电子政务工程设计课件

第第1 1页页网络系统集成与网络系统集成与工程设计工程设计第第9 9章章2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 网络系统集成与工程设计第网络系统集成与工程设计第9章章2023/8/17第第2 2页页本章知识要点本章知识要点：u电子政务业务模型电子政务业务模型电子政务业务模型电子政务业务模型u电子政务体系结构电子政务体系结构电子政务体系结构电子政务体系结构u电子政务通信平台设计电子政务通信平台设计电子政务通信平台设计电子政务通信平台设计u内、外网物理隔离内、外网物理隔离内、外网物理隔离内、外网物理隔离u电子政务信息系统电子政务信息系统电子政务信息系统电子政务信息系统uPKIPKI技术，技术，技术，技术，CACA证书服务器，安装证书服务，证书颁证书服务器，安装证书服务，证书颁证书服务器，安装证书服务，证书颁证书服务器，安装证书服务，证书颁发机构的配置和管理，客户端的证书管理发机构的配置和管理，客户端的证书管理发机构的配置和管理，客户端的证书管理发机构的配置和管理，客户端的证书管理uSSLSSL安全机制，基于安全机制，基于安全机制，基于安全机制，基于SSLSSL的的的的WebWeb服务器服务器服务器服务器uVPNVPN的技术与类型，的技术与类型，的技术与类型，的技术与类型，VPNVPN方案设计，基于方案设计，基于方案设计，基于方案设计，基于VPNVPN政务政务政务政务网络互连。网络互连。网络互连。网络互连。第第9 9章章 电子政务工程设计电子政务工程设计2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 本章知识要点：第本章知识要点：第9章章电子政务工程设计电子政务工程设计2023/8/17第第3 3页页本章重点：u电子政务业务模型电子政务业务模型电子政务业务模型电子政务业务模型u电子政务体系结构电子政务体系结构电子政务体系结构电子政务体系结构u电子政务通信平台设计电子政务通信平台设计电子政务通信平台设计电子政务通信平台设计u内、外网物理隔离内、外网物理隔离内、外网物理隔离内、外网物理隔离u电子政务电子政务电子政务电子政务CACA的建立和管理的建立和管理的建立和管理的建立和管理uSSLSSL安全机制安全机制安全机制安全机制uVPNVPN的技术与方案设计，基于的技术与方案设计，基于的技术与方案设计，基于的技术与方案设计，基于VPNVPN政务网络互连。政务网络互连。政务网络互连。政务网络互连。本章难点：u基于基于基于基于VPNVPN政务网络互连政务网络互连政务网络互连政务网络互连 第第9 9章章 电子政务工程设计电子政务工程设计2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 本章重点：第本章重点：第9章章电子政务工程设计电子政务工程设计2023/8/17第第4 4页页9.1 9.1 电子政务概述电子政务概述9.1.19.1.1电子政务的背景电子政务的背景电子政务的背景电子政务的背景电子政务是指政府机构利用信息化手段，实现各类政府职能。其核心是应用信息技术，提高政府事务处理的效率，改善政府组织和公共管理。背景：背景：背景：背景：信息技术的飞速发展信息技术的飞速发展信息技术的飞速发展信息技术的飞速发展 发达国家提出发达国家提出发达国家提出发达国家提出“电子政务（电子政府）计划电子政务（电子政府）计划电子政务（电子政府）计划电子政务（电子政府）计划”我国的电子政务我国的电子政务我国的电子政务我国的电子政务2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.1电子政务概述电子政务概述9.1.1电子政务的背景电子政务的背景2023/8/第第5 5页页9.1.2 9.1.2 电子政务业务与信息流电子政务业务与信息流1 1.电电电电子子子子政政政政务务务务业业业业务务务务模模模模型型型型根根据据政政府府机机构构的的业业务务形形态态来来看看，通通常常电电子子政政务务主主要要包包括括三三个个应应用用领领域域。其其业业务务模模型型可可以以用用图图9.1表表示示。图9.1电子政务业务模型 面向社会公面向社会公面向社会公面向社会公众和企业组众和企业组众和企业组众和企业组织，为其提织，为其提织，为其提织，为其提供政策、法供政策、法供政策、法供政策、法规、条例和规、条例和规、条例和规、条例和流程的查询流程的查询流程的查询流程的查询服务。服务。服务。服务。借助互联网借助互联网借助互联网借助互联网实现政府机实现政府机实现政府机实现政府机构的对外办构的对外办构的对外办构的对外办公，如：申公，如：申公，如：申公，如：申请、申报等，请、申报等，请、申报等，请、申报等，提高政府的提高政府的提高政府的提高政府的运作效率，运作效率，运作效率，运作效率，增加透明度。增加透明度。增加透明度。增加透明度。以信息化手以信息化手以信息化手以信息化手段提高政府段提高政府段提高政府段提高政府机构内部办机构内部办机构内部办机构内部办公的效率，公的效率，公的效率，公的效率，如：公文报如：公文报如：公文报如：公文报送、信息通送、信息通送、信息通送、信息通知和信息查知和信息查知和信息查知和信息查询等。询等。询等。询等。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.1.2电子政务业务与信息流电子政务业务与信息流1.电子政务业务模型电子政务业务模型图图9第第6 6页页9.1.2 9.1.2 电子政务业务与信息流电子政务业务与信息流2.2.电子政务信息流电子政务信息流电子政务信息流电子政务信息流在电子政务系统中主要存在三种信息流，如图9.2所示。图9.2 电子政务信息流模型 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.1.2电子政务业务与信息流电子政务业务与信息流2.电子政务信息流图电子政务信息流图9.2第第7 7页页9.1.3 9.1.3 电子政务体系结构与特点电子政务体系结构与特点1.1.电子政务体系结构电子政务体系结构电子政务体系结构电子政务体系结构构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。如图9.3所示。图9.3电子政务平台系统结构 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.1.3电子政务体系结构与特点电子政务体系结构与特点1.电子政务体系结构图电子政务体系结构图9第第8 8页页9.1.3 9.1.3 电子政务体系结构与特点电子政务体系结构与特点2.2.电子政务系统的特点电子政务系统的特点电子政务系统的特点电子政务系统的特点一个成熟的电子政务系统，不但能够利用信息技术，实现信息流的高效率运转，还应具备如下特点：（1）安全性。）安全性。（2）整合性。）整合性。（3）可扩展性。）可扩展性。（4）示范性。）示范性。政府机构的信息安全政府机构的信息安全政府机构的信息安全政府机构的信息安全是电子政务实施的第一要是电子政务实施的第一要是电子政务实施的第一要是电子政务实施的第一要素。电子政务系统不但能素。电子政务系统不但能素。电子政务系统不但能素。电子政务系统不但能够实现内外网的物理隔离，够实现内外网的物理隔离，够实现内外网的物理隔离，够实现内外网的物理隔离，有效防止泄密；同时也应有效防止泄密；同时也应有效防止泄密；同时也应有效防止泄密；同时也应确保内、外网具有强大的确保内、外网具有强大的确保内、外网具有强大的确保内、外网具有强大的抵御攻击能力，防止非法抵御攻击能力，防止非法抵御攻击能力，防止非法抵御攻击能力，防止非法侵入带来的损失。侵入带来的损失。侵入带来的损失。侵入带来的损失。电子政务系统应能实电子政务系统应能实电子政务系统应能实电子政务系统应能实现政府内部办公和外部事现政府内部办公和外部事现政府内部办公和外部事现政府内部办公和外部事务处理的整合，通过建立务处理的整合，通过建立务处理的整合，通过建立务处理的整合，通过建立政务办公信息流和事务信政务办公信息流和事务信政务办公信息流和事务信政务办公信息流和事务信息流的平滑对接，提高信息流的平滑对接，提高信息流的平滑对接，提高信息流的平滑对接，提高信息流的效率。同时，能够息流的效率。同时，能够息流的效率。同时，能够息流的效率。同时，能够实现多种沟通模式的整合，实现多种沟通模式的整合，实现多种沟通模式的整合，实现多种沟通模式的整合，通过通信平台的多样化优通过通信平台的多样化优通过通信平台的多样化优通过通信平台的多样化优势，提高电子政务系统的势，提高电子政务系统的势，提高电子政务系统的势，提高电子政务系统的覆盖能力。覆盖能力。覆盖能力。覆盖能力。电子政务系统的实电子政务系统的实电子政务系统的实电子政务系统的实施是一个分阶段的长期过施是一个分阶段的长期过施是一个分阶段的长期过施是一个分阶段的长期过程，电子政务系统的构造程，电子政务系统的构造程，电子政务系统的构造程，电子政务系统的构造应具有高度的扩展性，以应具有高度的扩展性，以应具有高度的扩展性，以应具有高度的扩展性，以降低系统扩充的投入成本，降低系统扩充的投入成本，降低系统扩充的投入成本，降低系统扩充的投入成本，并满足信息技术高速发展并满足信息技术高速发展并满足信息技术高速发展并满足信息技术高速发展的需要。的需要。的需要。的需要。电子政务系统采用电子政务系统采用电子政务系统采用电子政务系统采用的技术和产品应对社会的技术和产品应对社会的技术和产品应对社会的技术和产品应对社会具有广泛的示范性和引具有广泛的示范性和引具有广泛的示范性和引具有广泛的示范性和引导性，电子政务平台的导性，电子政务平台的导性，电子政务平台的导性，电子政务平台的总体结构应依据国家电总体结构应依据国家电总体结构应依据国家电总体结构应依据国家电子政务安全规范和电子子政务安全规范和电子子政务安全规范和电子子政务安全规范和电子政务标准技术参考模型政务标准技术参考模型政务标准技术参考模型政务标准技术参考模型设计。设计。设计。设计。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.1.3电子政务体系结构与特点电子政务体系结构与特点2.电子政务系统的特点政电子政务系统的特点政第第9 9页页9.2 9.2 电子政务系统设计电子政务系统设计9.2.19.2.1电子政务网络平台电子政务网络平台电子政务网络平台电子政务网络平台1.1.电子政务内网电子政务内网电子政务内网电子政务内网电子政务内网是各种应用的统一通信平台，主干网要求电子政务内网是各种应用的统一通信平台，主干网要求电子政务内网是各种应用的统一通信平台，主干网要求电子政务内网是各种应用的统一通信平台，主干网要求具有安全、可靠和高带宽等特性。具有安全、可靠和高带宽等特性。具有安全、可靠和高带宽等特性。具有安全、可靠和高带宽等特性。某市电子化办公涉及某市电子化办公涉及某市电子化办公涉及某市电子化办公涉及2020多个业务部门，这些部门分部在多个业务部门，这些部门分部在多个业务部门，这些部门分部在多个业务部门，这些部门分部在不同的地理位置，距离市政府大楼几十米至几公里。考虑到不同的地理位置，距离市政府大楼几十米至几公里。考虑到不同的地理位置，距离市政府大楼几十米至几公里。考虑到不同的地理位置，距离市政府大楼几十米至几公里。考虑到政务主干网的负载均衡和光缆敷设便利等因素，政务主干网政务主干网的负载均衡和光缆敷设便利等因素，政务主干网政务主干网的负载均衡和光缆敷设便利等因素，政务主干网政务主干网的负载均衡和光缆敷设便利等因素，政务主干网可采用多星型拓扑结构。整体网络设置三个主结点（市政府可采用多星型拓扑结构。整体网络设置三个主结点（市政府可采用多星型拓扑结构。整体网络设置三个主结点（市政府可采用多星型拓扑结构。整体网络设置三个主结点（市政府主楼、市委主楼和科技局主楼）向外辐射，通过各部门（局、主楼、市委主楼和科技局主楼）向外辐射，通过各部门（局、主楼、市委主楼和科技局主楼）向外辐射，通过各部门（局、主楼、市委主楼和科技局主楼）向外辐射，通过各部门（局、科室）所在的建筑楼结点构成主干网。如图科室）所在的建筑楼结点构成主干网。如图科室）所在的建筑楼结点构成主干网。如图科室）所在的建筑楼结点构成主干网。如图9.49.4所示。所示。所示。所示。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2电子政务系统设计电子政务系统设计9.2.1电子政务网络平台电子政务网络平台2023第第1010页页9.2.1 9.2.1 电子政务网络平台电子政务网络平台图图9.4市市政政府府网网络络拓拓扑扑结结构构图图 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2.1电子政务网络平台图电子政务网络平台图9.4市政府网络拓扑结构图市政府网络拓扑结构图第第1111页页9.2.1 9.2.1 电子政务网络平台电子政务网络平台2.2.电子政务外网电子政务外网电子政务外网电子政务外网电子政务外网（电子政务外网（电子政务外网（电子政务外网（WebWeb网站）位于市政府主楼第网站）位于市政府主楼第网站）位于市政府主楼第网站）位于市政府主楼第3 3层的网络层的网络层的网络层的网络中心主机房内。电子政务外网是政府对外的门户网站，网站中心主机房内。电子政务外网是政府对外的门户网站，网站中心主机房内。电子政务外网是政府对外的门户网站，网站中心主机房内。电子政务外网是政府对外的门户网站，网站拓扑结构要严格按照拓扑结构要严格按照拓扑结构要严格按照拓扑结构要严格按照DMZDMZ的要求设计。如图的要求设计。如图的要求设计。如图的要求设计。如图9.59.5所示。所示。所示。所示。图9.5 政务外网体系结构图 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2.1电子政务网络平台电子政务网络平台2.电子政务外网图电子政务外网图9.5政务政务第第1212页页9.2.2 9.2.2 内、外网物理隔离内、外网物理隔离电子政务内、外网物理隔离采用物理隔离网闸电子政务内、外网物理隔离采用物理隔离网闸电子政务内、外网物理隔离采用物理隔离网闸电子政务内、外网物理隔离采用物理隔离网闸X-gap8100X-gap8100（中网公司产品），可以实现两个网络（中网公司产品），可以实现两个网络（中网公司产品），可以实现两个网络（中网公司产品），可以实现两个网络之间的物理隔离。如图之间的物理隔离。如图之间的物理隔离。如图之间的物理隔离。如图9.69.6所示。所示。所示。所示。图9.6 内、外网物理隔离结构图 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2.2内、外网物理隔离电子政务内、外网物理隔离采用物理内、外网物理隔离电子政务内、外网物理隔离采用物理第第1313页页9.2.3 9.2.3 电子政务信息系统电子政务信息系统1.1.系统功能结构系统功能结构系统功能结构系统功能结构电子政务信息系统一般分为政府公共服务网站和政府内电子政务信息系统一般分为政府公共服务网站和政府内电子政务信息系统一般分为政府公共服务网站和政府内电子政务信息系统一般分为政府公共服务网站和政府内部办公网站，其功能结构如图部办公网站，其功能结构如图部办公网站，其功能结构如图部办公网站，其功能结构如图9.79.7所示。所示。所示。所示。图9.7 电子政务系统功能结构图 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2.3电子政务信息系统电子政务信息系统1.系统功能结构图系统功能结构图9.7电子电子第第1414页页9.2.3 9.2.3 电子政务信息系统电子政务信息系统2.政政务务外外网网应应用用 面向公共管理服务政务外网业务系统主要包括：为公众用户提供接入和工作流引擎、通用电子政务构件、个性化管理以及服务集成等基本的功能。如：网上报表管理、登记申报及审批业务办理、网上人才招聘管理、招商管理、网上税务、网上劳保等应用系统。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2.3电子政务信息系统电子政务信息系统2.政务外网应用政务外网应用2023/8第第1515页页9.2.3 9.2.3 电子政务信息系统电子政务信息系统3.政政务务内内网网应应用用 政务内网应用系统强调的是政府内部在各类政务工作中，运用先进的信息技术和管理思想，大幅度提高办事效率，提高政务工作的质量。而在政府内部，电子政务的许多目标是要通过办公自动化来实现的。离开了办公自动化，政府内部的电子政务也就失去了基础。面向办公业务的OA系统功能包括：公文管理、督查管理、档案管理、政务信息、内部事务、值班管理、会议管理、辅助决策、公用信息等。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2.3电子政务信息系统电子政务信息系统3.政务内网应用政务内网应用2023/8第第1616页页9.2.3 9.2.3 电子政务信息系统电子政务信息系统4.4.政务处理逻辑结构政务处理逻辑结构政务处理逻辑结构政务处理逻辑结构 政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层，如图9.8所示。图9.8电子政务处理逻辑结构 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.2.3电子政务信息系统电子政务信息系统4.政务处理逻辑结构政务处理逻辑结构图图9.8第第1717页页9.3 9.3 电子政务电子政务CACA的建立和管理的建立和管理uPKI是信息安全技术的核心，也是电子政务的关键和基础技术。电子政务在选择PKI解决方案时，可以向第三方证书认证（CA，Certificate Authority）提供商外购PKI；或部署自己的政府级PKI，或部署混合模式PKI体系。由第三方CA提供根CA，将CA颁发限定于政府内部范围。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3电子政务电子政务CA的建立和管理的建立和管理PKI是信息安全技术的核心，是信息安全技术的核心，第第1818页页9.3.1 PKI9.3.1 PKI技术技术1.PKI的组成的组成PKI是一种以公开密钥技术为基础，以数据的机密性、完整性和不可抵赖性为安全目的，构建的认证、授权和加密等硬件、软件的综合设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口（API）等基本构件和系统。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.1PKI技术技术1.PKI的组成的组成2023/8/17第第1919页页9.3.1 PKI9.3.1 PKI技术技术2.PKI的功能的功能（1）认证机构（CA）（2）数字证书库（3）密钥备份及恢复系统（4）证书作废系统（5）应用接口（API）2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.1PKI技术技术2.PKI的功能的功能2023/8/17第第2020页页9.3.1 PKI9.3.1 PKI技术技术3.PKI的安全机制的安全机制 PKI安全平台能够提供智能化的信任与有效授权服务。其中，信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题；授权服务主要是解决在网络中“每个实体能干什么”的问题。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.1PKI技术技术3.PKI的安全机制的安全机制2023/8/第第2121页页9.3.2 CA9.3.2 CA证书服务器的选择证书服务器的选择u通常来说，CA是证书的签发机构，它是PKI的核心。u公钥体制的密钥管理主要是针对公钥的管理问题。目前较好的解决方案是数字证书机制。u在实际应用中，CA除了服务器硬件（可选用PC服务器），还要选择合适的CA软件。在选择CA产品时，要重点考虑所支持的相关PKI标准、易管理性、伸缩能力以及成本费用。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.2CA证书服务器的选择通常来说，证书服务器的选择通常来说，CA是证书的签发机是证书的签发机第第2222页页9.3.3 9.3.3 规划证书颁发机构规划证书颁发机构1.根根CA与从属与从属CA u根据层次结构，CA可划分为根CA和从属CA。（1）根CA是公钥体系中第一个证书颁发机构，它是所有信任的起源。根CA可以为其他CA创建证书，也可以为其他计算机、用户和服务创建证书。根CA最重要的角色是作为信任的根，是整个政府（企业）认证体系的中心，需要最根本的保护。对大多数基于证书的应用程序来说，使用的证书认证都可以跟踪到根。（2）从属CA必须从根CA或者从一个已由根CA授权，可颁发从属CA证书的从属CA处获得证书。从属CA可直接颁发证书。在建立CA时，从属CA要通过上级CA获得自己的CA证书，而根CA则是创建自签名的证书。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.3规划证书颁发机构规划证书颁发机构1.根根CA与从属与从属CA2023第第2323页页9.3.3 9.3.3 规划证书颁发机构规划证书颁发机构2企业企业CA与独立与独立CA（1）企业CA具有下列特点。企业CA需要活动目录（Active Directory）。安装企业根CA时，对于域中的所有用户和计算机，它都会自动添加到受信任的根证书颁发机构的证书存储区中。企业CA根据申请证书的类型设置策略和安全权限，立即颁发证书或立即拒绝请求。可以为使用智能卡登录到Windows2000域颁发证书。企业退出模块向活动目录（Active Directory）发布用户证书和证书吊销列表。企业CA使用基于证书模板的证书类型。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.3规划证书颁发机构规划证书颁发机构2企业企业CA与独立与独立CA2023第第2424页页9.3.3 9.3.3 规划证书颁发机构规划证书颁发机构2企业企业CA与独立与独立CA（2）独立CA具有下列特点。独立CA不需要使用活动目录（Active Directory）。向独立CA提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型。（向企业CA提交证书申请时无需提供这些信息，因为企业用户的信息已经在Active Directory中，并且证书类型由证书模板说明。）默认情况下，发送到独立CA的所有证书申请都被设置为特定状态，由管理员审查颁发，也可根据需要改为自动颁发证书。不使用验证模板。使用智能卡不能颁发用来登录到Windows 2000域的证书，但可以颁发其他类型的证书并存储在智能卡上。管理员必须向域用户的信任根存储区明确分配独立CA的证书，或者必须让用户自己执行该任务。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.3规划证书颁发机构规划证书颁发机构2企业企业CA与独立与独立CA2023第第2525页页9.3.3 9.3.3 规划证书颁发机构规划证书颁发机构3微软的微软的4种种CA（1）企业根CA。证书层次结构中的最高级证书颁发机构，需要Active Directory，自行签发自己的CA证书，并将该证书发布至域中所有Windows 2000服务器和工作站上。这种CA安装在域控制器或者域成员计算机上。（2）企业从属CA。必须从另一证书颁发机构获得自己的CA证书。如果使用Active Directory、证书模板和智能卡登录到Windows 2000计算机时，应选用这种类型。（3）独立根CA。也是证书层次结构中的最高级证书颁发机构，它不需要Active Directory支持，适于作为独立的证书颁发机构，向外部发放证书。独立CA安装在独立的服务器上。（4）独立从属CA。必须从另一证书颁发机构获得自己的CA证书，用于建立多层次的独立证书颁发体系。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.3规划证书颁发机构规划证书颁发机构3微软的微软的4种种CA2023/8/第第2626页页9.3.3 9.3.3 规划证书颁发机构规划证书颁发机构4规划证书层次结构规划证书层次结构通过根通过根CA和从属和从属CA可建立证书层次结构，如图可建立证书层次结构，如图9.9所示。所示。图9.9 证书颁发层次体系 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.3规划证书颁发机构规划证书颁发机构4规划证书层次结构图规划证书层次结构图9.9证证第第2727页页9.3.4 9.3.4 安装证书服务安装证书服务安装企业安装企业CA需要需要ActiveDirectory环境，证书服务器必须是环境，证书服务器必须是域控制器或域成员服务器。本例是在域控制器上安装企业域控制器或域成员服务器。本例是在域控制器上安装企业根根CA，用于为政府内部提供证书服务。，用于为政府内部提供证书服务。（1）鼠标左键双击“控制面板”中的“添加/删除程序”，选择“添加/删除Windows组件”，然后从“组件”列表中选取“证书服务”。（2）鼠标左键单击“下一步”按钮，打开“Microsoft证书服务”对话框，系统提示安装证书服务后，不能更改计算机名，也不能将计算机加入到域或从域中删除，鼠标左键单击“是”按钮。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.4安装证书服务安装企业安装证书服务安装企业CA需要需要ActiveDir第第2828页页9.3.4 9.3.4 安装证书服务安装证书服务（3）选择证书颁发机构（CA）类型，如图9.10所示的对话框，。共有4种类型，这里选择默认的“企业根CA”，然后鼠标左键单击“下一步”按钮。图9.10 选择证书颁发机构类型 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.4安装证书服务（安装证书服务（3）选择证书颁发机构（）选择证书颁发机构（CA）类型，）类型，第第2929页页9.3.4 9.3.4 安装证书服务安装证书服务（4）如果选择“高级选项”复选框，将打开如图9.11所示的对话框，设置加密服务提供程序、密钥长度和散列算法，否则直接进入下一操作步骤。一般来说，密钥越长越安全，不过应注意的是较长的密钥，需要花更长的时间才能生成。图9.11 设置证书类型的高级选项 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.4安装证书服务（安装证书服务（4）如果选择）如果选择“高级选项高级选项”复选框，将复选框，将第第3030页页9.3.4 9.3.4 安装证书服务安装证书服务（5）设置证书颁发机构标识信息，如图9.12所示。“CA名称”就是证书颁发机构的命名，对于Active Directory体系，它也是一个公用名称。对于根证书颁发机构，“有效期”应当长一些，以减少频繁续订根证书的要求。图9.12 设置证书颁发机构标识信息 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.4安装证书服务（安装证书服务（5）设置证书颁发机构标识信息，如图）设置证书颁发机构标识信息，如图第第3131页页9.3.4 9.3.4 安装证书服务安装证书服务（6）设置证书服务数据库的存储位置，如图9.13所示的对话框。证书服务对数据库、配置数据、备份数据和记录数据使用本地存储设备。“证书数据库”和“证书数据库日志”分别指定证书数据库和日志记录的存储位置，使用默认值即可。图9.13 设置证书数据库存储位置 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.4安装证书服务（安装证书服务（6）设置证书服务数据库的存储位置，）设置证书服务数据库的存储位置，第第3232页页9.3.4 9.3.4 安装证书服务安装证书服务（7）鼠标左键单击“下一步”按钮，如果计算机上正在运行IIS，系统就提示立即停止IIS服务，鼠标左键单击“确定”按钮，开始安装证书服务相关的组件和程序，直至完成。安装完毕，证书服务将自动启动，这样也就建成了一个基本的证书颁发机构。安装有证书服务的计算机即为证书服务器。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.4安装证书服务（安装证书服务（7）鼠标左键单击）鼠标左键单击“下一步下一步”按钮，如按钮，如第第3333页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理1 1管理证书管理证书管理证书管理证书 选择“开始”“程序”“管理工具”“证书颁发机构”，即可打开如图9.14所示的“证书颁发机构”管理单元，通过该管理单元对证书颁发机构进行管理和配置。图9.14 “证书颁发机构”管理单元 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理证书颁发机构的配置和管理1管理证书管理证书图图9.14第第3434页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理2 2配置策略模块配置策略模块配置策略模块配置策略模块（1）从“证书颁发机构”管理单元中选择相应的证书服务，单击鼠标右键，从快捷菜单中选择“属性”，打开属性设置对话框，切换到“策略模块”选项卡，鼠标左键单击“配置”按钮，打开如图9.15所示的对话框。对于企业CA来说，“始终颁发证书”是惟一的选择，根据用户申请自动颁发证书。图9.15 设置颁发证书的默认操作 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理证书颁发机构的配置和管理2配置策略模块（配置策略模块（1）从）从第第3535页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理（2）切换到如图9.16所示的“X.509扩展”选项卡，可以添加或删除用户获取证书吊销列表和证书的URL地址。企业CA的证书服务提供基于Web和LDAP的访问，这些URL地址可以是HTTP、LDAP或文件地址。其中“%SERVER DNS NAME%”表示证书名称。图9.16 设置获取证书吊销列表和证书的位置 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理（证书颁发机构的配置和管理（2）切换到如图）切换到如图9.16第第3636页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理（3）回到证书服务属性设置对话框，切换到“退出模块”，鼠标左键单击“配置”按钮，打开如图9.17所示的对话框，选中“允许在Active Directory中发行征书”复选框。图9.17 设置证书发行 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理（证书颁发机构的配置和管理（3）回到证书服务属性设）回到证书服务属性设第第3737页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理3 3备份和还原证书颁发机构备份和还原证书颁发机构备份和还原证书颁发机构备份和还原证书颁发机构 u备份和还原操作的目的是保护证书颁发机构及其可操作数据，以免因硬件或存储媒体出现故障而导致数据丢失。通过使用证书颁发机构管理单元可以备份和还原：公钥、私钥和CA证书，证书数据库，公钥和私钥使用PKCS 12的PFX格式备份或还原等类的信息。u证书颁发机构提供了备份向导和还原向导。管理单元选择相应的证书服务，单击鼠标右键，从快捷菜单中选择“所有任务”“备份CA”或“还原CA”，即可启动向导程序。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理证书颁发机构的配置和管理3备份和还原证书颁发机备份和还原证书颁发机第第3838页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理4 4续订续订续订续订CACA证书证书证书证书u由证书颁发机构所颁发的每一份证书都具有有效期限。uCA的生存时间包括其所有CA证书的过去和现在的有效期。u证书服务强行实施的规则是，CA永远不会颁发在超出自己证书的到期时间后有效的证书。因此，当CA自身的证书达到它的有效期时，它颁发的所有证书也将到期。这样，如果CA因为某种目的没有续订，并且CA的生存时间已到，则管理员确认当前到期的CA发出的所有证书不再作有效的安全凭据。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理证书颁发机构的配置和管理4续订续订CA证书证书2023第第3939页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理5 5管理证书模板管理证书模板管理证书模板管理证书模板u默认情况下，提供的证书模板有限，可根据需要添加，操作步骤如下。u（1）以管理员身份登录到系统，打开“证书颁发机构”管理单元。鼠标左键单击控制台左侧列表中的“策略设置”，右侧窗格中显示已有的证书模板列表。如图9.18所示。图9.18 查看现有证书模板 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理证书颁发机构的配置和管理5管理证书模板图管理证书模板图9.1第第4040页页9.3.5 9.3.5 证书颁发机构的配置和管理证书颁发机构的配置和管理5 5管理证书模板管理证书模板管理证书模板管理证书模板u（2）在“操作”菜单上选择“新建”“要颁发的证书”，打开如图9.19所示的对话框。从列表中选择要使用的新证书模板，并单击“确定”按钮。图9.19 选择证书模板 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.5证书颁发机构的配置和管理证书颁发机构的配置和管理5管理证书模板图管理证书模板图9.1第第4141页页9.3.6 9.3.6 证书申请和注册证书申请和注册u证书注册是请求、接收和安装证书的过程。无论是用户、计算机还是服务，要想利用证书，必须首先从证书服务器获得有效的证书。可以通过：组策略自动请求证书，使用证书申请向导，浏览器获得证书等3种方式获取证书。1.1.通过组策略自动请求证书通过组策略自动请求证书通过组策略自动请求证书通过组策略自动请求证书 u在活动目录域环境中，通过使用公钥策略中的自动证书设置，活动目录域或组织单位的计算机成员可以向Windows 2000企业证书服务器自动请求证书，这样就不用为每台计算机注册与计算机相关的证书。只有运行Windows 2000或Windows XP的域成员计算机能够自动请求证书。u配置自动证书注册的关键是在组策略创建自动证书请求。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册证书注册是请求、接收和安装证书的过证书申请和注册证书注册是请求、接收和安装证书的过第第4242页页9.3.6 9.3.6 证书申请和注册证书申请和注册2.2.使用使用使用使用MMCMMC手工申请证书手工申请证书手工申请证书手工申请证书 符合下列条件才能使用证书申请向导。（1）Active Directory环境。（2）客户端计算机运行Windows 2000或Windows XP，并且加入到域作为域成员。（3）证书颁发机构必须是Windows 2000企业CA。证书申请向导使用基于MMC（管理控制台）的证书管理单元，能够直接从企业CA获取证书。在使用证书管理单元之前，必须将其添加到MMC控制台。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册证书申请和注册2.使用使用MMC手工申请证书手工申请证书20第第4343页页9.3.6 9.3.6 证书申请和注册证书申请和注册3 3使用使用使用使用WebWeb浏览器申请证书浏览器申请证书浏览器申请证书浏览器申请证书使用Web浏览器申请证书是一种更通用，自定义功能更强的方法。遇到以下情况之一时，一般采用这种方法。受理申请的证书颁发机构为Windows 2000独立CA，或者是通过Internet提供证书服务的第三方证书服务器。客户端计算机运行Windows操作系统，如Macintosh（Apple机）、Linux等。客户端计算机运行Windows 98/Me/NT。客户端计算机运行Windows 2000/XP，但不是域成员，或不能访问域控制器。客户端计算机需要通过NAT服务器来访问证书服务器。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册证书申请和注册3使用使用Web浏览器申请证书浏览器申请证书202第第4444页页9.3.6 9.3.6 证书申请和注册证书申请和注册下面以使用IE浏览器申请证书Windows 2000企业CA为例，说明操作过程。（1）打开IE浏览器，在地址栏中输入证书颁发机构的URL地址。对于集成到IIS的证书服务，其地址为“http:/servername/certsrv”。默认情况下，将出现“输入网络密码”对话框，要求使用Web浏览器的证书申请者提供用户名和密码。验证通过后，将出现如图9.20所示的对话框。图9.20 基于Web的证书申请页面 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册下面以使用证书申请和注册下面以使用IE浏览器申请证书浏览器申请证书Win第第4545页页9.3.6 9.3.6 证书申请和注册证书申请和注册（2）选择“申请证书”。鼠标左键单击“下一步”按钮，出现“选择申请类型”界面，这里选择“高级申请”单选钮。如图9.21所示。图9.21 选择证书申请类型 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册（证书申请和注册（2）选择）选择“申请证书申请证书”。鼠标左键单。鼠标左键单第第4646页页9.3.6 9.3.6 证书申请和注册证书申请和注册（3）选择高级证书申请方式。鼠标左键单击“下一步”按钮，出现“高级证书申请”界面，如图9.22所示。共有3个选项，这里选择第1个选项，以表格形式提交申请。图9.22 高级证书申请方式 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册（证书申请和注册（3）选择高级证书申请方式。鼠标左）选择高级证书申请方式。鼠标左第第4747页页9.3.6 9.3.6 证书申请和注册证书申请和注册（4）填写申请表单。鼠标左键单击“下一步”按钮，出现“填写申请表单”界面，如图9.23所示。在“证书模板”下拉列表中选择所需的证书类型。其他要注意的选项填写如下。“CSP”（加密服务提供程序）。Microsoft Base Cryptographic Provider v1.0“密钥用法”。签名或者两者。“密钥大小”。512。如果CSP选择“Microsoft Enhanced Cryptographic Provider”，则可以选择较大的密钥值。但是，注册申请可能会失败，因为Windows2000的版本可能没有安装Strong Cryptography Pack（加固密码系统组件）。“创建新密钥对”。选中该选项。“使用本地机器保存”。对于计算机身份验证应选中该复选框。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册（证书申请和注册（4）填写申请表单。鼠标左键单击）填写申请表单。鼠标左键单击“第第4848页页9.3.6 9.3.6 证书申请和注册证书申请和注册（5）安装此证书。鼠标左键单击“提交”（由于企业证书服务器自动颁发证书，因此用户会立即收到证书已发布的通知信息）如图9.24所示。鼠标左键单击“安装此证书”，即开始安装，证书已经成功安装提示，如图9.25所示。图9.24 安装证书 图9.25安装证书成功 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册（证书申请和注册（5）安装此证书。鼠标左键单击）安装此证书。鼠标左键单击“提提第第4949页页9.3.6 9.3.6 证书申请和注册证书申请和注册（6）完成证书安装后，关闭IE浏览器。要进一步查看获得的证书，可通过“客户端证书管理”进行。在企业证书服务器上打开Internet信息服务管理器，用鼠标右键单击“默认Web站点”的CertSrv目录。再鼠标左键单击“属性”，在“目录安全性”选项卡单击“匿名访问和身份验证控制”下的“编辑”，打开“验证方法”对话框，只选择“集成Windows验证”复选框，如图9.26所示。图9.26设置证书颁发机构的Web目录安全性 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.6证书申请和注册（证书申请和注册（6）完成证书安装后，关闭）完成证书安装后，关闭IE浏览浏览第第5050页页9.3.7 9.3.7 客户端的证书管理客户端的证书管理u客户端的证书管理主要包括申请和安装证书，从证书存储区查找、查看、导入和导出证书。导入和导出证书也是常用的客户证书还原和备份手段。u对于Window 98计算机来说，一般使用支持安全功能的浏览器（如IE）来进行管理。Windows 2000/XP 计算机则提供了基于MMC的证书管理单元，功能更强大。使用Windows 2000证书管理单元可管理用户、计算机或服务的证书。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.7客户端的证书管理客户端的证书管理主要包括申请和安客户端的证书管理客户端的证书管理主要包括申请和安第第5151页页9.3.7 9.3.7 客户端的证书管理客户端的证书管理u可以查看现有证书的细节。如图9.27所示，展开MMC控制台树；鼠标左键双击要查看的证书，打开如图9.28所示的对话框，查看基本信息。图9.27 展开MMC控制台树 图9.28查看证书基本信息 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.7客户端的证书管理可以查看现有证书的细节。如图客户端的证书管理可以查看现有证书的细节。如图9.第第5252页页9.3.7 9.3.7 客户端的证书管理客户端的证书管理u切换到“详细信息”选项卡，如图9.29示，查看详细信息，显示该证书的每个字段和扩展字段。切换“证书路径”选项卡，查看证书的发行关系和证书颁发信任路径，如图9.30示。图9.29 查看证书详细信息 图9.30 查看证书路径信息 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.7客户端的证书管理切换到客户端的证书管理切换到“详细信息详细信息”选项卡，如图选项卡，如图9第第5353页页9.3.7 9.3.7 客户端的证书管理客户端的证书管理u检查受信任的根证书颁发机构。在MMC控制台中展开“受信任的根证收颁发机构”，然后鼠标左击“证书”文件夹，如图9.31示。图9.31查找根证书颁发机构证书 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.7客户端的证书管理检查受信任的根证书颁发机构。在客户端的证书管理检查受信任的根证书颁发机构。在M第第5454页页9.3.7 9.3.7 客户端的证书管理客户端的证书管理u查找带有颁发者证书颁发机构（这里为myCA）的名称的证书，然后查看该证书是否有效，如图9.32示。图9.32 查找根证书颁发机构证书常规选项 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.7客户端的证书管理查找带有颁发者证书颁发机构（这里客户端的证书管理查找带有颁发者证书颁发机构（这里第第5555页页9.3.7 9.3.7 客户端的证书管理客户端的证书管理u打开证书管理单元，选择菜单“查看”“选项”，选择证书模式。这里选择“证书目的”，鼠标左键单击“确定”按钮，将切换到如图9.33所示的界面，按证书用途来显示排列证书。图9.33“证书目的”视图模式 2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.3.7客户端的证书管理打开证书管理单元，选择菜单客户端的证书管理打开证书管理单元，选择菜单“查看查看第第5656页页9.4 9.4 基于基于SSLSSL的的WebWeb安全机制安全机制9.4.1SSL9.4.1SSL安全机制安全机制安全机制安全机制uSSL是一种安全性很高的认证方式，是通过SSL安全机制使用的数字证书。SSL位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。u使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端。客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器；而会话密钥只有在服务器端用私人密钥才能解密。这样，客户端和服务器端就建立了一个惟一的安全通道。2024/7/242024/7/24 SXTU-INC-YWSXTU-INC-YW 9.4基于基于SSL的的Web安全机制安全机制9.4.1SSL安全机制安全机制第第5757页页9.4 9.4 基于基于SSLSSL的的WebWeb安全机制安全机制9.4.29.4.2基于基于基于基于SSLSSL的的的的WebWeb服务器服务器服务器服务器在浏览器和在浏览器和在浏览器和在浏览器和IISWebIISWeb服务器之间建立服务器之间建立服务器之间建立服务器之间建立SSLSSL连接，必须具备连接，必须具备连接，必须具备连接，必须具备以下条件。以下条件。以下条件。以下条件。（1 1）在）在）在）在WebWeb服务器上安装服务器上安装服务器上安装服务器上安装“证书服务证书服务证书服务证书服务”组件。组件。组件。组件。（2 2）从可信的证书颁发机构获取）从可信的证书颁发机构获取）从可信的证书颁发机构获取）从可信的证书颁发机构获取WebWeb服务器证书。服务器证书。服务器证书。服务器证书。（3 3）在）在）在）在WebWeb服务器上安装服务器证书。服务器上安装服务器证书。服务器上安装服务器证书。服务器上安装服务器证书。（4 4）在）在）在）在WebWeb服务器上设置服务器上设置服务器上设置服务器上设置SSLSSL选项。选项。选项。选项。（5 5）客户端必须同）客户端必须同）客户端必须同）客户端必须同WebWeb服务器信任同一证书认证机构服务器信任同一证书认证机构服务器信任同一证书认证机构服务器信任同一证书认证机构（安装（安装（安装（安装CACA证书）。证书）。证书）。证书）。IIS5.0IIS5.0提供了三个新的安全任务向导，用提供了三个新的安全任务向导，用提供了三个新的安全任务向导，用提供了三个新的安全任务向导，用来简化大多数维护来简化大多数维护来简化大多数维护来简化大多数维护WebWeb站点的安全所需的安全任务。站点的安全所需的安全任务。站点的安全所需的安全任务。站点的安全所需的安全任务。2