[Tony]

客户端访问

申请、安装客户证书

1．要申请访问加密Web站点的客户，在IE地址栏中输入http://(CA Server Name)/CertSrv，申请一个“Web浏览器证书”。

注意：点击“更多选项”，可以选择其他更多更详细的内容；其中“标记密钥可导出”选项，指用户可以自由导出证书和私钥，安装到其他机器，缺省是不可导出的。

2．填写完整后提交，完成证书申请。

3．等待CA服务器颁发刚才申请的证书。

4．客户机得到申请证书通过的通知后，在IE地址栏中输入http://(CA Server Name)/CertSrv，“检查挂起证书”，安装刚刚颁发通过的证书。

5．这时客户端就可以使用 https:// 来访问经过SSL加密保护的Web站点了。每次通过HTTPS进入站点的时候，会有一个对话框让客户确认是否同意当前证书，选择同意。接下来选择安装好的数字证书，就可以正常访问站点了。

FAQ

Q：什么时候需要废除并重新申请自己的数字证书？

A：在废除证书之前，请您仔细思考是否有这个必要。如果您认为您的数字证书已经不能唯一标示您的身份，或者您觉的您的证书已经不安全，或者，您想到其他的机器上重新申请证书，那么，就应该及时废除自己的证书。证书废除后，您需要重新申请证书。

Q：使用SSL进行安全连接时总是出现连接失败,不知是何原因？

A：使用SSL以后，连接如果失败，你可以按以下步骤进行检查：

1)首先检查Internet连接是否正常，你可以访问同一站点的其他网页，或者用PING命令检查是否能够连接到该站点。

2)可能服务器要求提供用户证书，而你还没有申请数字证书或者数字证书已经被破坏，你可以重新申请证书。

3)检查证书与该站点的证书是否为同一CA服务器所发。

Q：如果我要更换我的机器，是否还能连到原来的Web网点？

A：可以采用两种方法：第一种方法是首先废除证书，然后在新的机器上重新申请证书。

另一种方法是将原来的证书导出，导入到新的机器中。

Q：如何从IE中导入导出证书？

A：导出证书 ：选择IE的菜单“工具/Internet 选项”，选中“内容”属性页，在“证书”栏里点击“证书”按扭打开“证书管理器”。选择“个人”您可以看到所有保存在本机上的个人证书。选择您要导出证书，单击“导出”，在弹出的对话框中，重复选择“下一步”，在“私钥的密码保护”对话框，输入密码后，选 择“下一步”，在“导出文件名”对话框中输入文件名，单击“完成”。

导入证书：选择IE的菜单“工具/Internet 选项”，选中“内容”属性页，在“证书”栏里点击“证书”按扭打开“证书管理器”。选择“个人”，单击“导入”，在弹出的对话框中，选中证书文件，选择“下一步”，在“私钥的密码保护”对话框中输入密码，单击“完成”。

Q：如何删除数字证书？

A：选择IE的菜单“工具/Internet 选项”，选中“内容”属性页，在“证书”栏里点击“证书”按扭打开“证书管理器”。选择“个人”您可以看到所有保存在本机上的个人证书。选择要删除的证书，点击“删除”即可。

Q：如何保护自己的数字证书？

A：数字证书中用到了公共密钥加密技术。在最初申请数字证书的登记过程中，计算机将创建两把密钥：一把是公开的，它将在你的数字证书中公布并将寄存于认证中心。而另一则是私人的，它将存放在用户的计算机上。它是在本地计算机上产生的，且不传送给任何人。你 的数字身份完整性完全取决于你私人密钥的安全保管。必须指出，保护私人密钥是你个人的责任。任何人一旦获得了你的私人密钥就能伪造你的数字签名，并冒用你的名义为所欲为。一般保护自己的私人密钥有以下几种方法：

· 将私人密钥存放在自己计算机的硬盘上，这样你能控制对它的存取。

· 当你产生自己的私人密钥时，你所使用浏览器将要求你输入一个密码，这一密码将保护对私人密钥的存取。对于微软IE用户，私人密钥将由Windows密码加以保护。 只有在下述两种情况下，第三方可以存取您的私人密钥：

· 有权存取你存放密钥的文件（常常是你的系统配置文件）。

· 知道你的私人密码。 有的软件允许你选择不使用密码来保护你的私人密钥。如果你选择了这项，你必须已确信，无论现在还是将来，都不会有人非法访问你的计算机。

总而言之，使用密码要比完全以物理角度保护你的计算机方便得多。不选用密码，就像在自己的支票夹上预先签好了所有支票，并将它打开着放在办公桌上。