CA 证书与K3 WEB系统应用

金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第1页共24页CA证书与K/3WEB系统应用本文档适用于K/3所有版本本文档介绍了SSL安全机制及CA证书相关内容，并具体阐述了通过HTTPS访问K/3WEB系统的配置方法。学习完本文档以后，可以掌握配置HTTPS访问K3的WEB系统以及配置CA证书的方法。2011年10月31日V1.0编写人：崔志佳2011年10月31日V2.0修改人：周素帆本文件使用须知著作权人保留本文件的内容的解释权，并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明，您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定，您使用本文件的授权将自动终止，同时您应立即销毁任何已下载或打印好的本文件内容。著作权人对本文件内容可用性不附加任何形式的保证，也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、技术、方案和配置等仅供您参考，且它们可能会随时变更，恕不另行通知。本文件中的内容也可能已经过期，著作权人不承诺更新它们。如需得到最新的技术信息和服务，您可向当地的金蝶业务联系人和合作伙伴进行咨询。著作权声明著作权所有2011金蝶软件（中国）有限公司。所有权利均予保留。本期概述版本信息版权信息金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第2页共24页目录1.CA证书与K/3WEB系统.......................................................31.1功能概述................................................................................................................................31.2建立SSL安全机制..............................................................................................................31.3CA证书概述...........................................................................................................................42.证书服务安装方法...........................................................42.1Windows2000及Windows2003系统上的安装方法............................................................42.2Windows2008系统上的安装方法..........................................................................................53.证书申请..................................................................73.1Windows2000及Windows2003系统上的申请方法............................................................72.2.1Windows2008系统上的申请方法..............................................................................20金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第3页共24页1.CA证书与K/3WEB系统1.1功能概述由于Windows系统的易维护性及广泛应用，很多软件应用IIS来做WEB服务器使用。金蝶K/3产品的WEB系统架构中就使用了IIS环境，从K/3V12.0版本开始可支持Windows2000Server、Windows2003Server及Windows2008Server操作系统。但是如果IIS配置不当，不可避免的会产生系统漏洞及威胁，而且可以预见，未来IIS还会被发现很多新的漏洞和安全问题，但只要我们做好合理的安全配置，还是可以避免很多安全隐患的。本文并没有系统的去讲如何全面安全的配置IIS，重点介绍如何利用SSL加密HTTP通道来加强IIS安全，为特别要求在K/3WEB系统例如HR、CRM等系统应用加强安全，提供具体的操作方法。1.2建立SSL安全机制IIS的身份认证除了匿名访问、基本验证和WindowsNT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（SecuritySocketLayer）安全机制使用数字证书（CA证书）。SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器就建立了一个唯一的安全通道。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https://，而不是http://。简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大，对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动，对于使用交换机来组网的网络来说虽然安全威胁性要小很多，但很多时候还是会有安全突破口，比如没有更改交换机的默认用户和口令，被人上去把自己的网络接口设置为侦听口，依然可以监视整个网络的所有活动。当然全面加密整个网络传输隧道的确是个很好的安全措施，例如使用VPN(l2TP协议)就要求使用证书。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第4页共24页1.3CA证书概述数字证书与公钥密码体制紧密相关。在公钥密码体制中，每个实体都有一对互相匹配的密钥：公开密钥（PublicKey公钥）和私有密钥（PrivateKey私钥）。公开密钥为一组用户所共享，用于加密或验证签名，私有密钥仅为证书拥有者本人所知，用于解密或签名。当发送一份秘密文件时，发送方使用接收方的公钥对该文件加密，而接收方则使用自己的私钥解密，因为接收方的私钥仅为本人所有，其他人无法解密该文件，所以能保证文件安全到达目的地。一份经过签名的文件如有改动，就会导致数字签名的验证过程失败，这样就保证了文件的完整性。因此以数字证书为核心的加密传输、数字签名、数字信封等安全技术，使得在Internet上可以实现数据的真实性、完整性、保密性及交易的不可抵赖性。2.证书服务安装方法2.1Windows2000及Windows2003系统上的安装方法首先管理员权限的用户需要在控制面板里的添加/删除程序功能中，打开添加/删除WINDOWS组件向导，安装证书服务，安装操作系统时默认未安装此服务，所以安装过程中需要操作系统的安装光盘，安装过程如下所示：第一步：依次打开【控制面板】→【添加/删除程序】，单击左侧的【添加/删除Windows组件】，弹出如下图-1所示向导窗口，在列表中单击选择【证书服务】：图-1添加/删除Windows组件-证书服务第二步：安装证书服务时，选择证书颁发机构类型为【独立根CA(S)】，如下图-2所示：金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第5页共24页图-2选择证书颁发机构类型第三步：然后给自己的CA起一个名字，单击下一步即可完成安装。2.2Windows2008系统上的安装方法首先管理员权限的用户需要在控制面板里的服务器管理器功能中，添加角色，选择“ActiveDirectory证书服务”进行安装，安装过程中需要操作系统的安装光盘，安装过程如下所示：第一步：依次打开【控制面板】→【管理工具】→【服务器管理器】，右键单击左侧的【角色】，然后单击【添加角色】，弹出向导，单击【下一步】，如下图-3所示向导窗口，在列表中单击选择【ActiveDirectory证书服务】：金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第6页共24页图-3安装服务器角色－ActiveDirectory证书服务第二步：在“选择服务角色”窗口选择【证书颁发机构】和【证书颁发机构注册Web服务】，添加必须的角色服务，单击【下一步】，然后“指定安装类型”中选择【企业】，如下图-4所示，单击【下一步】：图-4安装证书类型-企业第三步：在“指定CA类型”窗口选择【根CA】，单击【下一步】，然后“设置私钥”中选择【新建私钥】，如下图-5所示，单击【下一步】，直到完成证书服务安装：金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第7页共24页图-5安装证书设置私钥3.证书申请3.1Windows2000及Windows2003系统上的申请方法打开IIS管理器，使用IIS管理申请CA数字证书；启动INTERNET管理器选择需要配置的WEB站点，其操作步骤如下；1、打开“Internet信息服务”→打开“DefaultWebSite”属性→站点标识：例如→目录安全性：金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第8页共24页图-6IIS目录安全性2、鼠标点击服务器证书（S）后出现整数申请向导。图-7IIS服务器证书3、由于是第一次配置，选择创建一个新证书→下一步，用默认的站点名称和加密位长设置就可以了。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第9页共24页图-8IIS服务器证书－命名和安全设置4、在后续的向导输入相应的名称即可。图-9IIS服务器证书－组织信息金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第10页共24页图-10IIS服务器证书－站点公用名称图-11IIS服务器证书－地理信息设置金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第11页共24页图-12IIS服务器证书－请求文件名称图-13IIS服务器证书－请求文件摘要5、完成上面的设置后，就可以刚刚生成的服务器证书提交给证书服务器。在默认情况下证书服务器完成安装后会在本地的IIS里的WEB服务器里面生成几个虚拟的目录。打开(证书服务器）。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第12页共24页图-14certsrv站点中申请证书6、选择“高级申请”证书。图-15选择高级申请7、在高级申请中选择“使用base64编码的***”。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第13页共24页图-16选择使用base64编辑8、选择使用base64的编码方式来提交我们的证书申请。图-17提交保存的申请9、在证书申请的地方把第4步我们刚刚生成的certreq.txt的内容拷贝进来。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第14页共24页图-18证书提交成功10、提交成功以后，会返回一个页面给我们告诉我们证书已经成功提交了，现在是挂起状态就是等待CA中心来颁发这个证书了。11、接下来启动管理工