由於現在安全問題日益嚴重,為了保證數據傳輸的機密性,交易者雙方身份的確定性等問題,我們需要采用一種安全機制來實現這些功能,在這裡我們來探討以下PKI體系中的“證書”,也就是如何來構建一個CA的環境來保證安全性。
CA(證書頒發機構)主要負責證書的頒發、管理以及歸檔和吊銷,我們可以把證書認為是我們開車需要使用的駕駛執照。證書內包含了擁有證書者的姓名、地址、電子郵件帳號、公鑰、證書有效期、發放證書的CA、CA的數字簽名等信息。證書主要有三大功能:加密、簽名、身份驗證。這裡不在具體闡述加密相關知識,這裡主要討論如何來實現CA的環境。
CA的架構是一種層次結構的部署模式,分為“根CA”和“從屬CA”:“根CA”位於此架構中的最上層,一般它是被用來發放證書給其他的CA(從屬CA)。在windows系統中,我們可以構建4種CA:企業根CA和企業從屬CA(這兩種CA只能在域環境中);獨立根CA和獨立從屬CA。
安裝CA:通過控制面板--添加刪除程序--添加刪除windows組件--證書服務,在安裝過程中選擇安裝的CA類型,再這裡我們選擇獨立根CA,輸入CA名稱以及設置有效期限,完成向導即可。(在這裡注意:安裝證書服務前先安裝IIS) 申請證書:CA服務裝好以後就可以直接申請證書了,申請證書有兩種方法:通過MMC控制台(此方法只適用於企業根CA和企業從屬CA)和通過WEB浏覽器。在這裡我們只能選擇WEB浏覽器的方式,找到一台客戶端計算機,在IE浏覽器中輸入http://ca服務器的IP地址或者計算機名/certsrv即可。然後選擇申請新證書,選擇證書的類型,輸入正確的信息,即可獲得證書。
使用證書:我們可以自己架設一個最簡單的POP3服務器,來實現郵件服務。現在假設lily要向lucy發送一封加密和簽名電子郵件,在lily這邊的outlook中選擇工具--帳戶--郵件,選擇lily的帳戶,再單擊屬性--安全,選擇證書就可以了。在lucy處做同樣的操作。