第一篇：搭建CA数字证书服务器

http://blog.163.com/bjzhl009@126/blog/static/***0545874/ 搭建CA服务器

202_-04-07 10:54:58| 分类：专业知识 | 标签：it动态 博客 播客

|字号大中小 订阅

在Windows server 202_ Enterprise Edition安装CA证书服务，具体步骤如下：

1、首先将Windows server 202_升级为DC

2、安装IIS服务

a、打开系统的“控制面板”点击“添加或删除程序”

b、点击“添加/删除Windows组件”

c、钩选“应用程序服务器”后点击下面“详细信息”

d、钩选“Internet信息服务”及“启用网络COM+访问”并点击确定

3、安装CA服务

a、同样进入“添加/删除Windows组件”下选择“证书服务”点击“下一步”

4、在DC上运行MMC，添加证书模板的管理单元。

5、选择“证书颁发机构”选择“本地计算机”并点击“添加”

6、同时选择“证书模板”并点击“添加”及“确定”

7、点击“证书模板”找到“计算机”模板，右击选择“复制模板”

8、在“常规”中设置名称，这里为“123”，点击“使用者名称”并钩选“在请求中提供”

9、点击“证书颁发机构”选择“证书模板”点击“新建”点击“要颁发的证书模板”

10、选中“123”并点击“确定”

11、选择“证书颁发机构”点击“停止服务”按钮后，再点击“启动”按钮

12、在“命令提示符”下运行“iisreset”

服务器重新启动后就可以在客户端申请证书。

13、客户端申请证书

打开客户端IE浏览器输入CA服务器的IP地址：htt://11.147.16.199/certsrv（根据实况输入）, 选择“申请一个证书”

15、点击“高级证书申请”

15、点击“高级证书申请”

16、点击“创建并向此CA提交一个申请”

17、选择刚才颁发的“123”证书并填写详细的信息点击“提交”

18、点击“安装此证书”

到此CA服务器已经搭建完毕！！

第二篇：Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

Windows Server 202_上使用IIS搭建WEB服务器、客户端的数字证书应用

（一）一、什么是数字证书及作用？

数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障； 注：数字证书，下面均简称证书；

二、如何搭建证书服务器？

搭建证书服务器步骤如下：

1、登陆Windows Server 202_服务器；

2、打开【服务器管理器】；

（图2）

3、点击【添加角色】，之后点击【下一步】；

（图3）

4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；

（图4）

5、进入证书服务简介界面，点击【下一步】；

（图5）

6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；

（图6）

7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”）

(图7)

8、首次创建，勾选【根CA】，之后点击【下一步】；

（图8）

9、首次创建勾选【新建私钥】，之后点击【下一步】；

（图9）

10、默认，继续点击【下一步】；

（图10）

11、默认，继续点击【下一步】；

（图11）

12、默认，继续点击【下一步】；

（图12）

13、默认，继续点击【下一步】；

（图13）

14、点击【安装】；

（图14）

15、点击【关闭】，证书服务器安装完成；

（图15）

Windows Server 202_上使用IIS如何配置WEB服务器上证书应用（SSL应用）？

此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全；

注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下：

1、打开IIS，WEB服务器，找到【服务器证书】并选中；

（图1）

2、点击【服务器证书】，找到【创建证书申请】项；

（图2）

3、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写； 注：下面的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】；

（图3）

4、默认，点击【下一步】 ；

（图4）

5、选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭；

（图5）

6、接下来，点击IE（浏览器），访问：http://192.168.1.203/certsrv/；注：此处的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；

（图6-1）

此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能；

（图6-2）

在进行后继内容前，相关术语名词解释：

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。至此，我们需要搭建一个HTTPS网站，即搭建WEB服务器的SSL应用；

7、如何搭建HTTPS的网站呢？ 前期回顾：

证书服务已搭建，用于创建SSL的加密服务；使用证书服务器的WEB网站时，提示需要将证书WEB站点配置为HTTPS网站才能正常使用；

我们继续以证书服务器的搭建为示例，完成WEB服务器的SSL应用搭建；

8、接下来，由于搭建HTTPS需要先申请证书，但现在证书服务网站也需要配置为HTTPS才能正常使用，那 么在证书网站还未配置为HTTPS服务前我们如何申请证书？方法如下： 方法：打开IE(浏览器)，找到工具栏，点击【工具栏】，找到它下面的【Internet选项】；

（图8）

9、点击【Internet选项】->点击【安全】->点击【可信站点】；

（图9）

10、点击【可信站点】，并输入之前的证书网站地址：http://192.168.1.203/certsrv，并将其【添加】到信任站点中；添加完后，点击【关闭】，关闭子界面；

（图10）

11、接下来，继续在【可信站点】位置点击【自定义级别】，此时会弹出一个【安全设置】子界面，在安全设置界面中拖动右别的滚动条，找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，将选为【启用】；之后点击所有【确定】操作，直到【Internet选项】子界面关闭为止；

（图11）

12、完成上面操作后，先将IE关闭，然后重新打开，输入：http://192.168.1.203/certsrv；页面出来后点击【申请证书】；

（图12）

13、点击【高级证书申请】

（图13）

14、点击【使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用Base64编码的PKCS#7文件续订证书申请】

(图14）

15、将之前保存的密钥文档文件找到并打开，将里面的文本信息复制并粘贴到“Base-64编码的证书申请”文本框中；确定文本内容无误后，点击【提交】；

（图15-1）

（图15-2）

16、此时可以看到提交信息，申请已经提交给证书服务器，关闭当前IE；

（图16）

17、打开证书服务器处理用户刚才提交的证书申请； 回到Windows【桌面】->点击【开始】->点击【运行】，在运行位置输入：certsrv.msc，然后回车就会打开证书服务功能界面；

打开后，找到【挂起的申请】位置，可以看到之前提交的证书申请；

（图17）

18、点击鼠标右键会出现【所有任务】，点击【所有任务】->点击【颁发】将挂起的证书申请审批通过，此时挂起的证书会从当前界面消失，即代表已完成操作；

（图18）

19、点击【颁发的证书】，可以看到新老已审批通过的证书；其它操作（吊销的证书、失败的申请）在此略掉，大家有空可以自己试用；

（图19）

20、重新打开IE，输入之前的网址：http://192.168.1.203/certsrv/； 打开页面后，可点击【查看挂起的证书申请的状态】；之后会进入“查看挂起的证书申请的状态”页面，点击【保存的申请证书】；

（图20）

21、进入新页面后，勾选Base 64编码，然后点击【下载证书】,将已申请成功的证书保存到指定位置，后续待用；

（图21）

22、打开IIS服务器，点击【服务器证书】->【完成证书申请】->选择刚保存的证书，然后在“好记名称”文本框中输入自定义的名称，完后点击【确定】；

（图22）

23、上述操作完后，可在“服务器证书”界面下看到“JZT_TEST1”证书；

（图23）

24、点击左边的【Default Web Site】菜单，然后找到【绑定】功能，点击【绑定】功能，会弹出【网站绑定】界面，默认会出现一个类型为http，端口为80的主机服务，然后点击【添加】，会弹出【添加网站绑定】界面，在此界面中选择“类型：https”、“SSL证书：JZT_TEST1”，然后点【确定】；点完确定后，会看到【网站绑定】子界面中有刚配的HTTPS服务，点击【关闭】，子界面消失；

(图24)

25、点击左菜单上的【CertSrv】证书服务网站，然后点击【SSL设置】;

（图25）

26、进入SSL设置页面，勾选上“要求ＳＳＬ”即启用SSL功能，然后点击【应用】，保存设置；

（图26）

27、此时一个基于ＳＳＬ应用的WEB服务器站点已配置完成；让我们用ＩＥ试下SSL的应用； 首先，将我们之前为了申请证书而开放的【可信站点】的设置还原； 在IE的【可信站点】的【自定义级别】选项中【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，由“启用”改为【禁用】即可；

然后关闭IE，再重新打开并输入：https://192.168.1.203； 此时会出现：“IIS7”字样的页面，如果出现此页面，恭喜你SSL配置已成功！反之则有问题，从上到下把操作说明和自己的操作过程比对检查看是否正确；（有问题别看我，我的示例可是没问题的^_^，自己耐心再检查下！）至此：WEB服务器上配置基于SSL证书应用的安全站点（HTTPS站点）操作已全部完成；

（图27）

（图28）

第三篇：CA数字证书办理指南

CA数字证书办理指南（试运行）

目录 CA数字证书申请流程........................................................................4 1.1 CA数字证书申请流程图...........................................................4 1.2 企业CA数字证书......................................................................5 1.3 个人CA数字证书......................................................................5 2 CA数字证书发放................................................................................6 3 办理证书内容变更..............................................................................7 3.1 企业CA数字证书内容变更......................................................7 3.2 个人CA数字证书内容变更......................................................8 4 注销与开启业务..................................................................................9 4.1 证书注销.....................................................................................9 4.2 证书开启.....................................................................................9 5 遗失补办业务......................................................................................9 6 证书解锁业务...................................................错误！未定义书签。7 证书有效期在线更新........................................................................10 8 证书业务查询....................................................................................10

福建CA数字证书需通过福建省数字安全证书管理有限公司进行统一办理和发放。福建省数字安全证书管理有限公司（简称FJCA），由福建省经济贸易委员会承建，福建金贸、福建凯特联合出资组建，是经国家信息产业部批准的，严格按照《中华人民共和国电子签名法》和《电子认证服务管理办法》的要求，在福建省地区性从事数字证书制作、颁发和管理的权威机构。

因“厦门市建设工程招投标交易管理平台”（以下简称“平台”）的安全需要，各企业或个人须持有CA数字证书方可在平台进行相关操作。CA数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用来保证网络传递信息的保密性、不可否认性、不可篡改性及确认操作者身份的有效性。

CA数字证书申请流程

1.1 CA数字证书申请流程图

用户登录网站进行基本信息注册审核不通过CA数字证书中心审核注册材料审核通过登录网站填写CA数字证书申请表格（http://ca.efull.com.cn）携带打印的CA申请表格等相关材料的原件和复印件到银行缴纳相关费用CA数字证书办理柜台审核、备案相关申请材料审核通过发放CA数字证书4 1

1.2 企业CA数字证书

一、申请流程：

1.企业登录网站（http://ca.efull.com.cn）注册会员账户，并提交CA数字证书中心审核。

2.通过审核的企业需在网上填写CA数字证书申请表并打印后，可到银行柜台缴纳证书费用。

3.由经办人携带所需证件、材料的原件到CA数字证书办理柜台办理申请手续。

4.由柜台办理人员将企业相关证件、材料的扫描件上传到企业库中。

二、申请所需材料： 1.数字证书申请表

2.工商营业执照副本（核原件收复印件）3.组织机构代码证副本（核原件收复印件）4.经办人授权委托书(核原件收复印件)5.经办人有效身份证件（核原件收复印件）6.费用缴纳证明 7.原有印章复印件

补充说明：所有申请表、复印件必须加盖企业公章；

1.3 个人CA数字证书

一、申请流程：

1.个人登录网站（http://ca.efull.com.cn）注册个人账户，并提交CA数字证书中心审核。

2.审核通过后的个人需在网上填写CA数字证书申请表并打印后，可到银行柜台缴纳证书费用。

3.由经办人携带所需证件、材料的原件到CA数字证书办理柜台办理申请手续。

4.由柜台办理人员将企业相关证件、材料的扫描件上传到企业库中。

二、申请所需材料： 1.数字证书申请表

2.法定代表人证明书(核原件收复印件)3.法定代表人授权委托书（核原件收复印件）

4.申请人有效身份证件及相关职业证件（如：注册造价师资格证、造价员资格证等。核原件收复印件）5.经办人授权书（核原件收复印件）6.银行缴费证明 7.原有印章复印件

补充说明：所有申请表、复印件必须加盖企业公章（个人职业资格证书无需加盖企业公章）。CA数字证书发放

CA数字证书办理柜台在收到企业或个人申请的材料后，将审核申

请材料是否完整无误、是否已缴纳相关费用，审核通过后，会在当日内安排制证。

CA数字证书发放方式：经办人凭CA数字证书申请表格、发票、缴费清单到CA数字证书办理柜台领取。

补充说明：

1.CA数字证书申请材料提交并审核通过后，需7个工作日后发放CA数字证书。

2.如需代领，代领人还须出具经办人授权委托书并加盖企业公章方可领取数字证书。办理证书内容变更

当企业或个人的CA数字证书内容需变更时，请用户及时办理CA数字证书内容变更业务。

3.1 企业CA数字证书内容变更

1.企业登录网站会员后台填写《福建省数字证书综合业务申请表（企业）》，由CA数字证书办理柜台审核。2.将数字证书补办费用汇入指定帐号。

3.经办人携带企业CA数字证书、打印的《福建省数字证书综合业务申请表（企业）》等相关证件、材料到CA数字证书办理柜台办理手续。所需材料：

1.福建省数字证书综合业务申请表（企业）2.企业数字证书 3.经办人授权委托书

4.经办人有效身份证件（审原件收复印件）

5.相关更改的证件（如：更改企业名称，则需更改后的营业执照。审原件收复印件）6.费用缴纳证明

补充说明：所有申请表、复印件必须加盖企业公章；

3.2 个人CA数字证书内容变更

1.个人登录网站填写《个人数字证书申请表》，分别由CA数字证书办理柜台审核。

2.经办人携带个人CA数字证书、打印的《个人数字证书申请表》等相关证件、材料到CA数字证书办理柜台办理手续。所需材料：

1.个人数字证书申请表 2.个人数字证书

3.变更信息的相关证明材料。（审原件收复印件）4.经办人授权委托书

5.经办人有效身份证件（审原件收复印件）

补充说明： 所有申请表、复印件必须加盖企业公章。注销与开启业务

4.1 证书注销

若企业或个人的数字证书遗失、持数字证书人员岗位更变或需数字证书内容变更的可先办理证书注销业务以防止信息外泄，并且数字证书的相关信息还会保留一个月。办理方式：经办人将《福建省数字证书综合业务申请表》（企业）或《个人证书申请表》、《企业（个人）委托注销数字证书函》递交到CA数字证书办理柜台（加盖企业公章），办理相关业务。

4.2 证书解锁

数字证书开启需经办人将《福建省数字证书综合业务申请表》（企业）或《个人证书申请表》、《企业（个人）委托开启数字证书函》提交到CA数字证书办理柜台（该函须加盖企业公章），办理相关业务。遗失补办业务

当企业或个人持有的数字证书丢失时，可到CA数字证书办理柜台办理遗失补办业务，具体办理方法如下：

1、企业或个人用户登录网站，进入“办理遗失补办业务”页面；

2、在线填写企业或个人基本资料，并点击“提交”；

3、企业或个人须填写《福建省数字证书综合业务申请表》（企业）或《个人证书申请表》、《企业（个人）数字证书遗失补办申请书》，完成后打印并加盖单位公章（申请表将在基本信息提交后即可看到）；

4、将数字证书补办费用汇入指定帐号。

5、将《福建省数字证书综合业务申请表》（企业）或《个人证书申请表》和银行缴款凭证邮寄至CA数字证书办理柜台，或直接递交CA数字证书办理柜台；

6、CA数字证书办理柜台在核实企业汇出的数字证书补办费到帐并完整提交了补办证书所需的材料后，将于当日对其进行审核，审核通过即下单制证，当日或者次日即可将证书寄出企业补办的数字证书（注：邮寄费用由申请单位在证书寄达时承付）。证书有效期在线更新

福建省数字安全证书管理有限公司颁发的数字证书具有一定的有效期，但企业用户发现持有的数字证书有效期即将到期时，请及时办理数字证书有效期的延长业务，否则将会影响用户的正常使用，具体延长方法如下：

1、登录网站进入“数字证书业务受理”页面；

2、点击“证书有效期在线更新”进入在线更新有效期页面，请按页面的提示进行证书有效期的更新。证书业务查询

福建省数字安全证书管理有限公司的数字证书用户可在福建省数字安全证书管理有限公司的网站查询以下相关内容：

 企业、个人数字证书制证情况查询；  企业、个人传真情况查询；  邮件接受情况查询 具体查询方法如下：

1、用户登录福建省数字安全证书管理有限公司网站，进入“数字证书业务查询”页面；

2、选择相应的查询菜单，如：要查询数字证书是否已经制作完成，可点击“数字证书制证情况查询”。

第四篇：CA相关技术和数字证书介绍

CA相关技术和数字证书介绍

CA机构，又称为证书授证(Certificate Authority)中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。信息的保密性

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。不可修改性

交易的文件是不可被修改的，如上例所举的订购黄金。供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益，那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。

用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：(1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；(2)保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

数字签名具体做法是：

(1)将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。

(2)将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。

(3)接收方收到数字签名后，用同样的HASH算法对报文计算摘要值，然后与用发送者的公开密钥进行解密解开的报文摘要值相比较，如相等则说明报文确实来自所称的发送者。

第五篇：深圳CA数字证书怎么保证安全[范文模版]

深圳CA数字证书怎么保证安全？

深圳CA数字证书为了保证信息传输安全，保证数字证书产品安全高效运行，研发了一系列安全产品，多重权威安全认证保障了数字证书信息百密而无一疏，高效运行软件保证了数字证书运行畅通无阻。身份认证网关

SZCA 身份认证网关提供安全门户功能，将应用系统进行统一管理，方便用户对日常应用的使用和维护。

身份认证网关独自完成基于证书的身份认证。它连接到认证中心对客户私钥、客户证书信任域、有效期、是否被废弃、证书状态等信息进行完整验证，保障验证完整性和安全性。

产品特点：

1)部署简单：与应用系统可以迅速整合成一个有机的整体；

2)简化开发：对于应用系统透明，不需对应用系统进行改造；

3)高强度加密通道：通过与用户建立128位高强度加密通道，保证信息在传输过程中的安全；

4)易于管理：浏览器进行管理操作，无须单独客户端管理软件。

5)性能卓越：采用安全专用集成电路芯片完成整个SSL协议过程，完全卸载所有SSL/TLS相关处理到硬件，最大可支持5000并发访问。

安全电子邮件介绍

多用途网际邮件扩充协议(S/MIME)是一套使用加密和数字签名安全发送电子邮件的协议。数字签名和邮件加密，这两种服务是基于 S/MIME 的邮件安全的核心。通过使用数字证书，您就可以发送基于S/MIME协议的安全电子邮件。

1).签名邮件

身份验证 通过签名来验证身份。它能够将该实体与其他所有实体区分开来，并证明它的唯一性，从而确认“您是谁”这个问题的答案。由于 SMTP 电子邮件中不存在身份验证，因此无法知道实际上是谁发送了邮件。数字签名中的身份验证使收件人可以知道邮件是声称已发送该邮件的那个人或组织发送的，从而解决了这一问题。

数据完整性 数字签名提供的另一安全服务是数据完整性。数据完整性是使数字签名成为可能的特定操作的结果。有了数据完整性服务，当经过数字签名的电子邮件的收件人验证数字签名时，他们可以确信所收到的电子邮件确实是被签名并发送出来的那封邮件，并且在传送过程中未发生改变。如果邮件在签名后的传送过程中发生了任何改变，该签名都将无效。这样，数字签名便能够提供书面签名所无法提供的保证功能，因为书面文档在经过签名后可能被改变。

2).加密邮件

保密性 邮件加密用来保护电子邮件的内容。只有预期的收件人能够查看该内容，因而该内容是保密的，不会被可能收到或查看到该邮件的其他任何人知道。加密在邮件传送和存储过程中均提供保密性。

电子签章

电子签章可在WORD、EXCEL、HTML（WEB页面）、PDF、WPS、FORM表单、FILE文件签名、CAD图纸签章、TIF传真签章等文件上实现手写电子签名和加盖电子印章；并可将签章和文件绑定在一起，通过密码验证、签名验证、数字证书确保文档防伪造、防篡改、防抵赖，安全可靠。它具有制章的唯一性、不被变造、伪造，签章的真实性，文档完整性、真实性、不可篡改性，验章的真实性、有效性。

功能特点：

1)遵循《中华人民共和国电子签名法》关于电子签名的规范，同时支持国际通用的RSA算法和国家密码管理局的商用密码算法SM1，符合国家安全标准。

2)支持高清晰签章，签章密码记忆，批量签章、多页签章应用。

3)应用数字水印技术，签章水印包括文字、图片两种，保证签章阅读安全。4)增强打印份数控制管理功能，通过指定密钥盘、打印机、计算机电脑来控制文档有效打印。

5)强大丰富二次开发接口丰富，满足用户系统扩展需求。

时间戳服务

深圳CA提供的时间戳服务是以数字证书的电子签名应用为核心，以国家授时中心提供的时间作为时间源，为应用系统及用户提供有法律效力的时间界定证据。

1)在电子商务交易中，时间戳能界定用户发布商品的时间、交易的时间、支付的时间等；

2)在电子政务系统中（如招投标系统等），时间戳能界定招标时间、投标方投标时间等； 3)在网站中，时间戳能界定文件上传下载时间、用户每次登陆、登出网站的时间等；

4)在企业内部系统中，时间戳能界定职员登陆系统的时间、操作企业重要数据的时间等。

加密机

适用于PKI/CA系统及各类应用系统进行高速的、多任务并行处理的密码运算，可以满足CA系统证书管理及应用系统数据的签名/验证、加密/解密的要求，同时提供安全、完善的密钥管理机制。各应用系统通过调用密码机提供的标准API函数来使用密码机的服务，密码机API与密码机之间的调用过程对应用透明，应用开发商能够快速的使用密码机所提供的安全功能。密码机API接口符合PKCS#

11、CAPI、JAVA等标准接口规范，通用性好，能够平滑接入各种系统平台，满足大多数应用系统的要求，在应用系统安全方面具有广泛的应用前景。

功能特点：

1)2)实现1024位和202_位RSA算法的公钥加密和私钥解密功能；

提供基于RSA算法的数字签名和验证功能，可用于数据签名验证、身份认证等过程；

3)提供密钥管理工具，允许管理员通过工具生成1024位和202_位RSA主密钥，并通过IC卡进行密钥备份及恢复；

4)支持多线程、多任务和负载均衡，在多机集群环境下，可自动负载均衡；

RA建设

SZCA可建立的操作子CA、注册机构RA、注册分支机构、服务受理点和其他授权服务代理机构等共同构成SZCA第三方电子认证服务机构的服务主体。按照国密钥管理局和国家信产部的相关规定，RA中心必须遵循CA中心发布的CPS（电子认证业务规则）的相关规定进行经营和提供服务。

RA主要包括功能：

1)2)3)4)5)6)7)8)9)证书管理：包括录入、制证、查询功能； 证书审核：审核功能； 证书签发； 证书更新； 证书的吊销； 证书的挂起； 证书的恢复； 数字证书的制作； 数字证书的发放和管理；