实验__数字证书的申请及安装.doc

实验 数字证书的申请及安装 【实验目的】1. 了解认证体系的体制结构、功能、作用、业务范围及运行机制。 2. 掌握网上申请个人数字证书的方法。 3掌握数字证书的导入、导出和安装。 【实验环境】Internet、Internet Explorer 【主要内容】1. 通过搜索国内认证机构网站，了解其功能、作用及所提供的业务 2.在“中国协卡认证体系”网站（）为自己申请“个人安全电子邮件证书”。 3.登录广东省电子商务认证中心网站（），为自己申请试用版网证通数字证书。 【操作流程】 图1-9 数字证书的申请及安装流程 【实验导读】 : 数字证书的原理及作用 数字证书采用PKI（Public Key Infrastructure）公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。用户采用自己的私钥对发送信息加以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。 : 数字证书的颁发 数字证书是由认证中心（CA机构，CertificateAuthority）颁发的。 认证中心是能向用户签发数字证书以确认用户身份的管理机构。它作为电子商务交易中受信任的第三方，一方面为每个使用公开密钥的用户发放一个数字证书，其作用是证明证书中列出的用户合法拥有证书中列出的公开密钥；另一方面承担公钥体系中公钥的合法性检验的责任。 ? 数字证书颁发过程 数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。 作为个人用户，你既可以为自己申请数字证书，也可以为一台安全服务器申请数字证书。数字证书有试用版和正式版两种，试用版申请过程在网上即时完成，并立即可以免费使用。正式版数字证书则需要额外的处理方法及时间，一般过程是用户首先在网上填写数字证书申请资料，认证中心在接收到申请请求后，它将对申请人的身份进行审核，当用户的申请请求满足认证中心的所有要求后，认证中心将为其制作证书，然后发送给申请人或者是申请人在网上下载自己的证书。 ? 根证书及根证书下载 所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明你对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 ? 个人数字证书 数字证书是在Internet上用来证明用户身份的一种方式，它是一份包含用户身份信息、用户密钥信息以及CA中心数字签名的文件。申请个人数字证书可以为Internet用户提供发送电子邮件的安全和访问需要安全连接（需要客户证书）的站点。 数字证书CA中心的数字签名可以确保证书信息的真实性、保密性。 : 中国协卡认证体系 中国协卡认证体系（SHECA）是基于PKI架构,根据中国国情，由地区行业联合共建的认证体系。SHECA为电子政务、网上金融、网上证券等电子商务活动提供安全可靠的认证和信任服务，同时还提供证书管理器、SHECA安全引擎、基于SHECA认证的简易支付、小额支付系统、防伪票据等各种产品和软件，以及电子公证、证书目录查询、数据库安全托管、密钥托管、企事业单位安全办公、政府安全上网、CA架构及各类安全架构建设、VPN虚拟专网、培训等一系列服务和解决方案。 : 网证通电子认证体系 “网证通”认证体系是广东省电子商务认证中心联合海南、湖北、重庆、广西、河北等地的电子商务认证中心建立起的、在全国具有一定影响力、具有权威性的电子认证体系。它作为南中国首屈一指的安全认证机构，实现了电子认证的互连互通和各区域的优势互补，共同为中国的电子政务、电子商务保驾护航。 【实验要求】 一国内省（市）级认证机构网站浏览 1浏览“中国协卡认证体系”主站点上海市电子商务安全证书管理中心有限公司。 网址： 上海市CA中心是中国第一个CA认证中心，1998年创建，经国家批准并被列为信息产业部全国的示范工程。目前已成为中国互联网络安全和信任服务的骨干。 2浏览“网证通电子认证体系”主网站广东省电子商务认证中心 网址： 广东省电子商务认证中心的前身是中国电信南方电子商务中心，它创立于1998年。是经广东省人民政府批准成立的认证机构，并作为国家电子商务试点工程、广东省政府唯一认可的安全认证机构和广东省“十五”规划重点建设项目。 3浏览山西省电子商务安全认证中心有限公司网站 网址： 山西省电子商务安全认证中心有限公司(Shanxi Electronic Certificate Authority Center CO.，LTD. )是山西省政府为进一步推动山西省信息化和网络经济的发展，经山西省政府批准授权，国家密码办备案的山西省唯一最高级别安全认证中心。是由山西创联信息网络技术有限公司负责承建的重要电子商务安全平台。 4浏览海南省电子商务认证中心网站 网址： 海南省电子商务认证中心，是经海南省政府批准，由海南省商贸信息服务中心和广东南方通信集团公司南方电子商务中心联合出资组建，从事电子商务数字证书制做、颁发、管理和相关网络加密的权威机构，是海南省政府指定的负责电子商务认证中心建设和营运的机构。 5浏览重庆数字证书认证中心 网址： 重庆数字证书认证中心有限公司（简称重庆）是面向全社会提供安全认证与信任的专业服务中心，是经重庆市政府批准成立的权威机构。重庆作为电子商务活动中可信任的、中立的第三方，主要为重庆市电子商务及电子政务活动提供电子身份认证、数字证书签发、密钥与证书管理服务，同时还提供企业、政府安全解决方案、网上安全支付、电子商务顾问咨询、客户培训等服务。 二申请“个人安全电子邮件证书”和“个人身份证书” 个人身份证书是用来表明和验证个人在网络上的身份的证书，它确保了网上交易和作业的安全性和可靠性。可应用于：网上炒股、网上理财、网上保险、网上缴费、网上购物、网上办公等等。个人身份证书可以存储在软盘或IC卡中。由于个人身份证的申请不完全都是在线申请方式，故在本次实验中不做要求。 个人安全电子邮件证书可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。用户可以利用它来发送签名或加密的电子邮件。 1下载并安装根证书 （1） 登录“中国协卡认证体系”上海市电子商务安全证书管理中心有限公司网站（），如图1-10所示。 （2） 点击“根证书的下载”的按钮，这时会出现“根证书下载”提示对话框，如图1-11所示，请查看该提示框的内容。 （3） 点击选择所需的根证书版本，出现“根证书文件下载”对话框，在“如何处理该文件”选项中选择“在文件当前位置打开”。确认后出现“证书”的对话框。显示证书信息，如图1-12 所示。 图1-10 中国协卡认证体系上海CA中心 图1-11 下载根证书提示信息 （4） 选择安装证书，确认后出现“证书管理器导入向导”，按“下一步”，在证书管理导入向导的“为新证书选择证书存储区”对话框中选择“根据证书类型，自动选择证书存储区”，如图1-13所示。 图1-12 证书信息 图1-13 选择证书存储区 （5） 按“下一步”，出现“完成证书导入向导”对话框，表示导入成功。 2申请个人安全电子邮件证书 （1） 登录/index.htm，打开如图1-14所示的窗口。 （2） 个人数字证书有两种：“个人身份证书”和“个人安全电子邮件”证书，在本实验中，要求申请“个人安全电子邮件”证书，点选安全电子邮件下面的“详细资料”按钮，出现“安全电子邮件证书”申请指导流程，如图1-15 所示。 图1-14 中国协卡认证体系 图1-15 安全电子邮件试用版申请流程 （3） 按照“试用版申请手续流程”，选择“用户自行上网申请”选项，出现“试用版”使用者责任书，仔细读完责任书后，如果承诺，则点击“我接受”按钮。 （4） 接着出现下面的对话框，要求填写你的E_mail，当填写好后，按“开始申请”按钮。如图1-16 所示。 （5） 按照你刚才填写的E_mail地址，接受由中国协卡认证体系寄来的“测试邮件证书”，该邮件的内容有你的密码和申请网址。 （6） 系统接受你的申请后，为你签发安全电子邮件证书，并将证书的密码及申请网址寄到你的邮箱中，如图1-17所示。 图1-16 填写E_mail地址 图1-17 接受申请，并将密码寄给你 （7） 按照这个网址，进入该网站。出现安全电子邮件证书试用版网上申请页面。如图1-18所示。按要求在该页面填写你的资料后，按“立即申请”。 （8） 认证中心接受申请后便为你安装安全电子邮件证书，其中包括你的私钥，如图1-19所示。 图1-18 网上证书申请 图1-19 为你建立一个新的私钥 三从下列“网证通电子认证体系”网站中选一个网站作为登录点，申请试用型数字证书。 海南省电子商务认证中心 / 湖北省电子商务认证中心 / 重庆市数字证书认证中心 / 广东省电子商务认证中心 / 1 登录。如选广东省电子商务认证中心登录，如图1-20 所示。 2 访问试用型个人数字证书申请页面，由于该申请页面是安全连接，故系统将出现安全警报，如图1-21 所示，单击确定进入页面。 图1-20广东省电子商务认证中心 图1-21 安全警告 3 在图1-22 中，根据“申请试用型个人数字证书”提示，选择安装证书链。 4 选择 安装证书键 后，稍会系统会提示 完成 ，这时再回到上图界面，选择 继续 ，如图1-23 所示。 图1-22 “试用型个人数字证书”申请提示 图1-23 填写并提交申请表格 5 此时进入“申请试用型个人数字证书”的第二步，即填写并提交申请表格。在该页中，你需要按照系统的提示填写你的真实信息。填写完后，按 继续 ，系统开始签发你的数字证书，如图1-24 所示。 6 系统受理并签发完你的数字证书后，接下来下载并安装你的数字证书。这时，系统会给你一个“证书业务受理号”和密码，如图1-25 所示。 图1-24 系统正在签发你的试用型证书 图1-25 下载并安装数字证书 7 选择安装证书，输入证书业务受理号和密码，按确定键。如图1-26 所示。 8 根据证书业务受理号及密码，系统显示你的数字证书，如图1-27所示。 图1-26 输入业务受理号和密码 图1-27 你的数字证书信息 9 点击 安装证书 ，系统将证书安装在你的计算机中的应用程序中。 四证书的导入、导出 当你需要在不同的计算机中使用同一张数字证书，或者重新安装计算机准备备份证书时，就需要按照以下步骤首先将你的根证书和数字证书先后导出，在你需要使用该证书时，再依次导入你的根证书和数字证书。 1 根证书的导出 （1） 启动IE，选择工具Internet选项内容证书受信任的根目录颁发机构，单击选中要导出的根证书，如图1-28所示。 图1-28 选择需要导出的根证书 图1-29 证书导出文件格式 （2） 单击 导出 按钮后，出现证书管理器导出向导界面，按照向导提示操作，向导会提示你选择证书导出的格式，一般选择系统默认值，如图1-29所示。 （3） 之后系统会让你选择导出文件的路径，选择好文件的路径后，按提示单击 下一步，直止系统出现证书导出成功提示，便完成根证书导出过程。 2 根证书的导入 （1） 在IE中，选择工具Internet选项内容证书，选择受信任的根目录颁发机构标签栏，双击要导出的根证书文件，选择 安装证书 ，进入证书导入向导。 （2） 按照根证书的安装向导操作，当系统提示你选定证书存储区时，可选择 根据证书类型，自动选择证书存储区 ，根据系统提示操作，直至结束证书导入向导。 3 数字证书的导出 （1） 在IE中，选择工具Internet选项 内容证书，选择个人标签栏,选择你的数字证书，单击 导出 按钮，系统提示 欢迎使用证书导出向导，进入证书管理器导出向导程序。 （2） 系统询问是否将私钥跟证书一起导出，选择 是 ，导出私钥（如果你在申请数字证书时选择的存储介质为非本地计算机，此时系统导出私钥项为虚）。 （3） 下一步系统让你选择导出证书的格式，如果导出了私钥的数字证书文件，则格式为PFX。 （4） 在导出私钥时，系统会提示要求输入私钥