电子商务安全-实验报告-国内典型CA数字证书申请与使用.doc

国内典型CA数字证书申请与使用

1.实验运行环境

WindowsXP、OutlookExpres

2.实验目的

(1)熟悉主要的国内CA系统。

(2)通过实验了解SHECA的证书策略，并理解证书策略的主要内容。

(3)掌握数字证书的申请与下载、安装、导入、导出操作。

(4)练习使用数字证书收、发电子邮件

3.实验要求

(1)下载SHECA证书策略，阅读并理解其主要内容。

(2)下载并安装UCA根证书。

(3)为自己的电子邮箱申请电子邮件证书。

(4)使用Outlook配置邮箱，并安装使用数字证书。

(5)互相发送加密、添加数字签名的电子邮件。

(6)练习数字证书的导入、导出。

(7)完成实验报告。

4.实验内容和步骤

4.1SHECA证书策略CP及其说明CPS简介

4.1.1概述

上海市数字证书认证中心有限公司(ShanghaiElectronicCertificateAuthorityCenterCo.，Ltd.)，缩写为SHECA，简称上海CA。SHECA成立于1998年，原名称为上海市电子商务安全证书管理中心有限公司，于2005年8月5日正式更名为上海市数字证书认证中心有限公司。

4.1.2名称类型

认证机构依照特定的签发程序，保存与证书注册过程有关的特定记录，对特定对象的身份进行鉴别，以区别于其他的申请者。这一命名过程中出现的名称，包括甄别名和证书扩展项中包含的用户唯一标识项，是一组能辨别真实世界中实体的数据。

SHECA生成或者签发的证书的主要识别名称（SubjectName），采用X.501DistinguishedName(DN)的方式。每个证书订户按照X.509的规定，将对应一个可分辨的名称，该名称由甄别名和用户唯一标识项组成。甄别名包含于每张证书的主题中，用户唯一标识项包含于证书扩展项中。该名称唯一标识证书订户的身份。

4.1.3申请者身份的鉴别

SHECA需要对证书申请者的身份进行程序性的鉴别，包括但不限于验证用户提供的身份证明材料、通过第三方进行调查、通过公共数据库调查、邮政地址调查等等。

SHECA首先会要求申请者对其递交的材料作真实性声明，并承担相应的法律责任。SHECA会按照本CPS的规定，对材料进行鉴别。SHECA也可能采取附加的或者额外的方式进行这种鉴别。

4.1.4SHECA根密钥的产生

SHECA的根密钥对是由国家密码主管部门批准和许可的设备生成的。目前，SHECA采用了济南得安计算机技术有限公司的SJY05-B主机加密服务器，该加密机符合国家密码管理相关规定的要求，并遵循FIPS140-2标准的相关规定。

在生成SHECA的密钥对时，必须有超过3位的具备权限的密钥管理和操作人员在场，同时操作硬件加密机产生密钥对。任何人无法独自完成根密钥对的产生，而且密钥在加密机内部生成。任何和私钥有关的操作都在加密机内部进行，完成后将结果输出，私钥无法以明文或者密文的方式输出到加密机外。

4.2邮件证书策略摘要

4.2.1概述

安全电子邮件证书是专门为邮件用户发放的数字证书，邮件用户使用数字证书发送加密和签名邮件，来保证用户邮件系统的安全。邮件用户使用数字证书对电子邮件进行数字签名并加密传输，以证明邮件发送者身份真实性，保障邮件传输过程中不被他人阅读及篡改，并由邮件接收者进行验证，确保电子邮件内容的完整性。安全电子邮件证书遵循国际数字证书X.509V3标准，采取对称密钥长度为128位，非对称密钥长度为1024位密码机制，确保证书在进行邮件加密时的高安全性。

4.2.2邮件加密

邮件加密是利用PKI的公钥加密技术，以电子邮件证书作为公钥的载体，发件人使用邮件接收者的数字证书中的公钥对电子邮件的内容和附件进行加密，加密后的邮件只能由接收者持有的私钥才能解密，因此只有邮件接收者才能阅读，其他人截获该邮件看到的只是加密后的乱码信息，这样就可确保电子邮件在传输过程中不被他人阅读，防止了机密信息的泄露。

4.2.2邮件签名

邮件签名是利用PKI的私钥签名技术，以电子邮件证书作为私钥的载体，邮件发送者使用自己数字证书的私钥对电子邮件进行数字签名，邮件接收者通过验证邮件的数字签名以及签名者的证书，来验证邮件是否被篡改，并判断发送者的真实身份，确保电子邮件的真实性和完整性。

4.3.申请及管理过程

由于上海认证中心取消了体验版证书，只有收费版的证书提供申请，所以改为选择MyCA的数字证书作为替代。MyCA提供的证书服务是试用、学习性质的免费CA服务。

4.3.1使用MyCA

先访问，选择右侧安装根证书，以保证正常的使用MyCA的服务。

4.3.2注册申请个人证书

MyCA的证书安装时自动进行的，只需按步骤操作即