数字身份认证技术第六章教案分析.pptVIP

调用范例 调用范例 本章结束 * 微软数字证书工具 微软数字证书工具 微软数字证书工具 第六章 微软数字认证 本章学习目标 理解并掌握MAKECERT原理及工具应用 理解并掌握签名工具—SIGNCODE原理及工具应用 理解并掌握发行者证书管理工具—CERT2SPC原理及工具应用 理解并掌握证书验证工具—CHKTRUST原理及工具应用 微软开发制作数字证书的测试工具集，Makecert.exe，Cert2spc.exe，SignCode.exe，Setreg.exe，Certmgr.exe，Chkrtust.exe。 1.Makecert.exe：用于生成仅用于测试目的的X.509证书。 2.Cert2spc.exe：用于从一个或多个X.509证书创建发行者证书（SPC）。 3.SignCode.exe：用于Authenticode数字签名对可移植的执行文件（PE）进行签名。 4. Setreg.exe：用于允许更改“软件发布状态”密钥的注册表设置。 5. Certmgr.exe：用于管理证书、证书信任列表（CTL）和证书吊销列表（CRL）。 6.Chkrtust.exe：用于检验签名证书的正确性。 6.1证书创建工具——makecert 功能：创建X.509数字证书 调用格式：Makecert [options] outputCertificateFile 其中options为选项部份，outputCertificatefile为新创建的X.509证书的证书名。 Options又由基本选项与扩展选项组成，参照教材P177. 参数说明——常用选项 参数说明——扩展选项 参数说明——扩展选项 调用范例： 调用说明： -sr CurrentUser 指定主题的证书存储位置。 CurrentUser可以是 currentuser（默认值）或 localmachine -ss My 指定主题的证书存储名称，输出证书即存储在那里。My表示保存在“个人” 范例 makecert -sr CurrentUser -ss My -n CN=MyTestCert -sky exchange -pe -n CN=MyTestCert 指定主题的证书名称。此名称必须符合 X.500 标准。最简单的方法是在双引号中指定此名称，并加上前缀 CN=；例如，CN=myName。 -sky exchange 指定颁发者的密钥类型，必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下，可传入 1 表示交换密钥，传入 2 表示签名密钥。 -pe 将所生成的私钥标记为可导出。这样可将私钥包括在证书中。 Makecert工具应用 （1）证书管理 Makecert命令生成的证书被保存在证书存储区。证书存储区是系统中一个特殊区域， 专门用来保存X.509数字证书。由于Windows没有提供直接的管理证书的入口。需要用户自行在MMC中添加，步骤如下： 开始 ? 运行 ? MMC，打开一个空的MMC控制台，如图6-1所示。 在控制台菜单，文件 ? 添加/删除管理单元 ? 添加按钮 ? 选”证书” ? 添加 ? 选”我的用户账户” /“计算机帐户”? 关闭 ? 确定 （2）数字证书导入与导出 首先对需要导入的证书文件，双击pfx或者cer格式的证书，选择“安装”，进入证书导入向导。 当导入的是pfx证书时，需要输入私钥密码，如果是cer证书就跳过这一步，进入证书存储区选择。 最后在证书管理区查看导入的证书： 如果需要将存储区中的证书导出，首先在M需要导出证书上点击右键 ? 所有任务 ? 导出，证书导出向导运行。 选择导出含私钥的证书生成pfx格式的证书。 如果选择了不导出私钥或者选择导出的证书本身就不含有私钥，那么这一步只能选不含私钥的证书格式（导入私钥的选项是暗的）。 这里是导出不含私钥证书的选项，一般导出为cer证书，接着就是输入确认密码。 提供证书文件的路径，作为最终证书在硬盘中的存储位置 6.2签名工具——Signcode 功能：应用数字签名工具Signcode可以对可移植可执行（PE）文件如.dll 或 .exe 文件进行数字签名。可以对多文件程序集中包含的某个程序集或个别的文件进行签名。 调用格式：Signcode [options] filename | assemblyname 参数说明： 调用范例: 调用说明： Signcode工具应用 （1）运行Signcode——启动签名向导，点击“下一步”后，选择“签名类型”，直接点击“下一步”即可，即选择缺省的“典型”签名类型。 （2）点击“从存