第5章数字证书与PKI导论.ppt

5.1 数字证书 5.2 数字证书的功能 5.3 公钥基础设施PKI 5.4 个人数字证书的申请和使用 目录 申请支付宝数字证书 证书下载提示 安装证书提示 查看数字证书 在IE浏览器中，单击“工具”菜单项中的“Internet选项” 个人数字证书列表 证书的详细信息 由于该证书是用户本人的，因此在图可看到用户有一个与该证书对应的私钥。如果是用户在和CA通信过程中，获取到的CA的证书，则用户计算机中没有该CA证书对应的私钥。 查看证书路径 证书的导入和导出 证书安装以后，我们就可以在本机上使用数字证书提供的各种功能了。但有时可能需要在其他计算机上使用这个数字证书，这时就需要将证书从本机中导出成一个文件，再在其他计算机上导入该证书文件。另外，重新安装操作系统之前也需要将证书导出作为备份，避免证书丢失。 将私钥一起导出 证书导出文件格式对话框 pfx（Personal Information Exchange，个人信息交换）文件包含一个证书和与之对应的私钥，它是PKCS#12号标准定义的为存储和传输用户或服务器私钥、公钥和证书指定的一种可移植的格式，简单的说就是将证书和私钥一起打包存储的文件。 口令保护私钥 利用口令保护私钥是PKCS#5定义的一套标准。通常，证书对应的私钥有三种保存方法：其一是用口令加密保存，其二是将口令保存到单独的存储设置（如智能卡）中，其三是将私钥存储到数字证书的服务器上。其中第二种方法的安全性最高，像网上银行使用的U盾实际上就是一种保存证书对应的私钥的设备 导出完成 导出之后就可以看到文件夹里多了一个“支付宝.pfx”文件。这样就完成了对证书及其私钥的备份。 导入证书 在证书导入向导的步骤中，会要求用户输入保护私钥的口令，如图所示，这个口令就是导出证书时输入的保护私钥的口令。接下来还必须把“标志此密钥为可导出的”的勾选上，这样以后还可以将私钥连同证书再次导出 利用数字证书实现安全电子邮件 点击“创建邮件”按钮创建一封新邮件，将弹出创建新邮件的窗口，在“工具”菜单中选择“选择收件人”。点击“新建联系人”，在电子邮件地址中输入对方的地址，然后单击“添加” 电子邮件的安全性是很低的 其一是通过电子邮件传输协议SMTP传输的邮件内容是未加密的，攻击者可以通过线路窃听窃取邮件的内容； 其二，电子邮件的地址是可以伪造的， 创建加密邮件 邮件已经加密的提示 Outlook的“帐户”面板 邮件帐户的“安全”选项卡 选择证书的选项卡 同时对邮件进行签名和加密 如果按照上述步骤既设置了发件人的证书，又设置了收件人的证书，就可以把上述两种方案结合起来，创建同时签名并加密的电子邮件，这样就保证该电子邮件的机密性、完整性和不可否认性。 数字证书的应用小结 使用数字证书进行邮件的加密和签名只是数字证书的一个应用而已。实际上，很多软件都支持数字证书，如Foxmail、Word、Adobe Reader等，因此还可以用数字证书加密Word文档或PDF文档等。在后面将介绍的SSL协议、SET协议、VPN技术中，数字证书不仅可用来加密签名，更重要的是用作身份证明 习题 1. 关于认证机构CA，下列哪种说法是错误的。（ ） A. CA可以通过颁发证书证明密钥的有效性 B. CA有着严格的层次结构，其中根CA要求在线并被严格保护 C. CA的核心职能是发放和管理用户的数字证书 D. CA是参与交易的各方都信任的且独立的第三方机构组织。 2. 密钥交换的最终方案是使用 。（ ） A. 公钥 B. 数字信封 C. 数字证书 D. 消息摘要 3. CA用 签名数字证书。 （ ） A. 用户的公钥 B. 用户的私钥 C. 自己的公钥 D. 自己的私钥 4. 以下哪几种设施通常处于在线状态（多选） （ ） A. 根CA B. OCSP C. RA D. CRL 习题 数字证书是将用户的公钥与其 相联系。 （ ） A. 私钥 B. CA C. 身份 D. 序列号 6. 证书中不含有以下哪项内容 ( ) A 序列号 B 颁发机构 C 主体名 D 主体的私钥 7. 为了验证CA（非根CA）的证书，需要使用： （ ） A. 该CA的公钥 B. 上级CA的公钥 C. 用户的公钥 D. 该CA的私钥 8. 一个典型的PKI应用系统包括五个部分： 、 、证书作废系统、密钥备份及恢复系统、应用程序接口。 9．RA 签发数字证书。（填可以或不可以）。 10．写出证书是怎样生成的？ 11．验证证书路径是如何进行的？ * * Insert a picture of one of the geographic features of your country.