实验四数字证书与认证中心.docVIP

实验四 数字证书与认证中心 1.实验目的：了解X.509证书的格式及认证中心的工作方式，熟悉数字证书/认证中心软件工具的使用 实验要求： 2.使用软件工具创建X.509格式证书 使用认证中心工具对证书进行签字 使用证书来验证用户身份及公钥的有效性 数字证书介绍： （1）数字证书的概念 数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数 字签名的数据。第三方认证机构 CA 中心的数字签名可以确保证书信息的真 实性。证书格式及证书内容遵循 X.509 标准，数字证书中一般包括以下信息： ? 版本号； ? 序列号； ? 签名算法标识符； ? 认证机构； ? 有效期限； ? 主题信息； ? 认证机构的数字签名； ? 公钥信息； （2）数字证书的原理 数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个申请数字证书的用户都将从 CA 中心获得一对（即 2 个）密钥，其 中一个为公开密钥（公钥），包含在数字证书中，用户可以将其对外公开； 另一个为私有密钥（私钥），用户必须将其置于秘密的地方并妥善保管，且 任何时候不得泄漏给他人，私钥通常保存在数字证书的存储介质 USB－KEY 中，用户只需保管好“存储介质 USB－KEY”即可。用户的私钥和公钥是一 一对应的，而公钥又与用户持有的数字证书一一对应，因此，只有持有与数 字证书相对应的私钥的人才可以证明他是该数字证书的合法持有者。 数字证书用户可以使用其拥有的公钥和相应私钥对数据作加密、解密、 签名及验证签名操作。当一个用户（发送方）需要发送一份机密文件给另一 个用户（接收方）时，发送方使用接收方的公钥对数据加密，信息就可以安 全无误地到达目的地，即使在传输中被第三方截获，由于其没有相应的私钥， 无法解密文件获取相关信息，而合法的接收方由于拥有私钥，则可以正确解 密文件获取相应信息。 用户也可以采用自己的私钥对文件加以处理，比如用自己的私钥对文件 加密，由于私钥仅为本人所有，这样就产生了别人无法生成的文件，也就形 成了数字签名。接收方可以使用发送方公开的密钥（公钥）对接收到的数据 解密，即可验证数据的数字签名，从而能够确认以下两点： ? 数据是由签名者自己签名发送的，签名者不能否认； ? 数据自签发至接收到为止未被篡改，接收方收到的文件即是发送 方发送的原始文件。 （3）数字证书的应用 CA 中心颁发的数字证书可广泛地应用于电子政务和电子商务活动，以解决数据在传输过程中的保密性、用户身份的确定性、传输数据的不可否认 性及不可篡改性等问题，所以数字证书广泛应用于以下各领域： z 电子政务、电子商务： ? 互联网远程报税； ? 互联网远程发票认证； ? 将植入数字证书的组织机构代码作为单位网上身份的唯一标识； ? 网上工商年检； ? 政府网上办公； ? 电子商务支付； ? 电子商务交易； ? 网上招投标； ? 网上证券交易； ? 企业或个人安全电子邮件； ? 其它应用 ? 网络远程教育； ? 高招远程录取； 2 认证中心： 3．1 用户工具的使用 插入 USB－KEY ，待指示灯停止闪烁后，单击“开始”-“程序” - “ ”，出现如图 3.1.1 所示界面： 更改数字证书存储介质 USB－KEY 的密码 您可点击“修改用户密码”-来更改您数字证书存储介质的口令，输入正 确的旧口令，然后输入新口令并点击“修改”即可，如图 3.1.2 所示；初 始口令一般默认为 6 个 1“111111”，为保证安全，第一次使用请您务必 修改该默认口令： 查看证书信息 您可点击“证书”-“查看证书”来查看证书相关信息，如图 3.1.３所示， 选择您的证书后双击该证书名称或点击“查看”。 3．2 数字证书的使用 数字证书可应用于安全电子邮件、Web 服务器等。本手册简单介绍如何使 用数字证书进行安全 WEB 服务器访问及如何收发安全电子邮件，更多数字证书 的使用请访问 . 3．2．1 安全 WEB 服务器访问 (1) 插入 USB－KEY，待 USB-KEY 的指示灯停止闪烁后，就可以进行安全 WEB 站点访问了，如：https://www.L/bbs 弹出如图 3.2.1 所示界面： 选择您的证书，单击“确定”，弹出访问口令对话框如图 3.2.２： (3) 正确输入您的口令，单击“确定”。如验证通过，将成功登录安全站点， 如图 3.2.3 所示： 3．2．2 安全电子邮件 使用安全电子邮件需要您的数字证书登记的电子邮箱地址与您使用的地 址必须一致。 ： 1、将数字证书与您的电子邮件地址绑定。具体操作如下： (1)插入 USB-KEY，待 USB-KEY 的指示灯停止闪烁后，运行