信息安全加密數(shù)字證書與加密認(rèn)證

1、數(shù)字證書加密實(shí)驗(yàn)說明 TOC o 1-3 h z u HYPERLINK l _Toc276911730 1引言： PAGEREF _Toc276911730 h 1 HYPERLINK l _Toc276911731 1.1安全認(rèn)證中心（ca），數(shù)字證書簡介 PAGEREF _Toc276911731 h 1 HYPERLINK l _Toc276911732 1.2 數(shù)字證書的用途簡介 PAGEREF _Toc276911732 h 2 HYPERLINK l _Toc276911733 2 實(shí)驗(yàn) PAGEREF _Toc276911733 h 2 HYPERLINK l _Toc2769

2、11734 2.1實(shí)驗(yàn)一：通過數(shù)字證書實(shí)現(xiàn)身份識別和加密通信 PAGEREF _Toc276911734 h 2 HYPERLINK l _Toc276911735 2.11實(shí)驗(yàn)環(huán)境設(shè)備配置 PAGEREF _Toc276911735 h 2 HYPERLINK l _Toc276911736 2.12生成web站點(diǎn)數(shù)字證書 PAGEREF _Toc276911736 h 11 HYPERLINK l _Toc276911737 2.13 安裝web(IIS)服務(wù)器證書 PAGEREF _Toc276911737 h 15 HYPERLINK l _Toc276911738 2.14生成服務(wù)器

3、證書（CA） PAGEREF _Toc276911738 h 22 HYPERLINK l _Toc276911739 2.15 申請并安裝客戶端證書： PAGEREF _Toc276911739 h 33 HYPERLINK l _Toc276911740 2.2小結(jié)： PAGEREF _Toc276911740 h 37 HYPERLINK l _Toc276911741 3 實(shí)驗(yàn)二： PAGEREF _Toc276911741 h 37 HYPERLINK l _Toc276911742 3.1簡介： PAGEREF _Toc276911742 h 38 HYPERLINK l _Toc

4、276911743 3.2 實(shí)驗(yàn)設(shè)備配置 PAGEREF _Toc276911743 h 38 HYPERLINK l _Toc276911744 3.3實(shí)驗(yàn)操作 PAGEREF _Toc276911744 h 38 HYPERLINK l _Toc276911745 3.4小結(jié) PAGEREF _Toc276911745 h 471引言：1.1安全認(rèn)證中心（ca），數(shù)字證書簡介 數(shù)字證書是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在internet上驗(yàn)證身份的方式，是有一個(gè)權(quán)威機(jī)構(gòu)CA機(jī)構(gòu)發(fā)行的，數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含客戶的公鑰等與客戶身份相關(guān)的信息。 CA必

5、須行使以下的功能：管理和維護(hù)客戶的證書和CRL維護(hù)自身的安全。提供安全審計(jì)的依據(jù)。1.2 數(shù)字證書的用途簡介 數(shù)字證書可以應(yīng)用于公眾網(wǎng)絡(luò)的商務(wù)活動(dòng)和行政作業(yè)活動(dòng)，在各個(gè)領(lǐng)域的意義非常大。它采用公鑰體制，即一對互相匹配的密鑰進(jìn)行加密，解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的密鑰，用它來進(jìn)行解密和簽名。在現(xiàn)實(shí)生活中，我們可以用人人皆知的公開密鑰隊(duì)發(fā)送的信息進(jìn)行加密，安全的傳送給對方，然后對方可以用自己的私鑰進(jìn)行解密。2 實(shí)驗(yàn)2.1實(shí)驗(yàn)一：通過數(shù)字證書實(shí)現(xiàn)身份識別和加密通信2.11實(shí)驗(yàn)環(huán)境設(shè)備配置 按照數(shù)字證書加密的要求，我們需要首先配置運(yùn)行環(huán)境。設(shè)置主機(jī)IP地址為，子網(wǎng)掩碼為；主機(jī)IE瀏覽器

6、為6.0（在4.0以上符合要求）。 配置IP地址：“網(wǎng)上鄰居”-右鍵“屬性”-“本地連接”-右鍵“屬性”-雙擊“TCP/IP”，彈出如下界面：此時(shí)已經(jīng)將IP地址和子網(wǎng)掩碼設(shè)置為實(shí)驗(yàn)要求的配置。單擊確定生效。 建立認(rèn)證中心（CA）：選擇“控制面板” “添加或刪除程序” “添加或刪除組件”，在可選項(xiàng)中選擇“證書服務(wù)”，點(diǎn)擊“詳細(xì)信息”，選中“證書服務(wù)CA”和“證書服務(wù)web注冊支持”，如下圖所示：單擊“下一步”，開始進(jìn)行安裝。下面是部分安裝過程截圖示意圖：此時(shí)命名CA公用名稱為MYCA（只要自己識別即可），單擊下一步繼續(xù)安裝：單擊“完成”，證書安裝成功。 設(shè)置證書管理：點(diǎn)擊“開始”，在“管理工具”

7、“證書頒發(fā)機(jī)構(gòu)”單擊“屬性”“策略模塊”“配置”“將證書請求狀態(tài)設(shè)置為掛起。管理員必須明確的頒發(fā)證書”，這樣管理者可以控制證書的發(fā)放。 下面進(jìn)行IIS的安裝；選中“應(yīng)用程序服務(wù)器”，單擊“下一步”接著彈出界面：單擊“確定”選擇鏡像文件：程序正在安裝IIS信息服務(wù)器安裝完成2.12生成web站點(diǎn)數(shù)字證書 下面進(jìn)行生成web站點(diǎn)數(shù)字證書的文件：單擊“開始”“管理工具”“Internet信息服務(wù)器”打開界面如下：在“Internet信息服務(wù)”中，我們先新建一個(gè)“MYWEB”網(wǎng)站。新建過程如下，單擊網(wǎng)站單擊“下一步”單擊“下一步”，繼續(xù)進(jìn)行：單擊“完成”，安裝完成。2.13 安裝web(IIS)服務(wù)器

8、證書右擊“myweb”站點(diǎn)名，選擇快捷菜單的“屬性”命令，出現(xiàn)“myweb”屬性對話框，單擊“目錄安全性”頁標(biāo)簽，再單擊“服務(wù)器證書”， 在“IIS證書向?qū)е小?，依次選擇“創(chuàng)建一個(gè)新證書” “現(xiàn)在準(zhǔn)備請求，但稍后發(fā)送”點(diǎn)擊“完成”，IIS證書向?qū)О惭b成功。2.14生成服務(wù)器證書（CA） 生成服務(wù)器證書，在web服務(wù)器依次執(zhí)行：（1）首先，將證書申請文件內(nèi)容復(fù)制到剪切板。方法是：用記事本打開certreq.txt文件，查看申請文件內(nèi)容，看到這是一個(gè)純文本文件。以PKCS#10編碼格式保存，首尾兩行為申請的開始和結(jié)束。選擇“編輯/全選”，再選擇“編輯/復(fù)制”即可，如下圖所示：啟動(dòng)IE瀏覽器在地址欄

9、里打入命令：，選擇“申請證書”，單擊“下一步”選擇“高級證書申請”，單擊“下一步”，選擇“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個(gè)證書申請，或使用 base64 編碼的 PKCS #7 文件續(xù)訂證書申請?！?，右擊中間“Base-64 編碼的證書申請 (CMC 或 PKCS #10 或 PKCS #7):”右邊的編輯框，選擇快捷菜單項(xiàng)“粘貼”，將證書內(nèi)容粘貼進(jìn)去，圖所示：單擊“提交”，完成申請功能。申請成功！ 打開證書服務(wù)器的“證書頒發(fā)機(jī)構(gòu)”“待定申請”，對申請點(diǎn)擊右鍵，選擇“頒發(fā)”：如圖所示：啟動(dòng)IE瀏覽器在地址欄里打入命令：選擇“下載一個(gè)CA證書、證書鏈或CR

10、L”，到達(dá)一下界面：選擇“Base64編碼”，點(diǎn)擊“下載CA證書”單擊“保存”，將證書以“mywebcert.cer”為文件名保存在桌面上再進(jìn)入web服務(wù)器，進(jìn)入“默認(rèn)網(wǎng)站屬性”對話框中，單擊“服務(wù)器證書”，在“IIS證書向?qū)А睂υ捒蛑?，按照提示便可安裝服務(wù)器證書。步驟如下圖示意：單擊“服務(wù)器證書”“下一步”單擊“完成”，IIS證書向?qū)瓿稍贗IS相關(guān)目錄單擊右鍵“屬性”“目錄安全性”“為此匿名訪問及編輯驗(yàn)證方法”，選擇“匿名訪問”在“安全信道”中選擇“編輯”進(jìn)入以下界面，選擇“要求安全信道”和“要求128位加密”，再選擇“客戶證書”，單擊“確定”。OK2.15 申請并安裝客戶端證書：啟動(dòng)IE

11、瀏覽器，在地址欄輸入：，單擊“申請一個(gè)證書”，然后選擇“web瀏覽器證書”，如下：在“識別信息”頁面填寫相關(guān)信息，單擊“提交”，完成客戶端證書的申請。在證書頒發(fā)機(jī)構(gòu)如前面一樣完成客戶證書的頒發(fā)。完成客戶端證書的安裝過程，步驟也如前一致：啟動(dòng)IE，在地址欄輸入：，打開如下界面：單擊“查看掛起的證書申請的狀態(tài)”選擇|“web瀏覽器證書”：點(diǎn)擊即可安裝：客戶端證書安裝成功。2.2小結(jié)：實(shí)驗(yàn)做到此。其中發(fā)生了諸多曲折，將數(shù)字證書配置好，IIS配置好，卻無論如何也在地址欄中訪問不到主機(jī)的默認(rèn)頁面。糾結(jié)了兩天，重新配置了三回，才最終解決，原來是“此根非彼根”。不管怎樣，通過頒發(fā)證書配置IIS信息服務(wù)器，實(shí)

12、現(xiàn)了web瀏覽器和服務(wù)器之間實(shí)現(xiàn)了身份識別和加密通信以及https安全訪問。認(rèn)識到在凡重要網(wǎng)站或個(gè)人信息保密的時(shí)候應(yīng)該通過一些管道建立安全通信模式，數(shù)字認(rèn)證是一種不錯(cuò)的選擇。3 實(shí)驗(yàn)二：3.1簡介：安全電子郵件證書簡介 電子郵件是一種普遍最快捷的一種通訊方式，深受人們喜歡，但是在傳輸過程往往面臨著很多挑戰(zhàn)。為了保證電子郵件的保密性，完整性以及確認(rèn)手法人身份的真實(shí)性，CA中心提供了一種解決方案，即通過數(shù)字證書確保郵件的真實(shí)性，保密性，和完整性，它可以確保郵件在發(fā)送過程中不會被任何人篡改，而且加密后的信息在傳輸工程中不會被除了接收方以外的任何人看到。3.2 實(shí)驗(yàn)設(shè)備配置 操作系統(tǒng)有：Windows

13、 2000 pro SP4，Windows 2000 Server SP4，RedHat Linux9.0；3.3實(shí)驗(yàn)操作在RedHat Linux9.0上配置DNS服務(wù)器：新建一個(gè)終端，輸入命令redhat-config-packages后回車，在添加刪除程序中選擇“DNS Name Server”，然后點(diǎn)擊“Update”即更新。如圖所示：點(diǎn)擊“更新”：啟動(dòng)DNS服務(wù)：#service named start #chkconfig named level 35 on如下圖所示：添加內(nèi)容建立域“def.mb”。正向解析文件為def.mb.zone，反向解析文件為，網(wǎng)絡(luò)地址為/24。加入如下代

14、碼：在/var/named/目錄下新建文件def.mb.zone，代碼如下：建好以下文件：在/var/named/目錄下新建文件。如前所示：重新啟動(dòng)DNS服務(wù)#service named reload在window2000下的主機(jī)地址為31。如圖：運(yùn)行命令:cmdnslookup經(jīng)過驗(yàn)證DNS服務(wù)器可以正常工作。在LINUX下安裝配置sendmian服務(wù)器：輸入命令redhat-config-packages后回車，在添加刪除程序中選擇“mail server”，點(diǎn)擊“Details”確保imap和sendmain-cf選中，然后更新。使用#service sendmail start #ch

15、kconfig sendmaillevel 35 on確認(rèn)服務(wù)已經(jīng)啟動(dòng)。然后windows2000 pro SP3的主機(jī)上新建一個(gè)郵箱的賬號：Alicemail.def.mb，賬號密碼是123456 另一個(gè)主機(jī)新建一個(gè)郵箱賬號bobmail.def.mb，賬號密碼是123456。將DNS設(shè)置為2，他們兩方互相發(fā)一封郵件，并接受到對方的郵件，以確認(rèn)郵件服務(wù)器的正常工作。甲打開光盤中的偽造電子郵件發(fā)送工具ZapMail.exe，運(yùn)行之后，將內(nèi)容填寫完畢，單擊“send”，testmail.def.mb是一個(gè)偽造的電子郵件地址。當(dāng)乙接受到郵件后，他不能確認(rèn)郵件內(nèi)容的真實(shí)性的，接下來配置主機(jī)上的CA服務(wù)器：兩方都重復(fù)以上過程完成郵箱證書的安裝。這時(shí)候發(fā)送方將填寫好了的內(nèi)容填寫之后，點(diǎn)擊