社区
windows网络管理与配置
帖子详情
★★★★★Win2000中的数字证书问题★★★★★
mishow
2003-09-03 08:04:55
利用Win2000中的数字证书服务,可以实现个人电子签章吗?为什么我申请的证书只能做身份认证?如果可以的话?怎么设置?怎么解决?以及怎么实现签名?谢谢大家了!!!!
...全文
111
14
打赏
收藏
★★★★★Win2000中的数字证书问题★★★★★
利用Win2000中的数字证书服务,可以实现个人电子签章吗?为什么我申请的证书只能做身份认证?如果可以的话?怎么设置?怎么解决?以及怎么实现签名?谢谢大家了!!!!
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
14 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
金正阳
2003-09-20
打赏
举报
回复
好像楼主说的是直接应用方面的问题。
金正阳
2003-09-20
打赏
举报
回复
太好了。我也是做这方面的工作的。大家讨论一下吧。
zhllwarez
2003-09-04
打赏
举报
回复
这可能是因为CA等级不同,其颁发的数字证书的使用范围不同吧,证书的加密解密都是由系统自动完成的,不需要程序员干预,你可以参考网上银行交易的过程,
客户用私钥加密后的资料,即客户端证书是由客户自己导出保管并可以选择是否导出个人私钥,如果客户强加密,则使用客户端证书必须提供个人私钥密码,而个人私钥密码只有个人知道,故由此体现“不可否认性”,而这些都是由系统的证书体系自动完成,程序员只需要编写与之相关的网页代码即可。
mishow
2003-09-04
打赏
举报
回复
谢谢!在IIS这个上面我已经如你讲的一样做过,证书目前用在认证上了
但是还有数字签名的功能没有用上
主要是客户提交数据给服务器端时,要用他的私钥来加密他的数据,我们用它的公钥来解密这么一个过程是怎么用编程来实现的?
是否2000的证书没有数字签章的功能?发出的证书在功用方面只有“明您在遠端電腦上的身分”功能,而在一些认证中心下在得试用证书却有
“確保遠端電腦的識別
證明您在遠端電腦上的身分
確保軟體來自軟體發行者
保護軟體在發行後不會被竄改
保護電子郵件訊息
允許資料以目前的時間來簽署
允許您以數位方式簽署憑證信任清單
允許在 Internet 上進行安全通訊
允許加密磁碟上的資料
Windows 硬體驅動程式驗證
Windows 系統元件驗證
OEM Windows 系統元件驗證
內嵌 Windows 系統元件驗證
Key Pack 授權
授權伺服器驗證
智慧卡登入
數位權利
”等之多
我在一个论坛上看到说不要程序员写代码?那么客户用私钥加密后的资料又保存在哪里?怎么体现“不可否认性“?
多谢!!!
mishow
2003-09-04
打赏
举报
回复
谢谢!在IIS这个上面我已经如你讲的一样做过,证书目前用在认证上了
但是还有数字签名的功能没有用上
主要是客户提交数据给服务器端时,要用他的私钥来加密他的数据,我们用它的公钥来解密这么一个过程是怎么用编程来实现的?
是否2000的证书没有数字签章的功能?发出的证书在功用方面只有“明您在遠端電腦上的身分”功能,而在一些认证中心下在得试用证书却有
“確保遠端電腦的識別
證明您在遠端電腦上的身分
確保軟體來自軟體發行者
保護軟體在發行後不會被竄改
保護電子郵件訊息
允許資料以目前的時間來簽署
允許您以數位方式簽署憑證信任清單
允許在 Internet 上進行安全通訊
允許加密磁碟上的資料
Windows 硬體驅動程式驗證
Windows 系統元件驗證
OEM Windows 系統元件驗證
內嵌 Windows 系統元件驗證
Key Pack 授權
授權伺服器驗證
智慧卡登入
數位權利
”等之多
我在一个论坛上看到说不要程序员写代码?那么客户用私钥加密后的资料又保存在哪里?怎么体现“不可否认性“?
多谢!!!
zhllwarez
2003-09-04
打赏
举报
回复
在服务器IIS上选择虚拟目录"属性"->目录安全性->安全通信->编辑。如果无法使用"编辑",则可能没有安装 Web 服务器证书
选择"要求安全通道 (SSL)"复选框和"要求客户端证书"选项,"确定"。将新的安全设置应用于虚拟根目录下的所有子目录。
zhllwarez
2003-09-04
打赏
举报
回复
不知道我的理解是否有误,你说的可能是用https协议的ssl加密隧道,这个当然直接在iis中设置就行了,iis管理器中有相应的ssl设置。
你不是要必须通过.net编程实现吧?
互相交流学习,谈不上什么指教
mishow
2003-09-04
打赏
举报
回复
谢谢!
我们是准备在企业网内部用2000的证书服务来做
也就是那个CertSrv的asp来完成申请过程,
前段做了认证方面,现在要用数字签名的
很多网上都说只要设置iis就可以实现签名,不用写代码。
可是在.net中都有Certificate 509的类
我们客户端只用web页面,类电子商务网站
请继续指导!!!谢谢!
zhllwarez
2003-09-04
打赏
举报
回复
证书生成方法一
--------------------------------------------------------------------------------
准备工作:
下载http://ftp.intron.ac/pub/security/authenticode.zip,里面包含了由Microsoft、OpenSSL和其它人提供的各种必要工具:
cabarc.exe: 制作.cab压缩包
openssl.exe: 制作PEM格式公钥、密钥
pvk.exe: 将PEM格式的RSA密钥转换为PVK格式
makecert.exe: 制作证书
cert2spc.exe: 转换证书格式
signcode.exe: 签署二进制代码或.cab压缩包
1.用openssl创建CA证书的RSA密钥(PEM格式):
openssl genrsa -des3 -out ca.key 1024
//ca.key为生成的Key文件,1024为密钥的长度.也可以为2048或4096等,长度越长,加密强度越高.
2.用openssl创建CA证书(PEM格式,假如有效期为一年):
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config openssl.cnf
//ca.crt为生成的证书文件,openssl.cnf为配置文件.
3.将PEM格式的ca.key转换为Microsoft可以识别的pvk格式。
pvk -in ca.key -out ca.pvk -nocrypt -topvk
证书生成方法二
--------------------------------------------------------------------------------
1.下载签名工具包
http://msdn.microsoft.com/MSDN-FILES/027/000/219/codesign.exe
运行
makecert -sk myNewKey -r -n "CN=JR21066 CA,OU=JR21066 CA,O=JR21066,E=jr@wn163.net" -ss myNew.cer JR21066CA.cer
//myNewKey是私钥,用于证明此证书属于你.-n后边是证书颁发者LDAP的路径.JR21066CA.cer是证书文件.
//OU=后边为颁发证书的机构名,E=后边是电子邮件地址.
给文件签名
--------------------------------------------------------------------------------
现在你就可以给你的.EXE、 .CAB、 .OCX、或者 .DLL文件签名了。范例如下:
signcode -prog myfilename -name displayname -info <a href="">http://www.mycompany.com</a> -spc mycredentials.spc -pvk myprivatekey.pvk
myfilename:要签名的文件名称
displayname:证书中对该文件的描述
<a href="">http://example.microsoft.com</a> 提供给用户关于下载文件的更详细的信息。
mycredentials:从CA获得的证书文件
myprivatekey:在向CA申请过程期间生成的秘钥。
(注意如果你不带任何参数运行signcode,它将会激活一个向导帮助你一步一步完成签名过程)
测试签名
--------------------------------------------------------------------------------
运行chktrust文件名 测试.EXE、 .DLL、或 .OCX 文件的签名
运行chktrust -c cab文件名.cab测试cab文件的签名
签名进程一旦工作,即会显示一个证书。
好了,现在你已经完成了为文件签名的工作。当使用Internet Explorer从一个Web站点下载这个文件时,用户将会看到一个相同的证书。如果这个文件在经过签名程序后被篡改,就会有提示出现告诉用户不要安装。
mishow
2003-09-04
打赏
举报
回复
大家提供一些实际操作吧,谢谢!
mishow
2003-09-04
打赏
举报
回复
大家都讨论一下吧
Flying_kkd
2003-09-04
打赏
举报
回复
好东西,值得收藏的
zhllwarez
2003-09-03
打赏
举报
回复
如何申请数字签名和公钥和私钥的获取详见:
http://www.powerba.com/develop/os/windows/article/20011003001.htm
zhllwarez
2003-09-03
打赏
举报
回复
可以通过向认证机构购买证书来获得数字签名。认证机构是一个确认身份并发行认证证书的公司。证书中包含发行者的数字签名,是发行者信用的验证。一旦出现问题,认证机构将成为发行者身份的见证人。
在使用数字签名时要使用 Authenticode 技术。Authenticode 的目的是通过建立责任制来阻止有害代码的发行。Authenticode 将验证发布代码的发行人的身份给要下载这份代码的 Internet 最终用户。此外,Authenticode 可以为用户确保该代码在签名后未被改动。
Authenticode 技术来源于公用密钥签名技术。该技术使用了密钥对来加密数据。密钥对用于文件的加密和解密。在公用密钥技术中,公用密钥和私用密钥确保了文件的私有性 。公用密钥用于加密数据,而私用密钥则用来解密数据。尽管该技术用于保护诸如电子邮件之类的小文件是很成功的,但是对于大文件,这一过程却是非常消耗时间的。Authenticode 正是这种技术的一种改进形式,专供大文件使用。
以下是 Authenticode 过程中的一些步骤:
1. 在开发者对文件签名时,要计算一个哈希数。哈希数表示文件的总字节长度。一般可以选用不同的消息摘要技术,X.509标准要求至少提供MD5、SHA-1。该数字用私用密钥加密并插入到文件中。然后,开发者将文件进行打包并将其部署到 Web 服务器上。
2. 当用户下载或安装文件时,他们的计算机计算第二个哈希数,并同原先的进行比较。
如果数字相同,则文件的内容就得到了验证。
3. 浏览器使用公用密钥来决定软件开发者的身份和提供数字签名的认证机构。
4. 认证机构核实开发者的身份,并将包含经私用密钥加密的开发者名字的证书授予开发者。
5. 浏览器使用公用密钥将文件解密。然后进行安装。
关于CA的建设如前所述,CA成为通信活动的瓶颈,通信如果只能访问一个CA,那么CA的负担就会极大,同时由于地理和其他限制,也许有些实体访问CA的难度很大,这就引出了CA的体系结构的问题。
采用分层的想法是解决的一种途径。
如下图所示:
比如Root CA是各国的政府授权的CA机构总署,RootCA可以给各个地方CA授予一定程度的信任权限,在图一中标识为第一层CA(Tier1),当A收到由Tier1的CA或者Tier2的CA签发的证书时,A可以通过验证签发该证书的上级CA的授权来信任Tier1或者Tier2的CA。这样各级的CA都可以被认证。也就是说,只要A信任该CA的任意级的上级CA,A就可以验证该CA的证书的有效性。
实践中的RootCA可以有不止一个。如下图所示:
数字签名的工具与实践
1. Internet Client SDK中的数字签名工具
Internet Client SDK中提供了制作数字签名、证书和以及验证的工具。可以从文字处理 实验室的服务器上免费获得。包括
? Cer2spc
这是一个生成软件发布证书(SPC)的工具。它可以从多个X.509证书创建一个SPC。
? Certmgr 管理SPC的工具,包括增加、删除、重新生成SPC Store的功能。
? Chktrust
检验一个文件包是否含有合法的数字签名 ? Makecert创建一个X.509证书。Signcode使用软件证书为软件包签名的工具。
使用这些工具可以方便的制作各种证书、签名,以及校验。进一步的MSDN中另外还提供了Microsoft CryptoAPI来进一步的操纵生成X.509或者PKCS#7,PKCS#7(RSA Public-Key Cryptography Standard)的证书。
2. Microsoft CryptoAPI
使用CryptoAPI不但可以用于软件下载中的省份验证,而且可以用于网络通讯中的身份验证。
CryptoAPI包含以下几类功能:
? Cryptographic Functions
提供基本对称密钥和公钥系统加密解密算法的实现,以及密钥生成等辅助功能。
? Certificate Store Functions
提供证书存储、分类和目录的功能,协助管理证书、证书恢复列表Certificate Revocation Lists (CRLs), 证书信任列表and Certificate Trust Lists (CTLs).
? Certificate Helper Functions
提供操纵证书的功能,包括比较、证书转换、消息摘要、签名、校验等。
? Crypt Time Valid Object Retrieval Functions
提供时间服务,包括对时间服务器的访问,证书有效时间的验证、修改等。
? OID Support Functions微软的对象标识技术的支持函数,提供对SDCOM(Security DCOM+)的支持
3. X.509证书的标准
ITU-T建议的X.509(ISO/IEC 9594-8)认证证书,结构如下:
域 描述Version版本号 证书版本
Serial Number序列号
Algorithm Identifier数字签名算法标识
Issuer Name发布证书者
Validity:有效日期 不早于XX/XX/XX,不晚于XX/XX/XX
Subject Name证书持有者名
Subject Public Key Info: 证书持有者公钥 公钥算法标识与公钥串
Optional Fields可选Extensions扩展
轻松水印工具可以添加文字
Softii.com人人软件站 -- 为大家做实事! (0 0) +-----oOO----(_)----------+ | | | 『人人软件站』 | | www.softii.com | +------------------oOO----+ |__|__| || || ooO Ooo 注意:关于本站电子书的特别说明? 人人软件站95%的书格式都是pdf和pdg后缀,所以大家只需要下载pdf阅读器和pdg阅读器就可以了。 电子书籍下载注意:PDG文件请用超星阅览器打开;WDL文件请用华康阅读器打开 请使用Adobe Acrobat Reader打开本站的PDF文件;NCL文件用NCL 阅读器打开 001.001类似为后缀的打开方式为:先打开超星阅读器,然后点文件--打开--找到001.001文件,点打开,就OK了。 部分PDF格式书籍打开方式:使用了数字加密,请下载
数字证书
导入后使用READER7.0进行阅读。 (PDF 格式)Adobe Acrobat 7.0.8 简体
中
文完整版 http://www.softii.com/downinfo/531.html (PDG 格式)超星阅读器:http://www.softii.com/downinfo/41718.html (wdl 格式)华康阅读器:http://www.softii.com/downinfo/538.html (NCL 格式)NCL 阅读器:http://www.softii.com/downinfo/541.html (破解方法)
数字证书
:http://www.softii.com/downinfo/35854.html 教程阅读器:http://www.softii.com/downlist/s_465_1.html 游戏模拟器:http://www.softii.com/downlist/s_944_1.html 使用前请您先阅读以下条款: 1、人人软件站仅对原软件包“依样”打包,仅增加此说明文件,不保证所提供软件或程序的完整性和安全性。 2、请在使用前查毒 (这也是您使用其它网络资源所必须注意的) 。 3、在安装时,务必留意查看每一步的Next!以免被安装第三方恶意插件程序。 4、由本站提供的程序对您的网站或计算机造成严重后果的本站概不负责。 5、欢迎再次到人人软件站(http://www.softii.com/)下载您所需要的软件。 6、未经本站明确许可,任何网站不得非法盗链及抄袭本站资源! 一、如何下载资料? 1、请直接点击[人人软件站]所提供的下载点,不能鼠标右键另存为下载该资料。 2、为了达到最快的下载速度,我们推荐用户使用“迅雷”等多线程下载工具。 二、下载资料的扩展名是.ASP用什么打开? 1、我在这里说一下,[人人软件站]上所有资料都不会以".ASP"为扩展名的,如果你下回去的是这样的就是出错了 2、这个
问题
我在用“迅雷”等工具下载时发现了,现在很多网友也有这个
问题
.解决
问题
: 下载的时候请不要重命名,等下载回本地在对软件重命名。 三、为什么无法下载软件? 1、由于该下载服务器此时负担较重,无法承受更多的下载用户。请稍后重试一次或者更换其它的下载点进行下载。 2、您所需要下载的资料正在更新
中
,请退回到该软件介绍页,重新刷新后再进入或者稍后再下载。 3、如果以上办法均无法正常下载,请通知管理员。 Email:softii@QQ.com 四、如何进行下载压缩包的解压? 1、ZIP或RAR文件是压缩格式文件,大家可以下载安装
Win
Rar 等解压缩软件后进行解压缩。 2、MSI文件是microsoft installation文件,在
Win
2000
下可直接安装,
Win
98下可能需要先安装MSI执行文件。 五、有的软件书籍下载后为什么会提示有病毒或木马? [人人软件站]保证站内提供的所有可下载资源(软件等等)都是按软件作者提供的“原样”发布,本站未做过任何改动。 网上病毒猖决,推荐大家装 Norton AntiVirus / Kaspersky 。
中
了病毒或木马可不是好玩的。 同时[人人软件站]也不承担用户因使用这些下载资源对自己和他人造成任何形式的损失或伤害。
网管教程 从入门到精通软件篇.txt
网管教程 从入门到精通软件篇
★
一。
★
详细的xp修复控制台命令和用法!!! 放入xp(
2000
)的光盘,安装时候选R,修复!
Win
dows XP(包括
Win
dows
2000
)的控制台命令是在系统出现一些意外情况下的一种非常有效的诊断和测试以及恢复系统功能的工具。小编的确一直都想把这方面的命令做个总结,这次辛苦老范给我们整理了这份实用的秘笈。 Bootcfg bootcfg 命令启动配置和故障恢复(对于大多数计算机,即 boot.ini 文件)。 含有下列参数的 bootcfg 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 bootcfg 命令。 用法: bootcfg /default 设置默认引导项。 bootcfg /add 向引导列表
中
添加
Win
dows 安装。 bootcfg /rebuild 重复全部
Win
dows 安装过程并允许用户选择要添加的内容。 注意:使用 bootcfg /rebuild 之前,应先通过 bootcfg /copy 命令备份 boot.ini 文件。 bootcfg /scan 扫描用于
Win
dows 安装的所有磁盘并显示结果。 注意:这些结果被静态存储,并用于本次会话。如果在本次会话期间磁盘配置发生变化,为获得更新的扫描,必须先重新启动计算机,然后再次扫描磁盘。 bootcfg /list 列出引导列表
中
已有的条目。 bootcfg /disableredirect 在启动引导程序
中
禁用重定向。 bootcfg /redirect [ PortBaudRrate] |[ useBiosSettings] 在启动引导程序
中
通过指定配置启用重定向。 范例: bootcfg /redirect com1 115200 bootcfg /redirect useBiosSettings hkdsk 创建并显示磁盘的状态报告。Chkdsk 命令还可列出并纠正磁盘上的错误。 含有下列参数的 chkdsk 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 chkdsk 命令。 vol [drive:] [ chkdsk [drive:] [/p] [/r] 参数 无 如果不带任何参数,chkdsk 将显示当前驱动器
中
的磁盘状态。 drive: 指定要 chkdsk 检查的驱动器。 /p 即使驱动器不在 chkdsk 的检查范围内,也执行彻底检查。该参数不对驱动器做任何更改。 /r 找到坏扇区并恢复可读取的信息。隐含着 /p 参数。 注意 Chkdsk 命令需要 Autochk.exe 文件。如果不能在启动目录(默认为 %systemroot%System32)
中
找到该文件,将试着在
Win
dows 安装 CD
中
找到它。如果有多引导系统的计算机,必须保证是在包含
Win
dows 的驱动器上使用该命令。 Diskpart 创建和删除硬盘驱动器上的分区。diskpart 命令仅在使用故障恢复控制台时才可用。 diskpart [ /add |/delete] [device_name |drive_name |partition_name] [size] 参数 无 如果不带任何参数,diskpart 命令将启动 diskpart 的
Win
dows 字符模式版本。 /add 创建新的分区。 /delete 删除现有分区。 device_name 要创建或删除分区的设备。设备名称可从 map 命令的输出获得。例如,设备名称: DeviceHardDisk0 drive_name 以驱动器号表示的待删除分区。仅与 /delete 同时使用。以下是驱动器名称的范例: D: partition_name 以分区名称表示的待删除分区。可代替 drive_name 使用。仅与 /delete 同时使用。以下是分区名称的范例: DeviceHardDisk0Partition1 大小 要创建的分区大小,以兆字节 (MB)表示。仅与 /add 同时使用。 范例 下例将删除分区: diskpart /delete Device HardDisk0 Partition3 diskpart /delete F: 下例将在硬盘上添加一个 20 MB 的分区: diskpart /add Device HardDisk0 20 Fixboot
Openssl生成pem格式的
数字证书
(适配
win
2000
)
在Openssl库生成
数字证书
总结(适配
win
2000
)一文
中
我们已经实现了crt后缀证书的生成,现在说一下怎么生成pem后缀的证书。大体思路很简单,就是使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书server和client。下面就来说一下实现的具体步骤: 一、命令行进入openssl的out32dll路径下,新建一个private文件夹用于放置我们生成的各种证书文件。 二、生成根证书 1、生成根证书私钥 -- ...
Openssl库生成
数字证书
总结(适配
win
2000
)
在Openssl适配
win
2000
系统总结一文
中
,我们已经实现了Openssl库在
win
2000
上的适配。下面就来说一下怎么使用编译好的Openssl库来生成
数字证书
。 首先需要使用命令行进入Openssl生成库文件的目录out32dll,然后执行以下操作: 一、服务端 1、创建私钥,密码设置为123456 openssl genrsa -des3 -out server.key 1024 ...
如何在
Win
dows
2000
域控制器
中
配置
数字证书
来确保 LDAP 和 SMTP 复制的安全
目标 使用本模块可以实现: • 在域控制器
中
配置
数字证书
来确保 LDAP 和 SMTP 复制的安全。 适用范围 本模块适用于下列产品和技术: • Microsoft®
Win
dows®
2000
操作系统 小结 本模块显示了如何在域控制器
中
配置
数字证书
,从而确保 LDAP 和 SMTP 复制的安全。 必须了解的信息
数字证书
可由任意满足证书格式要求的证书颁发机构 (CA)
windows网络管理与配置
6,185
社区成员
60,364
社区内容
发帖
与我相关
我的任务
windows网络管理与配置
windows网络管理与配置
复制链接
扫一扫
分享
社区描述
windows网络管理与配置
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章