網(wǎng)絡安全畢業(yè)論文--數(shù)字證書在網(wǎng)絡安全中的典型應用

1、<p>　　畢業(yè)設計說明書(論文)</p><p>　　設計(論文)題目:數(shù)字證書在網(wǎng)絡安全中的典型應用</p><p>　　專 業(yè): 計算機網(wǎng)絡技術 </p><p>　　班 級: 計網(wǎng)09-1班 </p><p>　　學 號:

2、 </p><p>　　姓 名: </p><p>　　指導教師: </p><p>　　2011 年 11 月 28 日</p><p><b>　　目 錄</b></p><p><b>

3、　　摘 要1</b></p><p><b>　　第1章 概 述2</b></p><p>　　第2章 數(shù)字證書原理4</p><p>　　第3章 數(shù)字證書的頒發(fā)6</p><p>　　第4章 SSL證書應用8</p><p>　　4.1 SSL證書安全認證的原理8

4、</p><p>　　4.2 SSL證書的功能8</p><p>　　4.3 SSL應用9</p><p>　　4.3.1 安裝“證書服務”Windows組件。9</p><p>　　4.3.2 在服務器創(chuàng)建服務器證書請求。13</p><p>　　4.3.3 申請并安裝服務器證書請求16</p>

5、<p>　　4.3.4 客戶端通過SSL安全通道建立和服務器的連接。22</p><p>　　4.3.5 申請并安裝客戶端證書。28</p><p><b>　　致 謝33</b></p><p><b>　　參考文獻34</b></p><p><b>　　摘 要

6、</b></p><p>　　隨著網(wǎng)絡技術的飛速發(fā)展，網(wǎng)上辦公、網(wǎng)上購物、網(wǎng)上炒股、網(wǎng)上娛樂、網(wǎng)上貿(mào)易、網(wǎng)上理財以及網(wǎng)上求職等紛紛大行其道，電子商務系統(tǒng)技術使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時也增加了某些敏感或有價值的數(shù)據(jù)被濫用的風險。如何防范風險，增強網(wǎng)上安全問題顯得尤為重要。</p><p>　　為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，

7、防范交易主支付過程中的欺詐行為，必須在網(wǎng)上建立一種信任機制。加強網(wǎng)上安全有多種技術措施和手段，下面就通過數(shù)字證書的概述，原理，頒發(fā)過程以及SSL證書應用來詳細說明其是加強網(wǎng)上安全的一種有效方式。</p><p>　　關鍵詞：數(shù)字證書概述、原理、頒發(fā)過程、SSL應用</p><p><b>　　第1章 概 述</b></p><p>　　數(shù)字證書

8、，英文名稱digital certificate。數(shù)字證書是一種權威性的電子文檔，由權威公正的第三方機構，即CA中心簽發(fā)的證書。 </p><p>　　CA中心是以數(shù)字證書為核心的加密技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性。使用了數(shù)字證書，即使您發(fā)送的信息在網(wǎng)上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。 它能提供在Inte

9、rnet上進行身份驗證的一種權威性電子文檔，人們可以在互聯(lián)網(wǎng)交往中用它來證明自己的身份和識別對方的身份。當然在數(shù)字證書認證的過程中證書認證中心（CA）作為權威的、公正的、可信賴的第三方，其作用是至關重要的.如何判斷數(shù)字認證中心公正第三方的地位是權威可信的，國家工業(yè)和信息化部以資質(zhì)合規(guī)的方式，陸續(xù)向天威誠信數(shù)字認證中心等30家相關機構頒發(fā)了從業(yè)資質(zhì)。 </p><p>　　由于Internet網(wǎng)電子商務系統(tǒng)技術使在

10、網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息,但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風險. 為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，防范交易及支付過程中的欺詐行為，必須在網(wǎng)上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無誤的被進行驗證。 </p><p>　　數(shù)字證書特點有：安全性為了避免傳統(tǒng)數(shù)字證書方案中，由于使用不當造成的證書丟失等安全隱

11、患，支付寶創(chuàng)造性的推出雙證書解決方案：支付寶會員在申請數(shù)字證書時，將同時獲得兩張證書，一張用于驗證支付寶賬戶，另一張用于驗證會員當前所使用的計算機。 第二張證書不能備份，會員必須為每一臺計算機重新申請一張。這樣即使會員的數(shù)字證書被他人非法竊取，仍可保證其賬戶不會受到損失。支付盾是一個類似于U盤的實體安全工具，它內(nèi)置的微型智能卡處理器能阻擋各種的風險，讓您的賬戶始終處于安全的環(huán)境下。目前，為保證電子郵件安全性所使用的方式是數(shù)字證書。 唯一

12、性：支付寶數(shù)字證書根據(jù)用戶身份給予相應的網(wǎng)絡資源訪問權限，申請使用數(shù)字證書后，如果在其他電腦登錄支付寶賬戶，沒有導入數(shù)字證書備份的情況下，只能查詢賬戶，不能進行任何操作，這樣就相當于您擁有了類似“鑰匙”一樣的數(shù)字憑證，增強賬戶使用安全。 方便性：即時申請、即時開通、即時使用。量身定制多種途徑維護數(shù)字證書，例如通過短信，安全問題等。不需要使用者掌握任何數(shù)字證書相關知識，也能輕松掌握。</p><p>　　第2章

13、數(shù)字證書原理</p><p>　　數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆

14、過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積，加密和解密用的是兩個不同的密鑰。即使已 </p><p>　　圖2-1公鑰加密、私鑰簽名的過程</p><p>　　知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現(xiàn)在的計算機技術水平，要破解目前采用的1024位RSA密鑰，需要

15、上千年的計算時間。公開密鑰技術解決了密鑰發(fā)布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密 </p><p>　　鑰對發(fā)送的信息進行加密，安全地傳送給商戶，然后由商戶用自己的私有密鑰進行解密，如圖2-1所示。 </p><p>　　用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽

16、名，能夠確認以下兩點： </p><p>　　保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認 </p><p>　　保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)文件是真實文件。 </p><p>　　數(shù)字證書里存有很多數(shù)字和英文，當使用數(shù)字證書進行身份認證時，它將隨機生成128位的身份碼，每份數(shù)字證書都能生成相應但每次都不可能相同的數(shù)碼，從而保證數(shù)據(jù)

17、傳輸?shù)谋Ｃ苄?，即相當于生成一個復雜的密碼。 </p><p>　　數(shù)字證書綁定了公鑰及其持有者的真實身份，它類似于現(xiàn)實生活中的居民身份證，所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是一段含有證書持有者身份信息并經(jīng)過認證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運用在電子商務和電子政務中。</p><p>　　第3章 數(shù)字證書的頒發(fā)</p><p>　　CA是證書的簽發(fā)

18、機構,它是PKI的核心。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權,CA是可以信任的第三方。</p><p>　　CA也擁有一個證書（內(nèi)含公鑰）和私鑰。網(wǎng)上的公眾用戶通過驗證 CA 的簽字從而信任 CA，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發(fā)的證書。 </p><

19、p>　　如果用戶想得到一份屬于自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份后，便為他分配 一個公鑰，并且 CA 將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。 如果一個用戶想鑒別另一個證書的真?zhèn)?，他就?CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。 </p><p>　　數(shù)字證書為實現(xiàn)雙方安全通信提供了電子認證。在因特網(wǎng)、公司內(nèi)

20、部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密。數(shù)字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認證。 目前全國各地現(xiàn)在均成立了各省市自己的CA公司，為本地企業(yè)提供商用數(shù)字證書。 </p><p>　　CA中心作為國家認可的、權威、可信、公正的第三方機構，專門負責發(fā)放并管理所有參與網(wǎng)上業(yè)務的實體所需的數(shù)字證書，數(shù)字證書是網(wǎng)絡世界中的身份證，可以在網(wǎng)絡世界中為

21、互不見面的用戶建立安全可靠的信任關系，而這種信任關系的建立則源于PKI/CA認證中心，構建安全的PKI/CA認證中心是至關重要的。因為，如果PKI/CA認證中心安全性不夠，非法用戶可能入侵PKI/CA認證中心，擾亂認證中心正常運行；一些有別有用心的人可能利用認證中心潛在安全漏洞（政策、合同、服務等），對認證中心進行攻擊，造成不可估量的社會影響。 </p><p>　　在當前環(huán)境下，為了讓用戶切實感到CA中心所提供

22、的服務是安全可信的，保證認證中心各項業(yè)務正常運行，規(guī)避潛在的安全隱患，從而推動電子政務、電子商務等對信任機制要求較高的網(wǎng)上業(yè)務的發(fā)展，CA中心必須加強信息安全管理以切實獲得用戶的信任，消除用戶殘余的安全憂慮。</p><p>　　數(shù)字證書頒發(fā)過程一般為：用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信請求確實由用戶發(fā)送而來，然后，認證中心將

23、發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進行相關的各種活動。數(shù)字證書由獨立的證書發(fā)行機構發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級別的可信度?？梢詮淖C書發(fā)行機構獲得您自己的數(shù)字證書。</p><p>　　第4章 SSL證書應用</p><p>　　4.1 SSL證書安全認證的原理</p>&

24、lt;p>　　安全套接字層 (SSL) 技術通過加密信息和提供鑒權，保護您的網(wǎng)站安全。一份 SSL 證書包括一個公共密鑰和一個私用密鑰。公共密鑰用于加密信息，私用密鑰用于解譯加密的信息。瀏覽器指向一個安全域時，SSL 同步確認服務器和客戶端，并創(chuàng)建一種加密方式和一個唯一的會話密鑰。它們可以啟動一個保證消息的隱私性和完整性的安全會話。</p><p>　　4.2 SSL證書的功能</p><

25、;p>　　確認網(wǎng)站真實性（網(wǎng)站身份認證）：用戶需要登錄正確的網(wǎng)站進行在線購物或其它交易活動，但由于互聯(lián)網(wǎng)的廣泛性和開放性，使得互聯(lián)網(wǎng)上存在著許多假冒、釣魚網(wǎng)站，用戶如何來判斷網(wǎng)站的真實性，如何信任自己正在訪問的網(wǎng)站，可信網(wǎng)站將幫你確認網(wǎng)站的身份。 </p><p>　　保證信息傳輸?shù)臋C密性：用戶在登錄網(wǎng)站在線購物或進行各種交易時，需要多次向服務器端傳送信息，而這些信息很多是用戶的隱私和機密信息，直接涉及經(jīng)濟

26、利益或私密，如何來確保這些信息的安全呢？可信網(wǎng)站將幫您建立一條安全的信息傳輸加密通道。</p><p>　　在SSL會話產(chǎn)生時，服務器會傳送它的證書，用戶端瀏覽器會自動的分析服務器證書，并根據(jù)不同版本的瀏覽器，從而產(chǎn)生40位或128位的會話密鑰，用于對交易的信息進行加密。所有的過程都會自動完成，對用戶是透明的，因而，服務器證書可分為兩種：最低40位和最低128位（這里指的是SSL會話時生成加密密鑰的長度，密鑰越長

27、越不容易破解）證書。 </p><p>　　最低40位的服務器證書在建立會話時，根據(jù)瀏覽器版本不同，可產(chǎn)生40位或128位的SSL會話密鑰用來建立用戶瀏覽器與服務器之間的安全通道。而最低128位的服務器證書不受瀏覽器版本的限制可以產(chǎn)生128位以上的會話密鑰，實現(xiàn)高級別的加密強度，無論是IE或Netscape瀏覽器，即使使用強行攻擊的辦法破譯密碼，也需要10年。</p><p>　　4.3

28、SSL應用 </p><p>　　在這一章中將通過實驗來介紹如何實現(xiàn)客戶機和服務器之間的SSL安全通信。在具體實驗之前，先對實驗整體思路做一個描述。實驗中使用兩臺計算機，一臺作為客戶端，客戶機通過IE瀏覽訪問服務器的WEB站點。服務器通過向證書頒發(fā)機構(CA)申請并安裝服務器證書，并要求客戶機通過SSL安全通道連</p><p>　　圖4-1安裝“證書服務”組件</p>&l

29、t;p>　　接，從而可以保證雙方通信的保密性、完整性和服務器的用戶身份認證。同時，可以通過在客戶機上申請并安裝客戶端證書，實現(xiàn)客戶機的身份認證。</p><p>　　實驗目的:通過申請、安裝數(shù)字證書，掌握使用SSL建立安全通信的方法。</p><p>　　實驗原理:SSL協(xié)議的工作原理、數(shù)字證書的原理。</p><p>　　實驗環(huán)境:作為服務器的計算機預裝Wi

30、ndows Server 2003操作系統(tǒng)，作為客戶端的計算機預裝Windows xp,兩臺計算機通過網(wǎng)絡相連。</p><p>　　4.3.1 安裝“證書服務”Windows組件。</p><p>　　由于在后面的實驗過程中需要向證書頒發(fā)機構申請數(shù)字證書，因此必須先在作為服務器的計算機上安裝“證書服務”組件，使之成為一個證書頒發(fā)機構，具體實現(xiàn)步驟如下介紹。</p><

31、p>　　(1)默認情況下WindowsXP/Server2003沒有安裝證書服務，需要通過控制面板的添加/刪除Windows組件來安裝“證書服務”，如圖4-1所示。這里需要</p><p>　　圖4-2 選擇CA類型</p><p>　　注意的是，在安裝了證書服務后，計算機名和域成員身份都不能改變，因為計算機名到CA信息的綁定存儲在Active Directory中。更改計算機名和域

32、成員身份將使此CA頒發(fā)的證書無效。因此，安裝證書服務之前，要確認已經(jīng)配置了正確的計算機名和域成員身份。</p><p>　　(2)在CA類型對話框中選中單選按鈕，如圖4-2所示，然后</p><p><b>　　單擊按鈕繼續(xù)。</b></p><p>　　(3)在CA識別信息對話框中為安裝的CA起一個公用名稱，這里用“crn”，“可分辨名稱后綴

33、”可以不填，“有效期限”保持默認5年即可如圖4-3所示。</p><p>　　圖4-3 填寫CA識別信息</p><p>　　圖4-4 設置證書數(shù)據(jù)庫位置</p><p>　　(4)在證書數(shù)據(jù)庫設置對話框中保持默認設置即可，因為只有保證默認目錄，系統(tǒng)才會根據(jù)證書類型自動分類和調(diào)用，如圖4-4所示。</p><p>　　圖4-5 “證書頒發(fā)機構

34、” 對話框</p><p>　　圖4-6 Web服務器證書向?qū)?lt;/p><p>　　(5)配置好所需的參數(shù)后，系統(tǒng)會安裝證書服務組件，當然需要在安裝的過程中插入Windows Server2003的安裝盤。安裝完成后，在“開始”→“程序”→“管理工具”中，可以看到“證書頒發(fā)機構”對話框，打開后如圖4-5所示。至此，已經(jīng)安裝好一個證書頒發(fā)機構，在圖4-5中可以看到，此時沒有頒發(fā)過任何證書。&

35、lt;/p><p>　　4.3.2 在服務器創(chuàng)建服務器證書請求。</p><p>　　為了在服務器申請并安裝服務器證書，必須先創(chuàng)建服務器證書請求，具體實現(xiàn)步驟介紹如下。</p><p>　　(1) 在Web站點的“目錄安全性”選項卡中，單擊“安全通信”選項區(qū)域按鈕，打開Web服務器證書向?qū)В鐖D4-6所示。</p><p>　　(2) 單擊按鈕，

36、顯示如圖4-7所示的服務器證書對話框，選中新建證書單選按鈕來新建一個服務器證書。</p><p>　　圖4-7 選擇為站點分配證書的方法</p><p>　　(3) 單擊按鈕，顯示如圖4-8所示的名稱和安全性設置對話框，用于設置新證書的名稱和密鑰長度。</p><p>　　(4) 單擊按鈕，顯示如圖4-9所示的單位信息對話框，用來設置該證書所包含單位的相關信息，以便

37、和其他單位的證書區(qū)分開。</p><p>　　(5) 單擊按鈕，顯示如圖4-10所示的公用名稱對話框，在這里輸入站點的公用名稱。該公用名稱要根據(jù)服務器而定，如果服務器位于Internet上，應使用有效的DNS名；如果服務器位于Intranet上，可以使用計算機的NetBIOS名。如果公用名稱發(fā)變化，則需要獲取新證書。</p><p>　　圖4-8 設置新證書的名稱和密鑰長度</p&g

38、t;<p>　　圖4-9 設置證書的單位信息 圖4-10 輸入站點的公用名稱</p><p>　　圖4-11 填寫地理信息 圖4-12 輸入證書請求的文件名</p><p>　　圖4-13 請求文件摘要</p><p>　　(6) 單擊按鈕，顯示如圖4-11所示的地理信息對話框，證書頒發(fā)機

39、構都會要求提供一些地理信息。</p><p>　　(7) 單擊按鈕，顯示如圖4-12所示的證書請求文件名對話框，用來指定要保存的證書請求的文件和路徑。這里保存到c:\certreq.txt文件中。</p><p>　　圖4-14 完成創(chuàng)建Web服務器證書請求 圖4-15 服務器證書請求文件內(nèi)容</p><p>　　(8) 單擊按鈕，顯示如圖4-13所

40、示的請求文件摘要對話框，顯示了前面設置的所有信息。</p><p>　　(9) 單擊按鈕完成Web服務器證書向?qū)?，如圖4-14所示。至此，創(chuàng)建了一個服務器證書請求，并保存在文件c:\certreq.txt中，如圖4-15所示。</p><p>　　4.3.3 申請并安裝服務器證書請求</p><p>　　有了證書請求文件后，服務器就可以通過證書頒發(fā)機構組件CertS

41、rv申請服務器證書。服務器提交證書申請后，證書頒發(fā)機構審核并頒發(fā)證書。頒發(fā)后的服務器證書從證書頒發(fā)機構導出后，可以在服務器上安裝。這就完成了服務器證書的申請和安裝工作，具體步驟如下。</p><p>　　(1)在服務器上打開IE瀏覽器，輸入“http://localhost/certsrv”,其中“l(fā)ocalhost”為服務器的地址。如果IIS工作正常，證書服務安裝正確，就會出現(xiàn)Microsoft證書服務界面，如

42、圖4-16。</p><p>　　圖4-16 Microsoft 證書服務界面</p><p>　　圖4-17 提交證書申請界面</p><p>　　圖4-18證書掛起界面</p><p>　　(2)單擊其中的“申請一個證書”超鏈接，并在接下來的兩個申請證書類型界面中依次選擇“高級證書申請”和“使用base64編碼的CMC或PKCS#10文件

43、提交一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請”,將出現(xiàn)如圖4-17所示的提交證書申請界面。在該界面中，將前面保存的服務器證書請求文件c:\certreq.txt的內(nèi)容(即圖4-15顯示的文件內(nèi)容)完整復制到“保存的申請”文本框中，并單擊“提交”按鈕提交證書申請。</p><p>　　圖4-19 證書頒發(fā)機構管理員頒發(fā)證書</p><p>　　(3)當出現(xiàn)如圖4-1

44、8所示的證書掛起界面時，說明證書申請已經(jīng)被證書頒發(fā)機構收到，必須等待管理員頒發(fā)證書。</p><p>　　(4)此時，在如圖4-5所示的“證書頒發(fā)機構”對話框中，可以在“掛起的申請”文件夾中看到剛才提交的服務器證書申請。此時，可以在該證書上右擊，再在彈出的快捷菜單中選擇“所有任務”→“頒發(fā)”命令以頒發(fā)此證書，如圖4-19所示。</p><p>　　圖4-20 已經(jīng)頒發(fā)的證書</p&g

45、t;<p>　　(5)管理員頒發(fā)證書后，在“頒發(fā)的證書”文件夾中就能到已經(jīng)頒發(fā)的了的證書，如圖4-20所示。</p><p>　　圖4-21 服務器證書信息 圖4-22 選擇證書導出文件格式</p><p>　　(6)雙擊該證書，可以在彈出的對話框中查看證書的詳細信息，如圖4-21所示。在每個證書信息對話框中可以看到證書的作用(目的)、所有者、

46、頒發(fā)者和有效期，這正是數(shù)字證書的幾個要素。</p><p>　　從圖中可以看到這個證書的目的是客戶機用來保證遠程計算機(服務器)的身份的。</p><p>　　(7)在圖4-21所示的對話框中選擇“詳細信息”選項卡，單擊按鈕，將啟動證書導出，用于將該證書導出成文件。在證書導出向?qū)е?，需要選擇導出證書的格式，如圖4-22所示。在這里，選擇Base64編碼X.509的文件格式。</p&g

47、t;<p>　　下面簡單介紹一下可以用于證書導出和導入的幾種文件格式。</p><p>　　A、DER編碼二進制X.509：卓越編碼規(guī)則(DER)X.509為證書和其他用于傳輸文件的編碼定義了一種平臺獨立性的方法。也就是說，這種方法適合使用任何一種操作系統(tǒng)的計算機。如果要將證書用于其他非Windows的操作系統(tǒng)上，就可以使用這種文件類型。這種文件類型使用.cer或.crt的文件擴展名。</p&

48、gt;<p>　　B、ase64編碼X.509:這也是一種X.509格式，該X.509R的變體采取了一種為配合S/MINE(一種在Internet上安全發(fā)送電子郵件附件的標準方法)使用而設計的編碼方法。整個文件作為ASCII字符編碼，可以保證其不受損壞地通過不同的郵件</p><p>　　圖4-23設置要導出的文件的文件名</p><p>　　網(wǎng)關。這種文件類型使用.cer或

49、.cet的文件擴展名。</p><p>　　C、息語法標準——PKCS#7證書：與X.509格式不同的是，PKCS(公鑰加密標準)#7證書允許您將一個證書及其證書路徑中的所有聯(lián)合到一個文件中，這樣，將一個受信任的證書從一臺計算機移到另一臺計算機上就會變得容易。這種文件類型使用.p7b的文件擴展名。</p><p>　　D、個人息交換——PKCS#12：這種格式有時又被稱為“私人交換格式”，

50、它允許將證書與它對應的私鑰一起轉(zhuǎn)換。這是唯一能包括私鑰的格式。如果要允許將私鑰包含進去，該私鑰就必須標記為可導出，這是由頒發(fā)原始證書的CA來控制的。這種文件類型使用.pfx或.p12的文件擴展名。</p><p>　　對于包括加密證書或其他帶有私鑰的證書的導出文件，使用PKCS#12。(包含私鑰只是為了備份或在本地計算機上安裝，不要將帶有私鑰的證書發(fā)送給其他人)對于想要導入到運行Windows操作系統(tǒng)的計算機的證

51、書，使用PKCS#7。運行其他操作系統(tǒng)的計算機可能不支持PKCS#7，為了創(chuàng)建一個能用到這種計算機上的證書，可以使用任何一種X.509格式的證書。X.509格式是接受程度最廣泛的證書格式。</p><p>　　(8)將服務器證書導出為：c:\shenzhen.cer文件，如圖4-23所示。</p><p>　　圖4-24 “掛起的證書請求”對話框</p><p>　

52、　圖4-25 安裝證書的摘要信息</p><p>　　(9)打開服務器的Internet信息服務(IIS)管理器，在Web站點的“目錄安全性”選項卡中，單擊“安全通信”選項區(qū)域的按鈕啟動Web服務器證書向?qū)Вㄟ^該向?qū)戆惭b剛剛導出的服務器證書。在如圖4-24所示的“掛起證書請求”對話框中，選中單選按鈕。</p><p>　　(10)在隨后出現(xiàn)的對話框中需要指定證書文件的名稱和路徑，并為網(wǎng)

53、站指定SSL端口號(一般指定為“443”)，就可以完成Web服務器證書的安裝了。安裝證書的摘要信息如圖4-25所示。</p><p>　　4.3.4 客戶端通過SSL安全通道建立和服務器的連接。</p><p>　　在服務器上安裝了服務器證書后，就可以通過設置要求客戶機通過SSL安全通道和服務器建立連接，具體實現(xiàn)步驟如下。</p><p>　　(1) 打開服務器的I

54、nternet信息服務(IIS)管理器，在Web站點的“目錄安全性”選項卡中，單擊“安全通信”選項區(qū)域的按鈕，打開“安全</p><p>　　圖4-26 “安全通信” 對話框 </p><p>　　圖4-27 客戶機通過HTTP訪問Web站點情況</p><p>　　通信”對話框，如圖4-26所示。在該對話框中，選中和復選框，要求SSL安全通道。

55、</p><p>　　(2)此時，如果在客戶機的IE瀏覽器中直接輸入http://localhost來訪問服務器的Web站點，將顯示“該頁必須通過安全通道查看”如圖4-27所示?？蛻魴C需要在訪問的地址前輸入“https://”并按回車鍵，也就是通過SSL安全通道建立和Web站點的通信。</p><p>　　(3)在客戶機的IE瀏覽器中輸入https://localhost來訪問Web站點(

56、客戶機通過瀏覽器獲得服務器證書)，出現(xiàn)如圖4-28所示的安全警報。此時，如果單擊其中的“是”按鈕，則表示客戶機信任了證書持有人(服務器)身份，將建立客戶機和服務器的SSL安全通道連接。如果用戶要進一步驗證該服務器證書的合法性(通過驗證數(shù)字證書上由證書頒發(fā)機構的數(shù)字簽名來驗證其合法性)，可以單擊其中的 </p><p>　　圖4-28 客戶機訪問Web站點時的安全警報 圖4-29 對應的證書信息

57、</p><p>　　按鈕，打開如圖4-29的證書信息對話框以查看證書的詳細信息，從而決定是否通過驗證。在這里可以看到，由于該證書不是由客戶機所信任的根證書頒發(fā)機構所頒發(fā)的，所以出現(xiàn)了圖4-28所示的第一個標識。另外，由于在客戶機</p><p>　　的IE瀏覽器中輸入的訪問站點名稱(localhost)和證書所有者的名稱(win2003)不一致，所以出現(xiàn)了圖4-28所示的第二個標識。客戶

58、端用戶如果對這些警告標識所提示的內(nèi)容表示懷疑，可以單擊圖4-28中的按鈕不通過驗證(也就是不建立SSL安全通道連接)。</p><p>　　圖4-30 證書頒發(fā)機構屬性頁</p><p>　　下面將通過一系列的的配置來消除圖4-28中的這兩個警告標識，以使客戶端用戶放心地訪問服務器的Web站點。</p><p>　　圖4-31 CA的證書信息</p>

59、<p>　　為了排除第一個警告標識所提示的內(nèi)容，需要將根證書頒發(fā)機構的證書導出，并安裝到客戶機證書存儲區(qū)的“受信任的根證書頒發(fā)機構”中(當然做這個操作的前提條件是：客戶端用戶認為該根證書頒發(fā)機構可以信任)，具體實現(xiàn)步驟如下。</p><p>　　A、在證書頒發(fā)機構對話框中，右擊證書頒發(fā)機構，選擇“屬性”命令打開其屬性頁，如圖4-30所示。</p><p>　　B、在證書頒發(fā)機構屬

60、性界面中選擇“常規(guī)”選項卡并單擊按鈕，可以看到證書的詳細信息。如圖4-31所示。</p><p>　　圖4-32 選擇證書導出文件格式</p><p>　　C、在圖4-31所示的對話框中選擇“詳細信息”選項卡，單擊按鈕，將啟動證書導出向?qū)?，用于將該根證書頒發(fā)機構的證書導出到一個文件中。在證書出向?qū)е?，需要選擇導出證書的文件格式，如圖4-32所示。在這里，選擇加密消息語法標準——PKCS#7

61、證書的文件格式。</p><p>　　D、將該CA的證書導出為c:\root.p7b文件，如圖4-33所示。</p><p>　　E、將導出的CA的證書文件root.p7b發(fā)送給客戶機，在客戶機上通過IE瀏覽器將該證書導入到“受信任的根證書頒發(fā)機構中”。在客戶機上打開IE瀏覽器，選擇“工具”→“Internet選項”命令，打開“Internet”選項對話框，選擇其中的“內(nèi)容”選項卡，如圖4

62、-34所示。</p><p>　　圖4-33 設置要導出的文件的文件名</p><p>　　圖4-34 Internet選項對話框</p><p>　　F、單擊“證書”選項區(qū)域中的按鈕，打開證書信息對話框，如圖4-35所示。</p><p>　　G、單擊其中的按鈕，以啟動證書導入向?qū)?，將前面從證書頒發(fā)機構導出的CA的證書文件c:\root.p

63、7b導入到客戶機的證書存儲區(qū)。由于這部分的操作步驟和前面介紹的證書導出操作類似，不再重復，讀者可以自行完成。</p><p>　　圖4-35 證書信息對話框 圖4-36 客戶機訪問Web站點時的安全警報</p><p>　　H、將CA的證書導入到客戶機的證書存儲區(qū)后，表示客戶機已經(jīng)信任了該CA頒發(fā)的證書。此時再通過https://localhost來訪問服務器的Web

64、站點時，就不會出現(xiàn)圖4-28所示的第一個安全警告標識，如圖4-36所示。</p><p>　　為了排除圖4-28所示的第二個警告標識所提示的內(nèi)容，只要在訪問服務器的Web站點輸入站點的DNS或NetBIOS名稱就可以了(如果服務器位于Internet上，輸入有效的DNS名；如果服務器位于Intranet上，輸入計算機的NetBIOS名)。</p><p>　　4.3.5 申請并安裝客戶端

65、證書。</p><p>　　通過前面的學習已經(jīng)知道，數(shù)字證書是用來確保證書持有者身份的一種機制。根據(jù)其保證對象的不同可以分成服務器證書和客戶端證書。前面講的服務器證書是服務器用來向客戶端用戶證明自己身份的；而客戶端證書則是客戶端用來向服務器證明自己身份的。下面，通過實驗來學習如何申請并安裝客戶證書。</p><p>　　(1)在服務器端的計算機上，打開Internet信息服務(IIS)管理

66、器，在Web站點的“目錄安全性”選項卡中，單擊“安全通信”選項區(qū)域的按鈕，打開“安全通信”對話框。在“安全通信”對話框中，選中“客戶端證書”選項區(qū)域中的單選按鈕，表示要求客戶端在連接該Web站點時必須提供客戶端證書。</p><p>　　(2)這時在客戶端的計算機上，打開IE瀏覽器，通過輸入https://localhost訪問Web站點，會彈出“選擇數(shù)字證書”對話框。</p><p>　

67、　由于沒有安裝客戶端證書，因此選擇數(shù)字證書的對話框中沒有可以選擇的證書。如果直接單擊“確定”按鈕，會出現(xiàn) “該頁要求客戶證書”提示，無法正常訪問。</p><p>　　圖4-37 填寫WEB瀏覽器證書識別信息</p><p>　　(3)為了在客戶機上申請安裝客戶證書，必須先在服務器上取消第(1)步中所設置的“要求客戶端證書”，改為選中單選按鈕。</p><p>　　

68、(4)在客戶機上訪問https://localhost/certsrv, 打開如圖4-16所示的證書服務頁面。單擊其中的“申請一個證書”超鏈接，并在接下來的申請證書類型界面中選擇“Web瀏覽器證書”，出現(xiàn)如圖4-37所示的界面。在其中填寫Web瀏覽器證書的識別信息，并單擊“提交”按鈕提交證書申請。</p><p>　　(5)在彈出的“潛在的腳本沖突”提示對話框中，單擊“是”按鈕繼續(xù)證書申請。</p>

69、<p>　　圖4-38 證書掛起界面</p><p>　　當出現(xiàn)如圖4-38所示的證書掛起界面時，說明證書申請已經(jīng)被證書頒發(fā)機構收到，必須等待管理員頒發(fā)證書。</p><p>　　(6)按照前面在4.3中介紹的方法，在服務器的證書頒發(fā)機構對話框中，審核并完成該客戶端證書的頒發(fā)。</p><p>　　(7)CA頒發(fā)證書后，在客戶機上訪問https://lo

70、calhost/certsrv，回到證書服務頁面。單擊其中的“查看掛起的證書申請的狀態(tài)”超鏈接，并在接下來出現(xiàn)的界面中選擇剛才申請的證書(如果有多個證書，可以通過申請時間來識別)，將出現(xiàn)如圖4-31所示的界面。</p><p>　　(8)單擊其中的“安裝此證書”超鏈接，可以完成客戶端數(shù)字證書的安裝。在安裝前會出現(xiàn)“潛在腳本沖突”的提示對話框，直接單擊“是”按鈕即可。</p><p>　　圖

71、4-39 查看申請的證書狀態(tài)</p><p>　　(9)恢復服務器的“安全通信”對話框中的設置。在客戶端通過https://localhost訪問Web站點，會彈出如圖4-40所示的“選擇數(shù)字證書”對話框。這時，可以選定剛剛安裝的客戶端證書“client”。</p><p>　　圖4-40 選擇客戶端數(shù)字證書 圖4-41 客戶端證書信息</p>

72、<p>　　(10)單擊按鈕，可以查看該證書的詳細信息，如圖4-41所示。從圖4-41中可以看到這個證書的目的是客戶機用來向遠程計算機(服務器)證明自己身份。</p><p>　　(11)單擊圖4-40所示對話框中的“確定”按鈕，訪問Web站點。到此，完成了整個數(shù)字證書的安裝和使用實驗。</p><p>　　需要說明的是，盡管SSL能提供實際不可破譯的加密功能，但是SSL安全機

73、制的實現(xiàn)會大大增加系統(tǒng)的開銷，增加了服務器CPU的額外負擔，使SSL加密傳輸?shù)乃俣却蟠蟮陀诜羌用軅鬏數(shù)乃俣?。因此，為了防止整個Web網(wǎng)站的性能下降，可以考慮只把SSL安全機制用來處理高度機密的信息，如提交包含信用卡信息的表格。</p><p><b>　　致 謝</b></p><p>　　三年時光，轉(zhuǎn)瞬即逝。在此即將畢業(yè)之際，向眾多給予我?guī)椭徒ㄗh的老師、親人、朋友

74、和同學們表示衷心的感謝！</p><p>　　我首先要感謝的是我的指導師，x老師。x老師淵博的知識、踏實的治學風格和認真負責的精神讓我受益匪淺，他是我學習的榜樣。耐心指導我畢業(yè)論文如何寫作，注意事項，錯誤改進；這些日子以來的進步離不開陳老師的幫助。</p><p>　　最后我要特別感謝遠在營山的我的父母，是您們含辛茹苦的養(yǎng)育了我二十多年，從您們長滿老繭的雙手以及飽經(jīng)風霜而布滿皺紋的面頰上就

75、可以知道您們對我付出了多少辛勞和汗水。我為我一直不能長時間陪伴二老而感到十分愧疚。養(yǎng)育之恩當涌泉相報，我會繼續(xù)努力取得更好的成績，不辜負您們的期望。還要感謝我的姐姐是你每月用自己微薄的工資給我交生活費用是你給了我前進的動力！還有所有的親戚朋們我在這里由衷地感謝你們的鼓勵與支持，謝謝！</p><p><b>　　參考文獻</b></p><p>　　[1]《信息安全技

76、術教程》 荊繼武 主編 中國人民公安大學出版社</p><p>　　[2]《計算機網(wǎng)絡安全技術》（第2版） 石淑華 池瑞楠 編著 人民郵電出版社</p><p>　　[3]《數(shù)字證書應用技術指南》 《中國商用密碼認證體系結(jié)構研究》課題組編著 電子工業(yè)出版社</p><p>　　[4]《網(wǎng)絡設備互聯(lián)技術》梁廣民 王隆杰 編著 清華大學出版社</p>