㈠ 網上認證的伺服器地址是什麼
解決此問題的方法:右擊網上鄰居、屬性,找本地連接,然後右擊本地連接、屬性、找Internet協議(TCP/IP)然後在點屬性,然後在點擊高級,點WINS選項卡,把啟動LMHOSTS查詢前面方框的對號去掉你要先查看是否安裝了類似「yahoo助手」之類的軟體,有安裝的話請你卸載之後再進行嘗試 同時請你查看是否准確無誤的安裝了最新版的客戶端 或者嘗試在登陸失敗的機器上使用其他的帳號,是否也會失敗, 或者把認證失敗的帳號換台機器,或者換個網路環境登陸是否正常.
伺服器沒有連接,你可以檢查一下路由器的連接是否正常。或者您可以試下這個方法:
打開 寬頻連接 的屬性,
進去之後點 網路(這個是您的ADSL連接的網路接入)
然後打開 TCP/IP的屬性,
是 自動獲取DNS伺服器地址 的話 就改成 使用下面的DNS伺服器地址
然後斷開網路連接在重新連上
再把 使用下面的DNS伺服器地址 改成 自動獲取DNS伺服器地址
斷開網路連接在重新連上
如果本來就是 使用下面的DNS伺服器地址的
改成 自動獲取DNS伺服器地址
斷開網路連接在重新連上
讓修改生效就可以了
ok了 就選我哦
㈡ 福建政府采購網ca證書怎麼申請
福建政府采購網ca證書申請的步驟如下:
1、帶上公司的營業執照復印件,公章,法人,經辦人身份證明到福建ca證書有限公司的受理大廳。
2、現場填寫資料進行辦理。
㈢ 數字證書是做什麼的啊求答案
它以數字證書為核心的加密技術可以對網路上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性。 使用了數字證書,即使您發送的信息在網上被他人截獲,甚至您丟失了個人的賬戶、密碼等信息,仍可以保證您的賬戶、資金安全。 它能提供在Internet上進行身份驗證的一種權威性電子文檔,人們可以在互聯網交往中用它來證明自己的身份和識別對方的身份。當然在數字證書認證的過程中證書認證中心(CA)作為權威的、公正的、可信賴的第三方,其作用是至關重要的.如何判斷數字認證中心公正第三方的地位是權威可信的,國家工業和信息化部以資質合規的方式,陸續向天威誠信數字認證中心等30家相關機構頒發了從業資質。 由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險. 為了保證互聯網上電子交易及支付的安全性,保密性等,防範交易及支付過程中的欺詐行為,必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份,並且在網上能夠有效無誤的被進行驗證。 特點安全性 (1)為了避免傳統數字證書方案中,由於使用不當造成的證書丟失等安全隱患,支付寶創造性的推出雙證書解決方案: 支付寶會員在申請數字證書時,將同時獲得兩張證書,一張用於驗證支付寶賬戶,另一張用於驗證會員當前所使用的計算機。(2)第二張證書不能備份,會員必須為每一台計算機重新申請一張。這樣即使會員的數字證書被他人非法竊取,仍可保證其賬戶不會受到損失。(3)支付盾是一個類似於U盤的實體安全工具,它內置的微型智能卡處理器能阻擋各種的風險,讓您的賬戶始終處於安全的環境下。 唯一性 (1)支付寶數字證書根據用戶身份給予相應的網路資源訪問許可權 (2)申請使用數字證書後,如果在其他電腦登錄支付寶賬戶,沒有導入數字證書備份的情況下,只能查詢賬戶,不能進行任何操作,這樣就相當於您擁有了類似「鑰匙」一樣的數字憑證,增強賬戶使用安全。 方便性 (1)即時申請、即時開通、即時使用。 (2)量身定製多種途徑維護數字證書,例如通過簡訊,安全問題等。 (3)不需要使用者掌握任何數字證書相關知識,也能輕松掌握。 頒發過程 數字證書頒發過程一般為:用戶首先產生自己的密鑰對,並將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份後,將執行一些必要的步驟,以確信請求確實由用戶發送而來,然後,認證中心將發給用戶一個數字證書,該證書內包含用戶的個人信息和他的公鑰信息,同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同,每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。 相關作用 基於Internet網的電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須對於在網際網路上進行的一切金融交易運作都是真實可靠的,並且要使顧客、商家和企業等交易各方都具有絕對的信心,因而網際網路(Internet)電子商務系統必須保證具有十分可靠的安全保密技術,也就是說,必須保證網路安全的四大要素,即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份 的確定性。 信息的保密性 交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信 息傳播中一般均有加密的要求。 交易者身份的確定性 網上交易的雙方很可能素昧平生,相隔千里。要使交易成功首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店,為了做到安全、保密、可靠地開展服務活動, 都要進行身份認證的工作。對有關的銷售商店來說,他們對顧客所用的信用卡的號碼是不知道的,商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法,確認顧客的身份是否合法,同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。 不可否認性 由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能否認受到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。 不可修改性 交易的文件是不可被修改的,如上例所舉的訂購黃金。供貨單位在收到訂單後, 發現金價大幅上漲了,如其能改動文件內容,將訂購數1噸改為1克,則可大幅受益, 那麼訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴肅和公正。 人們在感嘆電子商務的巨大潛力的同時,不得不冷靜地思考,在人與人互不見面的計算機互聯網上進行交易和作業時,怎麼才能保證交易的公正性和安全性,保證交易雙方身份的真實性。國際上已經有比較成熟的安全解決方案, 那就是建立安全證書體系結構。數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制,其它還包括對稱密鑰加密、數字簽名、數字信封等技術。 我們可以使用數字證書,通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統,從而保證:信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己的信息不能抵賴。 授權機構 數字證書工作基本原理圖CA機構,又稱為證書授證(Certificate Authority)中心,作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。它負責產生、分配並管理所有參與網上交易的個體所需的數字證書,因此是安全電子交易的核心環節。由此可見,建設證書授權(CA)中心,是開拓和規范電子商務市場必不可少的一步。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對用戶的身份真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發並管理符合國內、國際安全電子 交易協議標準的電子商務安全證書。 [編輯本段]工作原理 數字證書採用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰),在計算上是不可能的。按現在的計算機技術水平,要破解目前採用的1024位RSA密鑰,需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密,安全地傳送給商戶,然後由商戶用自己的私有密鑰進行解密。 用戶也可以採用自己的私鑰對信息加以處理,由於密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。採用數字簽名,能夠確認以下兩點: 保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認; 保證信息自簽發後到收到為止未曾作過任何修改,簽發的文件是真實文件。 數字證書里存有很多數字和英文,當使用數字證書進行身份認證時,它將隨機生成128位的身份碼,每份數字證書都能生成相應但每次都不可能相同的數碼,從而保證數據傳輸的保密性,即相當於生成一個復雜的密碼。 數字證書綁定了公鑰及其持有者的真實身份,它類似於現實生活中的居民身份證,所不同的是數字證書不再是紙質的證照,而是一段含有證書持有者身份信息並經過認證中心審核簽發的電子數據,可以更加方便靈活地運用在電子商務和電子政務中。 [編輯本段]數字簽名 將報文按雙方約定的HASH演算法計算得到一個固定位數的報文摘要。在數學上保證:只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。 將該報文摘要值用發送者的私人密鑰加密,然後連同原報文一起發送給接收者,而產生的報文即稱數字簽名。 接收方收到數字簽名後,用同樣的HASH演算法對報文計算摘要值,然後與用發送者的公開密鑰進行解密解開的報文摘要值相比較。如相等則說明報文確實來自所稱的發送者。 [編輯本段]分類 基於數字證書的應用角度分類,數字證書可以分為以下幾種: 伺服器證書 伺服器證書被安裝於伺服器設備上,用來證明伺服器的身份和進行通信加密。伺服器證書可以用來防止假冒站點。 數字證書頒發過程圖示在伺服器上安裝伺服器證書後,客戶端瀏覽器可以與伺服器證書建立SSL連接,在SSL連接上傳輸的任何數據都會被加密。同時,瀏覽器會自動驗證伺服器證書是否有效,驗證所訪問的站點是否是假冒站點,伺服器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。全球知名的伺服器證書品牌有verisign., Thawte, geotrust等。 SSL證書主要用於伺服器(應用)的數據傳輸鏈路加密和身份認證,綁定網站域名,不同的產品對於不同價值的數據和要求不同的身份認證。超真SSL和超快SSL在頒發時間上已經沒有什麼區別,主要區別在於:超快SSL只驗證域名所有權,證書中不顯示單位名稱;而超真SSL需要驗證域名所有權、營業執照和第三方資料庫驗證,證書中顯示單位名稱: 電子郵件證書 電子郵件證書可以用來證明電子郵件發件人的真實性。它並不證明數字證書上面CN一項所標識的證書所有者姓名的真實性,它只證明郵件地址的真實性。 收到具有有效電子簽名的電子郵件,我們除了能相信郵件確實由指定郵箱發出外,還可以確信該郵件從被發出後沒有被篡改過。 另外,使用接收的郵件證書,我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網路傳輸,只有接收方的持有者才可能打開該郵件。 客戶端個人證書 客戶端證書主要被用來進行身份驗證和電子簽名。 安全的客戶端證書我被存儲於專用的usbkey中。存儲於key中的證書不能被導出或復制,且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey,且需要知道key的保護密碼,這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的種類有多種,指紋識別、第三鍵確認,語音報讀,以及帶顯示屏的專用usbkey和普通usbkey等。 目前的數字證書在廣義上可分為:個人數字證書、單位數字證書、單位員工數字證書、伺服器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。 [編輯本段]證書格式 目前數字證書的格式普遍採用的是X.509 V3國際標准,內容包括證書序列號、證書持有者名稱、證書頒發者名稱、證書有效期、公鑰、證書頒發者的數字簽名等. 各地CA認證機構有:山東CA | 寧夏CA | 河南CA | 陝西CA | 福建CA | 江蘇CA | 安徽CA| 山西CA |廣西CA | 天津CA |遼寧CA |江西CA |四川CA |河北CA |湖南CA | 已依法取得認證資格的機構 河南省數字證書有限責任公司 深圳市電子商務安全證書管理有限公司 天津電子認證服務中心 山東省數字證書認證管理有限公司 中國金融認證中心有限公司 西部安全認證中心有限責任公司(寧夏) 北京天威誠信電子商務服務有限公司 陝西省數字證書認證中心有限責任公司 國投安信數字證書認證有限公司 廣東省電子商務認證有限公司 廣東數字證書認證中心有限公司 上海市數字證書認證中心有限公司 北京數字證書認證中心有限公司 遼寧數字證書認證管理有限公司 湖北省數字證書認證管理中心有限公司 頤信科技有限公司 江蘇省電子商務證書認證中心有限責任公司 東方中訊數字證書認證有限公司 浙江省數字安全證書管理有限公司 福建省數字安全證書管理有限公司 新疆數字證書認證中心(有限公司) 北京國富安電子商務安全認證有限公司 安徽省電子認證管理中心有限責任公司 河北省電子商務認證有限公司 [編輯本段]證書申請 一般來講,用戶要攜帶有關證件到各地的證書受理點,或者直接到證書發放機構即CA中心填寫申請表並進行身份審核,審核通過後交納一定費用就可以得到裝有證書的相關介質(磁碟或Key)和一個寫有密碼口令的密碼信封。 使用方法 用戶在進行需要使用證書的網上操作時,必須准備好裝有證書的存儲介質。如果用戶是在自己的計算機上進行操作,操作前必須先安裝CA根證書。一般所訪問的系統如果需要使用數字證書會自動彈出提示框要求安裝根證書,用戶直接選擇確認即可;當然也可以直接登陸CA中心的網站,下載安裝根證書。操作時,一般系統會自動提示用戶出示數字證書或者插入證書介質(IC卡或Key),用戶插入證書介質後系統將要求用戶輸入密碼口令,此時用戶需要輸入申請證書時獲得的密碼信封中的密碼,密碼驗證正確後系統將自動調用數字證書進行相關操作。使用後,用戶應記住取出證書介質,並妥善保管。當然,根據不同系統數字證書會有不同的使用方式,但系統一般會有明確提示,用戶使用起來都較為方便。
㈣ 為什麼我的地稅CA證書進不去
1.使用CA證書登錄網上辦稅系統,輸入登錄名和密碼後,頁面提示網頁上有錯誤,或無法連接數字證書。
答:①
客戶端軟體未安裝正確,請登錄福建CA網站下載客戶端軟體,(下載地址:www.fjca.com.cn下載專區/客戶端軟體下載)。根據數字證書客戶端軟體安裝注意事項重新安裝客戶端軟體後,再登錄網上辦稅系統。②
使用瀏覽器有問題,請使用IE瀏覽器登錄。③ 請確認數字證書是否接入電腦USB口。④ 若還是無法解決問題,請撥打0591-968806客服電話咨詢處理。
2. 登錄網上辦稅系統,提示:訪問資料庫時發生系統錯誤。錯誤代碼:2003。
答:資料庫問題,請撥打0591-968806客服電話咨詢處理。
3. 登錄網上辦稅系統,提示:您的數字證書非福建CA簽發的數字證書。錯誤代碼:2011。
答:①
請確認使用的證書是否為福建CA簽發的數字證書。② 若您還是無法解決問題,請撥打0591-968806客服電話咨詢處理。
4. 登錄網上辦稅系統,提示:您的數字證書有效期已到期。錯誤代碼為:2012。
答:①
打開數字證書客戶端軟體,輸入密碼,查看證書有效期,若已到期,請登陸http://www.fjca.com.cn,選擇證書延長有效期/操作延期。②
若您還是無法解決問題,請撥打0591-968806客服電話咨詢處理。
5.登錄網上辦稅系統,提示:您的數字證書已被注銷,錯誤代碼:2013。
答:證書是注銷狀態,請撥打0591-968806客服電話咨詢處理。
6. 登錄網上辦稅系統,提示:您的數字證書暫時未開通或者尚未繳納證書服務費。錯誤代碼為:2014。
答:①
未開通數字證書地稅應用服務,請開通後再申報。 ② 請撥打0591-968806客服電話咨詢處理。
7. 登錄網上辦稅系統,提示:您的數字證書暫時未開通或者證書信息正在審核整理中。錯誤代碼:2015。
答:①
未開通數字證書地稅應用服務,請開通後再申報。 ② 請撥打0591-968806客服電話咨詢處理。
8. 登錄網上辦稅系統,提示:您的數字證書網上報稅服務期限已到,請您及時繳費。錯誤代碼:2016。
答:請撥打0591-968806客服電話咨詢處理,查詢地稅服務有效期情況。
9.登錄網上辦稅系統,輸入登錄名密碼後提示:讀取數字證書錯誤,請確認您的電腦上是否正常安裝或者未安裝福建CA數字證書客戶端軟體。錯誤代碼為:2019。
答:請確認數字證書是否接入電腦USB口。
10. 登錄網上辦稅系統,輸入登錄名和密碼,點登錄後,提示:您的數字證書網上地稅服務期限將在"X 天"後到期,請您及時繳費。
答:①
打開數字證書客戶端軟體,輸入密碼,查看證書有效期,若已到期,請登陸http://www.fjca.com.cn,選擇證書延長有效期/操作延期。②
若您還是無法解決問題,請撥打0591-968806客服電話咨詢處理。
11. 登錄網上辦稅系統,提示:沒有接入USBKEY錯誤,初始化失敗,或者提示沒有打開KEY或沒有插入KEY,。
答:①
是否接入數字證書。② 檢查電腦的USB介面接觸情況。③ 客戶端軟體是否正確安裝。④若您還是無法解決問題,請撥打0591-968806客服電話咨詢處理。
12. 電腦連接數字證書時,無密碼框彈出。
答:①
客戶端軟體未安裝正確,請登錄福建CA網站下載客戶端軟體,(下載地址:www.fjca.com.cn/下載專區/客戶端軟體下載)。根據數字證書客戶端軟體安裝注意事項”重新安裝客戶端軟體後,再登錄網上辦稅系統。②
若還是無法解決問題,請撥打0591-968806客服電話咨詢處理。
13. 電腦連接數字證書時,提示:證書在90天內即將過期,請及時延長證書有效期。
答:①
打開數字證書客戶端軟體,輸入密碼,查看證書有效期,若已到期,請登陸http://www.fjca.com.cn,選擇證書延長有效期/操作延期。②
若您還是無法解決問題,請撥打0591-968806客服電話咨詢處理。
㈤ 什麼是ca伺服器及其作用
你說的CA伺服器應該是指CA認證機構的機房的伺服器,或者是企業自建CA的伺服器,你先看看下面的文章,有什麼不明白的可以再提問~~
為保證網上數字信息的傳輸安全,除了在通信傳輸中採用更強的加密演算法等措施之外,必須建立一種信任及信任驗證機制,即參加電子商務的各方必須有一個可以被驗證的標識,這就是數字證書。數字證書是各實體(持卡人/個人、商戶/企業、網關/銀行等)在網上信息交流及商務交易活動中的身份證明。該數字證書具有唯一性。它將實體的公開密鑰同實體本身聯系在一起,為實現這一目的,必須使數字證書符合X.509國際標准,同時數字證書的來源必須是可靠的。這就意味著應有一個網上各方都信任的機構,專門負責數字證書的發放和管理,確保網上信息的安全,這個機構就是CA認證機構。各級CA認證機構的存在組成了整個電子商務的信任鏈。如果CA機構不安全或發放的數字證書不具有權威性、公正性和可信賴性,電子商務就根本無從談起。
數字證書認證中心(Certficate Authority,CA)是整個網上電子交易安全的關鍵環節。它主要負責產生、分配並管理所有參與網上交易的實體所需的身份認證數字證書。每一份數字證書都與上一級的數字簽名證書相關聯,最終通過安全鏈追溯到一個已知的並被廣泛認為是安全、權威、足以信賴的機構--根認證中心(根CA)。
電子交易的各方都必須擁有合法的身份,即由數字證書認證中心機構(CA)簽發的數字證書,在交易的各個環節,交易的各方都需檢驗對方數字證書的有效性,從而解決了用戶信任問題。CA涉及到電子交易中各交易方的身份信息、嚴格的加密技術和認證程序。基於其牢固的安全機制,CA應用可擴大到一切有安全要求的網上數據傳輸服務。
數字證書認證解決了網上交易和結算中的安全問題,其中包括建立電子商務各主體之間的信任關系,即建立安全認證體系(CA);選擇安全標准(如SET、SSL);採用高強度的加、解密技術。其中安全認證體系的建立是關鍵,它決定了網上交易和結算能否安全進行,因此,數字證書認證中心機構的建立對電子商務的開展具有非常重要的意義。
認證中心(CA),是電子商務體系中的核心環節,是電子交易中信賴的基礎。它通過自身的注冊審核體系,檢查核實進行證書申請的用戶身份和各項相關信息,使網上交易的用戶屬性客觀真實性與證書的真實性一致。認證中心作為權威的、可信賴的、公正的第三方機構,專門負責發放並管理所有參與網上交易的實體所需的數字證書。
㈥ CA證書與DHCP服務
1、創建私有CA並進行證書申請。
1 :創建 CA 私鑰
$ openssl genrsa -des3 -out ca.key 4096
2 :生成 CA 的自簽名證書,其實 CA 證書就是一個自簽名證書
$ openssl req -new -x509 -days 365 -key ca.key -outca.crt
3 :生成需要頒發證書的私鑰
$ openssl genrsa -des3 -out server.key 4096
4 :生成要頒發證書的證書簽名請求
Ps:證書簽名請求當中的 Common Name 必須區別於 CA 的證書裡面的 Common
Name
$ openssl req -new -key server.key -out server.csr
5 :創建一個ext文件,內容如下
keyUsage = nonRepudiation, digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@SubjectAlternativeName
[ SubjectAlternativeName ]
DNS.1=abc.com
DNS.2=*.abc.com
6 :用 2 創建的 CA 證書給 4 生成的 簽名請求 進行簽名
$ openssl x509 -req -days 365 -extfile http.ext -inserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
7 :最終會得到一下幾個文件
ca.crt: 這個是ca證書,客戶端信任該證書意味著會信任該證書頒發出去的所有證書
ca.key: ca證書的密鑰
server.key: 伺服器密鑰,需要配置的
server.csr: 證書簽名請求,通常是交給CA機構,這里我們就自己解決了
server.crt: 伺服器證書,需要配置的
2、總結ssh常用參數、用法
ssh命令是ssh客戶端,允許實現對遠程系統經驗證地加密安全訪問。ssh客戶端配置文件是:/etc/ssh/ssh_config
ssh
命令配合的常見選項:
-p port
:遠程伺服器監聽的埠
ssh 192.168.1.8 -p 2222
-b
指定連接的源IP
ssh 192.168.1.8 -p 2222 -b 192.168.1.88
-v
調試模式
ssh 192.168.1.8 -p 2222 -v
-C
壓縮方式
-X
支持x11轉發支持將遠程linux主機上的圖形工具在當前設備使用
-t
強制偽tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ssh
remoteserver3
-o option
如:-oStrictHostKeyChecking=no
-i
指定私鑰文件路徑,實現基於key驗證,默認使用文件:~/.ssh/id_dsa,
~/.ssh/id_ecdsa,/.ssh/id_ed25519
,/.ssh/id_rsa等
3、總結sshd服務常用參數。伺服器端的配置文件: /etc/ssh/sshd_config
常用參數:
Port #
埠號
ListenAddress ipLoginGraceTime 2m #
寬限期
PermitRootLogin yes #
默認ubuntu不允許root遠程ssh登錄
StrictModes yes #
檢查.ssh/文件的所有者,許可權等
MaxAuthTries 6
MaxSessions 10 #
同一個連接最大會話
PubkeyAuthentication yes #
基於key驗證
PermitEmptyPasswords no #
空密碼連接
PasswordAuthentication yes #
基於用戶名和密碼連接
GatewayPorts no
ClientAliveInterval 10 #
單位:秒
ClientAliveCountMax 3 #
默認3
UseDNS yes #
提高速度可改為no
GSSAPIAuthentication yes #
提高速度可改為no
MaxStartups #
未認證連接最大值,默認值10
Banner /path/file
以下可以限制可登錄用戶的辦法:
AllowUsers user1 user2 user3
DenyUsers
AllowGroups
ssh
服務的最佳實踐建議使用非默認埠禁止使用protocol version 1
限制可登錄用戶設定空閑會話超時時長利用防火牆設置ssh訪問策略僅監聽特定的IP地址基於口令認證時,使用強密碼策略,比如:tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|
xargs
使用基於密鑰的認證禁止使用空密碼禁止root用戶直接登錄限制ssh的訪問頻度和並發在線數經常分析日誌
4、搭建dhcp服務,實現ip地址申請分發
一、配置DHCP伺服器
1、安裝DHCP伺服器軟體
[root@centos01 ~]# mount /dev/cdrom /mnt/<!--掛載操作系統光碟-->
mount: /dev/sr0 防寫,將以只讀方式掛載
[root@centos01 ~]# rm -rf /etc/yum.repos.d/CentOS-*<!--刪除系統自動yum源-->
[root@centos01 ~]# yum -y install dhcp<!--安裝DHCP服務 -->
2、建立主配置文件dhcpd.conf
[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--編輯主配置文件-->
:r /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example<!--讀取默認配置文件-->
ddns-update-style none;<!--禁用DNS動態更新-->
option domain-name "benet.com";<!--指定默認搜索域-->
option domain-name-servers 202.106.0.10, 202.106.0.20;
<!--指定DNS伺服器地址-->
default-lease-time 600;<!--默認租約時間-->
max-lease-time 7200;<!--最大租約時間-->
1)/etc/dhcp/dhcpd.conf文件的配置構成
在主配置文件dhcpd.conf中,可以使用聲明、參數、選項這三種類型的配置,各自的作用和表現形式如下所述:
聲明:用來描述dhcpd伺服器中對網路布局的劃分,是網路設置的邏輯范圍。常見的聲明是subnet、host,其中subnet聲明用來約束一個網段。host聲明用來約束一台特定主機。
參數:由配置關鍵字和對應的值組成,總是以「;」(分號)結束,一般位於指定的聲明範圍之內,用來設置所在范圍的運行特性(如默認租約時間、最大租約時間等)。
選項:由「option」引導,後面跟具體的配置關鍵字和對應的值,也是以「;」結束,用於指定分配給客戶機的各種地址參數(如默認網關地址、子網掩碼、DNS伺服器地址等)。
2)確定dhcpd服務的全局配置
為了使配置文件的結構更加清晰、全局配置通常會放在配置文件dhcod.conf的開頭部分,可以是配置參數,也可以是配置選項。常用的全局配置參數和選項如下所述:
ddns-update-style:動態DNS更新模式。用來設置與DHCP服務相關聯的DNS數據動態更新模式。在實際的DHCP應用中很少用到該參數。將值設為「none」即可。
default-lease-time:默認租約時間。單位為秒,表示客戶端可以從DHCP伺服器租用某個IP地址的默認時間。
max-lease-time:最大租約時間。單位為秒,表示允許DHCP客戶端請求的最大租約時間,當客戶端未請求明確的租約時間時,伺服器將採用默認租約時間。
option domain-name:默認搜索區域。未客戶機指定解析主機名時的默認搜索域,該配置選項將體現在客戶機的/etc/resolv.conf配置文件中,如「search benet.com」。
option domain-name-servers:DNS伺服器地址。為客戶端指定解析域名時使用的DNS伺服器地址,該配置選項同樣將體現在客戶機的/etc/resolv.conf配置文件中,如「nameserver 202.106.0.20」。需要設置多個DNS伺服器地址時,以逗號進行分隔。
3)確定subnet網段聲明
一台DHCP伺服器可以為多個網段提供服務,因此subnet網段聲明必須有而且可以有多個。例如,若要DHCP伺服器為192.168.100.0/24網段提供服務,用於自動分配的IP地址范圍為192.168.100。100~192.168.100.200,為客戶機指定默認網關地址為192.168.100.254,則ke可以修改dhcpd.conf配置文件,參考以下內容調整subnet網段聲明:
[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--編輯主配置文件-->
subnet 192.168.100.0 netmask 255.255.255.0 {<!--聲明網段地址-->
range 192.168.100.100 192.168.100.200;<!--設置地址池,可以有多個-->
option routers 192.168.100.254;<!--指定默認網關地址-->
}
4)確定host主機聲明
host聲明用於設置單個主機的網路屬性,通常用於為網路列印機或個別伺服器分配固定的IP地址(保留地址),這些主機的共同特點是要求每次獲取的IP地址相同,以確保服務的穩定性。
host聲明通過host關鍵字指定需要使用保留地址的客戶機名稱,並使用「hardware ethernet」參數指定該主機的MAC地址,使用「fixed-address」參數指定保留給該主機的IP地址。例如,若要為列印機prtsvr(MAC地址為00:0C:29:0D:BA:6B)分配固定的IP地址192.168.100.101,可以修改dhcpd.conf配置文件,參考以下內容在網段聲明內添加host主機聲明。
C:\Users\Administrator>getmac
物理地址 傳輸名稱
=================== =======================================================
00-0C-29-0D-BA-6B \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客戶端獲取MAC地址-->
[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf
host win7 {
hardware ethernet 00:0C:29:0D:BA:6B;<!--客戶機的MAC地址-->
fixed-address 192.168.100.101;<!--分配給客戶機的IP地址-->
}
3、啟動dhcpd服務
在啟動dhcpd服務之前,應確認提供DHCP伺服器的網路介面具有靜態指定的固定IP地址,並且至少有一個網路介面的IP地址與DHCP伺服器中的一個subnet網段相對應,否則將無法正常啟動dhcpd服務。例如,DHCP伺服器的IP地址為192.168.100.10,用於為網段192。168.100.0/24內的其他客戶機提供自動分配地址服務。
安裝dhcp軟體包以後,對應的系統服務腳本位於/usr/lib/systemd/system/dhcpd.service,可以使用systemd服務進行控制。例如,執行以下操作可以啟動dhcpd服務,並檢查UDP的67埠是否在監聽,以確認DHCP伺服器是否正常。
[root@centos01 ~]# systemctl start dhcpd<!--啟動dhcp服務-->
[root@centos01 ~]# systemctl enable dhcpd<!--設置服務開機自動啟動-->
[root@centos01 ~]# netstat -anptu | grep 67<!--監聽DHCP服務埠號-->
udp 0 0 0.0.0.0:67 0.0.0.0:* 2102/dhcpd
udp 0 0 0.0.0.0:67 0.0.0.0:* 1064/dnsmasq
注意:需要關閉、重啟dhcpd服務時,只要將上述操作命令中的「start」改為「stop」或「restart」即可。
二、使用DHCP客戶端
1、windows客戶端
ipconfig /renew<!--可以為主機重新獲取新的IP地址-->
ipconfig /release<!--釋放IP地址-->
tracert IP地址<!--可以測試從當前主機到目的主機經過的網路節點-->
route print<!--查看路由表-->
2、Linux客戶端
在Linux客戶機中可以設置使用DHCP的方式獲取地址。只需要編輯對應網卡的配置文件,修改或添加「BOOTPROTO=dhcp」配置行,並重新載入配置文件或者重新啟動network服務即可。例如,執行以下操作可修改網卡配置文件,並重新載入配置以通過DHCP方式自動獲取地址:
[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=dhcp
DEFROUTE=yes
NAME=ens32
DEVICE=ens32
ONBOOT=yes
[root@centos02 ~]# ifdown ens32 ; ifup ens32
[root@centos02 ~]# systemctl restart network
在Linux客戶機中,還可以使用dhclient工具來測試DHCP伺服器。若直接執行「dhclient」命令,則dhclient將嘗試為除回環介面lo以外的所有網路介面通過DHCP方式申請新的地址,然後自動轉入後台繼續運行。當然,測試時可以指定一個具體的網路介面,並結合「-d」選項使其在前台運行,測試完畢後按Ctrl+C組合鍵終止。例如,執行「dhclient -d ens32」命令後,可以為網卡ens32自動獲取新的IP地址,並顯示獲取過程。
[root@centos02 ~]# dhclient -d ens32
Internet Systems Consortium DHCP Client 4.2.5
Copyright 2004-2013 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/ens32/00:0c:29:97:5c:9f
Sending on LPF/ens32/00:0c:29:97:5c:9f
Sending on Socket/fallback
DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 4 (xid=0x5364e17f)
DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 6 (xid=0x5364e17f)
DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP發現-->
DHCPREQUEST on ens32 to 255.255.255.255 port 67 (xid=0x5364e17f)<!--DHCP請求-->
DHCPOFFER from 192.168.100.10<!--DHCP提供-->
DHCPACK from 192.168.100.10 (xid=0x5364e17f)<!--DHCP確認-->
bound to 192.168.100.102 -- renewal in 229 seconds.
............<!--按Ctrl+C組合鍵終止-->
客戶端需要通過dhclient命令釋放獲取的IP租約時,可以結合「-r」選項。例如,執行以下的「dhclient -r ens32」將會釋放之前為網卡ens32獲取的IP租約。此時再通過執行「ifconfig ens32」命令就看不到分配的IP地址了。
[root@centos02 ~]# dhclient -r ens32
㈦ 帳號的認證伺服器在哪
帳號的認證伺服器根據伺服器不同地址不同。賬號的認證伺服器地址,正規的官方伺服器地址會根據申請認證的要求,向手機發送驗證碼,也有採取頭像認證的,這是正確的認證伺服器的步驟。