《证书开发套件》用户手册精选.doc

证书开发套件 用 户 手 册 四川省数字证书认证管理中心有限公司 Sichuan Digital Certificate Authority Co.,Ltd. 2008年3月 目　录 1 所涉及的产品名称及版本 3 2 数字证书身份认证 3 2.1 数据传输加密 3 2.2 SSL双向认证 4 2.3 用数字签名来实现数字证书身份认证（SSL双向认证的替代方案） 6 3 证书开发套件 7 3.1 PTA 8 3.1.1 PTA安装 8 3.1.2 对象模型 8 3.1.3 创建PTA对象实例 8 3.1.4 iTrusPTA对象与属性 9 3.2 iTrusJavaCertAPI 12 3.2.1 应用iTrusJavaCertAPI 13 3.2.2 证书验证模块（Certificate Validation Module） 13 3.2.3 签名验证模块（Signature Verifying Module） 16 3.2.4 证书解析模块（Certificate Parsering Module） 17 3.3 数字证书身份认证应用场景 17 3.3.1 CertLogonWebDemo目录及文件说明 18 3.3.2 配置WebServer支持SSL双向认证 19 3.3.3 部署CertLogonWebDemo 27 4 参考文档 27 所涉及的产品名称及版本 产品名称 文件名/目录名/压缩包 iTrusPTA iTrusPta.cab iTrusJavaCertAPI iTrusJavaCertAPI-2.5-beta3.jar CertLogonWebDemo CertLogonWebDemo.zip 数字证书身份认证 数据传输加密 我们所指的数据加密是指的传输过程加密。而对于B/S架构的应用系统我们是依赖SSL加密技术来实现的。 什么是SSL加密技术？ 为了保护敏感数据在传送过程中的安全，全球许多知名企业采用SSL（Security Socket Layer）加密机制。 SSL是Netscape公司所提出的安全保密协议，在浏览器（如Internet Explorer、Netscape Navigator、Firefox等）和Web服务器（如Apache、Tomcat、IIS等等）之间构造安全通道来进行数据传输，SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5 以及RSA等加密算法，使用40位/128位的密钥，适用于商业信息的加密。同时，Netscape公司相应开发了HTTPS协议并内置于其浏览器中，HTTPS实际上就是SSL over HTTP，它使用默认端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密，然后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。 为使 SSL 发挥作用，必须在 Web 服务器上安装由某个证书颁发机构签发的SSL证书。此后才可以将SSL用于加密浏览器与Web服务器之间的数据传输（保护SSL事务）。浏览器通过HTTP改变为HTTPS并显示一个小锁符号，来指示用SSL加密的会话。网站访问者可单击该锁符号来查看 SSL 证书。 一个网站的服务器证书一方面为加密传输发挥作用，另一方面代表了网站的身份，可以防止被DNS劫持和域名假冒。 要实现SSL加密传输的功能并不复杂，主流WEB服务器几乎都提供了对SSL加密传输良好的支持。如需相关方面的配置资料，可以参考： Apache 2.x: /docs/2.0/ssl/ Tomcat 5.x: /tomcat-5.0-doc/ssl-howto.html Microsoft IIS6: /technet/prodtechnol/WindowsServer2003/Library/IIS/d6dd7932-909c-423b-8bf7-868c5ae4c694.mspx?mfr=true SSL双向认证 为了便于更好的认识和理解 SSL 协议，这里着重介绍 SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术，对称加密技术虽然比公钥加密技术的速度快，可是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证，其主要过程如下： 客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。 服务器向客户端传送 SSL 协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。