实验五信任管理实验.docVIP

网络与系统安全实 验报告 实验五信任管理实验 实验五信任管理实验 【实验目的】 通过本实验，能让学生掌握如何对信任域进行信任管理，以保证备CA及用户证书是可 信的，同时如何通过设置信任策略来加强PKI的安全。在实验屮学生可以学到在CA证书和 终端用户证书屮哪些信任策略是可以设置的。 【实验原理】 常用证书扩展项的类型及其用处 可信信任的概念 信任域的策略管理 【实验环境】 客户端便件要求：Pentium 2 400Mhz以上，256M内存，与服务器的网络连接。 客户端软件：Java Swing （Java 1.4版木以上） 【实验预备知识点】 常用的证书扩展项有哪些？各有什么用途? 名称 描述 关键度 authorityKeyIdentifier 机构密钥标识符 非关键 subjectKeyldcntifier 主体密钥标识符 非关键 keyUsage 密钥用法 双证书标记为关键，单证书标记 为非关键 extKeyUsage 扩展密钥用途 如果密钥的用法丿1限于所指示的 用途时标记为关键，否则标记为 非关键 privatcKeyLsagePeriod 私有密钥使用期 非关键 certificatePolicies 证书策略 非关键 policyMappings 策略映射 如果证书川户需要正确解释发布 的CA设定的规则时标识为关键， 否则标识为非关键 subjectAltName 主体可选替换名称 非关键 issuerAltName 颁发者可选替换名称 非关键 subjectDirectoryAttributes 主体H录属性 非关键 basicConstraints 基木限制 CA证书标记为关键，终端实体证 书标记为非关键。 nameConstrai nts 名称限制 如果证书用户系统应检验所处理 的认证路径与此扩展中的值是否 一致时标记为关键，否则标记为 非关键。 policyConstraints 策略限制 如果证书用戶需要正确地解释认 证机构CA设定的规则时标识为关 键，否则标识为非关键。 CRLDistributionPoints CRL分发点 非关键 inhibitAnyPolicy 限制所有策略 如果证书用户需要正确地解释认 证机构CA设定的规则时标识为关 键，否则标识为非关键。 freshestCRL 最新的CRL 非关键 id-pkix 私有的Internet扩 展 非关键 authorityInfoAccess 机构信息访问 非关键 SubjectlnformationAccess 主体信息访问 非关键 Ident ifyCardNumber 个人身份证号码 非关键 InuranceNumber 个人社会保险号 非关键  ICRegi strationNumber 企业T商注册号 非关键 Organi zationCode 企业组织机构代码 非关键 TaxationNumeber 企业税号 非关键 2. CA证书或终端用户证书屮哪些信任策略是可以设置的? 【实验步骤】 1.学生通过按下“交叉认证及信任管理实验按钮就可以进入实验界面，在界面上选择 “信任管理,，页面就可以开始实验，实验界面如图5-1所示。 3枉莎F3TCA33洌怖加轩验并戏立15翟绊用户证出串淹琳R^SlP 192.168.1251PKI 3枉莎 F3 TCA3 3洌怖加轩验 并戏立15 翟绊用户证出串淹琳 R^SlP 192.168.1251 PKI实0程卉 信息安全综合实验系统 《0）邮洙也 1 4 [ ?■:天 Q 叽口 在界面上的“信任关系图”屮，不同的图型分别代表根CA证书、了 CA证书及终端 用户证书，学生可以通过点选不同的证书来进行设置。当选择了证书后，在“证书 内容”屮会显示该证书相应的一些资料。首先选择一张CA证书，学生可以述行以 下设置。 学生可以对此证书设置一个有效期，可通过界曲上的“有效期”进行配置。 St口号 1099St?用琏CK6FCA2CAB16513譽，西5如0 g如gwWsRtrr Xhja gxTUi.皿啊却”,哪寸 5!2331B-01-C6 20.19 jg昶申田?匕1 - - —-^r* al 2b?r T2 広2”“ 3* hQ?r UM 归?CA ;F?yHate血#IT St口号 1099 St?用琏 CK6 FCA2 CAB 16513 譽，西5如0 g如gwWsRtrr Xhja gxTUi.皿啊却”,哪寸 5!2331B-01-C6 20.19 jg 昶申田?匕1 - - —- ^r* al 2b?r T2 広2”“ 3* hQ?r UM 归?CA ;F?yHate 血#IT女叉UiiF]证fift砂型§通「 实竝砒参竣展劳asp f92 160 1 2t1 焙任中 FCA8