Reporter : Hui-Shan Chen (2008.05/02) NCHC CA 使用者憑證申請註銷介紹 Reporter : Hui-Shan Chen (2008.05/02)
Outline CA與憑證的簡介 使用者憑證申請步驟 使用者憑證註銷步驟 使用者憑證應用 Demo Conclusions References
CA與憑證的簡介 何謂CA (Certificate Authority)? 認證中心也是一種憑證,上面附有認證中心本身的資料,但不是用 來加解密,而是用來簽發憑證,證明憑證所有人和憑證上所載的資 料無誤。 CA對個人及伺服器提供認證及憑證簽發管理等服務,以建立具有鑑 別性、機密性、完整性、不可否認性及存取控制的資訊通信安全環 境與機制。 透過CA,在網路上的伺服器或使用者可藉由個人憑證驗證彼此的身 分, 也因此CA憑證也需要公開出來,使得可用來驗證由CA憑證所發 出的憑證。
CA與憑證的簡介 (cont.) 何謂憑證? 數位憑證是一個可以用密碼學上的方式將每一個實體的公開金鑰和可以 用來識別其身分的相關特定資訊綁在一起的數位檔案。 公鑰.姓名.公鑰的有效期限.發證機構的名稱.數位憑證的序列號.發證機構的 數位簽名 有時被稱為數字身份證,是一個符合一定格式的電子檔,用來識別憑證 持有者的真實身份。 一些軟體程式用憑證來向其他人或企業證明憑證持有者的身份。 但是要利用憑證來達到在網際網路上的安全通訊, 就得先透過一個公正 且具公信力的第三方- CA來簽發憑證。
使用者憑證申請步驟 NCHC CA 網站http://ca.goc.nchc.org.tw
使用者憑證申請步驟(cont.) 以申請使者憑證為例 (先取得使用者憑證才可以申請machine憑證) http://ca.goc.nchc.org.tw/nchcca/index.php?option=com_content&task=vie w&id=30&Itemid=79
使用者憑證申請步驟(cont.) 使用者需填入個人資訊 (若非NCHC成員需上傳個人照片) https://ca.goc.nchc.org.tw/nchcca/index.php?option=com_content&task=vie w&id=50&Itemid=95
使用者憑證申請步驟(cont.) 使用者完成申請
使用者憑證申請步驟(cont.) 使用者收信並啟動此網址 網頁回傳的activation資訊
使用者憑證申請步驟(cont.) 由NCHC CA 發給使用者可上傳CSR(certificate signing request)信件 下載並安裝OpenSSL 下載附件user configuration file 在此檔案路徑下,輸入指令 將private key 保存好 產生CSR後,點取連結上傳
使用者憑證申請步驟(cont.) user configuration file
使用者憑證申請步驟(cont.) $ openssl req -newkey rsa:1024 -keyout NCHC_PrivateKey034.key -out 034.csr -config 034.cnf -sha1 -reqexts xe
使用者憑證申請步驟(cont.) 運用指令來查看CSR之內容
使用者憑證申請步驟(cont.) CSR上傳網站 https://ca.goc.nchc.org.tw/checkpass.php?email=chwhs@nchc.org.tw&pass=c c55593bfa79
使用者憑證申請步驟(cont.) 憑證申請成功mail 網站上的Valid Cert http://ca.goc.nchc.org.tw/nchcca/index.php?option=com_content&task=vie w&id=49&Itemid=93
使用者憑證申請步驟(cont.) 使用者憑證
使用者憑證申請步驟(cont.) 詳細資訊 https://ca.goc.nchc.org.tw/checkpass.php?email=chwhs@nchc.org.tw&pas s=cc55593bfa79
使用者憑證註銷步驟 憑證Revoke申請頁面 http://ca.goc.nchc.org.tw/nchcca/index.php?option=com_content&task=vie w&id=25&Itemid=68
使用者憑證註銷步驟 (cont.) 將資料填入Revoke Form https://ca.goc.nchc.org.tw/nchcca/index.php?option=com_content&t ask=view&id=61&Itemid=116
使用者憑證註銷步驟 (cont.) 當NCHC CA 核可此revoke申請,就會revoke憑證,並發信通知使用者。
使用者憑證註銷步驟 (cont.) 在網站上就會發現序號為10的這一筆資料已經被註銷 Valid Cert http://ca.goc.nchc.org.tw/nchcca/index.php?option=com_content&task=vie w&id=49&Itemid=93 Revoked Cert http://ca.goc.nchc.org.tw/nchcca/index.php?option=com_content&task=vie w&id=20&Itemid=61
使用者憑證應用 憑證於安全電子郵件之應用 郵件可以冒名寄送,且信件的內容可能遭篡改,因此需要一個更安全 的電子郵件系統來確認該信件來源的正確性及內容的真實性。 憑證的應用讓SSL的通訊安全更上一層樓,亦即運用「數位簽章」和 「數位加密」,來確保郵件的「不可否任性」和「隱密性」。 將憑證存放在用戶電腦的瀏覽器中,使用者於傳送電子郵件時,可於 電子郵件中加上數位簽章如同使用者簽名一般,或做文件加密讓不該 看的人看不到,讓使用者的電子郵件傳輸具安全性。
使用者憑證應用(cont.) 設定 Apache 啟用 SSL 憑證 使用 Browser 連上加密的網頁: 把憑證放到 /usr/local/httpd/conf/CA 目錄裡,所以之後設定憑證的位置只要對 應到正確的目錄就可以了。 vi /usr/local/httpd/conf/httpd.conf # Secure (SSL/TLS) connections Include conf/extra/httpd-ssl.conf vi /usr/local/httpd/conf/extra/httpd-ssl.conf SSLCertificateFile /usr/local/httpd/conf/CA/ca.goc.nchc.org.tw.crt SSLCertificateKeyFile /usr/local/httpd/conf/CA/ca.goc.nchc.org.tw.key 使用 Browser 連上加密的網頁: 請在網址列輸入 https 的網址就可以了(https://ca.goc.nchc.org.tw) 記得,在連進網址會有警告,這時只要接受憑證就可以了
使用者憑證應用(cont.) GLOBUS Toolkit 要在格網上執行應用程式,用戶必須有正確的 Globus 憑證,在 GSI (Grid Security Infrastructure)中,使用者透過一組憑證登入到參與格 網的主機。 系統根據憑證對使用者進行身份驗證,如果身份驗證成功,系統就建 立伺服器端用戶代理(proxy)來代表您。 只要使用者想存取格網中的資源,使用者代理就與資源代理交談並確 認使用者的憑證。
Demo NCHC CA 網站 http://ca.goc.nchc.org.tw
Conclusions NCHC是一個在台灣的非營利組織機構,並且我們所建置的NCHC CA是完全不收取使用者任何費用的。 依NCHC Certification Authority Certificate Policy and Certification Practice Statement建置CA,規範其運作規定與作法。 一方面讓用戶瞭解在使用上的作業規定,另一方面則藉此表明其在安 全及公證性上的信賴度。 希望大家能夠踴躍來申請使用,並且能夠多多宣傳。
References NCHC CA網站http://ca.goc.nchc.org.tw OpenSSL教學 Globus CP/CPS FAQ Certificate link Request Revoke OpenSSL教學 http://csc.ocean-pioneer.com/docum/ssl_basic.html Globus http://www.globus.org/
Thanks for your attention!