- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
实验十二PKI的部署和安全应用
实验十二、PKI的部署和安全应用 实验开发教师:郑方伟 谌黔燕 佘 堃 【实验目的】 理解PKI在信息安全中的作用。学会利用CA管理和发放用户证书,掌握在SSL,PGP中应用证书的方法。 ? 【实验内容】 1、根据使用手册正安全配置MyPKI系统。 2、完成证书的生成、颁发、部署、更新及撤消。 ? 【实验环境】 1、Windows 2000 操作系统 2、安装了IIS的个人计算机一台。 3、MyPKI应用软件、PGP系统。 4、测试用客户机一台。 【实验参考步骤】 1、启动TongRA 单击“开始”→“所有程序”→“MyPKI”→“TongRA”打开管理界面。 2、生成证书 ▲ 初始化。 ? RA初始化:RA管理→RA初始化。 ? 清空数据库以及日志表 ? 测试CA连接状态 ▲ 发布证书: ? 设置参数:选项→加密参数设置;选项→随机参数选择。 ? 证书申请:磁盘证书→申请个人证书(申请APACHE证书/批量申请证书)。 ? 填写申请者信息提交。 ? 设定保护证书密码并保存证书。 ? 申请证书完成。 3、证书部署及测试: ? 根据使用手册安装IIS服务器证书。 ? 双击证书,安装客户端证书。 ? 测试连接IIS服务器。 ? 根据使用手册为PGP安装证书。 ? 加密、解密文件。 ? 证书部署测试完成。 4、证书更新、撤消: ? 证书更新:磁盘证书→更新个人证书。 ? 证书撤消:磁盘证书→撤消证书。 ? 重做(3)中测试,记录变化。 ? 实验完成。 【实验报告】 1、记录实验数据。 2、说明实验原理。 ? 【实验预备知识】 1、 数字证书 数字证书是网络通信中标志通信各方身份信息的一系列数据。其作用类似于身份证。它由一个权威机构颁发,人们借其在网络通信中识别对方身份。 证书的格式有ITU标准的X.509V3来定义,包括申请证书的个体信息和发行证书的CA信息。证书由以下两部分组成: (1)证书数据 ? 版本信息。用以与X.509的将来版本兼容。 ? 证书序列号。每一个由CA发行的证书必须有一个唯一的序列号。 ? CA所使用的签名算法。 ? 证书的有效期限。 ? 证书主题名称。 ? 被证明的公钥信息,包括公钥算法、公钥的位字符串表示。 ? 包含额外信息的特别扩展。 ? 发行证书的CA名称。 2、 PKI(公开密钥基础结构) 公共密钥加密体系结构在计算机领域内被广泛使用。它分为公钥和私钥,公钥采用一对非对称的密码加密或解密,每一个密码有公钥和私钥对组成。公钥的算法公开,并被广泛地发布,而私钥则是隐秘的、不公开的。公钥和私钥有如下关系: 互解。用公钥加密后传输的数据,只能用私钥解密;用私钥加密后传输的数据,也只能用它对应的公钥才能解密。 公钥与私钥不能相互推导。 ? 公钥可以给任何人,私钥只能自己保留。 PKI(Public Key Infrastructure,PKI。公开密钥基础结构)是对这些密钥证书的管理体制。CA是PKI的基本元素。? 1、 CA(证书颁发机构) CA是一个负责发放和管理数字证书的权威机构。认证中心通常采用多层次的分级结构,上一级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。 CA的主要功能如下: ? 证书签发 ? 证书更新 ? 证书查询 ? 证书作废 ? 证书归档 ? 工作原理: 首先通过MyPKI/Admin初始化CA根证书,随后初始化机构即为RA管理系统发布初始证书。RA系统用CA发布的证书加密收集的申请信息,并通过安全通道发给CA。CA将利用自己的证书解密申请信息并按要求生成证书,并将证书发到LDAP目录服务器中,同时将证书返回给申请者。 5、实验注意事项 初始化CA/机构,创建了cadir目录,生成了Ra.p12证书后,需利用CA的ca.conf 文件以及cadir目录中certs.idx文件中的内容修改RA的ra-cnf文件中相应内容。 RA的ra-cnf配置结果中#以下由RA管理员填写,#CA_name应与ca.conf中的值大小写一致。 【参考文献】 1、
文档评论(0)