PKI证书实验报告.docVIP

实 验 报 告 本次实验报告包含以下实验内容 最终用户证书申请 PKI统一管理 交叉认证及信任管理 非对称加密实验 数字签名实验 SSL应用实验 姓名： 刘俊 学号： 10072130165 班级： 计算机一班 日期：3月22日 实验环境 数据库服务器：MYSQL PKI服务器：JBoss3.2.5 客户端硬件：Pentium 2 400Mhz 以上，256M内存，与服务器的网络连接。 客户端软件：Java Swing（Java 1.4版本以上） 实验内容 进行证书申请 该PKI系统中进行证书申请，需提供以下信息：用户名、SubjectDN、保护私钥的密码、EMAIL地址、证件类型和号码、出生日期、证书用途。申请界面如下图所示： 在填写完注册信息后，日志窗口提示注册成功，没有出错信息（图1-2）。表明证书申请成功。 证书申请成功界面 2．进行证书申请管理 通过对实验提供的应用程序的使用，注意到在该PKI系统中可以对注册信息进行以下的注册管理： 否决请求：明确告诉申请者提交的信息是不合法的，并能阻止用户使用一些相关信息（如用户名、EMAIL、SubjectDN等等）再度申请。 删除信息：在提交的信息明显是无用的、垃圾信息或是误提交的信息时，管理员可以将这个信息删除。 准予签发：在提交的信息是有效的，而且能代表申请者本身真实的身份时，管理员可以为其签发证书。签发成功如图2-2所示 3. 按证书状态查找证书 在提供的客户端程序中按照各种状态查找证书，图3-1列出了查找证书状态为活跃的查找结果，点选查找到的证书，在右边的文本框中将会出现证书的具体信息。由此可得出结论，在该PKI系统中，证书状态不仅仅是简单的有效和被撤销两种状态，还有“未激活的”（有效但不被系统认可）、“被临时撤销”（可随时恢复有效状态）以及“不属于任何人的”等等状态。这一些状态的设置在一定程度上丰富了整个系统的证书管理功能。 图3-1 证书状态为活跃的查找结果 改变证书状态 程序中提供的对证书的操作有激活证书、永久撤销以及临时撤销。激活证书是先查看处于未激活状态或是临时撤销的证书，认可其签发的有效性后，将其激活，表明证书已被系统认可。临时撤销的证书可以使用激活证书将其激活。永久撤销证书表明这个证书由于某种原因使得这个证书的有效性不再得以保证，在选择完撤销原因后，可以将其永久撤销。 导出PKCS12证书 通过操作，发现只有处于激活状态的证书才能被导出。首先列出处于激活状态的证书，然后点选一张证书，按【导出证书】按钮，选择保存位置保存得到的证书。 在WINDOWS系统中双击得到的PKCS12文件，出现如图3-2所示的界面。点击下一步，出现如图3-3所示的提示输入密码的界面，可见得到的PKCS12文件是被密码所保护的。输入注册时填入的密码，导入成功。在浏览器中的工具Internet选项内容证书（见图3-4），查找到导入的证书后，看到证书内容与申请时填写的身份信息一致。 图3-2 证书导入向导界面 图3-3密码输入界面 图3-4 证书详细信息 生成CRL并查看 在程序中通过对证书的永久撤销操作将一张序列号为7246b2ff9206b7ab的证书撤销，然后在CRL界面中点击【创建CRL】按钮，然后点击【导出CRL】将CRL保存到文件系统。在WINDOWS平台中点击导出的CRL文件，观察可得CRL中的撤销列表包含了我撤销的证书的序列号，如图3-5所示。证书撤销成功。 图3-5 证书撤销 设置CA证书策略 首先选择CA1作为设置对象。 以“普通用户”作为登入角色，设置CA1的信任策略，各项设置如图4-1所示。 完成信任策略设置后，再进行主体DN及证书有效期设置，并按下“更改”按钮完成CA1的所有设置。结果如图4-2所示。 重新选择“学生”作为登入角色，设置CA1的信任策略，结果与先前设置的结果相符。如图4-3所示。 最后按下“导出证书”按钮导出CA1的证书，在IE安装后，证书内容与设置的相符，如图4-4所示。 图4-1　信任策略设置 图4-2　完成信任策略设置 图4-3　可信策略设置 图4-4　IE中的CA1证书 设置终端用户证书策略 设置信任策略时，发现终端用户证书中只能设置“证书策略”及“策略映射”扩展项。 交叉认证的建立及策略管理 选择CA3向CA2建立交叉认证，为此交叉认证证书设置以下信任策略： 路径约束为3 名字约束中PermitSubtree：O=test2及ExcludeSubtree:：OU=test3 策略约束中RequireExplicitPolicy = 2及InhibitPolicyMapping = 3 设置后按下“签发交叉认证”完成交叉认证。 在“已签发的交叉认证”中选择“CA3-CA2”并按下“导出交叉认证证书”按钮，就能得到CA3向CA2签发