为了说明WAP服务器的认证过程。下面将以Entrust公司的WAP服务器认证过程为例子。具体的情况请查看该公司的站点。

4.8.1 验证用户的权限

    因为用户的组织名字将出现在用户收到的证书当中。在发放证书之前必须保证用户有权利使用那个名字。这是为了防止未经授权地在WAP服务器中使用用户所在组织的名字。
  
Dun & Bradstreet (D-U-N-S) 数字是一个最简单的办法来证明用户有权利在证书中使用这个组织的名字。在美国本土或其他地方,大多数组织都有D-U-N-S数字。用户可以在www.dnb.com查询他的D-U-N-S数字。如果用户没有D-U-N-S数字,可以免费在线索取一个。请按照图4-6填写D-U-N-S数字:

请在空白处记录你的D-U-N-S数字和企业类型。

D-U-N-S

 

企业类型

 

图 4-6 填写D-U-N-S数字

    注意:在线的认证将会连接到Dun & Bradstreet站点,来确认用户所填的内容是否属实。
    然后,用户用传真将他的权利认证交给Entrust.net。表4-1列出了需要提交给Entrust.net的文件。

表 4-1 提交文件

如果你的组织是:

将要提交:

公司、企业、股东、所有者

公司的注册文件;或者是经过有关方面盖章的股东证明或所有权的复印件

政府部门或机构

一封由部门总负责人签字的原始信件。信件中必须包括部门的相关信息和当时负责人所在的职位

非政府组织(NGO)

一封由主席、首席执行官、或者总管理人签署的申请信

大学

一封由所在院校的院长或者副院长签名的申请信。信中必须包含所在院校的信息

商业组织(DBA)

一份有关商业组织的注册文件,税务和纳税人证明,或者是官方相应的书面证明,表明你有权利使用这个组织的名称

一个这里没有列出的组织

请和Entrust联系商讨应该提交哪些文件

 

4.8.2 SSCR和域信息

    在这一步,用户将要提供他的域名和签名证书(Self-Signed Certificate Request,SSCR)他可以选择你的证书有效期限、口令和指定WAP服务器所使用的软件。

1. 域信息

    用户所收到的证书当中还包括他的WAP服务器的域名(例如:wap.entrust.net)。这个名字包含了用户所在组织的名字。Entrust.net只能给那些拥有该注册名的用户发放证书。例如:当用户收到一个域名为wap.entrust.net的证书,那么他一定是entrust.net组织名字的所有者。
    要想注册成为域名的所有者,可以查阅域名注册数据库(WHOIS database)。WHOIS 数据库是由一个叫做网络信息中心(Network Information Centers,NIC)来维护的。每个NIC负责不同的顶级域名。例如:Network Solutions (http://www.networksolutions.com)保存了一系列注册.com、.edu、.org和.net的域名。表4-2列出了经常访问的NIC。如果用户的顶级域名不在里面,请查看http://www.uninett.no/navn/domreg.html。

表 4-2 查询域名

如果你的域名为:

请查看:

.com、.edu、.org或者.net

Network Sulutions
http://www.networksolutions.com/cgi-bin/whois/whois

.mil

U.S. Military
http://www.nic.mil/cgi-bin/whois

.au

Australia
http://www.aunic.net/cgi-bin/whois.aunic

.ca

Canada
http://www.cdnnet.ca/search/index.html

.fr

France
http://www.nic.fr/outils/whois.html

.de

Germany
http://www.nic.de/servlet/Whois

.it

Italy
http://www.ripe.net/db/whois.html

.mx

Mexico
http://www.nic.mx/cgi/whois

.uk

United Kingdom
http://www.nic.uk/whois.html

.jp

Japan
http://www.nic.ad.jp/cgi-bin/whois_gw

     记录用户的域名以及注册所有者的名字和地址。如果用户需要申请多个证书,那么就需要记录每个域名及其所有者的信息。请按照图4-7填写信息。

域名

 

所有者

 

公司名

 

地址

 

图4-7 填写域名信息

2. 产生和递交一个WAP SSCR

    自签名请求(Self-Signed Certificate Request,SSCR)包含用户的WAP服务器的公开密钥,当然还包括其他一些关于用户的服务器辨别名(Distinguished Name, DN)的信息。用户可以生成一个关于WAP服务软件的SSCR,并且在线将它提交给Entrust.net。当用户的申请被确认以后,所有的申请数据将打包到由Entrust.net发放的CA认证证书当中。
    用户必须根据以下的指导来产生一个有关WAP服务文件的SSCR。当用户填写在线申请的时候,将SSCR粘贴到申请上合适的位置即可。如果用户的WAP服务是向ISP租用的,那么就由ISP提供给用户一个SSCR。在提交每一个SSCR只需要简单地在线申请表单中点击“Another Certificate”,并粘贴SSCR到空白位置就可以了。
    当用户产生一个SSCR时,一对密钥也就产生了。公共密钥放入到SSCR中并且提交给Entrust.net 认证。私有的密钥保存在用户的计算机里。用户一定要将私有密钥保存好,如果用户丢失或者损坏了私有密钥,将无法使用他的证书。

    重点:私有密钥是一个十分敏感的信息。任何人得到你的私有密钥将有解密在你的WAP服务器上由WTLS保护的数据的可能。请采取适当的措施防止未经授权的人员得到该密钥。

3. 产生SSCR的技巧

    当用户要生成他的SSCR时,将被询问整个组织的情况和用户的WAP服务器。这些信息将用来产生WAP服务器的辨别名(Distinguished Name,DN)。用户按照以下的几点来输入信息:
    国家代码:这个是两个字符的ISO标准缩写。它代表了用户所在的国家。例如:CH代表中国。
    地区或者省份:这个名字是用户的组织总部所在的地区或省份。请输入全部的名字,不要使用缩写。
    位置:这是用户的组织总部所在的城市名。
    住址:这是用户组织的注册名字。这个名字必须和WAP服务器拥有同样的域名。不要简写组织名称,也不要使用以下字符:< > ~ ! @ # $ % ^ * / \ ( ) ?
    单位:将要使用这个证书的部门或小组。
    域名:这个名字是用户的WAP服务器将要使用的URL(例如,wap.entrust.com)。不要使用其他字符,例如“*”或者“?”, 并且不要使用IP地址。

4. 将SSCR粘贴到表单上

    在将要上交表单的时候,只需要把以上内容粘贴到表单中,特别注意要在表单内容的前后加上“-----BEGIN CERTIFICATE REQUEST-----”和“-----END CERTIFICATE REQUEST-----”这两行以标志表单的开始和结束。在大多数情况下,SSCR和下面的事例类似:

-----BEGIN CERTIFICATE REQUEST-----
AAAACkZvckVudHJ1c3QIAIC4GoFpe7WH4OFMSGUL
IA6s4q1M/i61tUX3w38Ndl5LN72uVjXisXXCI5WT
aY3scejJK4Q6LByFSaY7XDDmkAPwr6gGKNAe56SL
ULXeA9R81DDFB+siSb/cEP74LrU4tkMBHPnuaFn5
q9XLof/ptAttACHJQ9HhrvverzQ2E8nrDQADAQAB
-----END CERTIFICATE REQUEST-----

    重点:当用户生成SSCR的时候,提示输入用户所在组织的名字。请用户输入他和以前的权利提交中所使用的组织名称保持一致。如果不一致,将拖延用户的申请时间。

4.8.3 选择证书有效期

    Entrust.net提供一年或者两年的有效期。这两种方式都提供十分有效的安全保障。但是许多客户选择两年期来减少与WAP相关的认证。
    请按图4-8填写WAP服务器认证的有效期。

认证有效期

 

图4-8 服务器认证的有效期

4.8.4 选择口令

    当用户想撤消证书或和Entrust支持部门联系的时候,都是需要口令的。所以用户必须选择一个口令,并将它填写在如图4-9所示的表格中。为了安全起见,请使用至少8个字符,并最好至少有一个小写字母、一个大写字母和一个非字母表的字符(例如“%”或者“!”)。一个好的口令是应该是易记而难猜的。
  
重点:如果用户要将口令写下来,请将它保存在一个安全的地方。

口令

 

图4-9 填写口令

4.8.5 输入用户的WAP服务器类型

    用户要记录他的WAP服务器类型和WAP服务器的软件,这可以从以下列表(如图4-10所示)中选取:

WAP服务器

 

图4-10 填写WAP服务器类型

4.8.6 定制多个证书

    在线申请多个证书是十分方便的,用户只需要点一下“Another Certificate”就可以输入下一个域名、SSCR、口令和WAP服务器。

4.8.7 选择联系人

    在申请证书时,需要知道有关用户所在组织的四点内容:

    根据以上组织的内容,在线申请证书时需要填写的表格如下:

        需要按图4-11所示的内容填写名字、公司名、电话号码、职位名称、E-Mail地址。

名字

 

公司名

 

电话号码

 

职位

 

E-Mail地址

 

图4-11 填写授权人

    需要按图4-12所示内容填写名字、公司名、电话号码、职位名称、E-Mail地址。

名字

 

公司名

 

电话号码

 

职位

 

E-Mail地址

 

图4-12 填写技术联系人

        需要按图4-13所示内容填写名字、公司名、电话号码、职位名称、E-Mail地址。

名字

 

公司名

 

电话号码

 

职位

 

E-Mail地址

 

图4-13 填写安全联系人

        需要按图4-14所示内容填写名字、地址、城市、省份或地区、邮政编码、国家、电话号码、E-Mail地址。

姓名

 

地址

 

城市

 

省份或地区

 

邮政编码

 

国家

 

电话号码

 

E-Mail地址

 

图4-14 填写账单联系人

4.8.8 确认

    确认页将包含着用户每一步所输入的信息。这个页给用户提供了表单提交前验证所输入内容的机会。如果用户可以按“Edit”键对内容做修改。必须指出任何的应用错误将拖延申请的时间。

    以下信息将显示在确认页上:

    在附加的信息中,每个证书都将显示以下内容:

4.8.9 签署文件

    这一步要求用户阅读有关的条款。这些条款是Entrust.net针对每一个使用WAP服务认证的使用者。用户必须同意这些条款才能到达下一步。

4.8.10 付费信息

    用户可以通过在线付费American Express、Visa和Master Card。发放用户的证书后才从信用卡里面收取费用。在收取费用之后,用户将收到一个在线的收。
    当用户完成订购之后,用户将收到一个订购序列号,请记录这个号码。用户可以使用这个号码来在线跟踪申请的状况。
    一旦用户完成了注册技术联系人和授权人,将收到一个E-Mail,通知他们,申请正在被考虑之中。如果用户的申请成功,E-Mail将包含一个URL,那儿有用户可以使用的WAP服务认证证书。请用户查阅他的WAP服务软件来指导如何安装证书,并启动WTLS。