实验十二、PKI的部署和安全应用 实验开发教师:郑方伟 谌黔燕 佘 堃
【实验目的】 理解PKI在信息安全中的作用。学会利用CA管理和发放用户证书,掌握在SSL,PGP中应用证书的方法。 【实验内容】 1、根据使用手册正安全配置MyPKI系统。 2、完成证书的生成、颁发、部署、更新及撤消。 【实验环境】 1、Windows 2000 操作系统 2、安装了IIS的个人计算机一台。 3、MyPKI应用软件、PGP系统。 4、测试用客户机一台。
【实验参考步骤】 1、启动TongRA 单击“开始”→“所有程序”→“MyPKI”→“TongRA”打开管理界面。 2、生成证书 ▲ 初始化。 RA初始化:RA管理→RA初始化。 清空数据库以及日志表 测试CA连接状态 ▲ 发布证书: 设置参数:选项→加密参数设置;选项→随机参数选择。 证书申请:磁盘证书→申请个人证书(申请APACHE证书/批量申请证书)。 填写申请者信息提交。 设定保护证书密码并保存证书。 申请证书完成。
3、证书部署及测试: 根据使用手册安装IIS服务器证书。 双击证书,安装客户端证书。 测试连接IIS服务器。 根据使用手册为PGP安装证书。 加密、解密文件。 证书部署测试完成。 4、证书更新、撤消: 证书更新:磁盘证书→更新个人证书。 证书撤消:磁盘证书→撤消证书。 重做(3)中测试,记录变化。 实验完成。
【实验报告】 1、记录实验数据。 2、说明实验原理。 【实验预备知识】 1、 数字证书 数字证书是网络通信中标志通信各方身份信息的一系列数据。其作用类似于身份证。它由一个权威机构颁发,人们借其在网络通信中识别对方身份。 证书的格式有ITU标准的X.509V3来定义,包括申请证书的个体信息和发行证书的CA信息。证书由以下两部分组成: (1)证书数据 版本信息。用以与X.509的将来版本兼容。 证书序列号。每一个由CA发行的证书必须有一个唯一的序列号。 CA所使用的签名算法。
证书的有效期限。 证书主题名称。 被证明的公钥信息,包括公钥算法、公钥的位字符串表示。 包含额外信息的特别扩展。 发行证书的CA名称。 2、 PKI(公开密钥基础结构) 公共密钥加密体系结构在计算机领域内被广泛使用。它分为公钥和私钥,公钥采用一对非对称的密码加密或解密,每一个密码有公钥和私钥对组成。公钥的算法公开,并被广泛地发布,而私钥则是隐秘的、不公开的。公钥和私钥有如下关系: 互解。用公钥加密后传输的数据,只能用私钥解密;用私钥加密后传输的数据,也只能用它对应的公钥才能解密。 公钥与私钥不能相互推导。 公钥可以给任何人,私钥只能自己保留。
PKI(Public Key Infrastructure,PKI。公开密钥基础结构)是对这些密钥证书的管理体制。CA是PKI的基本元素。 证书签发 证书更新 证书查询 证书作废 证书归档
图10-1 MyPKI系统部署图。
工作原理: 首先通过MyPKI/Admin初始化CA根证书,随后初始化机构即为RA管理系统发布初始证书。RA系统用CA发布的证书加密收集的申请信息,并通过安全通道发给CA。CA将利用自己的证书解密申请信息并按要求生成证书,并将证书发到LDAP目录服务器中,同时将证书返回给申请者。 5、实验注意事项 初始化CA/机构,创建了cadir目录,生成了Ra.p12证书后,需利用CA的ca.conf 文件以及cadir目录中certs.idx文件中的内容修改RA的ra-cnf文件中相应内容。 RA的ra-cnf配置结果中#以下由RA管理员填写,#CA_name应与ca.conf中的值大小写一致。
【参考文献】 1、《MyPKI用户指南》 2、《计算机网络安全》,人民邮电出版社,邓亚平。 3、《网络安全管理技术》,清华大学出版社,阴东锋、谢魏等。