PKI技術(shù)原理證書制作與應(yīng)用

1、實(shí)驗(yàn)項(xiàng)目與實(shí)驗(yàn)報(bào)告（ 5 ）學(xué)科：信息與網(wǎng)絡(luò)安全 學(xué)號(hào)：20134088141 姓名：羊波 時(shí)間：11月20日實(shí)驗(yàn)項(xiàng)目：PKI技術(shù)原理證書制作與應(yīng)用實(shí)驗(yàn)?zāi)康模?理解PKI技術(shù)原理使用命令方式（兩種方法），掌握數(shù)字證書生成方法。一、實(shí)驗(yàn)步驟：1. 完成實(shí)驗(yàn)教程1-32. 登錄網(wǎng)絡(luò)平臺(tái)修改作業(yè)發(fā)布密碼，上傳實(shí)驗(yàn)報(bào)告一3. 注冊(cè)百度知道號(hào)，并加入知行網(wǎng)絡(luò)團(tuán)隊(duì)。二、實(shí)驗(yàn)內(nèi)容：實(shí)驗(yàn)原理：PKI技術(shù)（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)，PKI技術(shù)采用蒸熟管理公鑰，用過(guò)第三方的可行任機(jī)構(gòu)認(rèn)證中心（Certificate Authority，CA），把用戶的公鑰和用戶的其他

2、標(biāo)識(shí)信息（如名稱、E-mail、身份證號(hào)碼等信息）捆綁在一起，在Internet上驗(yàn)證用戶的身份。目前，通過(guò)的辦法是采用簡(jiǎn)歷在PKI技術(shù)基礎(chǔ)上的數(shù)字證書，通過(guò)對(duì)要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名，保證信息傳輸?shù)臋C(jī)密性，真實(shí)性、完整性和不可否認(rèn)性，從而保證信息的安全傳輸。Makecert證書生成方法一實(shí)驗(yàn)步驟： 把壓縮文件“authenticode.zip”解壓到d盤中，并把應(yīng)用程序“羊波”放在d盤中；如下圖1所示： 圖1 d盤的ca文件夾 打開(kāi)cmd命令窗口輸入“d:” 回車進(jìn)入d盤；輸入“cd ca” 回車進(jìn)入文件夾ca；輸入“dir/w”回車顯示文件夾中可執(zhí)行程序；如下圖2所示： 圖2 cmd

3、命令窗口 在cmd命令窗口中輸入“makecert -n "CN=Root" -r -sv Rootyb.pvk Rootyb.cer”，生成一個(gè)自簽名的根證書，創(chuàng)建私鑰密碼，輸入私鑰密碼即可，并在d盤的ca文件夾中可以查找到根證書；如下圖3，圖4，圖5，圖6所示： 圖3創(chuàng)建私鑰密碼 圖4輸入私鑰密碼 圖5成功生成根證書 圖6 根證書Rootyb 在cmd命令窗口中輸入“makecert -n "CN=YB,E=403613140" -iv Rootyb.pvk -ic Rootyb.cer -sv 520.pvk 520.cer -sky signat

4、ure”，生成一個(gè)安全證書，創(chuàng)建私鑰密碼，輸入私鑰密碼再輸入私鑰密碼即可，并在d盤的ca文件夾中可以查找到此證書；如下圖7，圖8，圖9圖10所示： 圖7輸入命令并創(chuàng)建私鑰密碼 圖8輸入私鑰密碼 圖9成功生成安全證書 圖10 安全證書520 說(shuō)明：如果你需要一個(gè)交互證書，用于安全通信，那么可以把選項(xiàng) -sky signature 改成-sky exchange；同樣可以生成安全證書，如下圖所示： 安裝證書。打開(kāi)“Rootyb”證書、“520”證書點(diǎn)擊安裝證書，下一步，選擇證書存儲(chǔ)的地方，下一步，完成即可導(dǎo)入成功；如下圖11，圖12，圖13，圖14，圖15，圖16，圖17所示： 圖11打開(kāi)Root

5、yb證書 圖12選擇放在“受信任的根證書頒布機(jī)構(gòu) 圖13 完成證書安裝圖14導(dǎo)入成功 圖15選擇520證書存儲(chǔ)到受信任的根證書頒發(fā)機(jī)構(gòu) 圖16完成安裝 圖17導(dǎo)入成功 在d盤中找到“signcode” 手動(dòng)操作。打開(kāi)“signcode”應(yīng)用程序，下一步，把d盤ca文件夾中的“羊波”應(yīng)用程序，下一步，選擇需要簽名的類型，下一步選擇“520”安全證書，下一步選擇“520”安全證書私鑰，輸入私鑰密碼，選擇md5哈希算法，下一步選擇只有簽名證書，下一步加時(shí)間戳： 圖18選擇“羊波”應(yīng)用程序  圖19選擇自定義簽名類型 圖20選擇“520”安全證書 圖20選擇“520”安全證書 圖21選擇“5

6、20”安全證書的私鑰密碼 圖22輸入私鑰密碼 圖23選擇md5哈希算法 圖24選擇只有簽名證書 圖25輸入時(shí)間戳服務(wù) 圖26正在完成數(shù)字簽名導(dǎo)向 圖27輸入私鑰密碼并完成數(shù)字簽名導(dǎo)向用命令查看chktrust 羊波.exe，如下圖27，圖28所示： 圖27在cmd命令窗口中輸入“chktrust 羊波.exe”命令 圖28證書生成方法二實(shí)驗(yàn)步驟如下： 把壓縮文件“authenticode.zip”解壓到d盤中，并把應(yīng)用程序“羊波”放在d盤中； 打開(kāi)cmd命令窗口輸入“d:” 回車進(jìn)入d盤；輸入“cd ca” 回車進(jìn)入文件夾ca；輸入“dir/w”回車顯示文件夾中可

7、執(zhí)行程序；跟以上方法一的、步驟一樣。在cmd命令窗口中輸入“openssl genrsa -des3 -out yangbo.key 1024”命令，并輸入口令；如下圖29所示： 圖29輸入命令、口令在cmd命令窗口中輸入“openssl req -new -x509 -days 730 -key yangbo.key -out yangbo.crt -config f” 命令，并輸入口令；如下圖29所示，回車注冊(cè)信息，如下圖30所示： 圖29輸入命令、口令 圖30注冊(cè)信息在cmd命令窗口中輸入“pvk -in yangbo.key -out yangbo.pvk -nocrypt -topv

8、k” 命令，并輸入口令；如下圖31所示： 圖30輸入命令、口令在cmd命令窗口中輸入“cert2spc yangbo.crt yangbo.spc” 命令，即可成功生成安全證書并可在d盤ca文件夾中查看；如下圖32、圖33所示： 圖32成功生成安全證書 圖33“yangbo”證書 入證書，跟方法一的導(dǎo)入證書步驟一樣，如下圖34、圖35所示： 圖34導(dǎo)入證書 圖35導(dǎo)入成功 在d盤中找到“signcode” 手動(dòng)操作。打開(kāi)“signcode”應(yīng)用程序，下一步，把d盤ca文件夾中的“羊波”應(yīng)用程序，下一步，選擇需要簽名的類型，下一步選擇“yangbo”安全證書，下一步選擇“yangbo”安全證書私鑰，輸入私鑰密碼，選擇md5哈希算法，下一步選擇只有簽名證書，下一步加時(shí)間戳： 圖36選擇“羊波”應(yīng)用程序 圖37選擇“yangbo”證書 圖38選擇“yangbo”證書私鑰文件 圖39選擇MD5哈希算法 圖40選擇“只有簽名證書” 圖41輸入時(shí)間戳服務(wù) 圖42正在完成數(shù)字簽名向?qū)?圖43向?qū)瓿?用命令查看chktrust 羊波.exe，如下圖44，圖45所示： 圖44輸入查看證書命令 圖45實(shí)驗(yàn)內(nèi)容：（寫出實(shí)驗(yàn)步驟及實(shí)驗(yàn)結(jié)果或數(shù)據(jù)，不夠可寫在左邊：前頁(yè)反面）實(shí)驗(yàn)中出現(xiàn)的問(wèn)題及解決方法：1. 出現(xiàn)的問(wèn)題：一開(kāi)始不理解PKI技術(shù)原理。解決方