实验十二、PKI的部署和安全应用 实验开发教师：郑方伟 谌黔燕 佘 堃.

Presentation on theme: "实验十二、PKI的部署和安全应用 实验开发教师：郑方伟 谌黔燕 佘 堃."— Presentation transcript:

1 实验十二、PKI的部署和安全应用 实验开发教师：郑方伟 谌黔燕 佘 堃

2 【实验目的】 理解PKI在信息安全中的作用。学会利用CA管理和发放用户证书，掌握在SSL，PGP中应用证书的方法。 【实验内容】 1、根据使用手册正安全配置MyPKI系统。 2、完成证书的生成、颁发、部署、更新及撤消。 【实验环境】 1、Windows 2000 操作系统 2、安装了IIS的个人计算机一台。 3、MyPKI应用软件、PGP系统。 4、测试用客户机一台。

3 【实验参考步骤】 1、启动TongRA 单击“开始”→“所有程序”→“MyPKI”→“TongRA”打开管理界面。 2、生成证书 ▲ 初始化。  RA初始化：RA管理→RA初始化。  清空数据库以及日志表  测试CA连接状态 ▲ 发布证书：  设置参数：选项→加密参数设置；选项→随机参数选择。  证书申请：磁盘证书→申请个人证书（申请APACHE证书/批量申请证书）。  填写申请者信息提交。  设定保护证书密码并保存证书。  申请证书完成。

4 3、证书部署及测试：  根据使用手册安装IIS服务器证书。  双击证书，安装客户端证书。  测试连接IIS服务器。  根据使用手册为PGP安装证书。  加密、解密文件。  证书部署测试完成。 4、证书更新、撤消：  证书更新：磁盘证书→更新个人证书。  证书撤消：磁盘证书→撤消证书。  重做（3）中测试，记录变化。  实验完成。

5 【实验报告】 1、记录实验数据。 2、说明实验原理。 【实验预备知识】 1、 数字证书 数字证书是网络通信中标志通信各方身份信息的一系列数据。其作用类似于身份证。它由一个权威机构颁发，人们借其在网络通信中识别对方身份。 证书的格式有ITU标准的X.509V3来定义，包括申请证书的个体信息和发行证书的CA信息。证书由以下两部分组成： （1）证书数据  版本信息。用以与X.509的将来版本兼容。  证书序列号。每一个由CA发行的证书必须有一个唯一的序列号。  CA所使用的签名算法。

6  证书的有效期限。  证书主题名称。  被证明的公钥信息，包括公钥算法、公钥的位字符串表示。  包含额外信息的特别扩展。  发行证书的CA名称。 2、 PKI（公开密钥基础结构） 公共密钥加密体系结构在计算机领域内被广泛使用。它分为公钥和私钥，公钥采用一对非对称的密码加密或解密，每一个密码有公钥和私钥对组成。公钥的算法公开，并被广泛地发布，而私钥则是隐秘的、不公开的。公钥和私钥有如下关系： 互解。用公钥加密后传输的数据，只能用私钥解密；用私钥加密后传输的数据，也只能用它对应的公钥才能解密。 公钥与私钥不能相互推导。  公钥可以给任何人，私钥只能自己保留。

7 PKI（Public Key Infrastructure,PKI。公开密钥基础结构）是对这些密钥证书的管理体制。CA是PKI的基本元素。 
 证书签发 　　 证书更新 　　 证书查询　 　　 证书作废  证书归档

8 图10-1 MyPKI系统部署图。

9 工作原理： 首先通过MyPKI/Admin初始化CA根证书，随后初始化机构即为RA管理系统发布初始证书。RA系统用CA发布的证书加密收集的申请信息，并通过安全通道发给CA。CA将利用自己的证书解密申请信息并按要求生成证书，并将证书发到LDAP目录服务器中，同时将证书返回给申请者。 5、实验注意事项 初始化CA/机构，创建了cadir目录，生成了Ra.p12证书后，需利用CA的ca.conf 文件以及cadir目录中certs.idx文件中的内容修改RA的ra-cnf文件中相应内容。 RA的ra-cnf配置结果中#以下由RA管理员填写,#CA_name应与ca.conf中的值大小写一致。

10 【参考文献】 1、《MyPKI用户指南》 2、《计算机网络安全》，人民邮电出版社，邓亚平。 3、《网络安全管理技术》，清华大学出版社，阴东锋、谢魏等。