数字证书项目实战.docx

1、数字证书项目实战计算机网络安全项目实战数字安全证书的管理与应用项目名称：数字安全证书的管理与应用 班 级：08级网络系统管理 辅导老师：许涛 小组成员：李朋渊 吴彦霖 贾石 崔婧 时 间：2009-11-25 目录一、前言 - 3 -1.1数字证书的由来 - 3 -1.2 数字证书的定义 - 3 -1.3数字证书的种类 - 4 -1.4 CA认证的好处 - 4 -1.5 证书的工作原理 - 4 -1.6证书的颁发过程 - 5 -二、 安装与配置windows server 2003证书服务 - 6 -2.1安装证书服务 - 6 -2.2 证书服务管理 - 11 -三、证书在windows se

2、rver 2003中的应用 - 12 -3.1 安装CA证书 - 12 -3.2申请并安装客户证书 - 16 -3.3 证书在电子邮件的应用 - 18 -四、实训小结 - 20 -一、前言1.1数字证书的由来由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一

3、种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。 如何判断数字认证中心公正第三方的地位是权威可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。 1.2 数字证书的定义数字证书是由权威机构CA证书授权（Certificate Authority）中心发行的，能提供在In

4、ternet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。在一个电子商务系统中，所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份（每份证书都是经“相对权威的机构”签名的），另一方面由于每份证书都携带着证书持有者的公钥（签名证书携带的是签名公钥，密钥加密证书携带的是密钥加密公钥），所以，证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着公钥分发的作用。 1.3数字证书的种类SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证，绑定网站域名，不同的产品对于不同价值的数据和要求不

5、同的身份认证。超真SSL和超快SSL在颁发时间上已经没有什么区别，主要区别在于：超快SSL只验证域名所有权，证书中不显示单位名称；而超真SSL需要验证域名所有权、营业执照和第三方数据库验证，证书中显示单位名称：电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性，它只证明邮件地址的真实性。加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件。客户端个人证书主要被用来进行身份验证和电子签名。这种认证手段是目前在internet最安全的身份认证手段之一。key的形式有多种，指纹、口令卡等。1.4 CA认证的好处为保证网上数字信息的

6、传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。数字证书认证解决了网上交易和结算中的安全问题，其中包括建立电子商务各主体之间的信任关系，即建立安全认证体系（CA）；选择安全标准（如SET、SSL）；采用高强度的加、解密技术。其中安全认证体系的建立是关键，它决定了网上交易和结算能否

7、安全进行，因此，数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。 1.5 证书的工作原理目前数字证书的格式普遍采用的是X.509 V3国际标准，内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等.到现在(20090222)全国一共有28家依法成立的合法数字证书认证机构.工作原理如下图1.1。1.1证书工作原理图1.6证书的颁发过程数字证书也必须具有唯一性和可靠性。为了达到这一目的，需要采用很多技术来实现。 数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的

8、步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。如下图1.2所示：证书颁发过程图1.2二、 安装与配置windows server 2003证书服务2.1安装证书服务Windows server 2003操作系统内置了证书服务组件，安装该组件可以构建自己的CA中心，适合中小企业构建自己的安全基础设施PKI应用。安装证书服务器的步

9、骤如下：1.选择控制面板中的“添加/删除程序”，选择“添加/删除Windows 组件”，在“组件向导”窗口中选中证书服务复选框，如图2.1所示；图2.1 选中证书服务复选框2.在如图2.2所示证书服务详细内容对话框中，选择“证书服务CA”和“证书服务Web注册支持”， “证书Web注册支持”服务选项，允许用户以浏览器模式访问Windows Server 2003证书服务器，申请证书。单击“确定”按钮，返回上图2.1所示对话框界面，单击“下一步”按钮继续。图2.2选择“证书服务CA”和“证书服务Web注册支持” 3. 在出现如图2.3所示“CA类型”对话框中，选择“独立根”和“用自定义设置生成密

10、匙对和CA证书”选项，这里我们构建企业自己独立的CA服务器。单击“确定”按钮继续。图2.3 选择“独立根”和“用自定义设置生成密匙对和CA证书”4.在出现的如图2.4所示对话框中进行加密服务提供程序的设置，选择散列算法（建议选用SHA-1）和密匙长度。根据安全应用的需要可以选择512、1024或 2048位密钥长度。单击“下一步”按钮。图2.4 选择SHA-1和密匙长度5.在出现的如图2.5所示对话框中输入CA的识别信息，本例中设置为吴彦霖 2008113291。用户可以任意设置为本企业的标识名称。单击“下一步”继续。图2.5 输入CA的识别信息6. 接下来选择下一步按钮，弹出一个窗口，让我们

11、指明数据库、日志文件等的存放位置，数据库和日志文件就记录了证书服务对那些客户端进行了证书颁发的有关信息，还可以指明一个共享文件夹存放点，如图2.6所示： 图2.6 指定存储位置 7.在出现如图2.7所示对话框中进行证书数据库、证书日志存储路径的设置。单击“下一步”弹出一询问停止IIS服务的对话框，选择“是”停止IIS服务，接下来系统开始组件安装。图2.7 存储路径设置图2.88.如上图2.8所示，完成“windows 组件向导”安装后，通过服务器增加证书服务的web服务，通过IIS对证书web服务进行管理和配置。证书web入口程序为certserv虚拟目录下的default文件，为了能够允许用

12、户访问该程序，必须设置web服务器允许脚本执行。如下图2.9所示图2.9 IIS9.打开默认网站属性，点击“目录安全”，选中“集成windows身份验证”，点击“确定”，如下图所示：图2.10 修改属性10.单击“全选”，点击“确定”，如下图2.11所示：图2.112.2 证书服务管理证书服务安装好后，可以使用管理工具中“证书颁发机构”工具对证书服务器进行管理。通过“开始”/“程序”/“管理工具”/“证书颁发机构”，打开“证书颁发机构”管理控制台窗口，如图2.12所示，显示此计算机上已经安装好证书服务，而且已经自动启动运行。图2.12打开“证书颁发机构”管理控制台窗口从图中可以看出，证书服务管

13、理分为“挂起的申请”、“颁发的证书”、等四个目录用来存放证书申请文件和已经审核通过的颁发的证书等当用户申请证书后，在“挂起的申请”文件夹内出现用户证书申请文件，如图2.13、2.14所示，选择右侧窗口中的证书请求记录没通过双击查看记录的详细内容。若符合，则右击记录，选择快捷菜单中“所有任务/颁发”，审核通过，颁发此书。证书则出现在“颁发的证书”中。图2.13图2.14三、证书在windows server 2003中的应用 在客户端安装和配置证书服务，主要包括下载并安装CA根证书，用户证书的申请及安装，一级证书的应用配置以及证书在电子邮件中的配置。3.1 安装CA证书为了使用证书，首先需要在用

14、户计算机上安装受信任的CA根证书，这隐含你信任该CA中心及其办法的证书。下载安装CA证书的过程如下：1. 打开IE浏览器，连接安装好的CA服务器，出现如下页面图3.1图3.1打开IE浏览器2.选择“下载一个CA证书、证书链或CRL”，点击后，以.crt扩展形式保存到磁盘，如下图3.2：图3.2选择“下载一个CA证书、证书链或CRL”3.在IE浏览器中选择“工具”/“Internet选择”/“内容”/“证书”菜单，如下图3.3、3.4所示：图3.3图3.44.选择“受信任的根证书颁发机构”选项卡，单击“导入”按钮，进入证书导入向导.如图3.5、3.6图3.5图3.65.点击下一步，指定CA证书存

15、放位置，单击下一步，继续。如图3.7图3.7 设置存储路径6出现向导完成对话框时，单击“完成”按钮，出现“安全警告”对话框，选择“是”按钮，完成CA证书导入，如下图3.8、3.9、3.10所示：图3.8证书出现在受信任的证书机构中图3.9 完成证书导入图3.10 出现安全警告3.2申请并安装客户证书企业内部安装好证书服务后，相对于企业拥有了一个CA中心。用户可以从CA中心申请并安装一个个人证书，具体步骤如下：1.打开IE浏览器，输入CA服务器连接地址，选择“申请一个证书”链接，进入如图3.11所示页面：图3.11打开IE浏览器2.选择申请“电子邮件保护证书”，如下图3.12所示：图3.12申请

16、“电子邮件保护证书”3.输入详细证书信息，如下图3.13所示：图3.13 输入详细证书信息4.提交信息，返回首页，等待证书申请。如下图3.14所示：图3.14 提交信息5.查看证书申请情况，选择“查看挂起的证书申请状态”，如下图3.15所示：图3.15查看挂起的证书申请状态6.若证书经过了审核，并颁发了该证书，则返回所示页面图3.16，选择“安装此证书”，用户证书则会被放到操作系统的“个人”证书区域中。图3.16 证书已经颁发3.3 证书在电子邮件的应用 申请了电子邮件保护证书，就可以在客户端将该证书绑定到电子邮件服务中，以outlook为例，介绍证书如何用于邮件安全服务，具体操作如下：1.

17、运行outlook express，如图3.17图3.17 运行outlook登陆界面2. 选择“工具”菜单中的“账户”，弹出如图3.18所示“Internet 账户”对话框。选择“邮件”选项卡，选择邮箱帐户，单击“属性”按钮。图3.18 Internet 账户3. 在邮件属性对话框中选择“安全”选项卡，单击选择按钮，添加签名证书，如图3.19图3.19 “安全”选项卡4. 对话框中列出包含有该邮件账户列表，这就是为什么在证书申请时要保证邮件帐户输入正确。选择对应证书，单击“确定”，设置完成后，证书栏出现相应证书主题标示名。如图3.20图3.20 选择使用的证书5. 完成上述设置后，用户就可以

18、使用自己的证书为邮件签名，也可以安装其他人证书，用于加密发给对方邮件。如图所示，可以使用“工具”中的“签名”按钮，为所发邮件签名，同时也可以选择“工具”中的“加密”按钮。如图3.21图3.21为邮件加密、签名四、实训小结本次实训介绍了Windows Server 2003证书服务的概念、服务的安装与配置，给出了完整的用户申请数字证书的过程，并以安全电子邮件为例，介绍了使用Outlook电子邮件程序实现邮件的签名与加密的安全服务。使我们了解到要想为某个IIS网站创建数字证书，首先必须使用“Web服务器证书向导” 功能为该网站生成一个证书请求文件。进入“控制面板管理工具Internet 信息服务(

19、IIS)管理器”，在IIS管理器窗口中展开“网站”目录，右键点击要使用SSL安全加密机制功能的网站，在弹出菜单中选择“属性”，然后切换到“目录安全性”标签页(如图)，接着点击“服务器证书”按钮。在“IIS证书向导”窗口中选择“新建证书”选项，点击“下一步”，选中“现在准备证书请求，但稍后发送”，接着在“名称”栏中为该证书起个名字，在“位长”下拉列表中选择“密钥的位长”，这里要注意，位长不能设置的过大，否则会影响通信质量;接着设置证书的单位、部门、和地理信息，在站点“公用名称栏”中输入该网站的域名，然后指定证书请求文件的保存位置，这里笔者将该证书请求文本文件保存在“d:certreq.txt”。这样就完成了证书请求文件的生成。我们小组在做实训过程中，我们了解了证书服务，证书的安装配置，证书在windows server2003中的应用，证书在电子邮件中的应用。但是，在实训过程中我们也遇到了许多问题，比如说，证书信息填写错误无法继续下一步；证书出现无法颁发的情况；证书客户端填写CN时的个人信息与邮件服务信息中不相符导致无法选择信任的证书；没有出现警告页面等等。但是经过我们的讨论分析以及多次的实验，历经3次安装，终于解决了所有问题。这次实训锻炼了我们的意志和耐力，增加了我们团队之间的团结，使我们获益颇丰！