證書有兩種方法:通過MMC控制台(此方法隻适用于企業根CA和企業從屬CA)和通過WEB浏覽器。在這裡我們隻能選擇WEB浏覽器的方式,找到一台用戶端計算機,在IE浏覽器中輸入http://ca伺服器的IP位址或者計算機名/certsrv即可。然後選擇申請新證書,選擇證書的類型,輸入正确的資訊,即可獲得證書。
使用證書:我們可以自己架設一個最簡單的POP3伺服器,來實作郵件服務。現在假設lily要向lucy發送一封加密和簽名電子郵件,在lily這邊的outlook中選擇工具--帳戶--郵件,選擇lily的帳戶,再單擊屬性--安全,選擇證書就可以了。在lucy處做同樣的操作。
![Ubunto 安裝Apache2以後 httpd.conf檔案找不到問題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)