L001002008-請求管理實(shí)驗(yàn)

1、課程編寫類別內(nèi)容實(shí)驗(yàn)課題名稱請求管理實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康呐c要求掌握證書請求的處理方法，掌握證書的安裝方法實(shí)驗(yàn)環(huán)境VPC1(虛擬PC）操作系統(tǒng)類型：windows server 2000，網(wǎng)絡(luò)接口：eth0VPC1連接要求與VPC2相連VPC2(虛擬PC）操作系統(tǒng)類型：windows xp，網(wǎng)絡(luò)接口：eth0VPC2連接要求與VPC1相連實(shí)驗(yàn)環(huán)境描述VPC1與VPC2直接相連，組成一個(gè)小局域網(wǎng)預(yù)備知識PKI基礎(chǔ)開放的互聯(lián)網(wǎng)存在種種潛在的欺詐機(jī)會，在互聯(lián)通信網(wǎng)絡(luò)中需要建立并維護(hù)一種令人可以信任的環(huán)境和機(jī)制，PKI在互聯(lián)網(wǎng)中提供了這種可信機(jī)制。PKI（Public Key Infrastructure）是一

2、個(gè)用公鑰密碼學(xué)技術(shù)來實(shí)施和提供安全服務(wù)的安全基礎(chǔ)設(shè)施，它是創(chuàng)建、管理、存儲、分布和作廢證書的一系列軟件、硬件、人員、策略和過程的集合。PKI系統(tǒng)能夠?yàn)橛脩羯刹㈩C發(fā)數(shù)字證書，用戶利用數(shù)字證書可以在網(wǎng)絡(luò)環(huán)境下驗(yàn)證相互之間的身份，并提供敏感信息傳輸?shù)臋C(jī)密性、完整性和不可否定性，為電子商務(wù)交易的安全提供基本保障。如教材圖1所示。圖1 PKI系統(tǒng)數(shù)字證書是PKI的核心，為了能夠?yàn)橛脩籼峁┗谧C書的一系列安全服務(wù)，一個(gè)典型的PKI系統(tǒng)應(yīng)該包括如下組件：證書認(rèn)證機(jī)構(gòu)CA（Certificate Authority）CA系統(tǒng)是PKI的核心部分，它的作用主要包括：a.頒發(fā)證書，用CA的私鑰對證書中的信息進(jìn)行數(shù)

3、字簽名，防止證書內(nèi)容被篡改；b.規(guī)定證書的有效期；c.通過發(fā)布證書黑名單（CRL），公開已經(jīng)廢除的證書。注冊機(jī)構(gòu)RA（Registration Authority）RA是CA的組成部分，是用戶向CA申請服務(wù)的注冊機(jī)構(gòu)，即CA面向用戶的一個(gè)窗口。它負(fù)責(zé)接收用戶的證書申請，審核用戶的身份，并向用戶向CA提出證書請求，最后將申請的證書發(fā)放給用戶。證書分發(fā)系統(tǒng)CDS（Certificate Distribution System）證書通過證書分發(fā)系統(tǒng)對外公開發(fā)布，用戶可在此獲得其他用戶的證書。證書的發(fā)布可以有多種途徑，比如，用戶可以自己發(fā)布，或是通過證書庫的目錄服務(wù)器向外發(fā)布?；赑KI的應(yīng)用接口PK

4、I是一個(gè)安全框架，它的價(jià)值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，為此一個(gè)完整的PKI必須提供良好的應(yīng)用接口，用戶通過調(diào)用此應(yīng)用接口，將PKI系統(tǒng)集成到自己的應(yīng)用信息系統(tǒng)中，并在此基礎(chǔ)上利用證書提供的多種安全應(yīng)用服務(wù)。數(shù)字證書數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識別通信各方的身份，即要在因特網(wǎng)上解決“我是誰”的問題，就如同現(xiàn)實(shí)生活中每一個(gè)人都要擁有一 張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣，以表明身份或某種資格。數(shù)字證書可以看作用戶的“網(wǎng)絡(luò)身份證”。更詳細(xì)地說，數(shù)字證書是經(jīng)證書認(rèn)證機(jī)構(gòu)CA簽發(fā)的，包含用戶身份信息、用戶公開密鑰信息和CA數(shù)字簽名等信息的一個(gè)文件

5、。由于證書是由CA頒發(fā)的，CA頒發(fā)證書之前，要對申請證書者的身份進(jìn)行確認(rèn)，要對申請證書者的身份進(jìn)行確認(rèn)，只有經(jīng)過身份核實(shí)的才簽發(fā)證書。并且，證書中含有CA的數(shù)字簽名，如果證書中的信息被篡改，可以通過CA公鑰驗(yàn)證出來。那么，在可以信任CA的條件下，CA又信任證書擁有者，所以給證書擁有者頒發(fā)了數(shù)字證書，如果能驗(yàn)證數(shù)字證書是真實(shí)的沒有被更改過，則通過這個(gè)信任鏈的傳遞關(guān)系，就可以通過數(shù)字證書信任證書擁有者的身份。即證書擁有者可以通過數(shù)字證書，向網(wǎng)絡(luò)中的其他實(shí)體證明自己的身份。數(shù)字證書采用公鑰密碼體制，由CA利用非對稱密碼算法生成公私鑰對，公鑰按照X.509等標(biāo)準(zhǔn)格式封裝在數(shù)字證書中。以數(shù)字證書為核心的

6、加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名認(rèn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。數(shù)字證書可用于發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。數(shù)字證書的存儲格式標(biāo)準(zhǔn)有多種，X.509是最基本的證書存儲標(biāo)注格式。X.509 v3版格式的證書結(jié)構(gòu)如教材圖2所示。證書的版本證書序列號簽名算法標(biāo)識證書簽發(fā)機(jī)構(gòu)名證書有效期證書持有者的用戶名證書用戶公鑰信息簽發(fā)者唯一標(biāo)識符證書持有者唯一標(biāo)識符簽名值圖2 X.509 v3版證書

7、結(jié)構(gòu)示意圖CA如果將數(shù)字證書比喻為“身份證”，那么CA就好比頒發(fā)“身份證”的公安局，它能通過數(shù)字證書證明證書持有者的身份。CA是PKI的核心部分，用于創(chuàng)建數(shù)字證書。CA系統(tǒng)首先獲取用戶的申請證書請求，CA將根據(jù)用戶的請求信息產(chǎn)生證書，證書中包括用戶的公鑰，最后CA用自己的私鑰對證書進(jìn)行簽名。證書在使用過程中，其他用戶、應(yīng)用程序或?qū)嶓w需下載安裝CA根證書，使用CA根證書中的CA公鑰，對CA給用戶頒發(fā)證書中的數(shù)字簽名進(jìn)行驗(yàn)證，如果證書中CA的數(shù)字簽名驗(yàn)證通過，則證明這個(gè)證書是CA簽發(fā)的真實(shí)證書，沒有經(jīng)過篡改。進(jìn)一步來說，如果一個(gè)CA系統(tǒng)是可信的，則通過證書也能信任證書擁有者的身份。CA系統(tǒng)的結(jié)構(gòu)C

8、A系統(tǒng)包括PKI結(jié)構(gòu)、高強(qiáng)度抗攻擊的公開加解密算法、數(shù)字簽名技術(shù)、身份認(rèn)證技術(shù)、運(yùn)行安全管理技術(shù)、可靠的信任責(zé)任體系等。從業(yè)務(wù)流程涉及的角色看，包括認(rèn)證機(jī)構(gòu)、數(shù)字證書庫和黑名單庫、密鑰托管處理系統(tǒng)、證書目錄服務(wù)、證書審批和作廢處理系統(tǒng)。從CA的層次結(jié)構(gòu)來看，可以分為認(rèn)證中心（根CA）、密鑰管理中心（KM）、認(rèn)證下級中心（子CA）、證書審批中心（RA中心）、證書審批受理點(diǎn)（RAT）等。一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器、登記中心RA服務(wù)器、CA服務(wù)器、證書庫服務(wù)器等。如圖3所示。圖3 CA系統(tǒng)示意圖安全服務(wù)器用于保證用戶進(jìn)行證書申請、瀏覽、證書撤銷列表查詢，以及證書下載等過程中信息的安全性。CA服

9、務(wù)器是整個(gè)CA系統(tǒng)的核心，負(fù)責(zé)證書的簽發(fā)。出于安全的考慮，應(yīng)將CA服務(wù)器與其他服務(wù)器隔離，確保認(rèn)證中心的安全。登記中心服務(wù)器即RA，負(fù)責(zé)接收用戶的證書申請并轉(zhuǎn)發(fā)給CA，另一方面向證書庫和用戶轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤銷列表。證書庫服務(wù)器提供證書的目錄瀏覽服務(wù)，其他用戶通過訪問此服務(wù)器就能夠得到其他用戶的數(shù)字證書。CA系統(tǒng)的主要功能CA系統(tǒng)的主要功能是對證書進(jìn)行管理，包括頒發(fā)證書、廢除證書、更新證書、驗(yàn)證證書、管理密鑰等。發(fā)證書頒發(fā)證書的流程是，首先用戶到CA的注冊機(jī)構(gòu)RA或通過Web網(wǎng)站等提交證書申請。如果用戶自己產(chǎn)生公私鑰對，證書申請中包括了個(gè)人信息和公鑰；如果由CA產(chǎn)生公私鑰，則證書申

10、請中只包含個(gè)人信息。接著RA等機(jī)構(gòu)對用戶的信息進(jìn)行審核，審核用戶的關(guān)鍵信息和證書請求中是否一致，更高級別的證書需要CA進(jìn)行進(jìn)一步的審核。審核通過后，CA為此用戶簽發(fā)證書，證書可以灌制到證書介質(zhì)中，發(fā)放給用戶；或者將證書發(fā)布到LDAP服務(wù)器上，由用戶下載并安裝證書。除證書證書的廢除是指證書在到達(dá)它的使用有效期之前將不再使用，廢除證書的原因有多種，例如：證書用戶身份信息的變更，CA簽名私鑰的泄露，證書對應(yīng)私鑰的泄露，證書本身遭到損壞，以及其他多種原因。廢除證書的過程是，用戶到CA的業(yè)務(wù)受理點(diǎn)申請廢除證書，CA審核用戶的身份后，將證書吊銷，并將吊銷的證書加入到證書黑名單CRL中，CRL中包含了所有未

11、到期的已被廢除的證書（由CA認(rèn)證中心發(fā)布）信息。CA會臨時(shí)或者定期簽發(fā)證書黑名單CRL，并將更新的CRL通過證書庫目錄服務(wù)器在線發(fā)布，供用戶查詢與下載。證書的更新當(dāng)用戶的私鑰被泄露或證書的有效期快到時(shí)，用戶應(yīng)該更新私鑰。這時(shí)用戶可以申請更新證書，以廢除原來的證書，產(chǎn)生新的密鑰對和新的證書。證書更新的操作步驟與申請頒發(fā)證書的類似。證書驗(yàn)證證書的驗(yàn)證包括對證書的下列三部分信息被確認(rèn)，驗(yàn)證有效性、驗(yàn)證可用性和驗(yàn)證真實(shí)性。管理理密鑰CA系統(tǒng)提供了基于密鑰的管理功能，包括密鑰的產(chǎn)生、密鑰的備份和恢復(fù)、密鑰的更新等。對于加密要求不高的用戶，密鑰可由用戶端生成，例如由瀏覽器或固定的終端應(yīng)用產(chǎn)生，這樣產(chǎn)生的密

12、鑰強(qiáng)度較小，不適合應(yīng)用于比較重要的網(wǎng)絡(luò)安全交易。對于比較重要的證書，密鑰對一般由專用程序或CA之間產(chǎn)生，這樣產(chǎn)生的密鑰強(qiáng)度大，適合于重要的應(yīng)用場合。在一個(gè)CA系統(tǒng)中，密鑰的備份和恢復(fù)也是密鑰管理中的重要一環(huán)。當(dāng)用戶密鑰不慎丟失或者被破壞時(shí)，CA可以為用戶及時(shí)恢復(fù)密鑰。密鑰的使用都有一定的期限，密鑰到期后自動失效，所以密鑰應(yīng)該定時(shí)更新。在密鑰泄漏時(shí)，也需要及時(shí)更新密鑰，以保證證書應(yīng)用過程中的安全性。Windows中CA系統(tǒng)Windows 2000/2003的Server版本或者Enterprise版本，將PKI功能作為操作系統(tǒng)的一項(xiàng)基本服務(wù)，避免了購買第三方PKI所帶來的額外開銷。Windows

13、 2000/2003中支持兩種類型的CA：企業(yè)CA和獨(dú)立CA。企業(yè)CA一般用于為一個(gè)組織機(jī)構(gòu)內(nèi)部并且屬于同一個(gè)域的用戶和計(jì)算機(jī)頒發(fā)證書，企業(yè)CA要求請求證書的用戶在Windows 2000/2003活動目錄中有配置信息。如果給以Windows 2000/2003域之外的獨(dú)立用戶頒發(fā)證書，一般安裝獨(dú)立CA。按照所處級別不同，Windows 2000/2003Server中又將CA分為：根CA和從屬CA。根CA在這個(gè)組織的PKI中是最高級別的CA，也是最受信任的CA，它一般用于向從屬CA頒發(fā)證書，從屬CA是根CA的下一級CA。實(shí)驗(yàn)內(nèi)容利用公鑰密碼體制和哈希函數(shù)實(shí)現(xiàn)數(shù)字簽名實(shí)驗(yàn)步驟進(jìn)入實(shí)驗(yàn)環(huán)境學(xué)生單

14、擊“試驗(yàn)環(huán)境試驗(yàn)”按鈕，出現(xiàn)如教材所示圖1網(wǎng)絡(luò)拓?fù)鋱D1點(diǎn)擊“打開控制臺”分別進(jìn)入VPC1：windows server 2000與VPC2：windowsXP實(shí)驗(yàn)系統(tǒng)在進(jìn)入VPC1時(shí)，出現(xiàn)如教材所示圖2界面：圖2點(diǎn)擊界面上方的“Send Ctrl+Alt+Del”，出現(xiàn)如教材所示圖3界面，密碼是123456，點(diǎn)擊“確定”即可進(jìn)入系統(tǒng)。圖3在VPC1中進(jìn)行獨(dú)立根CA的安裝單擊“開始”按鈕，選擇“設(shè)置”“控制面板”“添加和刪除程序”，在彈出的窗口中選擇“添加和刪除Windows組件”。 在彈出的窗口中，選擇“證書服務(wù)”，如教材圖1所示圖1 安裝證書服務(wù)圖2 安裝確認(rèn)選中“證書服務(wù)后”，彈出證書服務(wù)

15、的確認(rèn)框，點(diǎn)擊“是”，安裝證書服務(wù)。單擊“下一步”按鈕開始安裝。在彈出的配置窗口中，選擇“獨(dú)立根CA”，并單擊“下一步”按鈕，如教材圖3所示。圖3 獨(dú)立根CA安裝按要求依次填入CA的名稱、單位、部門、城市、電子郵件、描述、有效期限，單擊“下一步”按鈕，如教材圖4所示。圖4 證書服務(wù)安裝在彈出的窗口中填入數(shù)據(jù)的存放位置，單擊“下一步”按鈕，如教材圖5所示。圖5 “證書服務(wù)安裝”的證書數(shù)據(jù)庫位置選擇點(diǎn)擊“下一步”，彈出確認(rèn)關(guān)閉Internet信息服務(wù)窗口，如教材圖6所示（如未安裝或開啟IIS服務(wù)，則無此彈窗）：圖6 確認(rèn)關(guān)閉IIS服務(wù)圖7 安裝相關(guān)文件安裝完成后，單擊“開始”按鈕，選擇“程序”“管

16、理工具”，此時(shí)可在該菜單中找到“證書頒發(fā)機(jī)構(gòu)”，說明CA的安裝已經(jīng)完成，如教材圖8所示。圖8 CA安裝完成示意圖通過Web頁面申請證書在VPC2中打開火狐瀏覽器（firefox），在地址欄中輸入“http：/VPC1的IP地址/certsrv”，正常情況下（確定VPC1的IIS服務(wù)運(yùn)行，默認(rèn)Web站點(diǎn)停止。暫時(shí)不能訪問站點(diǎn)，請通過開始程序管理工具服務(wù)，右鍵點(diǎn)擊IIS Admin Service 重新啟動，并通過開始程序管理工具internet服務(wù)管理器，停止test服務(wù)，啟動默認(rèn)網(wǎng)站站點(diǎn)服務(wù)）會出現(xiàn)CA的證書申請頁面。選中“申請證書”，并單擊“下一步”按鈕，如教材圖9所示。圖9 Microso

17、ft證書申請 在彈出的頁面中選擇“用戶證書申請”中的某一用途的證書，例如“Web瀏覽器證書”，如教材圖10所示。圖10 申請Web瀏覽器證書在彈出的窗口中填寫用戶的身份信息，完成后單擊“提交”按鈕。在這種情況下，瀏覽器采用默認(rèn)的加密算法生成公私鑰對，私鑰保存在本地計(jì)算機(jī)中，公鑰和用戶身份信息按照標(biāo)準(zhǔn)的格式發(fā)給CA服務(wù)器，如教材圖11所示。圖11 Web瀏覽器證書標(biāo)識信息單擊“提交”按鈕，申請證書。CA服務(wù)器響應(yīng)后，出現(xiàn)如下圖的頁面，標(biāo)識CA服務(wù)器已經(jīng)收到證書申請，需要進(jìn)行處理后才能反饋，如教材圖12所示。圖12 證書申請成功示意圖這時(shí)在VPC1中，點(diǎn)擊開始程序管理工具證書頒發(fā)機(jī)構(gòu)，可出現(xiàn)如教材

18、圖13所示如下界面圖13 證書頒發(fā)機(jī)構(gòu)點(diǎn)擊左側(cè)“test”項(xiàng)目前面的“+”，在點(diǎn)擊“待定申請”，我們可以看到如教材所示圖14所示的VPC2申請的證書圖14 VPC2申請的證書證書發(fā)布在根CA所在的計(jì)算機(jī)上，單擊“開始”按鈕，選擇“程序”“管理工具”“證書頒發(fā)機(jī)構(gòu)”。在彈出的窗口左側(cè)的菜單目錄中選擇“待定申請”，上一步申請的證書“test”出現(xiàn)在窗口右側(cè)，如教材圖15所示。圖15 待定申請的證書選中證書鼠標(biāo)右鍵，選擇“所有任務(wù)”“頒發(fā)”，進(jìn)行證書頒發(fā)，如教材圖16所示。圖16 頒發(fā)證書證書頒發(fā)后將從“待定申請”文件夾轉(zhuǎn)入到“頒發(fā)的證書”文件夾中，標(biāo)識證書頒發(fā)完成，如教材圖17所示。圖17已頒發(fā)證書證書的下載安裝在申請證書的計(jì)算機(jī)上打開火狐瀏覽器（firefox），在地址欄輸入http:/VPC1的ip地址/certsrv，進(jìn)入證書申請頁面。剛才完成了“申請證書”，下面選擇“檢查掛起的證書”，看看CA是否頒發(fā)了證書，如教材圖18所示，點(diǎn)擊下一步；圖18 檢查掛起的證書在彈出的頁面中選擇已經(jīng)提交的證書申請，點(diǎn)擊“下一步”，如教材圖19所示。圖19選擇已經(jīng)提交的證書申請如果CA已經(jīng)將證書頒發(fā)，