打造自己的认证中心EJBCA

EJBCA：打造独立的网络公安局为了将高强度的加密产品推广到现实生活中，计算机专家们想了许多办法，公钥基础设施(PublicKeyInfrastructure，PKI)就是目前应用十分广泛的一种加密系统。其最大优点在于使用了公钥加密技术，并且引入了具有公信力的第三方。这里所介绍的EJBCA就是这样一个功能齐全、易于安装的证书认证系统。它是一个源代码开放的、功能齐全并易于安装配置证书的认证系统，可以从下载。通过EJBCA软件的安装使用，普通用户也能轻松领略加解密世界的奥妙！EJBCA由5部分组成：认证中心、注册机构、证书库、证书申请者和证书信任方。其中，认证中心、注册机构和证书库3部分是PKI的基本部分，证书申请者和证书信任方是参加网上交易的主体。由此可见，PKI就是一个现实生活中公安局的网络再现。6.3.1EJBCA系统的安装(1)需要的软件如表6.1所示。表6.1需要的软件软件名称及版本下载地址JDK1.6.0_9://://apache.mirror.phpchina.com/ant/jce_policy-1_6_0(2)设置环境变量。在Windows中，使用鼠标右键单击我的电脑，在菜单中选择属性命令，打开高级选项卡，然后点击环境变量按钮，弹出环境变量对话框。在系统变量栏中，单击新建按钮，在变量名后填入JAVA_HOME，填入变量值D:\java\jdk1.6.0。如图6.17所示。采用类似的方法，设置如表6.2所示的环境变量。其中，变量值中的%是通配符。(3)修改加密包。为了解决美国出口限制，还需要下载强加密包。首先将jce高强度加密包解压缩，并覆盖到%JAVA_HOME%/jre/lib/security。图6.17设置环境变量表6.2环境变量变量名变量值JAVA_HOMED:\java\jdk1.6.0EJBCA_HOMED:\ejbcaJBOSS_HOMED:\ejbca\jboss-4.2.2ANT_HOMED:\ejbca\apache-ant-1.7.0PATHPATH;%JAVA_HOME%\BIN;%JBOSS_HOME%\BIN;%ANT_HOME%\bin;CLASSPATH.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;%JAVA_HOME%\lib;(4)初步生成部署文件ejbca.ear。在%EJBCA_HOME%目录下，运行antbootstrap。安装过程中，由于内存处理任务较繁重，为了防止内存溢出错误，需要设置ANT_OPTS变量。可以设置环境变量：ANT_OPTS=-Xmx512m。(5)启动JBoss并初始化CA系统。运行%JBOSS_HOME%/run.bat文件。同时，在%EJBCA_HOME%/下，运行以下命令：antinstall，安装管理CA并初始化EJBCA系统。安装完毕，停止JBoss。如图6.18所示。图6.18启动JBoss并初始化CA系统(6)重新部署整个系统。在%EJBCA_HOME%目录下，运行命令：antdeploy。将重新部署整个系统，并用密钥库配置Sevlet容器。(7)将%EJBCA_HOME%/p12/superadmin.p12证书导入浏览器，默认密码是ejbca。选择证书文件，并单击右键，在弹出的对话框中选择安装PFX，就会打开导入证书的对话框。如图6.19所示。图6.19证书导入向导(8)重新启动JBoss。登录。如果可以进入管理员(administrator)页面(证书提示)，说明安装成功。管理地址为。分别单击左侧的系统配置、个人选项，在右侧的管理员首选项中，设置Web界面默认语言为ZH(中文)。设置完毕，界面如图6.20所示。图6.20EJBCA管理界面6.3.2PKI技术的产品实现--数字证书数字证书类似于日常生活中的身份证，它包含了许多个人的重要信息，如用户身份、公开密钥、有效期、授权信息等，它实现了身份识别、完整性、真实性及不可否认性等安全要素。证书格式及证书内容通常遵循X.509标准，目前使用较多的是1997年提出的V3版本。从证书的一般用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。在上面的安装过程中，即产生了一个数字证书。在打开的网页中，选择浏览器中的工具→Internet选项菜单命令，在弹出的对话框中单击内容选项卡，选择其中的证书按钮，即可看到相关证书。6.3.3数字证书的管理流程由于CA中心是一个权威性的第三方认证机构，因此，数字证书的申请也必须经过严格的申请流程，这样才能体现CA中心的权威性、公正性。这里，设置EJBCA的申请流程如下。(1)用户资料审核。注册机构对用户资料进行审核，并根据证书级别不同，审核用户相关的资料与证书请求信息的一致性。(2)产生、验证和分发密钥。一般情况下，用户需要到RA(注册中心)去进行证书申请。在这里，RA是一个十分重要的代理审核机构，类似于下属单位的代理办事处。RA完成对用户的身份认证后，以签名数据的方式向CA提供用户的公钥和相关信息。然后，CA完成对公钥的测试并产生证书。(3)证书的发放。用户资料审核通过后，CA对用户信息和公钥进行签名，生成证书发布到服务器上，以供用户下载。用户提交申请表之后，利用受理点给的ID号与密码，获取自己的证书后，即表示用户接受证书，证书开始生效。(4)证书验证。在网络世界里，证书的持有人可以是个人用户、企事业单位、商家、银行用户，也可以是网络上的服务器、路由器等设备。归纳起来，这些证书持有者在开展某项具体业务时，可以进行数据加解密、数据签名和签名验证等操作。在下面的申请流程及证书使用流程中，将会严格按照上述操作规范进行。6.3.4EJBCA数字证书的申请及应用鉴于CA中心的严格管理流程，因此，申请数字证书时，用户必须首先到终端提交个人的相关信息。1．个人数字证书的申请(1)提交申请资料。现在，进入页面，单击左侧RA功能下面添加终端实体。如图6.21所示。在出现的表单中，有用户名、密码、Email、通用名、组织部门、城市、省、国家等信息。按照系统规定的格式提示，输入相关数据即可。填写相关信息时，一定要牢记该用户的用户名和密码。（点击查看大图）图6.21添加终端实体(2)登录证书下载页面。打开浏览器访问，进入EJBCA的主页，这里显示了EJBCA的主要功能选择。包括证书申请注册(Enroll)、证书撤消列表(Retrieve)、证书查看及管理(Administration)。如图6.22所示。（点击查看大图）图6.22登录证书下载页面(3)下载数字证书。现在，假设添加UserB已经成功，进入证书申请页面。选择其中的浏览器证书注册链接CreateBrowserCertificate(创建浏览器证书)，进入申请页面。在这个界面中，会提示用户输入用户名和密码。输入UserB及其密码，即可进入数字证书下载页面，按照图中的列表选择浏览器提供的不同密钥机制即可，如图6.23所示。(4)安装并查看数字证书。选择某种加密算法后，单击OK按钮。安装过程中，系统会提示是否安装根证书。选择安装此证书，按照提示即可生成个人浏览器证书。在打开的网页中，选择浏览器中的工具，选择菜单中的Internet选项命令，在弹出的对话框中单击内容选项卡，单击其中的证书按钮，即可看到颁发成功的浏览器证书。图6.23下载数字证书2．利用个人数字证书发送安全电子邮件使用安全电子邮件证书，用户可以收发加密和数字签名邮件，保证电子邮件传输中的机密性、完整性和不可否认性，确保电子邮件通信各方身份的真实性。安全电子邮件利用公钥算法保证签名邮件不会被篡改，而加密邮件除了邮件接收者以外，任何人无法阅读其中的内容。需要注意的是，证书中的邮件地址必须同绑定的邮件账号一致。这样就可以对自己的邮件签名和加密了。下面，通过一个存储在硬盘中的数字证书进行相关操作的演示。(1)在OutlookExpress中设定邮件。①打开OutlookExpress，选择工具→账户菜单命令，在弹出的Internet账户对话框中，单击右边的添加按钮，选择邮件选项。②在向导中，输入用户的邮件显示姓名，单击下一步按钮，输入电子邮件地址，系统会提示分别输入接收邮件服务器和发送邮件服务器的域名或IP地址，如：pop.tom.com，smtp.tom.com。继续单击下一步按钮，系统会提示用户输入邮箱的账号和密码，如果是TOM账户，建议勾选使用安全密码验证。设置成功的新账户如图6.24所示。图6.24在OutlookExpress中设置服务器参数(2)在OutlookExpress中设置邮箱与数字证书的绑定。①在OutlookExpress中，选择工具→账号菜单命令，在弹出的对话框中选取邮件选项卡中的用于发送安全电子邮件的邮件账号。然后单击属性，选择上面的安全标签，可以看到签署证书和加密首选项两栏。在签名证书项后，点击选择按钮，即可看到相应的签名证书。②选择加密数字证书，单击确定按钮完成邮箱与证书的绑定。如图6.25所示。图6.25在OutlookExpress中设置安全参数③确定之后，完成OutlookExpress的安全数字证书配置工作，现在就可以准备发送签名或加密的电子邮件了。(3)发送签名和加密的电子邮件。发送签名或加密邮件前，必须先获得接收方的数字标识，可以首先让接收方给发一份签名邮件，以便获取对方的数字标识。启动OutlookExpress6.0，点击新邮件，撰写新邮件。同时选中右上方的签名或者加密选项。单击发送按钮，签名邮件发送成功。当收件人收到并打开有数字签名的邮件时，将看到数字签名邮件的提示信息，单击继续按钮后，才可阅读到该邮件的内容。发送加密邮件的方法与发送签名邮件的方法类似。6.3.5利用数字证书提高服务器安全服务器证书是数字证书的一种形式，类似于驾驶证、护照和营业执照的电子副本，用于在网络通讯中标识和验证服务器的身份。在网络应用系统中，服务器软件利用证书机制保证与其他服务器或客户端通信的安全性。这个身份证书可以存贮在软盘、硬盘、IC卡中。服务器证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否为真实可靠的。简单地说，默认情况下，我们所使用的HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得我们与服务器之间的通讯内容。这种危害在一些企业内部网络中尤其比较大，对于使用Hub的企业内网来说简直就是没有任何安全可讲，因为任何人都可以在一台电脑上看到其他人在网络中的活动，对于使用交换机来组网的网络来说，虽然安全威胁性要小很多，但很多时候还是会有安全突破口，比如没有更改交换机的默认用户和口令，被人上去把自己的网络接口设置为侦听口，依然可以监视整个网络的所有活动。1．SSL的相关知识SSL(加密套接字协议层)位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户