網(wǎng)絡(luò)安全導(dǎo)論 實(shí)驗(yàn)９B Java中數(shù)字證書的創(chuàng)建與讀取

實(shí)驗(yàn)9BJava中數(shù)字證書的創(chuàng)建與讀取一、實(shí)驗(yàn)?zāi)康氖炀氄莆绽胟eytool工具創(chuàng)建數(shù)字證書和維護(hù)密鑰庫的方法。掌握數(shù)字證書的讀取方法。理解數(shù)字證書的簽發(fā)和驗(yàn)證流程。二、實(shí)驗(yàn)準(zhǔn)備J2SDK提供的keytool.exe是安全密鑰與證書管理工具，用來管理私鑰庫(keystore)和與之相關(guān)的X.509證書鏈，也可以用來管理其他信任實(shí)體。我們可以很方便地用keytool來創(chuàng)建數(shù)字證書和維護(hù)密鑰庫。例如，在命令行中輸入”keytool-genkey“，該工具將自動(dòng)使用默認(rèn)的DSA算法生成公鑰和私鑰，然后以交互式方式獲得公鑰持有者的信息后生成數(shù)字證書，并把證書保存在用戶的主目錄中創(chuàng)建的一個(gè)默認(rèn)文件“.keystore”中。證書的讀取。在java.security.cert包中，有Certificate類代表證書，使用其toString()方法可以得到它所代表的證書的所有信息，CertificateFactory類的generateCertificate()方法可以從文件輸入流生成Certificate類型的對(duì)象。 三、實(shí)驗(yàn)內(nèi)容證書的生成Keytool的-keyyalg參數(shù)可以指定密鑰生成算法，-keystore參數(shù)可以指定密鑰庫的名稱，密鑰庫對(duì)應(yīng)的文件如果不存在則自動(dòng)創(chuàng)建。要采用交互式創(chuàng)建一個(gè)指定證書庫為mykestore，別名為mytest、使用RSA算法生成密鑰且密鑰長度為1024、證書有效期為4000天的證書，可在命令提示符下鍵如下述命令，然后根據(jù)提示完成相應(yīng)的操作。C:\＞keytool-genkey-aliasmytest-keyalgRSA-keysize1024-keystoremykeystore-validity4000證書的顯示C:\>keytool–list–keystoremykeystore，然后輸入keystore密碼，將顯示mykestore證書庫的的所有證書列表。C:\keytool-list-v-aliasabnerCA-keystoreabnerCALib將顯示證書的詳細(xì)信息（-v參數(shù)）將證書導(dǎo)出到證書文件C:\keytool-export-aliasmytest-filemytest.cer-keystoremykeystore–storepass(密碼)–rfc將在當(dāng)前目錄下創(chuàng)建一個(gè)文件mytest.cer,該文件即是mykeysore密鑰庫mytest條目對(duì)應(yīng)的rfc編碼格式的證書，該證書可以在屏幕上顯示、復(fù)制或打印。通過證書文件查看證書信息通過命令keytool–printcert–filemytest.cer可以查看證書文件的信息。也可以在windows中雙擊產(chǎn)生的證書文件直接查看。由于該證書是使用自己的私鑰進(jìn)行自簽名的，因此會(huì)出現(xiàn)警告信息“該證書發(fā)行機(jī)構(gòu)根證書沒受信任…”證書條目的刪除keytool的命令行參數(shù)-delete可以刪除密鑰庫中的條目，如keytool-delete-aliasabnerCA-keystoreabnerCALib命令即為將abnerCALib庫中的abnerCA這一條證書刪除。證書條目口令的修改C:\>keytool–keypasswd–aliasabnerCA–keystoreabnerCALib可以以交互的方式修改abnerCALib證書庫中的條目為abnerCA的證書。數(shù)字證書的簽發(fā)我們需要將證書發(fā)送給權(quán)威的CA，并申請(qǐng)其簽名以確認(rèn)數(shù)字證書讓客戶信任。CA簽名數(shù)字證書的過程需用程序來完成。通過程序從證書文件中讀取證書分析調(diào)試以下程序、輸入“javaPrintCertmytest.cer”運(yùn)行該程序，查看tmp.txt中的結(jié)果。importjava.io.*;importjava.security.cert.*;publicclassPrintCert{publicstaticvoidmain(Stringargs[])throwsException{CertificateFactorycf=CertificateFactory.getInstance(“X.509”);FileInpiutStreamin=newFileInputStream(args[0]);Certificatec=cf.generateCertificate(in);in.close();Strings=c.toString();//顯示證書FileOutputStreamfout=newFileOutputStream(“tmp.txt”)BufferedWriterout=newBufferedWriter(newOutputStreamWriter(fout));Out.write(s,0,s.length());Out.close();}}四、實(shí)驗(yàn)報(bào)告1.通過實(shí)驗(yàn)回答下列問題（1）keytool后面可以跟哪些參數(shù)？rfc是什么意思？RequestForComments，縮寫為RFC，是由互聯(lián)網(wǎng)工程任務(wù)組（IETF）發(fā)布的一系列備忘錄。文件收集了有關(guān)互聯(lián)網(wǎng)相關(guān)信息，以及UNIX和互聯(lián)網(wǎng)社群的軟件文件，以編號(hào)排定。FC文件是由互聯(lián)網(wǎng)協(xié)會(huì)（ISOC）贊助發(fā)行如何通過程序直接訪問密鑰庫讀取證書信息？Java程序從密鑰庫直接讀取證書importjava.io.*;importjava.security.*;importjava.security.cert.Certificate;publicclassPrintCert2{publicstaticvoidmain(Stringargs[])throwsException{Stringpass="080302";Stringalias="mykey";Stringname=".keystore";FileInputStreamin=newFileInputStream(name);KeyStoreks=KeyStore.getInstance("JKS");ks.load(in,pass.toCharArray());Certificatec=ks.getCertificate(alias);in.close();System.out.println(c.toString());}}2.簡答題（1）什么是自簽名證書？描述證書的驗(yàn)證過程。自簽名證書是由不受信的CA機(jī)構(gòu)頒發(fā)的數(shù)字證書，也就是自己簽發(fā)的證書。與受信任的CA簽發(fā)的傳統(tǒng)數(shù)字證書不同，自簽名證書是由一些公司或軟件開發(fā)商創(chuàng)建、頒發(fā)和簽名的。雖然自簽名證書使用的是與X.509證書相同的加密密鑰對(duì)架構(gòu)，但是卻缺少受信任第三方（如Sectigo）的驗(yàn)證。在頒發(fā)過程中缺乏獨(dú)立驗(yàn)證會(huì)產(chǎn)生額外的風(fēng)險(xiǎn)，這就是為什么對(duì)于面向公眾的網(wǎng)站和應(yīng)用程序來說，自簽名證書是不安全的。根CA-》CA1-》CA2-》服務(wù)器那么此時(shí)，服務(wù)器發(fā)給客戶端的證書鏈中不僅包含自己的證書，還要包含各個(gè)中間CA的證書，本例子中也即CA1和CA2以及服務(wù)器自己的證書?？蛻舳耸紫闰?yàn)證CA2->服務(wù)器這一環(huán)，分為以下步驟：從CA2的證書中，拿出CA2的公鑰，對(duì)服務(wù)器證書中的CA2的簽名進(jìn)行解密。對(duì)服務(wù)器證書中的明文信息進(jìn)行hash，使用的hash算法與CA2所使用的hash算法一致。對(duì)比前兩步的結(jié)果，看其是否相等，若相等則驗(yàn)證通過。驗(yàn)證通過后，客戶端繼續(xù)驗(yàn)證證書鏈的下一個(gè)環(huán)節(jié)，即CA1->CA2，與上一個(gè)環(huán)節(jié)大同小異，分為以下步驟：從CA1的證書中，拿出CA1的公鑰，對(duì)CA2證書中的CA1的簽名進(jìn)行解密。對(duì)CA2證書中的明文信息進(jìn)行hash，使用的hash算法與CA1所使用的hash算法一致。對(duì)比前兩步的結(jié)果，看其是否相等，若相等則驗(yàn)證通過。驗(yàn)證通過后，客戶端繼續(xù)驗(yàn)證證書鏈的最后一個(gè)環(huán)節(jié)，即根CA->CA1，注意第一步的的不同之處：從自己本地的緩存中，拿出根CA的公鑰，對(duì)CA1證書中的根CA的簽名進(jìn)行解密。對(duì)CA1證書中的明文信息進(jìn)行hash，使用的has