信息安全加密数字证书与加密认证

数字证书加密实验说明1引言：................................................................................................................11.1安全认证中心（ca），数字证书简介.....................................................11.2数字证书的用途简介...........................................................................22实验...................................................................................................................22.1实验一：通过数字证书实现身份识别和加密通信..............................22.11实验环境设备配置.........................................................................22.12生成web站点数字证书...............................................................112.13安装web(IIS)服务器证书............................................................152.14生成服务器证书（CA）...............................................................222.15申请并安装客户端证书：..........................................................332.2小结：....................................................................................................373实验二：.......................................................................................................373.1简介：....................................................................................................383.2实验设备配置.......................................................................................383.3实验操作................................................................................................383.4小结........................................................................................................471引言：1.1安全认证中心（ca），数字证书简介数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在internet上验证身份的方式，是有一个权威机构CA机构发行的，数字证书是一个经证书授权中心数字签名的包含客户的公钥等与客户身份相关的信息。CA必须行使以下的功能：1.管理和维护客户的证书和CRL2.维护自身的安全。3.提供安全审计的依据。1.2数字证书的用途简介数字证书可以应用于公众网络的商务活动和行政作业活动，在各个领域的意义非常大。它采用公钥体制，即一对互相匹配的密钥进行加密，解密。每个用户自己设定一把特定的仅为本人所知的密钥，用它来进行解密和签名。在现实生活中，我们可以用人人皆知的公开密钥队发送的信息进行加密，安全的传送给对方，然后对方可以用自己的私钥进行解密。2实验2.1实验一：通过数字证书实现身份识别和加密通信2.11实验环境设备配置按照数字证书加密的要求，我们需要首先配置运行环境。设置主机IP地址为10.0.0.1，子网掩码为255.255.255.0；主机IE浏览器为6.0（在4.0以上符合要求）。配置IP地址：“网上邻居”--右键“属性”--“本地连接”--右键“属性”--双击“TCP/IP”，弹出如下界面：此时已经将IP地址和子网掩码设置为实验要求的配置。单击确定生效。建立认证中心（CA）：选择“控制面板”“添加或删除程序”“添加或删除组件”，在可选项中选择“证书服务”，点击“详细信息”，选中“证书服务CA”和“证书服务web注册支持”，如下图所示：单击“下一步”，开始进行安装。下面是部分安装过程截图示意图：此时命名CA公用名称为MYCA（只要自己识别即可），单击下一步继续安装：单击“完成”，证书安装成功。设置证书管理：点击“开始”，在“管理工具”→“证书颁发机构”→单击“属性”→“策略模块”→“配置”→“将证书请求状态设置为挂起。管理员必须明确的颁发证书”，这样管理者可以控制证书的发放。下面进行IIS的安装；选中“应用程序服务器”，单击“下一步”接着弹出界面：单击“确定”选择镜像文件：程序正在安装IIS信息服务器安装完成2.12生成web站点数字证书下面进行生成web站点数字证书的文件：单击“开始”→“管理工具”→“Internet信息服务器”打开界面如下：在“Internet信息服务”中，我们先新建一个“MYWEB”网站。新建过程如下，单击‘网站’单击“下一步”单击“下一步”，继续进行：单击“完成”，安装完成。2.13安装web(IIS)服务器证书右击“myweb”站点名，选择快捷菜单的“属性”命令，出现“myweb”属性对话框，单击“目录安全性”页标签，再单击“服务器证书”，在“IIS证书向导中”，依次选择“创建一个新证书”→“现在准备请求，但稍后发送”点击“完成”，IIS证书向导安装成功。2.14生成服务器证书（CA）生成服务器证书，在web服务器依次执行：（1）首先，将证书申请文件内容复制到剪切板。方法是：用记事本打开certreq.txt文件，查看申请文件内容，看到这是一个纯文本文件。以PKCS#10编码格式保存，首尾两行为申请的开始和结束。选择“编辑/全选”，再选择“编辑/复制”即可，如下图所示：启动IE浏览器在地址栏里打入命令：，选择“申请证书”，单击“下一步”选择“高级证书申请”，单击“下一步”，选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请。”，右击中间“Base-64编码的证书申请(CMC或PKCS#10或PKCS#7):”右边的编辑框，选择快捷菜单项“粘贴”，将证书内容粘贴进去，图所示：单击“提交”，完成申请功能。申请成功！打开证书服务器的“证书颁发机构”→“待定申请”，对申请点击右键，选择“颁发”：如图所示：启动IE浏览器在地址栏里打入命令：选择“下载一个CA证书、证书链或CRL”，到达一下界面：选择“Base64编码”，点击“下载CA证书”单击“保存”，将证书以“mywebcert.cer”为文件名保存在桌面上再进入web服务器，进入“默认网站属性”对话框中，单击“服务器证书”，在“IIS证书向导”对话框中，按照提示便可安装服务器证书。步骤如下图示意：单击“服务器证书”“下一步”单击“完成”，IIS证书向导完成在IIS相关目录单击右键“属性”→“目录安全性”→“为此匿名访问及编辑验证方法”，选择“匿名访问”在“安全信道”中选择“编辑”进入以下界面，选择“要求安全信道”和“要求128位加密”，再选择“客户证书”，单击“确定”。OK2.15申请并安装客户端证书：启动IE浏览器，在地址栏输入：，单击“申请一个证书”，然后选择“web浏览器证书”，如下：在“识别信息”页面填写相关信息，单击“提交”，完成客户端证书的申请。在证书颁发机构如前面一样完成客户证书的颁发。完成客户端证书的安装过程，步骤也如前一致：启动IE，在地址栏输入：，打开如下界面：单击“查看挂起的证书申请的状态”选择|“web浏览器证书”：点击即可安装：客户端证书安装成功。2.2小结：实验做到此。其中发生了诸多曲折，将数字证书配置好，IIS配置好，却无论如何也在地址栏中访问不到主机的默认页面。纠结了两天，重新配置了三回，才最终解决，原来是“此根非彼根”。不管怎样，通过颁发证书配置IIS信息服务器，实现了web浏览器和服务器之间实现了身份识别和加密通信以及https安全访问。认识到在凡重要网站或个人信息保密的时候应该通过一些管道建立安全通信模式，数字认证是一种不错的选择。3实验二：3.1简介：安全电子邮件证书简介电子邮件是一种普遍最快捷的一种通讯方式，深受人们喜欢，但是在传输过程往往面临着很多挑战。为了保证电子邮件的保密性，完整性以及确认手法人身份的真实性，CA中心提供了一种解决方案，即通过数字证书确保邮件的真实性，保密性，和完整性，它可以确保邮件在发送过程中不会被任何人篡改，而且加密后的信息在传输工程中不会被除了接收方以外的任何人看到。3.2实验设备配置操作系统有：Windows2000proSP4，Windows2000ServerSP4，RedHatLinux9.0；3.3实验操作在RedHatLinux9.0上配置DNS服务器：新建一个终端，输入命令redhat-config-packages后回车，在添加删除程序中选择“DNSNameServer”，然后点击“Update”即更新。如图所示：点击“更新”：1.启动DNS服务：#servicenamedstart#chkconfignamed–level35on如下图所示：添加内容建立域“def.mb”。正向解析文件为def.mb.zone，反向解析文件为def.mb.arpa，网络地址为192.168.10.0/24。加入如下代码：在/var/named/目录下新建文件def.mb.zone，代码如下：建好以下文件：在/var/named/目录下新建文件def.mb.arpa。如前所示：重新启动DNS服务#servicenamedreload在window2000下的主机地址为192.168.63.131。如图：运行命令:cmd→nslookup经过验证DNS服务器可以正常工作。在LINUX下安装配置sendmian服务器：输入命令redhat-config-packages后回车，在添加删除程序中选择“mailserver”，点击“Details”确保imap和sendmain-cf选中，然后更新。使用#servicesendmailstart#chkconfigsendmail—level35on确认服务已经启动。然后windows2000proSP3的主机上新建一个邮箱的账号：Alice@mail.def.mb，账号密码是123456另一个主机新建一个邮箱账号bob@mail.def.mb，账号密码是123456。将DNS设置为192.168.10.12，他们两方互相发一封邮件，并接受到对方的邮件，以确认邮件服务器的正常工作。甲打开光盘中的伪造电子邮件发送工具Za