實(shí)現(xiàn)證書自動(dòng)信任機(jī)制

利用證書，可以實(shí)現(xiàn)加密和認(rèn)證機(jī)制，可以有力的保護(hù)網(wǎng)絡(luò)安全。要想使用證書，用戶必須向CA證書頒發(fā)機(jī)構(gòu)進(jìn)行申請，才可以得到并安裝證書。但是，要想讓證書發(fā)揮作用，用戶的計(jì)算機(jī)必須信任CA證書頒發(fā)機(jī)構(gòu)。

例如，在域環(huán)境中，對(duì)于企業(yè)根CA來說，域中的所有主機(jī)都可以自動(dòng)信任該企業(yè)根CA。但是，如果采用獨(dú)立根CA，并由非域管理員等權(quán)限較低的用戶安裝在成員服務(wù)器，就需要用戶手工下載CA根證書，之后導(dǎo)入到本機(jī)中的受信任的根證書頒發(fā)機(jī)構(gòu)列表中。當(dāng)然，對(duì)于外網(wǎng)上的獨(dú)立根CA來說，用戶的計(jì)算機(jī)也不會(huì)自動(dòng)信任其根CA。其實(shí)，使用組策略就可以輕松解決上述根證書的信任問題。

信任內(nèi)網(wǎng)中的獨(dú)立根CA

在一些公司內(nèi)網(wǎng)中，獨(dú)立CA是安裝在成員服務(wù)器上的，而且安裝者并不具備訪問活動(dòng)目錄域服務(wù)的權(quán)限。在域中的某臺(tái)主機(jī)上訪問“http://xxx.xxx.xxx.xxx/certsrv”地址，其中的“xxx.xxx.xxx.xxx”為獨(dú)立根CA的主機(jī)地址，在證書申請頁面中點(diǎn)擊“下載CA證書、證書鏈或CRL”鏈接，在下一步頁面中點(diǎn)擊“下載CA證書鏈”鏈接，會(huì)得到名為“certnew.p7b”的文件，其中包含證書和證書路徑信息。如果點(diǎn)擊“下載CA證書”鏈接，會(huì)得到名為“certnew.cer”的文件，這僅僅是一個(gè)證書而不包含證書存儲(chǔ)路徑信息。

圖1 導(dǎo)入受信任的根證書頒發(fā)機(jī)構(gòu)

如果該機(jī)已經(jīng)存儲(chǔ)有CA根證書，可以在IE的Internet選項(xiàng)窗口中打開“內(nèi)容”面板，點(diǎn)擊“證書”按鈕，在證書窗口中的“受信任的很證書頒發(fā)機(jī)構(gòu)”面板中找到目標(biāo)CA根證書，點(diǎn)擊導(dǎo)出按鈕，在向?qū)Ы缑嬷羞x擇“DER編碼二進(jìn)制X.509”或“Base64編碼二進(jìn)制X.509”項(xiàng)，將得到后綴為“.cer”的證書。……