利用Windows 2000保障电子商务的安全

　　对企业来说，建立自己的网络销售体系，实现真正意义上的电子商务是件很有吸引力的事情。然而，网络上的种种不安全性又使众多企业望而却步。如何在网上方便地营造一个安全的环境呢？Windows 2000为企业加强电子商务的安全性提供了有效工具，限于篇幅的关系，我们主要探讨一下其中能够提供CA认证的证书管理服务。 　　什么是密钥和电子证书？ 　　---- 在电子商务过程中，网络上往往要传输机密的或隐私的信息。在Internet环境中交易双方不是面对面的，如何保证信息传输中的安全性，又如何在这种环境下建立一种信任关系呢？网上传输的关键信息应进行加密，可以利用密钥体系和CA认证来相互确认并传输加密信息。现在，这种方式在电子商务中正越来越多地被采用。我们首先来了解一下密钥和电子证书的概念。 　　---- 在Windows 2000中，系统主要采取2种验证协议，即Kerberos和公用密钥体制(PKI)。Kerberos是对称密钥，即双方的密钥是相同的。公用密钥是非对称密钥，即双方的密钥是不同的。显然，不同的密钥是更安全的。在Internet 环境中我们采用公用密钥体制，即每个密钥拥有者都拥有2个密钥: 公钥和私钥。公钥用来加密和验证签名，私钥用来解密和进行数字签名。具体地说，公钥是公开的，用来给别人在向自己传输信息时进行加密。私钥自己留着，只有用这把私钥才能解开传输过来的用公钥加密的信息。既然如此，如何获得公钥并确认公钥拥有者的身份呢？我们可以建立一个认证中心（CA），大家都信任它，由它来颁发含有公钥及其拥有者身份信息和数字签名的电子证书。任何信任认证中心的一方，都可以通过验证对方的电子证书来建立同对方的信任关系，并获取对方的公钥进行加密通信。如此看来，建立认证中心是所有环节中最重要的。Windows 2000 Server提供了一整套颁发证书和管理证书的功能。通过此类功能，企业就可以为相关用户颁发证书，并利用它来控制只有获取证书的用户才可以进行基于安全通道协议（简称SSL，即对Web网站上加密文件的访问使用“https://”，而非“http://”方式）验证的访问。 　　如何建立认证中心？ 　　---- 建立认证中心的过程是这样的: 选择“控制面板”*“添加/删除程序”*“添加/删除Windows 组件”，在可选项中选择“证书服务”，点击“详细信息”，确保“证书服务Web注册支持”和“证书服务颁发机构（CA）”2个选项都被选中(如图1所示)，开始安装。此时，系统会提示您一旦选择了证书服务，计算机的域和机器名是不可更改的。安装开始，选择证书颁发的类型，主要包括企业根CA、企业从属CA、独立根CA和独立从属CA。由于证书颁发机构的设置是很重要的，这里需要特殊说明，企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要Active Directory 支持，而独立根CA不需要。从属级的CA由于只能从另一证书颁发机构获取证书，所以一般不被选择。在Windows 2000 Server中，企业根CA使用 Active Directory 来确定申请人的身份，确定申请人是否具有申请他们所指定的证书类型的安全权限，并由此自动确定是否立即颁发证书或拒绝申请，这种策略设置不能被更改。如果选择此选项一定注意保护含有此服务的服务器，不能直接暴露在外。独立根CA可以选择在收到申请时自动颁发证书或将申请保持为搁置状态，由管理员验证证书申请者的真实性及合法性，决定是否颁发证书。我们可以根据需求选择合适的证书颁发类型。选好类型后，选择该页中的“高级”选项，进入下一步安装，填写CA的相关信息，如CA名称、单位、城市、电子邮件和有效期限等，再下一步进入高级选项页(如图2所示)，此时可以选择用来生成密钥对的加密服务提供程序（CSP）、散列算和密钥长度，并可选择现有的密钥及相关证书等。选项的选择取决于对安全程度的要求、计算机的复杂运算能力、对响应时间的要求和系统管理证书的负载程度等。点击“下一步”按钮，选择证书数据库及日志的位置，确认后即可进行安装。 　　　 　　图1 证书服务对话框　　　 　　图2 证书类型对话框　　设置证书服务管理 　　---- 安装结束后，进行证书服务管理。如果选择的是企业根CA，您可以选择“管理工具”*“证书颁发机构”*“策略设置”(如图3所示)，添加您所需的证书模板，如经过验证的会话、代码签名和注册代理等。选择“管理工具”*“Active Directory站点和服务”选项，点击菜单中“查看”*“显示服务节点”，拓展“Services”选项，查看“Publics key services”容器，可看到“Certificate Templates”（证书模板）选项(如图4所示)，您可以指定某一模板为您指定的用户专用，也可以控制某一模板的用户和其安全控制权限。在“管理工具”*“域安全策略”选项中，选择“公钥策略”*“自动证书申请设置”进行设置，可以选择“计算机可以自动申请的证书类型”等使您的证书管理自动化。对于独立根CA，需要进行的设置较少。您可以选择“在收到证书申请时确定证书颁发机构”的默认动作，设置方法是：打开“证书颁发机构”，点击CA名称，选择“属性”*“策略模块”*“配置”，选择“证书申请设为待定，系统管理员必须专门颁发证书”，这样管理者可以直接控制证书的发放。对于相关的申请，在“证书颁发机构”*“待定申请”中选择相应的申请证书，可以选择“颁发”或“拒绝”选项。另外，无论企业根CA还是独立根CA都可以在“已颁发证书”选项中选择相应证书，单击右键进行“吊销证书”的操作。 　　　 　　图3 证书服务管理对话框　　　 　　图4 证书模板对话框　　证书服务的应用分析 　　---- 下面讲一下证书服务的一项应用：实现对IIS相关目录的安全访问。选择“管理工具”*“Internet信息服务”*“默认Web站点”，单击右键“属性”，选择“目录安全性”选项(如图5所示)。在“安全通信”下首先申请“服务器证书”。申请成功后，对IIS相关目录单击右键“属性”，选择“目录安全性”，在“匿名访问和验证控制”中选择“匿名访问”，然后在“安全通信”中选择“编辑”进入图6界面，在选择框中选“申请安全通道（SSL）”选项，再选择“接收客户证书”选项。客户端的用户通过证书服务Web登记页申请证书，为确保安全，也可在非CA服务器上安装Web登记页链接到CA服务器上。安装时在“证书服务”的安装选项（如图1所示）中取消“证书服务颁发(CA)”的复选框，确保选中“证书服务Web注册支持”复选框，在“计算机名称”选项中，键入安装证书颁发机构(CA)的计算机名称，然后进行安装。申请证书时在客户端用IE浏览器登录相关IIS主页下的Certsrv目录进行证书申请(如图7所示)。一般在用户申请中有Web浏览器证书和电子邮件保护证书2种，应先申请浏览器证书。申请递出后，将返回安装证书页面或拒绝的页面。如果在证书管理的策略模块中设置的是申请待定，则返回申请已被挂起的页面。在得到申请批准的消息后重新登录Certsrv目录，选择“检索CA证书目录或CA吊销列表”选项进行下一步，点击“安装此CA证书路径”选项进行证书的安装(如图8所示)。在证书安装成功后，在IE浏览器中选择“工具”＊“lnternet选项”，在“高级”选项中加上PCT、SSL、TLS协议支持的选项。此时用浏览器浏览IIS下相应的目录，以https方式访问则出现所需证书的提示画面（没有证书则不能访问），选择您已申请的证书，若一切正确，则登录成功。 　　　 　　图5 目录安全性选项对话框　　　 　　图6 安全通信编辑对话框　　　 　　图7 认证申请对话框　　 　　图8 证书安装对话框