IE中自动安装用户数字证书

最新推荐文章于 2017-10-18 17:31:21 发布
最新推荐文章于 2017-10-18 17:31:21 发布
阅读量3.9k 收藏 2
点赞数
分类专栏: SSL

在基于ejbca搭建数字证书时候,需要实现用户自助申请数字证书(Certificate signing request)并自动安装到IE浏览器中的功能(Certificate enrollment)。

    相关的资料极其缺少,好在ejbca中有相关的例子可以参考,尽管不是很完整。整理一下研究的大致成果。

1、基本思路:

    1)、Certificate signing request(CSR)

     证书签发请求(CSR),也叫做证书请求,是从请求者浏览器发送到证书中心来申请一个数字身份证书的一条信息,在公共密钥基础架构系统中。在创建一个 CSR 之前,这个请求者首先产生一个密钥对,为这个私有密钥保密。CSR 包括鉴别请求者一条的信息,和由这个请求者选择的公共密钥。相应的私有密钥不包含在 CSR 中,但是被用于数位签名整个请求。

    在XP、Windows 2003的IE上,通过XEnroll.dll控件的createPKCS10方法来生成CSR(Certificate signing request)。

   在Vista,Windows 2008,Windows 7 的IE上,需要使用CertEnroll.dll的X509Enrollment.CX509CertificateRequestPkcs10方法来生成CSR(Certificate signing request)。

  2)、用户数字证书的自动安装

    要实现用户数字证书在IE浏览器中自动安装,首先要客户端浏览器提交CSR到证书中心服务器,证书中心服务器端根据CSR对用户私钥和公钥进行签名并将签名后的证书返回给客户端。

   在XP、Windows 2003的IE上,通过XEnroll.dll控件的acceptPKCS7方法实现证书自动安装到客户端浏览器,大致步骤如下:

 

        <object id=”XEnroll” classid=”clsid:127698e4-e730-4e5c-a2b1-21490a70c8a1″ codebase=”xenroll.dll”></object>
 

         XEnroll.acceptPKCS7
 

    在Vista,Windows 2008,Windows 7 的IE上,需要使用CertEnroll.dll控件的InstallResponse方法来实现自动安装到客户端浏览器,大致过程如下:
 

        <object id=”CertEnroll” classid=”clsid:884e2049-217d-11da-b2a4-000e7bbb2b09″ codebase=”CertEnroll.dll”></object>
 

        var objEnroll = CertEnroll.CreateObject(“X509Enrollment.CX509Enrollment”)
 

        Call objEnroll.Initialize(1)
 

        objEnroll.InstallResponse
 

     此处安装用户数字证书时候并没有自动安装根证书,根证书自动安装的实现方式可以参考:IE中自动安装根数字证书
 

    3)、服务器端的处理逻辑
 

       在ejbca中src\java\org\ejbca\ui\web\pub\DemoCertReqServlet.java、src\publicweb\publicweb\templates\certInstTemplate.jsp可以作为例子来理解服务器端对CSR请求处理及服务器响应客户端实现证书自动安装的实现机制。
 

       以上思路其实应用于openssl的方案也可以。
 

 2、测试页面
 

<HTML>
<HEAD>
    <meta http-equiv="Content-Type" content="text/html; charset=GBK" />
    <TITLE>VBScript Certificate Enrollment Control Request 例子(使用XEnroll)
    </TITLE>

<OBJECT classid="clsid:127698E4-E730-4E5C-A2b1-21490A70C8A1"
    codebase="xenroll.dll"
    id=XEnroll >
</OBJECT>

<form name="form1" id="form1" action="http://192.168.1.16/ejbca/democertreq" method="post" onsubmit="cert()">

<center>Certificate Enrollment Control Request 例子<br/><br/>
这里只演示使用XEnroll.dll(XP、Windows 2003的IE)来生成CSR的例子<br/>
在Vista,Windows 2008,Windows 7 的IE上需要使用CertEnroll.dll,与此类似<br/>

    <!--ejbca 中设定的Certificate Profile-->
  <input name="certificateprofile" value="liang" type="hidden">
    <!--ejbca 中设定的End Entity Profile-->
  <input name="entityprofile" value="liang" type="hidden"><br>
  <!-- XEnroll.createPKCS10产生的CSR值 -->
  <input name="pkcs10req" id="pkcs10req"  type="hidden"><br>
  <br>
  <!-- DemoCertReqServlet需要user参数 -->
  <input name="user" value="C=CN,O=yeeach.com,OU=yeeach.com,CN=liang"  type="hidden">
  <table>
      <tr>
          <td align="right">用户DN之Canonical Name(CN):</td><td><input name="canonical_name" value="liang"  type="text"></td>
      </tr>
        <tr>
          <td align="right">用户DN之Organization(O):</td><td><input name="organization" value="yeeach.com"  type="text"></td>
      </tr>
        <tr>
          <td align="right">用户DN之Organization Unit(C):</td><td><input name="organization_unit" value="R&D"  type="text"></td>
      </tr>
        <tr>
          <td align="right">用户DN之County(C):</td><td><input name="country" value="CN"  type="text"></td>
      </tr>
        <tr>
          <td align="right">用户密码:</td><td><input name="password" value="liang" type="password"></td>
      </tr>
        <tr>
          <td align="right">邮箱:</td><td><input name="email" type="text" value="chuanliang@gmail.com"></td>
      </tr>
      <tr><td></td><td></td></tr>
      <tr><td></td><td></td></tr>
      <tr><td align="center" colspan="2"><input value="申请证书" name="submit" type="submit" ></td></tr>
  </table>
  <input name="includeemail" value="true" type="hidden">


 </form>

  <SCRIPT language="VBScript">
  Sub   cert
<!--
' Declare the distinguished name variable.
Dim strDN

' Declare the request variable.
Dim strReq

' Enable error handling.
On Error Resume Next

' Declare consts used by CertRequest object.
const CR_IN_BASE64 = &H1
const CR_IN_PKCS10 = &H100

' Build the DN.

strDN =  "CN="+document.getElementById("canonical_name").value  _
      & ",OU="+document.getElementById("organization_unit").value _
      & ",O="+document.getElementById("organization").value _
      & ",C="+document.getElementById("country").value

' Attempt to use the control, in this case, to create a PKCS #10.
MsgBox("Creating PKCS #10 " & strDN)
document.getElementById("user").value=strDN
strReq = XEnroll.createPKCS10(strDN," ")
' If above line failed, Err.Number will not be 0.
if ( Err.Number <> 0 ) then
    MsgBox("Error in call to createPKCS10 " & Err.Number)
    err.clear
else
    'MsgBox("Submitting request " & strReq)

    ' If the preceding line failed, Err.Number will not be 0.
    if ( Err.Number <> 0 ) then
        MsgBox("Error in Request Submit " & Err.Number)
        err.clear
        return false
    else
        document.getElementById("pkcs10req").value=_
        "-----BEGIN NEW CERTIFICATE REQUEST-----" + _
        CHR(13) + _
        strReq + _
        "-----END NEW CERTIFICATE REQUEST-----"


    end if

end if
  Exit   Sub
  End   Sub
-->
</SCRIPT>
</body>
</html>

 

  
 

 3、certInstTemplate.jsp
 

<!-- Header -->

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
    <title>EJBCA Certification Authority</title>
    <link rel="stylesheet" href="styles.css" type="text/css" />
    <script type="text/javascript" src="scripts/functions.js"></script>
    <script type="text/vbscript" src="scripts/functions.vbs"></script>
  </head>
  <body>

    <div class="main">
      <div class="content">
<!-- Header -->

<object classid="$CLASSID" id="g_objClassFactory"></object>
<!-- Updated w CertEnroll for Vista
Class ID: {884e2049-217d-11da-b2a4-000e7bbb2b09}
-->
<!-- New updated enrollment activeX-control 2002-09-02 (Q323172)
New Xenroll.dll information:
Class ID: {127698e4-e730-4e5c-a2b1-21490a70c8a1}
sXEnrollVersion="5,131,3659,0"

New Scrdenrl.dll information:
Class ID: {c2bbea20-1f2b-492f-8a06-b1c5ffeace3b}
sScrdEnrlVersion="5,131,3642,0"
-->
<!-- Old Xenroll.dll information:
Class ID: {43F8F289-7A20-11D0-8F06-00C04FC295E1}

Old Scrdenrl.dll information:
Class ID: {80CB7887-20DE-11D2-8D5C-00C04FC29D45}
-->

    <script language="VBScript" type="text/vbscript">
        cert = "MIICdgYJKoZIhvcNAQcCoIICZzCCAmMCAQExADALBgkqhkiG9w0BBwGgggJLMIIC" & _

        ' This function can be moved to functions.vbs when the header is parsed as jsp
        Sub installcertvista
            Dim objEnroll
            Set objEnroll = g_objClassFactory.CreateObject("X509Enrollment.CX509Enrollment")
            Call objEnroll.Initialize(1)    'EnrollmentContext UserContext
            err.clear
            On Error Resume Next
            Call objEnroll.InstallResponse(0, cert, 6, "")    'AllowNone, , XCN_CRYPT_STRING_BASE64_ANY, pw
            If err.number = -2146762487    Then    ' 0x800b0109 Not trusted root
                r = Msgbox("Could not complete the request since, the CAs' certificates were not properly installed.", , "Certificate Management")
            ElseIf err.number <> 0 Then
                r = Msgbox("The certificate could not be installed", , "Certificate Management")
            Else
                r = Msgbox("A new certificate has been installed", , "Certificate Management")
            End If
        End Sub

        Sub installcert
            Err.Clear
            On Error Resume Next
            g_objClassFactory.acceptPKCS7(cert)
            If Err.Number <> 0 Then
                r = Msgbox("The certificate could not be installed in this web browser", , "Certificate Management")
            Else
                r = Msgbox ("A new certificate has been installed", , "Certificate Management")
            End if
        End Sub

        If InStr(navigator.userAgent, "Windows NT 6") <> 0 Then
            installcertvista
        Else
            installcert
        End If
    </script>

    <h1 class="title">Internet Explorer Certificate enrollment.</h1>
    <p>If the installation was completed without any errors, your certificate has
    been installed in your web browser and you may now start using your certificate.<br />
    You can look at your certificate with &quot;<tt>Tools-&gt;Internet
    Options-&gt;Content-&gt;Certificates</tt>&quot;.</p>

<!-- Footer -->
      </div>
    </div>
  </body>
</html>
<!-- Footer -->
 

转自:http://www.yeeach.com/?p=949
 



 

======================================================================
 

通过这几天的摸索,得出了一个基本的证书模式:
 

1)证书的申请、提取必须用同一个客户端(即使同一个电脑不同的客户端发出的申请,不能互相交错提取);
 

2)审批通过的字符串,提取,只能提取一次,再次提取就会报错。
 

以上两点,保证了“证书谁申请谁提取”;“签发过的是一次性的——只能生成一个证书”不能重复利用

                

        

        

    

  


    


                



	

		

			

				
					
如何实现自动安装根证书

				
			

			

				

					Sagely's blog
				

				

					04-28
					
					5554
					
				

			

		

		

			
				
其实这是个困扰我很久的问题了,以前在linux下面一直实现不了,实在是很郁闷,并且找不到原因。既然现在在windows下自建了一个CA,那么可以在windows下试试,呵呵,居然还成功了,真是高兴。下面就是完整的原代码文件:   $fp = fopen("D:/CARoot/ca.crt", "r");   $cert = fread($fp, 8192);   fclose($fp);?>   

			
		

	



                

            
              



	

		

			

				
					
web 自动安装ca证书

				
			

			

				

					zn01611的专栏
				

				

					05-23
					
					5689
					
				

			

		

		

			
				
以下是自动安装数字证书,其var cer=“........”里边是是数字证书的内容。那么这个内容是如何得到的呢通过以下方法
try {  
    String realPath = this.getClass().getClassLoader().getResource("RootAgency.cer").getPath();
    System.out.println();

			
		

	



              


  
              

                


	

		

			

				
					
自动为客户端安装根证书

				
			

			

				

					Jo_El的专栏
				

				

					06-26
					
					6261
					
				

			

		

		

			
				
        为了保障网络传输安全,许多信息敏感的网站都采用了SSL验证方式,这样客户端需要对服务器端发送的证书进行信任才可以访问站点,但是如果要彻底信任此证书,不用每次都先跑到警告页面以及弹出信任对话框,就必须信任此证书的根证书~         但是在客户端安装根证书在部署上存在很大的困难,那么怎么样能作到在网站上自动用户安装呢?这里我参考了www.ca365.com(国数字认证网)

			
		

	





	

		

			

				
					
IE自动安装数字证书

				
			

			

				

					weixin_30319153的博客
				

				

					04-09
					
					162
					
				

			

		

		

			
				
基本思路:
1、在XP、Windows 2003的IE上,通过XEnroll.dll控件来完成根数字证书自动安装。
2、在Vista,Windows 2008,Windows 7 的IE上,需要使用CertEnroll.dll来自动完成根数字证书自动安装。
3、XEnroll.InstallPKCS7只适用于自动安装根证书。XEnroll.acceptPKCS7 用于安装用户数字证书,但...

			
		

	



		

			
		



	

		

			

				
					
禁止IE自动安装组件

				
			

			

				

					zhyiwww
				

				

					04-17
					
					225
					
				

			

		

		

			
				
转载自 http://www.yy0736.com/school/reg/03/054.htm 稍作整理
把以下代码复制到一个记事本文件,然后修改后缀名为.reg,然后双击,导入注册表就可以了。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Exp...

			
		

	





	

		

			

				
					
浏览器自动安装根证书

				
			

			

				

					liaojianbiao的专栏
				

				

					11-29
					
					6455
					
				

			

		

		

			
				
基本思路:

1、在XP、Windows 2003的IE上,通过XEnroll.dll控件来完成根数字证书自动安装。

2、在Vista,Windows 2008,Windows 7 的IE上,需要使用CertEnroll.dll来自动完成根数字证书自动安装。

3、XEnroll.InstallPKCS7只适用于自动安装根证书。XEnroll.acceptPKCS7 用于安装用户

			
		

	





	

		

			

				
					
java在IE下载证书并安装(根证书)

				
			

			

				

					10-20
				

			

		

		

			
				
3. **自动安装过程**:在IE,通常证书下载后需要用户手动双击安装。但通过Java代码,我们可以自动化这个过程。首先,我们需要使用`java.net.URL`打开证书下载链接,然后使用`java.io.FileOutputStream`将下载的...

			
		

	





	

		

			

				
					
商标数字证书(KEY)安装指南.doc

				
			

			

				

					09-28
				

			

		

		

			
				
商标数字证书(KEY)安装指南主要面向需要...总的来说,这篇指南详细阐述了商标数字证书安装流程,包括所需硬件和软件环境的准备、IE浏览器的配置以及驱动程序的安装步骤,旨在帮助用户顺利进行商标业务的在线操作。

			
		

	





	

		

			

				
					
数字证书的概念

				
			

			

				

					10-18
				

			

		

		

			
				
- **X.509 v3**(最新版本,1996年):支持扩展功能,允许用户自定义扩展并将其嵌入到证书。常见的扩展包括KeyUsage(用于限定密钥用途,如仅用于签名)和AlternativeNames(允许将其他标识与公钥关联,如DNS名、...

			
		

	





	

		

			

				
					
证书应用环境用户安装手册.pdf

				
			

			

				

					11-11
				

			

		

		

			
				
《证书应用环境用户安装手册》是北京数字认证股份有限公司提供的一份详细指南,旨在帮助用户正确安装和使用证书应用环境...通过遵循手册的步骤,用户可以有效地管理和保护自己的数字证书,确保网络活动的隐私和安全。

			
		

	





	

		

			

				
					
WPF 浏览器程序 证书制作与客户端自动下载安装

				
			

			

				

					wangdaoyin2010的专栏
				

				

					07-20
					
					1266
					
				

			

		

		

			
				
以下是总结的WPF Browser Application证书制作、发布与自动下载安装完整流程:
一、证书制作
在建立WPFBrowser Application项目的时候系统会自动给程序创建一个证书,可以在项目——属性——签名——进行查看,如下图:


1、  系统创建证书
在项目——属性——签名——创建测试证书如下


输入证书密码,选择签名算法


导出证书
更多

			
		

	





	

		

			

				
					
cer证书安装

				
			

			

				

					swingling的专栏
				

				

					08-18
					
					5039
					
				

			

		

		

			
				

在web上如何自动安装用户证书及根证书

微软的xenroll有一个接口acceptpkcs7提供了证书的安装功能,本文将为您讲述如何通过该接口实现在web上自动安装用户证书及根证书,并提供部分实例代码。 

一、证书的安装 

微软的xenroll有一个接口acceptpkcs7提供了证书的安装功能。具体的参数如下: 

HRESULT acceptPKCS7(BST

			
		

	





	

		

			

				
					
27.1.1  生成证书请求

				
			

			

				

					PKI
				

				

					04-28
					
					1564
					
				

			

		

		

			
				
为IIS配置SSL服务器证书首先要生成证书请求,然后提交申请给数字证书认证心(CA)进行证书颁发。以下是生成证书请求的步骤。(1)启动计算机管理,展开网站名,选择要安装证书的Web站点,如图所示。(2)右击【默认网站】分支,选择【属性】命令,弹出【默认网站属性】对话框。选择【目录安全性】选项卡,如图所示。(3)单击【安全通信】选项框的【服务器证书(S)】按钮,启动Web

			
		

	





	

		

			

				
					
ie兼容模式下跨域访问问题的解决

				
			

			

				

					kgz1990的专栏
				

				

					10-18
					
					6539
					
				

			

		

		

			
				
先来说一下,什么是跨域访问,

跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。

所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子:

http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域)

http://www.1

			
		

	





	

		

			

				
					
OpenSSL命令---req

					
热门推荐

				
			

			

				

					VitalityShow(网络通讯)
				

				

					11-18
					
					1万+
					
				

			

		

		

			
				
本指令用来创建和处理PKCS#10格式的证书。它还能够建立自签名证书,做Root CA

			
		

	





	

		

			

				
					
openssl 证书请求和自签名命令req详解

				
			

			

				

					weixin_30783629的博客
				

				

					04-20
					
					583
					
				

			

		

		

			
				
1、密钥、证书请求、证书概要说明
在证书申请签发过程,客户端涉及到密钥、证书请求、证书这几个概念,初学者可能会搞不清楚三者的关系,网上有的根据后缀名来区分三者,更让人一头雾水。我们以申请证书的流程说明三者的关系。客户端(相对于CA)在申请证书的时候,大体上有三个步骤:

第一步:生成客户端的密钥,即客户端的公私钥对,且要保证私钥只有客户端自己拥有。

第二步:以客户端的密钥和客户端自身...

			
		

	





	

		

			

				
					
IE浏览器如何导入数字证书

				
			

			

				

					阳光梦的专栏
				

				

					09-03
					
					3279
					
				

			

		

		

			
				
方法/步骤




1


打开IE浏览器后,点击“工具”,然后选择“Internet选项”。







2


选择Internet选项选择“内容”选项卡,选择“证书”。







3


在打开的证书窗口,选择导入。







4


打开导入证书窗口,点击下一步。









			
		

	





	

		

			

				
					
福建工程学院实验报告:免费数字证书申请步骤

				
			

			

				

					
				

			

		

		

			
				
"本实验报告详细记录了福建工程学院信息管理与系统开发专业学生邹小龙在电子商务技术系统课程关于数字证书申请的实践过程。报告涵盖了从获取根CA证书、填写申请表格到解决可能出现的技术问题的完整步骤,旨在帮助...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值