實驗2-數(shù)字證書的申請及使用

實驗2數(shù)字證書的申請及安裝【實驗?zāi)康摹?.了解認證體系的體制結(jié)構(gòu)、功能、作用、業(yè)務(wù)范圍及運行機制。 2.掌握網(wǎng)上申請個人數(shù)字證書的方法。3．掌握數(shù)字證書的導(dǎo)入、導(dǎo)出和安裝?！緦嶒灜h(huán)境】Windows操作系統(tǒng)〔推薦使用windowsxp〕、Internet、InternetExplorer【主要內(nèi)容】1.通過搜索國內(nèi)認證機構(gòu)網(wǎng)站，了解其功能、作用及所提供的業(yè)務(wù)2.在“中國數(shù)字認證網(wǎng)〞網(wǎng)站〔〕為自己申請“個人平安電子郵件證書〞。3.證書查看、導(dǎo)入和導(dǎo)出。4.使用申請的數(shù)字證書發(fā)送簽名和加密電子郵件〔選做〕【實驗導(dǎo)讀】數(shù)字證書的原理及作用數(shù)字證書采用PKI〔PublicKeyInfrastructure〕公開密鑰根底架構(gòu)技術(shù)，利用一對互相匹配的密鑰進行加密和解密。用戶采用自己的私鑰對發(fā)送信息加以處理，形成數(shù)字簽名。由于私鑰為本人所獨有，這樣可以確定發(fā)送者的身份，防止發(fā)送者對發(fā)送信息的抵賴性。接收方通過驗證簽名還可以判斷信息是否被篡改正。數(shù)字證書的頒發(fā)數(shù)字證書是由認證中心〔CA機構(gòu)，CertificateAuthority〕頒發(fā)的。認證中心是能向用戶簽發(fā)數(shù)字證書以確認用戶身份的管理機構(gòu)。它作為電子商務(wù)交易中受信任的第三方，一方面為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，其作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰；另一方面承當(dāng)公鑰體系中公鑰的合法性檢驗的責(zé)任。數(shù)字證書頒發(fā)過程數(shù)字證書頒發(fā)過程如下：用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及局部個人身份信息傳送給認證中心。認證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信請求確實由用戶發(fā)送而來，然后，認證中心將發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進行相關(guān)的各種活動。作為個人用戶，你既可以為自己申請數(shù)字證書，也可以為一臺平安效勞器申請數(shù)字證書。數(shù)字證書有試用版和正式版兩種，試用版申請過程在網(wǎng)上即時完成，并立即可以免費使用。正式版數(shù)字證書那么需要額外的處理方法及時間，一般過程是用戶首先在網(wǎng)上填寫數(shù)字證書申請資料，認證中心在接收到申請請求后，它將對申請人的身份進行審核，當(dāng)用戶的申請請求滿足認證中心的所有要求后，認證中心將為其制作證書，然后發(fā)送給申請人或者是申請人在網(wǎng)上下載自己的證書。根證書及根證書下載所謂根證書，是CA認證中心與用戶建立信任關(guān)系的根底，用戶的數(shù)字證書必須有一個受信任的根證書，用戶的數(shù)字證書才是有效的。從技術(shù)上講，證書其實包含三局部，用戶的信息，用戶的公鑰，還有CA中心對該證書里面的信息的簽名，要驗證一份證書的真?zhèn)巍布打炞CCA中心對該證書信息的簽名是否有效〕，需要用CA中心的公鑰驗證，而CA中心的公鑰存在于對這份證書進行簽名的證書內(nèi)，故需要下載該證書，但使用該證書驗證又需先驗證該證書本身的真?zhèn)危视忠煤灠l(fā)該證書的證書來驗證，這樣一來就構(gòu)成一條證書鏈的關(guān)系。根證書是一份特殊的證書，它的簽發(fā)者是它本身，下載根證書就說明你對該根證書以下所簽發(fā)的證書都表示信任，而技術(shù)上那么是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結(jié)束。所以說用戶在使用自己的數(shù)字證書之前必須先下載根證書。個人數(shù)字證書數(shù)字證書是在Internet上用來證明用戶身份的一種方式，它是一份包含用戶身份信息、用戶密鑰信息以及CA中心數(shù)字簽名的文件。申請個人數(shù)字證書可以為Internet用戶提供發(fā)送電子郵件的平安和訪問需要平安連接〔需要客戶證書〕的站點。數(shù)字證書CA中心的數(shù)字簽名可以確保證書信息的真實性、保密性。中國數(shù)字認證網(wǎng)為個人或非盈利性機構(gòu)在線提供免費數(shù)字證書，供用戶學(xué)習(xí)使用。免費數(shù)字證書的有效期限為一年，申請人不需要支付證書使用費用，證書功能與正式證書一致。證書申請和發(fā)放采用在線處理的方式，用戶可以在線完成證書的申請，并將證書下載安裝到自己的計算機系統(tǒng)或數(shù)字證書存儲介質(zhì)中。免費數(shù)字證書所包含的內(nèi)容是未經(jīng)CA機構(gòu)審核，不提供任何信用等級的保證，不適用于需要確認身份的商業(yè)行為，也不應(yīng)該作為任何商業(yè)用途的依據(jù)?！緦嶒瀸?dǎo)讀】⑴免費數(shù)字證書的申請安裝操作①訪問中國數(shù)字認證網(wǎng)〔://ca365〕主頁，選擇“免費證書〞欄目的“根CA證書〞。如果是第一次使用他們的個人證書需要先下載并安裝根CA證書。中國數(shù)字認證網(wǎng)主頁〔〕某些設(shè)置嚴格的系統(tǒng)可能會有運行ActiveX控件的提示，如下列圖選擇運行，并忽略所有警告，繼續(xù)。②下載并安裝根證書。只有安裝了根證書鏈的計算機，才能完成網(wǎng)上申請的步驟和證書的正常使用。出現(xiàn)“下載文件-平安警告〞對話框，點擊選擇翻開“rootFree.cer〞。點擊上面的“安裝證書〞按鈕，根據(jù)證書導(dǎo)入向?qū)崾荆瓿蓪?dǎo)入操作。對于高版本IE瀏覽器和WIN7系統(tǒng)，可能需要設(shè)置證書存儲區(qū)，如下列圖。③在線填寫并提交申請表。選擇“免費證書〞欄目的“用表格申請證書〞，填寫申請表。用戶填寫的根本信息包括名稱〔要求使用用戶真實姓名〕、公司、部門、城市、省份、國家地區(qū)、電子郵箱〔要求郵件系統(tǒng)能夠支持郵件客戶端工具，不能填寫錯誤，否那么會影響平安電子郵件的使用〕、證書期限、證書用途〔可以選擇“電子郵件保護證書〞〕、密鑰選項〔可以選擇“MicrosoftStrongCryptgraphicProvider〞〕、密鑰用法〔可以選擇“兩者〞〕、密鑰大小〔填寫“1024〞〕等，其他工程默認。注意要勾上“標(biāo)記密鑰為可導(dǎo)出〞、“啟用嚴格密鑰保護〞、“創(chuàng)立新密鑰對〞三項，“Hash算法〞〔可以選擇“SHA-1〞〕。提交申請表后，出現(xiàn)“正在創(chuàng)立新的RSA交換密鑰〞的提示框，確認將私鑰的平安級別設(shè)為中級。圖4-15填寫個人數(shù)字證書申請表④下載安裝數(shù)字證書。提交申請表后，證書效勞器系統(tǒng)將立即自動簽發(fā)證書。用戶點擊“直接安裝證書〞按鈕開始下載安裝證書，直到出現(xiàn)“安裝成功！〞的提示。⑵數(shù)字證書的查看在微軟IE瀏覽器的菜單欄“工具〞--〉“Internet選項〞--〉“內(nèi)容〞--〉“證書〞中，可以看到證書已經(jīng)被安裝地成功。雙擊證書查看證書內(nèi)容。⑶數(shù)字證書的導(dǎo)出和導(dǎo)入操作指導(dǎo)為了保護數(shù)字證書及私鑰的平安，需要進行證書及私鑰的備份工作。如果需要在不同的電腦上使用同一張數(shù)字證書或者重新安裝電腦系統(tǒng)，就需要重新安裝根證書、導(dǎo)入個人證書及私鑰。具體步驟如下：①備份證書和私鑰的操作步驟。在上圖中選擇需要備份的個人數(shù)字證書，單擊“導(dǎo)出〞按鈕--〉出現(xiàn)“證書導(dǎo)出向?qū)Ж暎瑔螕簟跋乱徊建暟粹o--〉可以選擇將私鑰跟證書一起導(dǎo)出，選擇“是，導(dǎo)出私鑰〞，單擊“下一步〞按鈕--〉選擇文件導(dǎo)出格式，可以選擇默認選項，單擊“下一步〞按鈕--〉鍵入并確認保護私鑰的口令〔自己任意設(shè)置〕，單擊“下一步〞按鈕--〉單擊“瀏覽〞按鈕確定證書及私鑰導(dǎo)出保存的路徑和文件名〔文件擴展名為.pfx〕，單擊“下一步〞按鈕--〉提示你已經(jīng)成功完成證書的導(dǎo)出向?qū)?，單擊“完成〞按鈕--〉提示證書導(dǎo)出成功，按“確定〞按鈕。證書成功導(dǎo)出。②導(dǎo)入證書及私鑰的操作步驟。如果某臺計算機系統(tǒng)中沒有安裝數(shù)字證書，可以進入上圖中，單擊“導(dǎo)入〞按鈕--〉出現(xiàn)“證書導(dǎo)入向?qū)Ж?，單擊“下一步〞按鈕--〉單擊“瀏覽〞按鈕確定證書及私鑰文件的保存路徑，查找到擴展名為“.pfx〞的證書備份文件翻開，單擊“下一步〞按鈕--〉鍵入保護私鑰的口令，選擇“啟用強私鑰保護〞，單擊“下一步〞按鈕--〉選擇證書存儲區(qū)域，單擊“下一步〞按鈕--〉提示證書導(dǎo)入成功，按“確定〞按鈕。證書及私鑰成功導(dǎo)入?！具x做內(nèi)容】1用OutLookExpress發(fā)送簽名郵件發(fā)送簽名郵件前必須正確安裝了自己的“電子郵件保護證書〞〔要使用的電子郵件必須與申請證書時填寫的電子郵件一致〕。從OutlookExpress“工具〞菜單中選擇“帳號〞。選擇帳號，鼠標(biāo)單擊“屬性〞按鈕。選擇“平安〞標(biāo)簽，鼠標(biāo)單擊簽名標(biāo)識中的“選擇〞按鈕。選擇證書，鼠標(biāo)單擊“確定〞按鈕。發(fā)送郵件時從“工具〞菜單中選擇“簽名〞，收件人地址欄后面出現(xiàn)“簽名〞標(biāo)志。輸入對方郵件地址及其它，發(fā)送郵件。發(fā)送加密電子郵件發(fā)送加密郵件前必須正確安裝了對方的“電子郵件保護證書〞〔只含有公有密鑰，