PKI证书实验报告Word格式文档下载.docx
- 文档编号:20541688
- 上传时间:2023-01-23
- 格式:DOCX
- 页数:26
- 大小:2.86MB
PKI证书实验报告Word格式文档下载.docx
《PKI证书实验报告Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《PKI证书实验报告Word格式文档下载.docx(26页珍藏版)》请在冰豆网上搜索。
2)删除信息:
在提交的信息明显是无用的、垃圾信息或是误提交的信息时,管理员可以将这个信息删除。
3)准予签发:
在提交的信息是有效的,而且能代表申请者本身真实的身份时,管理员可以为其签发证书。
签发成功如图2-2所示
3.按证书状态查找证书
在提供的客户端程序中按照各种状态查找证书,图3-1列出了查找证书状态为活跃的查找结果,点选查找到的证书,在右边的文本框中将会出现证书的具体信息。
由此可得出结论,在该PKI系统中,证书状态不仅仅是简单的有效和被撤销两种状态,还有“未激活的”(有效但不被系统认可)、“被临时撤销”(可随时恢复有效状态)以及“不属于任何人的”等等状态。
这一些状态的设置在一定程度上丰富了整个系统的证书管理功能。
图3-1证书状态为活跃的查找结果
4.改变证书状态
程序中提供的对证书的操作有激活证书、永久撤销以及临时撤销。
激活证书是先查看处于未激活状态或是临时撤销的证书,认可其签发的有效性后,将其激活,表明证书已被系统认可。
临时撤销的证书可以使用激活证书将其激活。
永久撤销证书表明这个证书由于某种原因使得这个证书的有效性不再得以保证,在选择完撤销原因后,可以将其永久撤销。
5.导出PKCS12证书
通过操作,发现只有处于激活状态的证书才能被导出。
首先列出处于激活状态的证书,然后点选一张证书,按【导出证书】按钮,选择保存位置保存得到的证书。
在WINDOWS系统中双击得到的PKCS12文件,出现如图3-2所示的界面。
点击下一步,出现如图3-3所示的提示输入密码的界面,可见得到的PKCS12文件是被密码所保护的。
输入注册时填入的密码,导入成功。
在浏览器中的工具>
Internet选项>
内容>
证书(见图3-4),查找到导入的证书后,看到证书内容与申请时填写的身份信息一致。
图3-2证书导入向导界面
图3-3密码输入界面
图3-4证书详细信息
6.生成CRL并查看
在程序中通过对证书的永久撤销操作将一张序列号为7246b2ff9206b7ab的证书撤销,然后在CRL界面中点击【创建CRL】按钮,然后点击【导出CRL】将CRL保存到文件系统。
在WINDOWS平台中点击导出的CRL文件,观察可得CRL中的撤销列表包含了我撤销的证书的序列号,如图3-5所示。
证书撤销成功。
图3-5证书撤销
7.设置CA证书策略
1)首先选择CA1作为设置对象。
2)以“普通用户”作为登入角色,设置CA1的信任策略,各项设置如图4-1所示。
3)完成信任策略设置后,再进行主体DN及证书有效期设置,并按下“更改”按钮完成CA1的所有设置。
结果如图4-2所示。
4)重新选择“学生”作为登入角色,设置CA1的信任策略,结果与先前设置的结果相符。
如图4-3所示。
5)最后按下“导出证书”按钮导出CA1的证书,在IE安装后,证书内容与设置的相符,如图4-4所示。
图4-1 信任策略设置
图4-2 完成信任策略设置
图4-3 可信策略设置
图4-4 IE中的CA1证书
8.设置终端用户证书策略
设置信任策略时,发现终端用户证书中只能设置“证书策略”及“策略映射”扩展项。
9.交叉认证的建立及策略管理
1)选择CA3向CA2建立交叉认证,为此交叉认证证书设置以下信任策略:
(1)路径约束为3
(2)名字约束中PermitSubtree:
O=test2及ExcludeSubtree:
:
OU=test3
(3)策略约束中RequireExplicitPolicy=2及InhibitPolicyMapping=3
设置后按下“签发交叉认证”完成交叉认证。
2)在“已签发的交叉认证”中选择“CA3->
CA2”并按下“导出交叉认证证书”按钮,就能得到CA3向CA2签发的交叉认证证书,结果如图5-1所示。
图5-1 CA3向CA2签发的交叉认证
10.证书路径的构建及有效性验证
1)同时签发CA2向CA1的交叉认证、CA3向CA6的交叉认证及CA6向CA1的交叉认证,三个交叉认证都不设置信任策略。
2)同时CA1的设置等于“信任管理实验”中CA1的设置。
3)建立EE3对EE1的证书路径,返回结果如图5-2所示。
图5-2 证书路径构建结果
4)选择第一条路径进行验证,验证结果为:
CA1的SubjectDN与CA3->
CA2的PermittedSubtree不相符。
因为CA1证书中设置了主体DN为O=test1,OU=test1所以其主体DN中“O”项与CA3->
CA2交叉认证证书中的名字约束中的PermittedSubtree:
O=test2不相符,所以证书路径无效。
若把CA1的主体DN收改为O=test2,OU=test1,则可顺利通过名字约束检证。
5)修改CA1证书DN后再验证证书路径,验证结果为:
EE1路径长度大于CA3->
CA2证书的路径约束。
因为CA3->
CA2证书中定义的路径约束为3,而以CA3为起点,EE1的路径长度为4,超出了CA3信任的范围,所以本路径无效。
若要修改此错误,只能撤销CA3->
CA2的交叉认证,重新签发,当中策略设置只要把路径约束改为4则可。
6)修改了路径约束后,再进行此路径的验证,验证结果为:
CA2->
CA1必需有一个策略。
CA2证书中的策略约束定义了RequireExplicitPolicy=2,所以CA2->
CA1证书中没有定义任何证书策略,所以本路径无效。
若要修改此错误,只能撤销CA2->
CA1的交叉认证,重新签发,当中策略设置只要加入一个证书策略则可。
7)完成修改后,再进行此路径的验证,验证结果为:
CA1不能用策略映射因为其路径长度少于CA3->
CA2的InhibitPolicyMapping的值。
因为在“信任管理实验”中,CA1证书设置了策略映射,同时以CA3为起点,CA1的路径长度为2,以于InhibitPolicyMapping的值,因为大于InhibitPolicyMapping的值的证书才能应用策略映射,所以路径无效。
要修改此错误,只要把CA1证书的策略映射去掉则可。
8)完成以上修改,再进行此路径的验证,验证结果为:
经验证后,该证书路径为有效。
11.非对称加密实验:
按照实验步骤完成该实验
12.数字签名实验:
13.双向认证实验
双向认证的含义就是连接过程中客户端与服务端都建立彼此之间的信任关系,只有相互能够识别和信任,才能够进行正常的访问,有一方不信任另一方,那么连接被中断。
三、实验原理
本次实验设计的实验原理如下:
1.证书的概念
2.证书包含的内容
3.证书的主要用途
4.RA系统是CA的证书发放、管理的延伸,是整个CA中心得以正常运营不可缺少的一部分。
与EE和CA完全兼容并可以互操作,支持同样的基本功能。
在PKI中,RA通常能够支持多个EE和CA。
注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。
它主要完成收集用户信息和确认用户身份的功能。
注册管理一般由一个独立的注册机构(即RA)来承担。
对于一个规模较小的PKI应用系统来说,可把注册管理的职能由认证中心CA来完成,而不设立独立运行的RA。
但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。
PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。
5.在公钥体制环境中,必须有一个可信权威的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系。
CA正是这样的机构,它是PKI应用中权威的、可信任的、公正的第三方机构。
6.常用证书扩展项的类型及其用处
7.可信信任的概念
8.信任域的策略管理
9.交叉认证的概念
10.交叉认证的策略管理
11.证书路径的建立
12.证书路径有效性验证
13.证书包含的内容
14.证书的实时性原则
四、实验步骤
1.设置实验参数
图1设置实验参数
2.最终用户证书申请
在申请页面中填写表格,带*的为必填项目。
注意填写的内容要符合格式。
在日志记录中看到成功消息后表示成功。
图2最终用户证书申请
3.PKI统一管理
在证书管理中找到刚才申请的证书,激活该证书,然后在注册管理页面中的状态处选择证书已签发,可以看到刚才激活的证书。
图3证书管理
图4注册管理
注册管理日志记录
[7:
36:
16]服务器正在查找新注册的用户,请稍后...
16]找到7条符合要求的证书申请信息
18]系统正在为用户产生RSA密钥对...
18]密钥对产生
18]服务器正在签发证书,请稍候...
19]证书成功签发且用户信息成功更新
19]服务器正在查找新注册的用户,请稍后...
19]找到6条符合要求的证书申请信息
证书管理日志记录
30]服务器查找证书中,请稍后...
30]找到15个符合要求的证书
31]服务器查找证书中,请稍后...
31]找到9个符合要求的证书
32]服务器查找证书中,请稍后...
32]找到15个符合要求的证书
35]服务器查找证书中,请稍后...
35]找到4个符合要求的证书
38]服务器激活了gkmeteor用户的证书
38]服务器查找证书中,请稍后...
38]找到3个符合要求的证书
42]服务器查找证书中,请稍后...
42]找到3个符合要求的证书
43]服务器查找证书中,请稍后...
43]找到15个符合要求的证书
44]服务器查找证书中,请稍后...
44]找到10个符合要求的证书
37:
00]保存证书在C:
\DocumentsandSettings\Administrator\桌面\gkmeteor.cer和C:
\DocumentsandSettings\Administrator\桌面\gkmeteor.p12成功!
12]CRL保存到:
C:
\DocumentsandSettings\Administrator\桌面\gkmeteor.crl
导出证书后,将得到的PKCS12证书在windows系统中打开(双击),输入申请时填写的保护私钥的密码后将证书和私钥导入windows浏览中的证书库中。
成功后,点击浏览器中的工具>
证书(见图3-2),查找到导入的证书后,查看证书内容是否与申请时填写的身份信息一致。
截下相关的图片以及写下相关结论到实验报告中。
之后,将得到的CRL文件在windows系统中打开(双击),见图3-3。
查看是否包含操作示例程序时撤销的证书的序列号以及其他相关信息是否正确。
图5证书导入向导
图6Windows中查看证书
图7Windows中查看CRL
4.交叉认证及信任管理
1.在界面上的“信任关系图”中,不同的图型分别代表根CA证书、子CA证书及终端用户证书,通过点选不同的证书来进行设置。
当选择了证书后,在“证书内容”中会显示该证书相应的一些资料。
首先选择一张CA证书,进行以下设置。
2.对此证书设置一个有效期,可通过界面上的“有效期”进行配置。
3.也可以设置证书的主体DN,在此只提供组织/公司及部门的设置(这项设置影响到交叉认证实验中证书路径有效性的验证)。
图8 信任管理实验
4.可以自行选择是否为此证书添加策略,如果想添加,可以通过按下“设置..”按钮进行策略设置。
按下“设置..”后会出现图4-2的对话框,选择登入身份,按下确定后,就会出现图4-3的对话框,此时可以进行策略设置。
选择要为此证书设置哪些策略。
图9 角色登入对话框
5.完成所有设置后,按下“更新”按钮,就可以完成设置操作。
5.非对称加密实验
在非对称加密实验的页面中选择刚才激活的证书,并填写刚才设置的用户名和私钥密码。
解密之后可以在日志信息中看到解密后的信息。
图10非对称加密
非对称加密实验(接收方)日志记录
[07:
46:
16][正常][开始监听端口:
8888]
25][正常][收到来自ip:
/127.0.0.1的信息
信息为:
AAAAgLhr/wvtbhnFb72AIxFcTSQAclBAVkzwsjlT+QzUeTOtpGY/tnb0Zj9fQPGY7mIxlLxbtLFY
ncpVfmh6WwqHx7PqmW3KVutXQN4+LOIVGTURwzNgvwPR6n7G3JG7vmNQufxdHLUhC6zp1xMeujB3
OWWY6VJPNgbOevnOq62PcAEn9N66ag2FOqtgLw4KKXLU3N0KOcKJGNe7
请选择相应的证书中的私钥来解密]
46][正常][正在读取私钥…]
46][正常][成功读取私钥]
46][正常][利用私钥解密收到的会话密钥...]
46][正常][成功解出会话密钥,会话密钥为(BASE64编码):
bXrVSp52j3+KrWvcv2dt6VQTLwfa3EWi]
46][正常][利用会话密钥解密收到的信息...]
46][正常][成功解得信息,信息为:
螺丝钉解放勒克司]
7.数字签名实验
导入刚才激活的证书,验证签名,可以在日志信息中看到收到的信息没有被修改。
图11数字签名实验
数字签名实验(发送方)日志记录
45:
01][正常][正在读取私钥…]
01][正常][成功读取私钥]
01][正常][正在生成消息摘要(MD5算法)...]
01][正常][成功生成消息摘要,消息摘要为(BASE64编码):
cIkKB//yWj+OjySnK206QQ==]
01][正常][正在利用私钥签名待发送的消息摘要(RSA算法)...]
01][正常][完成数字签名,签名后数据(BASE64编码):
dvylYbMpDxe0DJhpGNtqdya/4dvJPD3IPcl+En06ZXbFupJ3YO2x9FM1Hb2Owv3qo1VwsjwxrbEi
/pT64r9OkOrlOwhCv9PvfWF2YupxI1ag/vqfMYu3agpYVRGJJZk4DOZIqA3YY39EMCTxdZan2uvs
2PMeH2IVACbGCERpbes=]
01][正常][发送签名后的信息...]
01][正常][成功发送签名信息]
数字签名实验(接收方)日志记录
44:
56][正常][开始监听端口:
8889]
01][正常][收到来自ip:
/127.0.0.1的信息其用户名为:
gkmeteor
信息为(BASE64编码):
2PMeH2IVACbGCERpbes=
请选择相应的证书中的公钥来进行身份认证及收到的信息是否已被修改]
09][正常][正在读取证书...]
09][正常][成功读取证书.]
09][正常][正在读取公钥...]
09][正常][成功读取公钥,公钥为(BASE64编码):
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDU/dP4J6g9LXtn2i8YarhgyM4pH+2yImt6eOwV
k2H+JUG/LaoPxMjZUI5nvVOzzHGNlYGE/isd0Rk+1BFNEUaLYJtAXd6KGlY/ii48mVAVErkZef87
dPYEdwcf1cNDuW7xjUJCnehhortOgv+RpidHqYFllbY6FqVKkt+/GXr2WwIDAQAB]
09][正常][正在进行身份认证...]
09][错误][收到的信息的消息摘要为(MD5算法,BASE64编码):
09][正常][身份得到确认:
SubjectDN为:
C=China,ST=shanghai,L=minhang,O=cs,CN=sbsong
SerialNumber为:
3299746934132274261
而且收到的信息没有被修改.]
8.SSL应用实验
选择服务器证书和服务器信任的证书。
该步骤我们小组没有实现成功,原因是要在ie中安装服务器信任的证书。
SSL实验日志记录
47:
39][正常][请选择服务器出示给客户机的证书:
server.keystore]
43][正常][请选择服务器出示给客户机的证书:
47][正常][请选择服务器出示给客户机的证书:
51][正常][已经选择好服务器自己的证书!
等待验证]
51][正常][请选择单向认证或者双向认证!
验证时请打开ie浏览器]
48:
03][正常][证书选择正确,服务器双向认证已经启动,请执行ie访问!
]
03][正常][双向认证(注意):
请先在ie中安装服务端信任的证书才能正确访问]
五、实验总结分析
本次网络安全实验,我们做的主要是PKI证书管理。
另外我最感兴趣的非对称加密实验和数字签名实验。
这两个实验早在信息安全的课上我们就已经接触到了。
我记得系庆
六、实验思考题
1.在本实验环境中,在信息的安全传输上可能存在什么问题?
如何解决?
用户提交的信息可能是私密的个人信息,为防止被第三方截取,应对用户填写的信息在网络中进行传输时进行保护。
例如在WEB的HTTP中,可以使用SSL或是TLS进行加密传输。
2.在本实验环境中,公私钥对将会是以何种方式产生的?
密钥对由CA生成。
3.寻找至少一个有申请证书的web站点或技术文档,查看
(1)申请证书时所需提供的信息
(2)申请信息的安全性如何得到保障(3)独特之处。
。
进行证书申请时需要提供的信息有名称、公司、部门、城市、省、国家(地区)、电子邮件、网址、证书期限以及证书用途。
信息传输的安全性没有得到保证。
密钥对可以选择由用户自己产生(可用PKCS10申请),也可以由CA产生(用表格产生)。
共有四种规格的证书:
测试证书、免费证书、标准证书以及企业证书,各种证书特点如下:
1)“测试证书”是为帮助用户学习和测试而发放的临时证书,不需要验证用户真实身份,用户从网上提交申请后,可以立刻得到证书。
2)“免费证书”主要发给个人用户,用户从网上提交申请后,可以立刻得到证书,但需要事后验证用户真实身份,一个月内不提交用户真实资料,或提交的资料无效者将吊销证书。
3)标准证书”是收费证书,用户从网上提交申请后,可以立刻得到证书,但需要事后验证用户真实身份,一个月内不提交用户真实资料,或提交的资料无效者将吊销证书。
4)“企业证书”最可信的证书,需要事先验证身份,即用户从网上提交申请后,不能立刻得到证书,只得到证书的序列号。
但需要用户在一个月提交用户真实资料,用户资料通过验证后,证书发放给用户(通过email发到用户信箱,如果用户在申请证书时选择了“开放档案”,用户也可以凭序列号从网上检索得到证书)。
4.用户的公私钥对的产生方式
在本实验系统中,用户的密钥对是由CA产生的。
用户密钥对的产生有三种方式:
1)用户自己生成密钥对。
优点是用户私钥不会传播给其他实体,但这种方法要求用户有一定级别的权限;
2)密钥对由第三方生成。
第三方应保证以一种安全的方式将私钥发放给用户,然后它必须销毁私钥和对密钥对生成有关的所有信息。
必须采用合适的物理安全手段以保证第三方以及数据操作不被擅自篡改;
3)密钥对由CA生成。
认证机构是用户所期望的可以信赖的功能实体,并且具有必要的物理安全手段。
5.如何验证证书路径是无效的?
1)证书必须包含有效的密码签名,证明证书内容没有被他人更改过。
2)必须使用分颁发者公钥来验证证书签名。
3)当前时间必须在由起始日期和终止日期说明的有效期内。
4)后继证书中的主体名字和颁发者名字必须匹配。
5)证书中不能含验证者不理解但在解释证书时又标记为关键的字段。
6)证书只能用于最初生成证书时想使用的场合。
7)主体名字必须符合所有的指定名字约束。
8)最终实体证书以外的其他证书必须明确标记为CA证书。
9)带有路径长度限制的所有CA证书,其后跟着的证书数目必须满足限制。
10)其他说明证书使用条件的策略限制也必须被遵守。
6.为什么要用会话密钥加密数据,而不直接用公钥加密信息?
对称密钥体制是加密方与解密方拥有共享相同的密钥,虽然这种加密方式密钥的传输很不安全,但是加密和解密的过程都非常快,同时对加解密系统要求没有非对称加密系统高。
相比之下,非对称加密的速度要比对称加密慢的多。
特别是对于大量数据的加密而言,所以我们用会话密钥对称加密要传输的大量数据,而再用非对称加密机制加密会话密钥,这样既高效又安全。
7.OCSP的请求和响应是什么格式,怎样封装的?
OCSP请求的数据包格式如下图所示:
即发送方通过接收方的公钥证书得到证书对应的序列号SerialNumber,然后如上图,从右向左,逐渐打包,形成OCSPRequest发送请求。
OCSP相应的数据包格式如下图所示:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PKI 证书 实验 报告