內網數字證書伺服器如何部署

1. 怎麼給公網ip上的伺服器部署ssl證書

SSL證書通常是頒發給域名的，但是有些企業需要IP地址實現https加密，這時可申請IPSSL證書。IPSSL證書可以解決企業只有IP或者只方便使用IP來處理業務時的加密需求，一張證書可以支持同時綁定多個IP。

只是IP地址申請SSL證書需滿足以下條件：

1、必須是公網IP，且申請者對該IP具有管理許可權；

2、使用IP申請證書，只能申請單個IP或多個IP綁在一起的SSL證書，不支持IP段的通配符；

3、申請者可以是機構或者企業，也可以是個人用戶。

IPSSL證書分為基礎型IPSSL證書和企業型IPSSL證書。

ssl證書申請的3個主要步驟

1、製作CSR文件

所謂CSR就是由申請人製作的Certificate Secure Request證書請求文件。製作過程中，系統會產生2個密鑰，一個是公鑰就是這個CSR文件，另外一個是私鑰，存放在伺服器上。要製作CSR文件，申請人可以參考WEB SERVER的文檔，一般APACHE等，使用OPENssl命令行來生成KEY+CSR2個文件，Tomcat，JBoss，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS通過向導建立一個掛起的請求和一個CSR文件。

2、CA認證

將CSR提交給CA，CA一般有2種認證方式：

1)域名認證：一般通過對管理員郵箱認證的方式，這種方式認證速度快，但是簽發的證書中沒有企業的名稱;

2)企業文檔認證：需要提供企業的營業執照。

也有需要同時認證以上2種方式的證書，叫EV ssl證書，這種證書可以使IE7以上的瀏覽器地址欄變成綠色，所以認證也最嚴格。

3、證書安裝

在收到CA的證書後，可以將證書部署上伺服器，一般APACHE文件直接將KEY+CER復制到文件上，然後修改httpD.CONF文件;TOMCAT等，需要將CA簽發的證書CER文件導入JKS文件後，復制上伺服器，然後修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導入。

使用ssl證書不僅能讓信息的安全性更有保障，還可以提高用戶對於網站的信任度。

網站如何獲得SSL證書請參考：網頁鏈接（SSL證書申請，如何申請SSL證書）

2. 山東確信信息產業股份有限公司的產品介紹

CA即Certificate Authority也稱為電子認證中心，是負責發放和管理數字證書的權威機構，並具有對所發放數字證書有效性提供驗證的功能。
SURE企業級CA系統由密鑰管理中心（KMC）、CA管理中心、簽發伺服器等部分組成，其結構如下圖所示：SURE企業級CA系統適合於單位內部使用，其主要作用是在企業內部實現內部用戶的身份確認、數據加密、電子簽名等功能。通過企業級CA的建設，夠滿足企業內部對信息的保密性、認證性、完整性、不可否定性的要求。
企業級CA系統與第三方CA相比較，其優勢如下：
⑴ 可實現對內部信息系統在應用層面的安全需求，實現內部數字證書的發放及管理。
⑵一次投資即可實現長期試用，無證書年檢等費用的支出。
⑶ 所發放的數字證書可應用於企業內部的多個系統中，實現身份的統一認證和管理。 SURE電子簽章系統是將電子印察孫章技術和電子簽名技術完整的結合在一起，用來檢測文檔完整性和驗證簽章用戶身份的安全產品。系統採用 PKI技術和數字簽名技術，充分保證了簽名、印章的真實性、唯一性、來源確認性、不可否認性和印章本身的不可復制性。
電子簽章由電子簽章伺服器、管理終端、電子簽章客戶端組成，其系統結構如左圖所示：
SURE電子簽章系統支持對Word、Excel、Web、pdf、AutoCAD等多種方式的電子簽名，SURE電子簽章系統作為可信應用基礎平台，為應用信息系統（如：OA、ERP、業務系統等）提供安全有效的安全保障。 SURE身份認證網關是提供內部網路的接入控制以及對接入用戶進行強身份認證和審計服務的產品，解決用戶使用應用系統時涉及的身份驗證、信息保密等安全問題。
SURE身份認證網關是一台獨立的硬體設備，為方便外網用戶的使用，身份認證網關一般部署於網路的最外層，以實現對用戶身份的認證，其部署結構如右圖所示： SURE簽名認證伺服器產品為網路應用提供基於數字證書的高強度數據鏈路加密服務及數字簽名及驗證服務，可以有效保護網路資源的安全訪問。支持HTTP、HTTPS 的B/S 應用以及FTP、遠程桌面等通用的C/S 應用。
簽名認證伺服器由伺服器和客戶端組成，驗證伺服器提供的服務、驗證客戶端請求。 SURE時間戳伺服器是一套基於PKI技術的時間認證權威（TSA）系統，對外提供精確可信的時間戳服務。利用時間戳伺服器可實現對內部信息交換時可信的時間確認，增強時間的可信性。
SURE時間戳伺服器採用客戶/伺服器模式，伺服器端為基於Linux系統內核的硬體設備，可與第三方授時中心進行時間同步；客戶端程序為API介面，能夠與各類應用系統進行無縫的對接。
時間戳伺服器在網路中的部署示意圖如下：
SURE時間戳伺服器可應用於跨區域、對時間要求嚴格的大型的政府機關、醫療行業、企事業單位等。且SURE時間戳伺服器可與電子簽章等應用類產品綁定，作為電子簽章的可信時間服務。 目錄服務系統是以樹狀結構存儲數據，便於分布式快速查詢的資料庫，主要用於管理人員、證書、域名、電郵地址和其它網路資源信息的存儲。
目錄服務系統應用如右圖運沒罩所示： SSL VPN即指採用SSL （Security Socket Layer）協議來實現遠程接入的一種新型VPN技術，SSL VPN可以使企業能在價格低廉的共享基礎設施上以與專用網路提供的相同策略建立一種安全的WAN（廣域網）業務，能實現與移動辦公人員、分公司、合作夥伴、產品供應商、客戶之間的連接，提高與分公司、客戶、供應商及合作夥伴開展業務的能力，同時保證網路傳輸數據的安全。
經過多年的研發，目前山東確信信息產業股份有限公司針對不同需求，自主研發了SURE系列產品，型號包括：S-1000、S-3000、S-5000、S-8000等多款產品。
產品優勢：
零客戶端：不需要安裝VPN客戶端軟體,通過瀏覽器就可訪問單位內部網路。
支持所有操作系統：支持預裝標准瀏覽器的Windows、Unix、Linux等旁鬧操作系統。
界面客戶化：訪問界面可以定製成包含單位名稱、LOGO的專屬系統，用戶界面友好，提高企業形象。
動態密碼認證機制 ：客戶端可選擇使用動態密碼認證，可通過簡訊或郵件方式有效保障用戶認證的安全性。支持第三方認證：支持包括LDAP、Security ID、MS-Acitive Director、Radius、Usb Key、Local DataBase等多種認證方式。
無地址沖突：移動客戶端與中心內網IP地址無沖突問題，即使移動客戶端與內網IP地址相同也可以正常使用。
全網應用無極限：支持各種B/S、C/S的網路應用，如OA、CRM、ERP、E-MAIL等。
日誌審計功能：記錄用戶訪問時間、訪問地址、所訪問的應用、會話持續時間等信息，提供安全審計。
安全架構
SURE SSL VPN的安全架構可讓用戶在任何地點通過設定的安全訪問策略訪問內部資源，並通過安全保障技術實現數據傳輸的安全。

3. 手機微信支付管理裡面的數字證書有什麼用怎麼用

數字證書就是互聯網通訊耐塵中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。

它是由權威機構——CA機構，又稱為證書授權（Certificate Authority）中心發行的，人們可以在網上用它來識別對方的身份。

數字證書里存有很多數字和英文，當使用數字證書進行身份認證時，它將隨機生成128位的身份碼，每份數字證書都能生成相應但每次都不可能相同的數碼，從而保證數據傳輸的保密性，即相當於生成一個復雜的密碼。

數字證書綁定了公鑰及其持有者的真實身份，它類似於現實生活中的居民身份證，所不同的是數字證書不再是紙質的證照，而是一段含有證書持有者身份信息並經過認證中心審核簽發的電子數據，可以更加方便靈活地運用在電子商務和電子政務中。

(3)內網數字證書伺服器如何部署擴展閱讀：

數字證書和使用范圍有以下這些類型：

1、個人證書：

證書中包含個人身份信息和個人的公鑰，用於標識證書持有人的個人身份，可以簽名，也可以加密。用於個人在網上進行網銀交易、個人安全電子郵件、合同簽定、支付等活動中標譽激明身份。

2、企業證書：

證書中包含企業（單位）信息和企業（單位）的公鑰，用於標識證書持有企業（單位）的身份。可以用於企業（單位）在網上銀行系統、電子政務、電子商務等業務的辦理過程中。

3、伺服器證書（亦稱SSL證書）：

是安裝在伺服器端用以標明站點唯一身份的數字證書，可存放於伺服器硬碟或加密硬體設備上，為用戶端和Web伺服器端之間建立一條HTTPS加密傳輸通道，保證用戶和伺服器之間信息交換的保密性、安全性。伺服器證書分為OV、EV及內網SSL證書。

4、設備證書：

是提供給某些硬體設備的證書，按照硬體設備的特殊需求簽發不同的數字證書。用戶生產，發布特定的硬體設備產品，並希望使用證書昌虛禪對其進行標識，在與該設備的通信中可對該設備進行認證及信息加密。

5、代碼簽名證書：

是針對網上發布的軟體程序、控制項、驅動程序、硬體固化程序等代碼創建數字簽名，以便在軟體發行者和用戶通過網路下載代碼時對它們加以保護。代碼簽名證書可驗證程序內容的來源及完整性，確保用戶不會下載到被篡改或被植入惡意代碼的程序。

6、文檔簽名證書：

企業或個人希望簽署pdf或者office等電子文檔（包括文件簽名，電子簽章等），並使其在各類操作系統和閱讀器中被信任。該證書可廣泛用於文檔簽署，合同簽署、票據簽署等，使用文檔簽名證書簽署的電子文件具有和紙質文件同等的法律效力。

7、場景證書：

場景證書包含文檔、簽名、圖片、音頻、視頻等哈希值信息，並證明其相互之間的緊密相關性，可用於司法取證和司法鑒定。當用戶有對某特定場景進行取證的需求，例如：移動展業中，業務員會見客戶及業務辦理過程中的所有信息均需採集取證時，即可使用場景證書。

4. 為什麼電廠要用橫向隔離裝置和縱向加密裝置

基於SG186在電力分為兩個基本大區，即生產大區（一二區）與管理大區(三四區)，依據國網對兩分區的指導性意見，隔離裝置多為單比特隔離裝置來實現兩區域之間的通信。

對於縱向即為國網、省網、地網之間的隔離，多為認證裝置，嚴格的說縱向多指認證，橫向才是隔離。

防護對象：防護高蒸氣壓、可經皮膚吸收或致癌和高毒性化學物；可能發生高濃度液體潑濺、接觸、浸潤和蒸氣暴露；接觸未知化學物（純品或混合物）；有害物濃度達到IDLH濃度；缺氧。

安全技術要求：

（1）固定防護裝置應該用永久固定（通過焊接等）方式或藉助緊固件（螺釘、螺栓、螺母等）固定方式，將其固定在所需的地方，若不用工具就不能使其移動或打開。

（2）進出料的開口部分盡可能地小，應滿足安全距離的要求，使人不可能從開口處接觸危險。

（3）活動防護裝置或防護裝置的活動體打開時，盡可能與防護的機械藉助鉸鏈或導鏈保持連接，防止挪開的防護裝置或活動體丟失或難以復原。

（4）活動防護裝置出現喪失安全功能的故障時，被其"抑制"的危險機器功能不可能執行或停止執行；聯鎖裝置失效不得導致意外啟動。

以上內容參考：網路-防護裝置