如何在Win2000下建立CA认证中心

　　提起电子商务，人们首先担心的是电子商务的安全问题。为了保证网络上传递信息的安全，通常采用加密的方法。但对电子商务来说，这还是不够的，如何确定交易双方的身份，如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的，解决方法就是找一个大家共同信任的第三方，即认证中心（Certificate Authority，CA）颁发电子证书。任何一个信任CA的通讯一方，都可以通过验证对方电子证书上的CA数字签名来建立起和对方的信任，并且获得对方的公钥以备使用。要做一个CA认证中心并不是一个简单的工作，我现在参与一个电子商务实验室的建设工作，在实验室内部建立一个CA认证中心从而更完整的体现整个交易流程。想到自己在此过程中付出的艰辛，觉得有必要和大家共享一下我们的实践经验。文章分为三大部分，第一部分是电子商务的安全规范；第二部分是Win2000Server中的安全机制；第三部分说明在Win2000Server中建立CA认证中心的具体方法和步骤。

　　第一部分：电子商务安全规范

　　电子商务安全规范可分为安全、认证两方面的规范。

　　1安全规范

　　当前电子商务的安全规范包括加密算法、报文摘要算法、安全通信协议等方面的规范。
　　（1）加密算法

　　基本加密算法有两种：对称密钥加密、非对称密钥加密，用于保证电子商务中数据的保密性、完整性、真实性和非抵赖服务。

　　①对称密钥加密

　　对称密钥加密也叫秘密/专用密钥加密（Secret Key Encryption），即发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。最著名的对称密钥加密标准是数据加密标准（DataEncryptionStandard，简称DES）。目前已有一些比DES算法更安全的对称密钥加密算法，如：IDEA算法，RC2、RC4算法，Skipjack算法等。

　　②非对称密钥加密

　　非对称密钥加密也叫公开密钥加密（Public Key Encryption），由美国斯坦福大学赫尔曼教授于1977年提出。它主要指每个人都有一对唯一对应的密钥：公开密钥和私有密钥，公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解密。商户可以公开其公钥，而保留其私钥；客户可以用商家的公钥对发送的信息进行加密，安全地传送到商户，然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题，是目前商业密码的核心。使用公开密钥技术，进行数据通信的双方可以安全地确认对方身份和公开密钥，提供通信的可鉴别性。由此，公开密钥体制的建设是开展电子商务的前提。非对称加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。

　　（2）报文摘要算法