实验十二PKI的部署和安全应

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,实验十二、,PKI,的部署和安全应用,实验开发教师：郑方伟,谌黔燕,佘 堃,【实验目的】,理解,PKI,在信息安全中的作用。学会利用,CA,管理和发放用户证书，掌握在,SSL，PGP,中应用证书的方法。,【实验内容】,1、根据使用手册正安全配置,MyPKI,系统。,2、完成证书的生成、颁发、部署、更新及撤消。,【实验环境】,1、,Windows 2000,操作系统,2、安装了,IIS,的个人计算机一台。,3、,MyPKI,应用软件、,PGP,系统。,4、测试用客户机一台。,【实验参考步骤】,1、启动,TongRA,单击“开始”,“所有程序”“,MyPKI”,“TongRA”,打开管理界面。,2、生成证书,初始化。,RA,初始化：,RA,管理,RA,初始化。,清空数据库以及日志表,测试,CA,连接状态,发布证书：,设置参数：选项,加密参数设置；选项随机参数选择,。,证书申请：磁盘证书,申请个人证书（申请,APACHE,证书/批量申请证书）,。,填写申请者信息提交。,设定保护证书密码并保存证书。,申请证书完成。,3、,证书部署及测试：,根据使用手册安装,IIS,服务器证书。,双击证书，安装客户端证书。,测试连接,IIS,服务器。,根据使用手册为,PGP,安装证书。,加密、解密文件。,证书部署测试完成。,4,、证书更新、撤消：,证书更新：磁盘证书更新个人证书。,证书撤消：磁盘证书撤消证书。,重做（3）中测试，记录变化。,实验完成。,【实验报告】,1、记录实验数据。,2、说明实验原理。,【实验预备知识】,1、数字证书,数字证书是网络通信中标志通信各方身份信息的一系列数据。其作用类似于身份证。它由一个权威机构颁发，人们借其在网络通信中识别对方身份。,证书的格式有,ITU,标准的,X.509V3,来定义，包括申请证书的个体信息和发行证书的,CA,信息。证书由以下两部分组成：,（1）证书数据,版本信息。用以与,X.509,的将来版本兼容。,证书序列号。每一个由,CA,发行的证书必须有一个唯一的序列号。,CA,所使用的签名算法。,证书的有效期限。,证书主题名称。,被证明的公钥信息，包括公钥算法、公钥的位字符串表示。,包含额外信息的特别扩展。,发行证书的,CA,名称。,2、,PKI（,公开密钥基础结构）,公共密钥加密体系结构在计算机领域内被广泛使用。它分为公钥和私钥，公钥采用一对非对称的密码加密或解密，每一个密码有公钥和私钥对组成。公钥的算法公开，并被广泛地发布，而私钥则是隐秘的、不公开的。公钥和私钥有如下关系：,互解。用公钥加密后传输的数据，只能用私钥解密；用私钥加密后传输的数据，也只能用它对应的公钥才能解密。,公钥与私钥不能相互推导。,公钥可以给任何人，私钥只能自己保留。,PKI（Public Key Infrastructure,PKI。,公开密钥基础结构）是对这些密钥证书的管理体制。,CA,是,PKI,的基本元素。,1、,CA（,证书颁发机构）,CA,是一个负责发放和管理数字证书的权威机构。认证中心通常采用多层次的分级结构，上一级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。,CA,的主要功能如下：,证书签发,证书更新,证书查询,证书作废,证书归档,图10-1,MyPKI,系统部署图。,工作原理：,首先通过,MyPKI/Admin,初始化,CA,根证书，随后初始化机构即为,RA,管理系统发布初始证书。,RA,系统用,CA,发布的证书加密收集的申请信息，并通过安全通道发给,CA。CA,将利用自己的证书解密申请信息并按要求生成证书，并将证书发到,LDAP,目录服务器中，同时将证书返回给申请者。,5,、实验注意事项,初始化,CA/,机构，创建了,cadir,目录，生成了,Ra.p12,证书后，需利用,CA,的,ca.conf,文件以及,cadir,目录中,certs.idx,文件中的内容修改,RA,的,ra-cnf,文件中相应内容。,RA,的,ra-cnf,配置结果中#以下由,RA,管理员填写,#,CA_name,应与,ca.conf,中的值大小写一致。,【参考文献】,1、,MyPKI,用户指南,2、计算机网络安全，人民邮电出版社，邓亚平。,3、网络安全管理技术，清华大学出版社，,阴东锋、谢魏等。,