实验2数字证书的申请及使用

实验2数字证书的申请及安装【实验目的】1.了解认证体系的体制结构、功能、作用、业务范围及运行机制。2.掌握网上申请个人数字证书的方法。3．掌握数字证书的导入、导出和安装。【实验环境】Windows操作系统（推荐使用windowsxp）、Internet、InternetExplorer【主要内容】1.通过搜索国内认证机构网站，了解其功能、作用及所提供的业务2.在“中国数字认证网”网站（）为自己申请“个人安全电子邮件证书”。3.证书查看、导入和导出。4.使用申请的数字证书发送签名和加密电子邮件（选做）【实验导读】数字证书的原理及作用数字证书采用PKI（PublicKeyInfrastructure）公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。用户采用自己的私钥对发送信息加以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。数字证书的颁发数字证书是由认证中心（CA机构，CertificateAuthority）颁发的。认证中心是能向用户签发数字证书以确认用户身份的管理机构。它作为电子商务交易中受信任的第三方，一方面为每个使用公开密钥的用户发放一个数字证书，其作用是证明证书中列出的用户合法拥有证书中列出的公开密钥；另一方面承担公钥体系中公钥的合法性检验的责任。数字证书颁发过程数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。作为个人用户，你既可以为自己申请数字证书，也可以为一台安全服务器申请数字证书。数字证书有试用版和正式版两种，试用版申请过程在网上即时完成，并立即可以免费使用。正式版数字证书则需要额外的处理方法及时间，一般过程是用户首先在网上填写数字证书申请资料，认证中心在接收到申请请求后，它将对申请人的身份进行审核，当用户的申请请求满足认证中心的所有要求后，认证中心将为其制作证书，然后发送给申请人或者是申请人在网上下载自己的证书。根证书及根证书下载所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明你对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。个人数字证书数字证书是在Internet上用来证明用户身份的一种方式，它是一份包含用户身份信息、用户密钥信息以及CA中心数字签名的文件。申请个人数字证书可以为Internet用户提供发送电子邮件的安全和访问需要安全连接（需要客户证书）的站点。数字证书CA中心的数字签名可以确保证书信息的真实性、保密性。中国数字认证网为个人或非盈利性机构在线提供免费数字证书，供用户学习使用。免费数字证书的有效期限为一年，申请人不需要支付证书使用费用，证书功能与正式证书一致。证书申请和发放采用在线处理的方式，用户可以在线完成证书的申请，并将证书下载安装到自己的计算机系统或数字证书存储介质中。免费数字证书所包含的内容是未经CA机构审核，不提供任何信用等级的保证，不适用于需要确认身份的商业行为，也不应该作为任何商业用途的依据。【实验导读】⑴免费数字证书的申请安装操作①访问中国数字认证网（）主页，选择“免费证书”栏目的“根CA证书”。如果是第一次使用他们的个人证书需要先下载并安装根CA证书。中国数字认证网主页（）某些设置严格的系统可能会有运行ActiveX控件的提示，如下图选择运行，并忽略所有警告，继续。②下载并安装根证书。只有安装了根证书链的计算机，才能完成网上申请的步骤和证书的正常使用。出现“下载文件-安全警告”对话框，点击选择打开“rootFree.cer”。点击上面的“安装证书”按钮，根据证书导入向导提示，完成导入操作。对于高版本IE浏览器和WIN7系统，可能需要设置证书存储区，如下图。③在线填写并提交申请表。选择“免费证书”栏目的“用表格申请证书”，填写申请表。用户填写的基本信息包括名称（要求使用用户真实姓名）、公司、部门、城市、省份、国家地区、电子邮箱（要求邮件系统能够支持邮件客户端工具，不能填写错误，否则会影响安全电子邮件的使用）、证书期限、证书用途（可以选择“电子邮件保护证书”）、密钥选项（可以选择“MicrosoftStrongCryptgraphicProvider”）、密钥用法（可以选择“两者”）、密钥大小（填写“1024”）等，其他项目默认。注意要勾上“标记密钥为可导出”、“启用严格密钥保护”、“创建新密钥对”三项，“Hash算法”（可以选择“SHA-1”）。提交申请表后，出现“正在创建新的RSA交换密钥”的提示框，确认将私钥的安全级别设为中级。图4-15填写个人数字证书申请表④下载安装数字证书。提交申请表后，证书服务器系统将立即自动签发证书。用户点击“直接安装证书”按钮开始下载安装证书，直到出现“安装成功！”的提示。⑵数字证书的查看在微软IE浏览器的菜单栏“工具”--〉“Internet选项”--〉“内容”--〉“证书”中，可以看到证书已经被安装地成功。双击证书查看证书内容。⑶数字证书的导出和导入操作指导为了保护数字证书及私钥的安全，需要进行证书及私钥的备份工作。如果需要在不同的电脑上使用同一张数字证书或者重新安装电脑系统，就需要重新安装根证书、导入个人证书及私钥。具体步骤如下：①备份证书和私钥的操作步骤。在上图中选择需要备份的个人数字证书，单击“导出”按钮--〉出现“证书导出向导”，单击“下一步”按钮--〉可以选择将私钥跟证书一起导出，选择“是，导出私钥”，单击“下一步”按钮--〉选择文件导出格式，可以选择默认选项，单击“下一步”按钮--〉键入并确认保护私钥的口令（自己任意设置），单击“下一步”按钮--〉单击“浏览”按钮确定证书及私钥导出保存的路径和文件名（文件扩展名为.pfx），单击“下一步”按钮--〉提示你已经成功完成证书的导出向导，单击“完成”按钮--〉提示证书导出成功，按“确定”按钮。证书成功导出。②导入证书及私钥的操作步骤。如果某台计算机系统中没有安装数字证书，可以进入上图中，单击“导入”按钮--〉出现“证书导入向导”，单击“下一步”按钮--〉单击“浏览”按钮确定证书及私钥文件的保存路径，查找到扩展名为“.pfx”的证书备份文件打开，单击“下一步”按钮--〉键入保护私钥的口令，选择“启用强私钥保护”，单击“下一步”按钮--〉选择证书存储区域，单击“下一步”按钮--〉提示证书导入成功，按“确定”按钮。证书及私钥成功导入。【选做内容】1用OutLookExpress发送签名邮件发送签名邮件前必须正确安装了自己的“电子邮件保护证书”（要使用的电子邮件必须与申请证书时填写的电子邮件一致）。从OutlookExpress“工具”菜单中选择“帐号”。选择帐号，鼠标单击“属性”按钮。选择“安全”标签，鼠标单击签名标识中的“选择”按钮。选择证书，鼠标单击“确定”按钮。发送邮件时从“工具”菜单中选择“签名”，收件人地址栏后面出现“签名”标志。输入对方邮件地址及其它，发送邮件。发送加密电子邮件发送加密邮件前必须正确安装了对方的“电子邮件保护证书”（只含有公有密钥，可以向对方索取）。从OutlookExpress“工具”菜单中选择“选项”。鼠标单击“数字标识”按钮。鼠标单击“导入”按钮，选择对方数字证书。鼠标单击“下一步”按钮，鼠标单击“浏览”按钮，选择“其他人”。鼠标单击“下一步”按钮，安装对方数字证书。发送邮件时从“工具”菜单中选择“加密”，收件人地址栏后面出现“加密”标志。输入对方邮件地址及其它，发送邮件。