实验四证书申请管理实验_实验申请数字证书

实验四证书申请管理实验由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“实验申请数字证书”。

网络与系统安全实验报告

实验四 证书申请管理实验证书申请管理实验

【实验目的】

证书是公钥体制的一种密钥管理媒介。它是一种权威性的电子文档，用于证明某一主体的身份及其公开密钥的合法性。该实验的主要目的是为了让用户对如何进行证书申请、处理证书申请及证书管理有一个感性的认识。【实验原理】

PKI：公开密钥基础设施（Public Key Infrastructure）是以公开密钥密码学为理论技术基础的一整套网络信息安全技术设施与服务。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。

CA：认证中心（Certification Authority）是PKI的核心。它是公正、权威、可信的第三方网上认证机构，对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。CA系统的主要功能：签发证书，废止证书，数字签名，时间戳服务，发布签发及作废的证书信息，证书在线状态查询，对证书系统的管理与审计。RA系统是CA的证书发放、管理的延伸，是整个CA中心得以正常运营不可缺少的一部分。与EE和CA完全兼容并可以互操作，支持同样的基本功能。在PKI中，RA通常能够支持多个EE和CA。注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。注册管理一般由一个独立的注册机构（即RA）来承担。RA系统的主要功能：审核用户提交的证书申请信息，审核用户提交的证书废除信息，受理点的全面管理，向CA发送证书签发及作废请求和证书申请及签发查询等，支持用户以各种方式申请证书，支持为用户代生成证书。对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务，可以增强应用系统的安全。

数字证书：这是由认证中心经过数字签名后发给网上交易主体（企业或个人）的一段电子文档。在这段文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥信息和其它信息等。利用数字证书，配合相应的安全代理软件，可以在网上交易过程中检验对方的身份真伪，实现交易双方的相互信任，并保证交易信息的真实性、完整性、私密性和不可否认性。【实验环境】

1.数据库服务器：MYSQL 2.PKI服务器：JBo3.2.5 3.客户端硬件要求：Pentium 2 400Mhz 以上，256M内存，与服务器的网络连接。4.客户端软件：Java Swing（Java 1.4版本以上）【实验步骤】

1.确定实验参数是否正确，其中参数有两项，分别是：服务器IP、端口号（若是JBo服务器，端口号为1099，若是WebLogic服务器，端口号为7001)。

2.打开提供的用于证书申请的页面；

3.观察应用程序中出现的需要填写/选择的信息，分析哪些必须填写/选择，为什么？写入实验报告中。

答：打“*”号的项目必须填写

4.填写/选择相关信息，进行证书申请。在日志窗口中，记录下出现的正常/警告/错误信息，并分析原因。

5.在进入申请管理程序之前要先进行登（在证书申请实验时填入的用户名及密码），登录后只能管理自己账户的证书。

6.查找新注册的用户，观察其注册信息，然后根据注册信息的正确性选择“准予签发”，“否决请求”或是“删除信息”操作。

7.查找相关状态的用户，看操作是否成功。

8.在上述过程中，观察并记录下日志信息框显示的相关的正常/警告/错误信息并进行分析。

9.查找各种状态的证书 激活证书（刚签发的证书处于未激活状态，表示还未进入可使用状态）临时（可重新激活）或是永久撤销证书

导出证书和对应私钥并封装成PKCS12证书保存到本地文件系统 创建CRL，并导出最新生成的CRL

10.在上述过程中，应保持日志窗口处于开启状态，观察并记录下相关的正常/警告/错误信息。

11.将得到的PKCS12证书在windows系统中打开（双击），输入申请时填写的保护私钥的密码后将证书和私钥导入windows浏览中的证书库中。成功后，点击浏览器中的工具>Internet选项>内容>证书，查找到导入的证书后，查看证书内容是否与申请时填写的身份信息一致。截下相关的图片以及写下相关结论到实验报告中。

12.将得到的CRL文件在windows系统中打开（双击），查看是否包含操作示例程序时撤销的证书的序列号以及其他相关信息是否正确。截下相关的图片以及写下相关结论到实验报告中。

【实验思考】

寻找至少一个有申请证书的web站点或技术文档，查看(1)申请证书时所需提供的信息(2)列出两种以上规格的证书。

www.daodoc.com。进行证书申请时需要提供的信息有名称、公司、部门、城市、省、国家(地区)、电子邮件、网址、证书期限以及证书用途。信息传输的安全性没有得到保证。密钥对可以选择由用户自己产生（可用PKCS10申请），也可以由CA产生（用表格产生）。共有四种规格的证书：测试证书、免费证书、标准证书以及企业证书，各种证书特点如下：

1)“测试证书”是为帮助用户学习和测试而发放的临时证书，不需要验证用户真实身份，用户从网上提交申请后，可以立刻得到证书。

2)“免费证书”主要发给个人用户，用户从网上提交申请后，可以立刻得到证书，但需要事后验证用户真实身份，一个月内不提交用户真实资料，或提交的资料无效者将吊销证书。

3)标准证书”是收费证书，用户从网上提交申请后，可以立刻得到证书，但需要事后验证用户真实身份，一个月内不提交用户真实资料，或提交的资料无效者将吊销证书。

4)“企业证书”最可信的证书，需要事先验证身份，即用户从网上提交申请后，不能立刻得到证书，只得到证书的序列号。但需要用户在一个月提交用户真实资料，用户资料通过验证后，证书发放给用户（通过email发到用户信箱，如果用户在申请证书时选择了“开放档案”，用户也可以凭序列号从网上检索得到证书）。