实验3 CA认证和数字证书.docx

实验3 CA认证和数字证书.docx

《实验3 CA认证和数字证书.docx》由会员分享，可在线阅读，更多相关《实验3 CA认证和数字证书.docx（33页珍藏版）》请在冰豆网上搜索。

实验3CA认证和数字证书

实验3CA认证和数字证书

实验目的：

1.为自己申请数字证书

2.了解当前各种数字证书机构的状况

3.了解数字证书的类型和作用.

4.掌握申请数字证书的方法

5.加深对数字证书概念和作用的理解.

6.使用数字证书解密加密电子邮件

实验内容

数字证书的申请.

使用数字证书加密解密电子邮件

实验要求:

1.上网搜索提供数字证书的机构

2.了解各类数字证书的作用.

3.选定一家免费证书提供机构.为自己申请一张安全电子邮件证书.

4.在IE浏览器中查看自己申请成功的数字证书.

实验学时:

2学时

实验步骤

步骤1:

搜索提供数字证书的机构.

在google搜索引擎中输入"数字证书".可以找到很多国内的CA机构.

这些CA机构都提供不同类型的数字证书.

步骤2:

对这些机构提供的数字证书类型及其作用进行分析.

目前国内的证书机构能够提供的证书类型主要包括个人数字证书.企业数字证书.服务器身份证书.安全web服务证书.安全电子邮件证书.代码签名证书等.各种不同类型的证书作用不同.个人数字证书中包含证书持有者的个人身份信息.公钥及CA的签名.在网络通讯中标识证书持有者的个人身份;企业数字证书中包含企业基本信息.公钥及CA的签名.在网络通讯中标识证书持有企业的身份;服务器身份证书中包含服务器信息.公钥及CA的签名.在网络通讯中标识和验证服务器的身份.在网络应用系统中.服务器软件利用证书机制保证与其他服务器或客户端通信的安全性;

安全Web站点证书中包含Web站点的基本信息.公钥和CA的签名.凡是具有网址的Web站点均可以申请使用该证书.主要和网站的IP地址.域名绑定.可以保证网站的真实性和不被人仿冒;代码签名证书是CA中心签发给软件提供商的数字证书.包含软件提供商的身份信息.公钥及CA的签名.软件提供商使用代码签名证书对软件进行签名后放到Internet上.当用户在Internet上下载该软件时.将会得到提示.从而可以确信软件的来源.并确认软件自签名后到下载前没有遭到修改或破坏;安全电子邮件证书中包含证书持有者的电子邮件地址.公钥及CA的签名.使用安全电子邮件证书可以收发加密和数字签名邮件.保证电子邮件传输中的机密性.完整性和不可否认性.确保电子邮件通信各方身份的真实性.

步骤3:

选定一种个人数字证书.为自己申请该数字证书.

由于大多数证书机构都要求对提供的数字证书收费.我们在此给同学提供一些提供免费试用证书的CA网址:

（需有访问国外网站的权限）

以下以某学生的申请过程为例.给出在申请一份免费数字证书的实验步骤.1.登录到申请地址.点击"证书申请"链接.选择"试用型个人数字

证书申请"链接.

2.只有安装了根证书（即证书链）的计算机.才能够完成后面的申请步骤和正常使用在CA

中心申请的数字证书.所以需要先进行证书链的安装.按照系统提示.我们可以在页面中点击"安装证书链"按钮.

3.在系统"安装成功"提示框出现后.进入"基本信息"表单.按照表单的提示内容.完整地输入个人资料.注意在选择加密服务提供程序（CryptographicServiceProvider.CSP）项目中选择"MicrosoftBaseCryptagraphicProviderV1.0"选项.

4.选择填写补充信息.具体包括有效证件类型.证件号码.出生日期.性别.住址.通信地址.邮政编码.联系电话.传真号码以及存储介质等.完成后.点击"提交"按钮.随后系统将进行数字证书的下载.在完成上述步骤后.系统将发送一封申请成功的信件到您申请时使用的邮箱内.其中包括业务受理号.密码以及数字证书下载的地址.

5.点击数字证书的下载地址链接.并填写业务受理号和密码并提交.系统即提示您安装的数字证书的基本信息.然后点击下方的"安装证书"按钮.当系统给出"证书成功下载并装入应用程序中"提示后.表明您的证书已经成功安装.

步骤4:

在IE浏览器中查看已经申请成功的数字证书

1.首先打开InternetExplorer.在其菜单栏上选择"工具"\"Internet选项".在"Internet选项"对话框中.选择"内容"选项卡.点击"证书"按钮查看当前信任的证书列表.

2.在"证书"对话框中.点击"个人"选项卡.可以查看到已经申请的个人数字证书列表.

3.选定您需要查看的个人数字证书.然后单击"查看"按钮.可以查看相应数字证书的详细信息.

foxmail加密

安全电子邮件（数字签名与加密）

　　由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息，因此保证邮件的真实性（即能够鉴别是否是伪造）、以及邮件不被其他人截取和偷阅也变得日趋重要。

　　安全电子邮件通过使用数字标识（数字证书，这里即安全电子邮件证书），对邮件进行数字签名和加密，以确保电子邮件的真实性和保密性。

Foxmail全面支持安全电子邮件技术，兼容多种加密、解密算法，可应用于各种重要商务活动处理机密信息时接收和发送数字签名、加密邮件。

数字签名、加密原理

概述

　　在能够发送带有数字签名的邮件之前，您必须获得数字标识（也称为数字证书）。

获得数字标识的方法请参考申请数字证书。

　　所谓数字标识是指由独立的授权机构发放的，证明您在Internet上身份的证件，是您在因特网上的身份证，是用户收发电子邮件时采用证书机制保证安全所必须具备的证书。

　　电子邮件数字签名、加密遵循S/MIME协议实现，S/MIME全称“安全的多功能互联网邮件扩展”（Secure/MultipurposeInternetMailExtensions），是通过在RFCl847中定义的多部件媒体类型在MIME中打包安全服务的一个技术。

它提供验证、信件完整性、数字签名和加密。

　　数字标识包括“私人密钥”（简称“私钥”）和“公用密钥”（简称“公钥”）。

私钥是保密的，由证书申请人独自掌握，需要妥善保管。

私钥一旦泄漏，应当尽快注销该证书，以免被他人冒用您的身份；公钥是公开的，您可以把它发送给别人，别人也可以从证书颁发机构处获得。

签名

　　申请到数字证书之后，使用证书的私钥，可以向任何邮件地址送数字签名邮件。

通过数字签名，收件人可以验证您的身份，确认邮件是由您发出的，并且中途没有被篡改过。

从而防止他人冒用您的身份发送邮件，或者中途篡改邮件。

加密

　　要向收件人发送加密邮件，并且对方可以正确解密，首先必须获得该收件人的公钥。

发送邮件时，使用公钥对邮件进行加密。

当收件人收到加密邮件后，使用对应的私钥才能对邮件进行解密，阅读邮件。

其他人即使窃取到邮件，由于没有对应的私钥，也无法解读。

电子邮件安全的核心技术

　　随着越来越多的用户加入Internet，安全已经成为Internet标准委员会的重点。

事实上，一个重要的中心是在给大多数Internet协议增加高级的安全特性（特别是核心协议）。

　　1997年IAB召开了一个安全体系结构的会议，它的目标是为Internet设计一个安全体系结构，至少是了解Internet安全的现状和它的发展方向。

这次会议指出，有3个使用安全组件的方面需要得到最大的改善，其中就包括保密电子邮件（另外2个是对象安全和路由安全）。

　　现在我们通过技术手段来保证网上交流的安全性。

密码术衍生出的数字签名的技术，和传统的手写签名作用类似，衍生出的数字证书，和身份证件的作用也是类似的。

　　大多数安全机制的核心有4种算法：

伪随机数产生器、密码散列函数、对称加密和非对称加密。

这些算法以某种形式组合起来，产生另外两个核心安全技术：

数字签名和信件验证代码。

申请数字证书

　　数字证书由独立的授权机构发放。

在向授权机构的Web站点申请数字证书时，授权机构在发放标识之前有一个确认您身份的过程。

数字证书有不同的类别，不同类别提供不同的信用级别。

有关的详细信息，请参阅授权机构Web站点上的帮助。

　　登陆页面，可以申请数字证书。

申请证书以需要经过以下步骤：

　　第一步，安装CA根证书。

　　第二步，申请证书，填写邮件地址和必要的用户信息。

　　第三步，接收证书发放机构发送过来的邮件，获得序列号和密码信息。

　　第四步，下载并安装证书，下载过程需要提供序列号和密码。

　　安装后，可以在系统中查看证书：

打开IE浏览器，单击“工具”菜单的“Internet选项”，在弹出的对话框中切换到“内容”选项卡，单击“证书”按钮，在弹出的“证书”对话框中，可以查看系统中已经安装的各个证书。

　　另外，当您发现自已的证书的私钥泄密或其它原因引起不可信时，可以通过页面上的“撤销您的证书”功能，将证书撤消。

请注意撤消的证书是不可恢复的。

　　证书申请页面还提供了证书废止列表下载。

证书废止列表（CRL）记录了所有我们的CA服务用户中被废止的证书的相关信息，系统可能会自动查找证书废止列表并下载，如果需要，您可以手工下载CRL文件，选中该文件右击可进行CRL的安装。

发送数字签名或加密邮件

发送数字签名或加密邮件

　　带数字签名的电子邮件允许电子邮件的收件人验证您的身份，加密电子邮件则可以防止其他人在邮件传递过程中偷阅邮件。

发送邮件时，可以只对邮件进行签名，或者只对邮件进行加密，也可以对邮件同时进行签名和加密。

发送签名邮件

　　要为邮件添加数字签名，请在写邮件窗口“工具”菜单中，单击“数字签名”菜单项，或者单击工具栏的“签名”按钮。

　　使用某个帐户发送数字签名邮件，必须首先为该帐户的电子邮件地址申请一个数字证书，否则，发送邮件时，将提示用户申请数字证书。

　　在帐户属性中，可以为帐户设置证书。

发送数字签名邮件时，将使用该证书进行签名，如果没有设置，将弹出“证书选择”对话框，提示用户选择一个证书作为本帐户的证书。

发送加密邮件

　　要加密邮件，请在写邮件窗口“工具”菜单中，单击“加密”菜单项，或者单击工具栏的“加密”按钮。

　　发送加密邮件，需要使用收件人的公钥，对邮件进行加密。

一般有以下两种方法取得并使用收件人的公钥加密邮件：

　　第一，直接回复带有数字签名的邮件，并对邮件进行加密。

回复邮件的收件人自动包含了其证书信息（公钥），双击写邮件窗口“收件人”一栏内的收件人，将弹出地址簿卡片属性对话框，在“数字证书”选项卡可以查看收件人的证书信息。

　　第二，向包含数字证书的卡片发送加密邮件。

要把含有公钥信息的数字证书添加到地址簿卡片中，请参考添加数字证书。

阅读数字签名或加密邮件

阅读数字签名或加密邮件

　　带数字签名的邮件，邮件图标上有一个飘带标记，加密的邮件，邮件图标上有一把锁作为标记。

　　正常情况下，阅读带数字签名或加密的邮件与阅读其他邮件一样，Foxmail会自动显示邮件的内容。

但是，如果阅读的邮件存在安全问题，例如邮件已被篡改或发件人的数字证书已过期，Foxmail将显示安全警告信息，详细说明问题所在。

在安全警告信息显示框中，有三个按钮，分别是：

　　打开邮件：

显示邮件内容。

　　查看数字证书：

查看发件人的数字证书详细信息。

　　编辑信任：

查看或修改对该数字证书的信任方式。

　　打开一个带有数字签名或者加密的邮件，邮件内容右上方将显示签名或者加密图标，单击该图标，可以查看邮件的安全属性。

　　在安全属性对话框中，可以查看邮件所采用的签名、加密算法，查看签名、加密证书，对签名邮件，还可以把发件人的数字证书信息添加到址簿中。

　参考资料：

数字证书认证中心简介

CA中心，又称为数字证书认证中心，作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。

CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。

CA中心的数字签名使得攻击者不能伪造和篡改数字证书。

当然CA中心还需要配套的RA（RegistrationAuthority--注册审批机构）系统。

下面我们就分别介绍中心以及注册中心：

一,认证中心

认证中心（CA）可按照一定的信任模型来组织，通常组织成层状模型。

各级CA认证机构的存在组成了整个网上信息交流的信任链。

每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根证书中心（根CA），即一个CA可用来证明另外一个CA的合法性，而且对于某些CA，这也是它们的唯一任务。

这种认证体系将证书分层，各证书都有上级CA的数字签名。

1，认证中心的组成

（1）签名和加密服务器对于数字证书，应该有认证机构的数字签名，对于被撤消的数字证书，也应有该认证机构的数字签名。

签名和加密服务器就是用来接收来自证书管理服务器的申请，按规则对待签名证书和待签名的CRL进行数字签名，并进行证书管理服务器的加密/解密运算

（2）密钥管理服务器密钥管理服务器与签名和加密服务器连接，按配置生成密钥、撤消密钥、恢复密钥和查询密钥

（3）证书管理服务器主要完成证书的生成、作废等操作控制。

维护证书库，作废证书库、证书状态库等有关数据库。

证书管理服务器是对证书的生成、作废等操作实现的核心。

（4）证书发布和CRL服务器证书发布服务器用于将证书信息按一定的时间间隔对外发布，可通过webserver和LDAP实现，Server为客户提供证书下载和CRL下载等服务。

（5）在线证书状态查询服务器证书用户随时都想知道某个证书的最新状态，这是由在线证书状态查询服务器提供的实时查询证书状态的服务服务来完成的。

（6）WEB服务器用于证书的发布和有关数据认证系统政策的发布。

2，认证中心功能的实现

（1）证书发放通过注册中心的初始身份认证后，注册中心将用户申请提交认证中心，认证中心根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置个字段，并采取不同的方法将证书返回给用户（如用电子邮件形式）

（2）证书更新这个包含两个方面，一是用户证书已经过期或者与证书相关的密钥到了他有效生命终点，或者证书中一些属性已经改变，这都需要更新用户的证书。

二是CA本身的证书也存在以上的问题，所以CA根证书也是需要更新的.

（3）证书注销在某种情况下，证书的有效性要求在证书结束日期之前终止或者要求拥护与私钥分离时，证书要被撤消。

例如签署者状态发生改变，证书中信息可能已经修改，与用户相关的私钥可能以某种方式泄露。

大多数情况下，CA用来公布已更改的证书状态机制是一个证书撤消列表（CRL）。

CRL包括已被撤消证书的序列号和撤消日期，还有标志撤消原因的状态。

（4）证书验证它包括如下几个内容，一是证书是否包含一个有效的数字签名，以此证明证书内容没被修改。

二是颁发者的公开密钥是否可以验证证书上的数字签名，以确认数据是否来源于真正的数据发送方。

三是当前使用的证书是否在证书的有效期内。

四是证书是否用于最初分发它的目的。

五是检查证书撤消列表CRL，验证证书是否被撤消。

二,注册中心

注册中心是数字证书注册审批机构。

RA系统是CA的证书发放、管理的延伸，它负责证书申请者的信息录入，审核等工作；同时，对发放的证书完成相应的管理功能，一般来说，注册机构控制注册、证书传递、其他密钥和证书生命周期管理过程中主体、最终实体和PKI间的交换，然而任何环境下RA都不真正发起关于主体的可信声明。

1，RA的功能

（1）主体注册证书的个人认证

（2）确认主体所提供的信息的有效性

（3）对被请求证书属性确定主体的权利

（4）确认主体确实拥有注册的私钥

（5）在需要撤消时报告密钥泄露或终止事件

（6）为识别身份的目的分配名字

（7）在注册初始化和证书获得阶段产生共享秘密

（8）产生公/私密钥对

（9）认证机构代表最终实体开始注册过程

（10）私钥的归档

（11）开始密钥恢复处理

（12）包含私钥的物理环网（例如智能卡）的分发

2，基于WEB浏览器的简单注册操作过程

（1）访问一个URL，得到一个Web页面，它提供输入表单来让申请者指定注册信息

（2）页面上某处有一个程序用来生成公/私钥对，通常出现一个输入字段，让申请者选择密钥长度（3）输入完信息后提交表单，系统自动构造素数，使浏览器开始生成密钥对。

（4）密钥对生成以后，私钥存储在一个本地应用密钥存储区内，如果是第一次构造密钥存储区，通常还会提示申请者输入口令，使用该口令构造一个加密或解密密钥存储区的对称密钥

（5）当密钥产生完毕，公开密钥就与填入注册表单中的信息一起发送给注册机构的Web服务器接口。

在有些情况下，申请者此时必须证明其拥有私有密钥，这可以通过对注册申请进行数字签名来证明，RA接收到申请时对签名进行验证。

（6）注册机构检查申请信息并且开始验证用户提供的身份信息。

（7）当证书服务器接收到RA的申请后，它根据证书操作管理规范定义的颁发规则在证书中插入附加信息并设置各字段。

（8）生成的证书返回给用户，用何种方式返回根据CA的具体实现和CPS需求的不同而不同。

（9）当用户单击URL时，证书被下载到浏览器

（10）当浏览器发现证书加载操作时，它将返回的证书和先前生成的私钥一起存储到密钥存储区。

选作：

架构CA权威认证服务器

参考资料

创建权威认证的循序渐进指南

此指南介绍了几种适合于MicrosoftWindows2000操作系统的公共密钥的权威认证（CA），并给出了创建一个权威认证（CA）服务的过程。

内容

介绍

权威认证的前提条件

权威认证的建立

注意事项

相关链接

介绍

循序渐进指南会帮助用户在网络上创建一个公共密钥的权威认证以运行微软的Windows2000操作系统（Microsoft®Windows®2000）。

权威认证是一种用来发放使用公共密钥结构所需证书的服务。

它可以是一个外部的商业权威认证机构，也可以是用户公司内部的权威认证。

授权的证书将允许用户使用智能卡登录，发送加密电子邮件及数字签名文档等等。

因为权威认证是一个组织内很重要的一项信任措施，所以多数组织都有它们自己的权威认证。

微软的Windows2000提供了两种权威认证，其类型取决于在安装时选择企业级权威认证（enterpriseCA）标准还是选择独立的权威认证（stand-aloneCA）标准。

在这些类别中，可有两种类型的权威认证，根和附属（root或subordinate）策略模型规定了当一个权威认证接收到一个许可证请求时，它能执行的行为。

应注意：

更改方法标准可能会改变系统的功能性。

客户使用微软平台的软件开发工具集（SDK）来编写策略模块并定制权威认证的行为。

一般地，如果想要为在Windows2000域内的某一机构中的用户或计算机发放许可证，则应安装一个企业级的权威认证；如果想要为在Windows2000域外的用户或计算机发放许可证，则应安装一个独立的权威认证。

企业级的权威认证要求所有请求许可证的用户在Windows2000服务器的活动目录服务中都有一个入口，而独立的权威认证则不需要。

同时，企业级的权威认证可以发放用来登录基于Windows2000的域的许可证，而独立的权威认证则不能。

权威认证组织成以位于顶部的根级权威认证为基础信任点的等级体系，所有其他的权威认证都是从属的，并且只有当根被信任时它们才被信任。

企业级的根权威认证是该企业的信任点。

在基于Windows2000的域中可以有多于一个的企业级根权威认证，这样也就有了多个等级体系。

而且，还可以在一个等级体系中混合搭配企业级和独立的权威认证以最好的满足用户需求。

企业级的权威认证有一种特定的策略模块用来实施许可证的处理及发放过程。

这些模块使用的策略存放于活动目录中的一个权威认证对象的核心当中。

这就意味着要想安装一个企业级的权威认证，必须拥有一个正在工作的活动目录和域名服务器（DNS）。

在独立的等级体系中，独立的根权威认证位于顶部。

每一个新独立的根权威认证启动一个新的等级体系。

再次说明，可以在一个等级体系中混合搭配企业级和独立的权威认证以最好的满足用户需求。

独立的权威认证拥有一种非常简单的策略模块，并且它假定活动目录服务不可用。

然而，如果活动目录是可用的，那么独立的权威认证就可以使用它。

权威认证的前提条件

这部分介绍了创建每一种权威认证的要求。

在安装权威认证之前，必须满足所有这些要求。

企业级根权威认证

一个企业级的权威认证是基于Windows2000的协作权威认证等级体系的根。

如果欲使该权威认证能对公司内的用户和计算机发放许可证,则应安装一个企业级的权威认证。

出于安全原因，企业级的权威认证通常被配置成只能对从属的权威认证发放许可证。

企业级的权威认证需要以下各项条件：

安装Windows2000的域名服务器（DNS）服务（活动目录要求）

安装Windows2000的活动目录。

企业策略将信息放置于活动目录中。

企业管理员在域名服务器（DNS），活动目录和权威认证服务器上享有优先权。

这一点是非常重要的，因为安装会修改许多处信息，其中有的是需要有企业管理员的优先权的。

企业级从属权威认证

一个企业级的从属权威认证是可以在公司内部发放许可证的，但它不是公司中信任度最高的权威认证。

（它从属于等级体系中的另一个权威认证。

）

企业级的从属权威认证需要以下各项：

一个父权威认证。

这可能会是一个外部的商业权威认证或是一个独立的权威认证。

安装Windows2000的域名服务器（DNS）服务（活动目录要求）

安装Windows2000的活动目录。

企业策略将信息放置于活动目录中。

企业管理员在域名服务器（DNS），活动目录和权威认证服务器上享有优先权。

独立的根权威认证

一个独立的权威认证是一个权威认证信任等级体系的根。

如果想要在一个公司企业网络外部发放许可证，则需要安装一个独立的根权威认证。

通常，根权威认证只能对从属的权威认证发放许可证。

例如，你想给你的客户发放许可证以使他们可以访问你的Web站点，但不能给每一个在你目录中的人都发放一个帐号。

再如：

当你出于安全的原因要封锁体系顶部的根权威认证的网络访问，同时又允许一小部分可信赖的人来访问此服务器时。

独立的根权威认证要求本地服务器上的管理员优先权。

独立的从属权威认证

独立的从属权威认证是作为独立的认证服务器或是作为居于一个权威认证信任体系之外的。

所以，当你要为在公司外的企业发放许可书时应安装一个独立的从属权威认证。

独立的从属权威认证需要以下各项：

一个域安装该从属权威认证相关的父权威认证。

同样地，它可以是一个外部的权威认证或是一个商业性的权威认证。

本地服务器上的管理员器的优先级。

前提条件

本循序渐进的指南假定用户已运行了"Windows2000Server配置公共基础结构的循序渐进指南--第一部分及第二部分"。

公共基础结构文档要求有特定的硬件和软件配置。

如果你没有使用公共基础结构，则你在使用该文档时应将其考虑在内。

指南中所使用的所有的名称都是基于本指示体系的。

大多数关于硬件要求和服务器、客户机及外部设备的兼容性可在Windows2000产品兼容性站点找到。

安装权威认证

你必须以一个企业级管理员的身份登录。

1.点