實驗2數字證書的申請及安裝【實驗目的】1.了解認證體系的體制結構、功能、作用、業務范圍及運行機制。 2.掌握網上申請個人數字證書的方法。3．掌握數字證書的導入、導出和安裝。【實驗環境】Windows操作系統〔推薦使用windowsxp〕、Internet、InternetExplorer【主要內容】1.通過搜索國內認證機構網站，了解其功能、作用及所提供的業務2.在“中國數字認證網〞網站〔〕為自己申請“個人平安電子郵件證書〞。3.證書查看、導入和導出。4.使用申請的數字證書發送簽名和加密電子郵件〔選做〕【實驗導讀】數字證書的原理及作用數字證書采用PKI〔PublicKeyInfrastructure〕公開密鑰根底架構技術，利用一對互相匹配的密鑰進行加密和解密。用戶采用自己的私鑰對發送信息加以處理，形成數字簽名。由于私鑰為本人所獨有，這樣可以確定發送者的身份，防止發送者對發送信息的抵賴性。接收方通過驗證簽名還可以判斷信息是否被篡改正。數字證書的頒發數字證書是由認證中心〔CA機構，CertificateAuthority〕頒發的。認證中心是能向用戶簽發數字證書以確認用戶身份的管理機構。它作為電子商務交易中受信任的第三方，一方面為每個使用公開密鑰的用戶發放一個數字證書，其作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰；另一方面承當公鑰體系中公鑰的合法性檢驗的責任。數字證書頒發過程數字證書頒發過程如下：用戶首先產生自己的密鑰對，并將公共密鑰及局部個人身份信息傳送給認證中心。認證中心在核實身份后，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然后，認證中心將發給用戶一個數字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。作為個人用戶，你既可以為自己申請數字證書，也可以為一臺平安效勞器申請數字證書。數字證書有試用版和正式版兩種，試用版申請過程在網上即時完成，并立即可以免費使用。正式版數字證書那么需要額外的處理方法及時間，一般過程是用戶首先在網上填寫數字證書申請資料，認證中心在接收到申請請求后，它將對申請人的身份進行審核，當用戶的申請請求滿足認證中心的所有要求后，認證中心將為其制作證書，然后發送給申請人或者是申請人在網上下載自己的證書。根證書及根證書下載所謂根證書，是CA認證中心與用戶建立信任關系的根底，用戶的數字證書必須有一個受信任的根證書，用戶的數字證書才是有效的。從技術上講，證書其實包含三局部，用戶的信息，用戶的公鑰，還有CA中心對該證書里面的信息的簽名，要驗證一份證書的真偽〔即驗證CA中心對該證書信息的簽名是否有效〕，需要用CA中心的公鑰驗證，而CA中心的公鑰存在于對這份證書進行簽名的證書內，故需要下載該證書，但使用該證書驗證又需先驗證該證書本身的真偽，故又要用簽發該證書的證書來驗證，這樣一來就構成一條證書鏈的關系。根證書是一份特殊的證書，它的簽發者是它本身，下載根證書就說明你對該根證書以下所簽發的證書都表示信任，而技術上那么是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結束。所以說用戶在使用自己的數字證書之前必須先下載根證書。個人數字證書數字證書是在Internet上用來證明用戶身份的一種方式，它是一份包含用戶身份信息、用戶密鑰信息以及CA中心數字簽名的文件。申請個人數字證書可以為Internet用戶提供發送電子郵件的平安和訪問需要平安連接〔需要客戶證書〕的站點。數字證書CA中心的數字簽名可以確保證書信息的真實性、保密性。中國數字認證網為個人或非盈利性機構在線提供免費數字證書，供用戶學習使用。免費數字證書的有效期限為一年，申請人不需要支付證書使用費用，證書功能與正式證書一致。證書申請和發放采用在線處理的方式，用戶可以在線完成證書的申請，并將證書下載安裝到自己的計算機系統或數字證書存儲介質中。免費數字證書所包含的內容是未經CA機構審核，不提供任何信用等級的保證，不適用于需要確認身份的商業行為，也不應該作為任何商業用途的依據。【實驗導讀】⑴免費數字證書的申請安裝操作①訪問中國數字認證網〔://ca365〕主頁，選擇“免費證書〞欄目的“根CA證書〞。如果是第一次使用他們的個人證書需要先下載并安裝根CA證書。中國數字認證網主頁〔〕某些設置嚴格的系統可能會有運行ActiveX控件的提示，如下列圖選擇運行，并忽略所有警告，繼續。②下載并安裝根證書。只有安裝了根證書鏈的計算機，才能完成網上申請的步驟和證書的正常使用。出現“下載文件-平安警告〞對話框，點擊選擇翻開“rootFree.cer〞。點擊上面的“安裝證書〞按鈕，根據證書導入向導提示，完成導入操作。對于高版本IE瀏覽器和WIN7系統，可能需要設置證書存儲區，如下列圖。③在線填寫并提交申請表。選擇“免費證書〞欄目的“用表格申請證書〞，填寫申請表。用戶填寫的根本信息包括名稱〔要求使用用戶真實姓名〕、公司、部門、城市、省份、國家地區、電子郵箱〔要求郵件系統能夠支持郵件客戶端工具，不能填寫錯誤，否那么會影響平安電子郵件的使用〕、證書期限、證書用途〔可以選擇“電子郵件保護證書〞〕、密鑰選項〔可以選擇“MicrosoftStrongCryptgraphicProvider〞〕、密鑰用法〔可以選擇“兩者〞〕、密鑰大小〔填寫“1024〞〕等，其他工程默認。注意要勾上“標記密鑰為可導出〞、“啟用嚴格密鑰保護〞、“創立新密鑰對〞三項，“Hash算法〞〔可以選擇“SHA-1〞〕。提交申請表后，出現“正在創立新的RSA交換密鑰〞的提示框，確認將私鑰的平安級別設為中級。圖4-15填寫個人數字證書申請表④下載安裝數字證書。提交申請表后，證書效勞器系統將立即自動簽發證書。用戶點擊“直接安裝證書〞按鈕開始下載安裝證書，直到出現“安裝成功！〞的提示。⑵數字證書的查看在微軟IE瀏覽器的菜單欄“工具〞--〉“Internet選項〞--〉“內容〞--〉“證書〞中，可以看到證書已經被安裝地成功。雙擊證書查看證書內容。⑶數字證書的導出和導入操作指導為了保護數字證書及私鑰的平安，需要進行證書及私鑰的備份工作。如果需要在不同的電腦上使用同一張數字證書或者重新安裝電腦系統，就需要重新安裝根證書、導入個人證書及私鑰。具體步驟如下：①備份證書和私鑰的操作步驟。在上圖中選擇需要備份的個人數字證書，單擊“導出〞按鈕--〉出現“證書導出向導〞，單擊“下一步〞按鈕--〉可以選擇將私鑰跟證書一起導出，選擇“是，導出私鑰〞，單擊“下一步〞按鈕--〉選擇文件導出格式，可以選擇默認選項，單擊“下一步〞按鈕--〉鍵入并確認保護私鑰的口令〔自己任意設置〕，單擊“下一步〞按鈕--〉單擊“瀏覽〞按鈕確定證書及私鑰導出保存的路徑和文件名〔文件擴展名為.pfx〕，單擊“下一步〞按鈕--〉提示你已經成功完成證書的導出向導，單擊“完成〞按鈕--〉提示證書導出成功，按“確定〞按鈕。證書成功導出。②導入證書及私鑰的操作步驟。如果某臺計算機系統中沒有安裝數字證書，可以進入上圖中，單擊“導入〞按鈕--〉出現“證書導入向導〞，單擊“下一步〞按鈕--〉單擊“瀏覽〞按鈕確定證書及私鑰文件的保存路徑，查找到擴展名為“.pfx〞的證書備份文件翻開，單擊“下一步〞按鈕--〉鍵入保護私鑰的口令，選擇“啟用強私鑰保護〞，單擊“下一步〞按鈕--〉選擇證書存儲區域，單擊“下一步〞按鈕--〉提示證書導入成功，按“確定〞按鈕。證書及私鑰成功導入。【選做內容】1用OutLookExpress發送簽名郵件發送簽名郵件前必須正確安裝了自己的“電子郵件保護證書〞〔要使用的電子郵件必須與申請證書時填寫的電子郵件一致〕。從OutlookExpress“工具〞菜單中選擇“帳號〞。選擇帳號，鼠標單擊“屬性〞按鈕。選擇“平安〞標簽，鼠標單擊簽名標識中的“選擇〞按鈕。選擇證書，鼠標單擊“確定〞按鈕。發送郵件時從“工具〞菜單中選擇“簽名〞，收件人地址欄后面出現“簽名〞標志。輸入對方郵件地址及其它，發送郵件。發送加密電子郵件發送加密郵件前必須正確安裝了對方的“電子郵件保護證書〞〔只含有公有密鑰，