網(wǎng)絡(luò)安全導(dǎo)論 實(shí)驗(yàn)９Ａ 數(shù)字證書(shū)

實(shí)驗(yàn)9A數(shù)字證書(shū)一、實(shí)驗(yàn)?zāi)康?．加深對(duì)PKI和CA認(rèn)證原理及其結(jié)構(gòu)的理解；2．掌握國(guó)內(nèi)CA證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)申請(qǐng)流程和需要的資料。二、實(shí)驗(yàn)準(zhǔn)備1．PKI（PublicKeyInfrastructure）即"公鑰基礎(chǔ)設(shè)施"，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。結(jié)合教材并查閱有關(guān)資料，深入了解PKI的組成和數(shù)字證書(shū)的作用。2．?dāng)?shù)字證書(shū)一般包括個(gè)人證書(shū)、企業(yè)（服務(wù)器）證書(shū)和軟件（開(kāi)發(fā)者）證書(shū)等類型，其中個(gè)人證書(shū)又分為兩級(jí)，第一級(jí)是安全郵件證書(shū)，包含用戶的郵箱地址信息，可對(duì)電子郵件的內(nèi)容和附件加密，也可對(duì)電子郵件進(jìn)行簽名，使接收方能確認(rèn)該電子郵件是由發(fā)送方發(fā)送的，且在傳送過(guò)程中未被篡改，其可直接在網(wǎng)上申請(qǐng)使用；第二級(jí)是個(gè)人身份證書(shū)，提供對(duì)個(gè)人姓名、身份等信息的認(rèn)證，需到認(rèn)證機(jī)構(gòu)現(xiàn)場(chǎng)辦理。三、實(shí)驗(yàn)內(nèi)容1．認(rèn)識(shí)數(shù)字證書(shū)（1）證書(shū)在電腦中的安裝位置：IE游覽器屬性的內(nèi)容選項(xiàng)卡“證書(shū)欄目”中，見(jiàn)如圖9-6。圖9-6IE瀏覽器屬性界面（2）已經(jīng)安裝的證書(shū)類別和證書(shū)查詢：點(diǎn)擊上圖中的“證書(shū)”按鈕或者“發(fā)行商”按鈕，即可打開(kāi)證書(shū)對(duì)話框，見(jiàn)圖9-7。圖9-7已安裝證書(shū)從上圖可以看出IE把證書(shū)歸為個(gè)人、其他人、中級(jí)證書(shū)辦法機(jī)構(gòu)、受信任的根證書(shū)頒發(fā)機(jī)構(gòu)、受信任的發(fā)行者、未受信任的發(fā)行者6個(gè)證書(shū)存儲(chǔ)容器，用以分類存儲(chǔ)數(shù)字證書(shū)。實(shí)驗(yàn)中請(qǐng)檢查各容器（選項(xiàng)卡）中存儲(chǔ)的證書(shū)數(shù)，并記錄在所附的作業(yè)紙第一題上。（3）證書(shū)結(jié)構(gòu)認(rèn)識(shí)。在上圖中任意選擇一證書(shū)后雙擊，在打開(kāi)的圖9-8的證書(shū)信息窗口中查看證書(shū)的信息，包括證書(shū)的詳細(xì)信息和安裝路徑：圖9-9證書(shū)信息窗2．熟悉國(guó)內(nèi)主要CA認(rèn)證機(jī)構(gòu)（1）打開(kāi)上海數(shù)字證書(shū)認(rèn)證中心（a）查看該認(rèn)證中心能頒發(fā)的數(shù)字證書(shū)的種類，寫在作業(yè)紙上。（b）查看該中心證書(shū)申請(qǐng)流程并寫在作業(yè)紙上。（c）下載該中心根證書(shū)。根證書(shū)是自己證書(shū)安裝的基礎(chǔ)，只有安裝根證書(shū)后才能安裝自己申請(qǐng)的證書(shū)。根證書(shū)是不需要申請(qǐng)的、免費(fèi)的。下載步驟如下：首先，點(diǎn)擊首頁(yè)左上角的“下載專區(qū)”的“快速服務(wù)”中的“\o"為了您更好的使用SHECA提供的產(chǎn)品與服務(wù)，請(qǐng)先下載根證書(shū)"根證書(shū)下載”鏈接，進(jìn)入根證書(shū)下載鏈接。然后，在窗口中出現(xiàn)文件下載對(duì)話框，若不出現(xiàn)則在IE游覽器地址欄下出現(xiàn)的“阻止下載”提示中單擊鼠標(biāo)，并在菜單中選擇“下載文件”命令。出現(xiàn)下載對(duì)話框后選擇“保存”按鈕，將證書(shū)保存到桌面即可（注意不要?jiǎng)h除，后面繼續(xù)要用）。（d）證書(shū)的安裝：鼠標(biāo)雙擊剛下載的證書(shū)，出現(xiàn)“證書(shū)”對(duì)話框，展開(kāi)對(duì)話框左側(cè)的證書(shū)列表（見(jiàn)圖9-10）：我們下載的根證書(shū)包含兩個(gè)證書(shū)。圖9-10證書(shū)的安裝分別雙擊“SHECA”和“UCAROOT”證書(shū)，在出現(xiàn)的“證書(shū)”對(duì)話框中選擇“安裝證書(shū)”，然后使用默認(rèn)設(shè)置進(jìn)行安裝即可。其中“UCAROOT”為根證書(shū)，“SHECA”為中級(jí)頒發(fā)機(jī)構(gòu)的證書(shū)。安裝后請(qǐng)到IE的證書(shū)中查找到相應(yīng)證書(shū)的安裝位置和證書(shū)的相關(guān)信息。說(shuō)明：（1）由于上述根證書(shū)包括多個(gè)有關(guān)聯(lián)的證書(shū)，因此該證書(shū)包含向上關(guān)聯(lián)的所有證書(shū)信息，因此安裝時(shí)必須分被安裝所包含的所有證書(shū)。但個(gè)人證書(shū)、企業(yè)證書(shū)等申請(qǐng)的證書(shū)只包含申請(qǐng)的證書(shū)，沒(méi)有關(guān)聯(lián)證書(shū)，因此只要直接雙擊證書(shū)根據(jù)向?qū)О惭b即可，沒(méi)有上述復(fù)雜。（2）由于個(gè)人證書(shū)、企業(yè)證書(shū)等必須事先到認(rèn)證機(jī)構(gòu)出示證件等，然后才可以網(wǎng)上申請(qǐng)。（e）證書(shū)的導(dǎo)出。由于因計(jì)算機(jī)故障等因素，需要重新安裝系統(tǒng)，系統(tǒng)安裝后原先系統(tǒng)中的信息就不存在了。因此安裝前要進(jìn)行證書(shū)的導(dǎo)出和保存，否則又要重新申請(qǐng)等，比較麻煩和費(fèi)錢。導(dǎo)出證書(shū)的步驟如下：打開(kāi)IE游覽器屬性，在證書(shū)中找到需要導(dǎo)出的證書(shū)“UCAROOT”，然后選擇界面中的“導(dǎo)出”按鈕，根據(jù)向?qū)нM(jìn)行導(dǎo)出。導(dǎo)出的證書(shū)名稱為“UCAROOT”，導(dǎo)出到桌面上。同樣導(dǎo)出名為“SHECA”的證書(shū)到桌面上。導(dǎo)出后可將證書(shū)存儲(chǔ)到磁盤或者U盤等存儲(chǔ)器中，以備后用。說(shuō)明：個(gè)人或者單位申請(qǐng)的證明自己身份的證書(shū)通常包括打開(kāi)密碼，因此安裝時(shí)需要輸入證書(shū)頒發(fā)機(jī)構(gòu)給您的密碼，密碼要在筆記本等地記錄，以防忘記。導(dǎo)出時(shí)則不要把密碼保存在導(dǎo)出的證書(shū)中，以免別人將證書(shū)復(fù)制后就能使用。（f）證書(shū)的刪除：對(duì)于已經(jīng)過(guò)期的則可以通過(guò)證書(shū)界面的刪除按鈕進(jìn)行。（2）中國(guó)數(shù)字認(rèn)證網(wǎng)/（a）了解該認(rèn)證機(jī)構(gòu)能頒發(fā)的證書(shū)類型。注意：進(jìn)入該站點(diǎn)直接要求安裝相應(yīng)證書(shū)，請(qǐng)注意IE地址欄下的提示，選擇安裝即可。（b）用“表格申請(qǐng)”申請(qǐng)并下載一測(cè)試用的數(shù)字證書(shū)，證書(shū)類型為電子郵件數(shù)字證書(shū),名稱為自己的名字，其它任意。證書(shū)下載在桌面上，然后安裝。并完成作業(yè)四。（c）將剛才下載安裝的證書(shū)再導(dǎo)出到桌面上，起名為您名字的數(shù)字證書(shū)，注意選擇“同時(shí)導(dǎo)出私鑰”，并給導(dǎo)出的數(shù)字證書(shū)加上密碼，以防別人將證書(shū)竊取后安裝到自己的電腦上。（3）通過(guò)搜索引擎利用“數(shù)字證書(shū)”為關(guān)鍵字，查找其他數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)。3．利用數(shù)字證書(shū)對(duì)郵件的進(jìn)行簽名與加密發(fā)送（1）添加郵箱賬號(hào)。（2）給郵件賬號(hào)設(shè)置數(shù)字證書(shū)。執(zhí)行OUTLOOK的“工具”、“賬戶”命令，雙擊設(shè)置好的賬戶，選擇安全選項(xiàng)卡，在兩證書(shū)中選擇上述下載的以自己名字命名的電子郵件證書(shū)。具體見(jiàn)圖9-11。圖9-11給郵件賬號(hào)設(shè)置數(shù)字證書(shū)（3）發(fā)送帶簽名的郵件：選擇“創(chuàng)建郵件”，填寫好收件人的郵件地址和內(nèi)容，選擇工具欄“簽名”，然后發(fā)送即可，如圖9-12。圖9-12發(fā)送帶簽名的郵件（4）獲取對(duì)方數(shù)字證書(shū)在上一步中如同時(shí)選擇“加密”，發(fā)送郵件時(shí)會(huì)提示缺少數(shù)字標(biāo)識(shí)。因?yàn)榘l(fā)送加密郵件，需有對(duì)方的公鑰，而公鑰存在于對(duì)方的數(shù)字證書(shū)中。公鑰的獲取方法有兩種：一是讓對(duì)方發(fā)送一封數(shù)字簽名郵件，即可從中獲取對(duì)方的數(shù)字證書(shū)，但采用這種方法顯然很不方便；另一種方法是在認(rèn)證中心的網(wǎng)站上查詢。學(xué)生可輸入老師的EMAIL地址，下載老師的數(shù)字證書(shū)，下載時(shí)系統(tǒng)會(huì)提示直接打開(kāi)該文件或?qū)⒃撐募４娴酱疟P。（5）將對(duì)方數(shù)字證書(shū)從IE中導(dǎo)出為CER類型并安裝到OutlookExpress中，選擇直接打開(kāi)該文件，即將該數(shù)字證書(shū)安裝到IE中去，可在瀏覽器的菜單“工具”→“INTERNET選項(xiàng)”→“內(nèi)容”→“證書(shū)”→“其他人”中看到對(duì)方證書(shū)，選擇該證書(shū)，點(diǎn)擊“導(dǎo)出”；在接下來(lái)的提示中選擇默認(rèn)導(dǎo)出文件格式“DER編碼二進(jìn)制X.509（.CER）”，輸入文件名，導(dǎo)出該證書(shū)為CER類型。接下來(lái)進(jìn)入OE，點(diǎn)擊“通訊簿”，新建聯(lián)系人，輸入對(duì)方（老師）的姓名和電子郵件地址，右擊該聯(lián)系人，選擇屬性，在“數(shù)字ID”標(biāo)簽頁(yè)中點(diǎn)擊“導(dǎo)入”，選擇在IE中導(dǎo)出的數(shù)字證書(shū)文件，確定后在通訊簿的該聯(lián)系人的姓名上出現(xiàn)紅飄帶，說(shuō)明安裝成功。(6)發(fā)送數(shù)字簽名和加密郵件，完成實(shí)驗(yàn)在OutlookExpress中點(diǎn)擊“新郵件”以創(chuàng)建新郵件，輸入收件人地址、主題及正文內(nèi)容后，點(diǎn)擊菜單“工具”→“數(shù)字簽名”和“加密”，即可發(fā)送數(shù)字簽名和加密的郵件，完成實(shí)驗(yàn)。四、實(shí)驗(yàn)報(bào)告1．通過(guò)實(shí)驗(yàn)回答下列問(wèn)題(1)填寫你的IE中數(shù)字證書(shū)信息容器名稱已有證書(shū)數(shù)典型的證書(shū)名稱個(gè)人0其他人0中級(jí)證書(shū)辦法機(jī)構(gòu)4受信任的根證書(shū)頒發(fā)機(jī)構(gòu)25受信任的發(fā)行者1未受信任的發(fā)行者0數(shù)字證書(shū)的結(jié)構(gòu)與主要信息有那些？一個(gè)數(shù)字證書(shū)包含以下身份信息：1、用戶身份信息的文件2、CA的名稱（頒發(fā)機(jī)構(gòu)）3使用者名稱（對(duì)象）4、證書(shū)的公鑰。一個(gè)數(shù)字證書(shū)包含數(shù)字簽名信息-由可信CA進(jìn)行簽名，以及與證書(shū)公鑰對(duì)應(yīng)的私鑰，來(lái)保證信息的真實(shí)性和完整性。根證書(shū)的作用是什么？CA認(rèn)證中心在簽發(fā)其他用戶證書(shū)時(shí)調(diào)用根證書(shū)的簽名私鑰對(duì)其進(jìn)行數(shù)字簽名，在數(shù)字證書(shū)的實(shí)際應(yīng)用中必須首先通過(guò)CA根證書(shū)進(jìn)行驗(yàn)證，確認(rèn)用戶證書(shū)的合法既有效性，因而用戶必須首先安裝CA根證書(shū)。請(qǐng)嘗試使用J2SDK提供的keytool工具用RSA