网络安全毕业论文5 (2).doc

四川信息职业技术学院 毕业设计说明书(论文) 设计(论文)题目:数字证书在网络安全中的典型应用 专 业: 计算机网络技术 班 级: 计网 09-1 班 学 号: 0944069 姓 名: 李 婷 指导教师: 陈 新 华 2011 年 11 月 28 日 四川信息职业技术学院毕业设计说明书(论文) I 目目 录录 摘摘 要要1 1 第第 1 1 章章 概概 述述2 2 第第 2 2 章章 数字证书原理数字证书原理4 4 第第 3 3 章章 数字证书的颁发数字证书的颁发6 6 第第 4 4 章章 SSLSSL 证书应用证书应用 8 8 4 4. .1 1 S SS SL L 证证书书安安全全认认证证的的原原理理 8 8 4 4. .2 2 S SS SL L 证证书书的的功功能能8 8 4.34.3 SSLSSL 应用应用9 9 4.3.14.3.1 安装安装“证书服务证书服务”W”WINDOWSINDOWS组件。组件。9 9 4.3.24.3.2 在服务器创建服务器证书请求。在服务器创建服务器证书请求。 1313 4.3.34.3.3 申请并安装服务器证书请求申请并安装服务器证书请求 1616 4.3.44.3.4 客户端通过客户端通过 SSLSSL 安全通道建立和服务器的连接。安全通道建立和服务器的连接。 2222 4.3.54.3.5 申请并安装客户端证书。申请并安装客户端证书。 2828 致致 谢谢 3333 参考文献参考文献3434 四川信息职业技术学院毕业设计说明书(论文) 1 摘摘 要要 随着网络技术的飞速发展，网上办公、网上购物、网上炒股、网上娱乐、网上 贸易、网上理财以及网上求职等纷纷大行其道，电子商务系统技术使在网上购物的 顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了某些敏感或有价 值的数据被滥用的风险。如何防范风险，增强网上安全问题显得尤为重要。 为了保证互联网上电子交易及支付的安全性，保密性等，防范交易主支付过程 中的欺诈行为，必须在网上建立一种信任机制。加强网上安全有多种技术措施和手 段，下面就通过数字证书的概述，原理，颁发过程以及 SSL 证书应用来详细说明 其是加强网上安全的一种有效方式。 关键词：关键词：数字证书概述、原理、颁发过程、SSL 应用 四川信息职业技术学院毕业设计说明书(论文) 2 第第 1 1 章章 概概 述述 数字证书，英文名称 digital certificate。数字证书是一种权威性的电子文档，由 权威公正的第三方机构，即 CA 中心签发的证书。 CA 中心是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和 解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。使用了数字证 书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息， 仍可以保证您的账户、资金安全。 它能提供在 Internet 上进行身份验证的一种权威 性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。 当然在数字证书认证的过程中证书认证中心（CA）作为权威的、公正的、可信赖 的第三方，其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威 可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等 30 家相关机构颁发了从业资质。 由于 Internet 网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获 得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为 了保证互联网上电子交易及支付的安全性，保密性等，防范交易及支付过程中的欺 诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必 须拥有合法的身份，并且在网上能够有效无误的被进行验证。 数字证书特点有：安全性为了避免传统数字证书方案中，由于使用不当造成的 证书丢失等安全隐患，支付宝创造性的推出双证书解决方案：支付宝会员在申请数 字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员 当前所使用的计算机。 第二张证书不能备份，会员必须为每一台计算机重新申请 一张。这样即使会员的数字证书被他人非法窃取，仍可保证其账户不会受到损失。 支付盾是一个类似于 U 盘的实体安全工具，它内置的微型智能卡处理器能阻挡各 种的风险，让您的账户始终处于安全的环境下。目前，为保证电子邮件安全性所使 用的方式是数字证书。 唯一性：支付宝数字证书根据用户身份给予相应的网络资 四川信息职业技术学院毕业设计说明书(论文) 3 源访问权限，申请使用数字证书后，如果在其他电脑登录支付宝账户，没有导入数 字证书备份的情况下，只能查询账户，不能进行任何操作，这样就相当于您拥有了 类似“钥匙”一样的数字凭证，增强账户使用安全。 方便性：即时申请、即时开 通、即时使用。量身定制多种途径维护数字证书，例如通过短信，安全问题等。不 需要使用者掌握任何数字证书相关知识，也能轻松掌握。 四川信息职业技术学院毕业设计说明书(论文) 4 第第 2 2 章章 数字证书原理数字证书原理 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个 用户自己设定一把特定的仅为本人所知的私有密钥（私钥） ，用它进行解密和 签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于 加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密， 而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通 过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在 公开密钥密码体制中，常用的一种是RSA 体制。其数学原理是将一个大数分解 成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已 图 2-1 公钥加密、私钥签名的过程 知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥）， 在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024 位 RSA 密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题， 商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密 四川信息职业技术学院毕业设计说明书(论文) 5 钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密 钥进行解密 ，如图 2-1 所示。 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样 就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认 以下两点： 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认 保证信息自签发后到收到为止未曾作过任何修改，签发文件是真实文件。 数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随 机生成 128 位的身份码，每份数字证书都能生成相应但每次都不可能相同的数 码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。 数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身 份证，所不同的是数字证书不再是纸质的证照，而是一段含有证书持有者身份信 息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和 电子政务中。 四川信息职业技术学院毕业设计说明书(论文) 6 第第 3 3 章章 数字证书的颁发数字证书的颁发 CA 是证书的签发机构,它是 PKI 的核心。CA 是负责签发证书、认证证书、管理 已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证 书进行签名，以确保证书持有者的身份和公钥的拥有权,CA 是可以信任的第三方。 CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签 字从而信任 CA，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的 证书。 如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申 请者的身份后，便为他分配 一个公钥，并且 CA 将该公钥与申请者的身份信息绑 在一起，并为之签字后，便形成证书发给申请者。 如果一个用户想鉴别另一个证 书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证 书就被认为是有效的。 数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部 网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥 和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认 证。 目前全国各地现在均成立了各省市自己的 CA 公司，为本地企业提供商用数字 证书。 CA 中心作为国家认可的、权威、可信、公正的第三方机构，专门负责发放并 管理所有参与网上业务的实体所需的数字证书，数字证书是网络世界中的身份证， 可以在网络世界中为互不见面的用户建立安全可靠的信任关系，而这种信任关系的 建立则源于 PKI/CA 认证中心，构建安全的 PKI/CA 认证中心是至关重要的。因为， 如果 PKI/CA 认证中心安全性不够，非法用户可能入侵 PKI/CA 认证中心，扰乱认证 中心正常运行；一些有别有用心的人可能利用认证中心潜在安全漏洞（政策、合同、 服务等），对认证中心进行攻击，造成不可估量的社会影响。 在当前环境下，为了让用户切实感到 CA 中心所提供的服务是安全可信的，保 四川信息职业技术学院毕业设计说明书(论文) 7 证认证中心各项业务正常运行，规避潜在的安全隐患，从而推动电子政务、电子商 务等对信任机制要求较高的网上业务的发展，CA 中心必须加强信息安全管理以切 实获得用户的信任，消除用户残余的安全忧虑。 数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及 部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步 骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书， 该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。 用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行 机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发 行机构获得您自己的数字证书。 四川信息职业技术学院毕业设计说明书(论文) 8 第第 4 4 章章 SSLSSL 证书应用证书应用 4.1 SSL 证书安全认证的原理 安全套接字层 (SSL) 技术通过加密信息和提供鉴权，保护您的网站安全。 一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私 用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器 和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证 消息的隐私性和完整性的安全会话。 4.2 SSL 证书的功能 确认网站真实性（网站身份认证）：用户需要登录正确的网站进行在线购物 或其它交易活动，但由于互联网的广泛性和开放性，使得互联网上存在着许多假 冒、钓鱼网站，用户如何来判断网站的真实性，如何信任自己正在访问的网站， 可信网站将帮你确认网站的身份。 保证信息传输的机密性：用户在登录网站在线购物或进行各种交易时，需 要多次向服务器端传送信息，而这些信息很多是用户的隐私和机密信息，直接涉 及经济利益或私密，如何来确保这些信息的安全呢？可信网站将帮您建立一条安 全的信息传输加密通道。 在 SSL 会话产生时，服务器会传送它的证书，用户端浏览器会自动的分析服 务器证书，并根据不同版本的浏览器，从而产生40 位或 128 位的会话密钥， 用于对交易的信息进行加密。所有的过程都会自动完成，对用户是透明的，因而， 服务器证书可分为两种：最低 40 位和最低 128 位（这里指的是 SSL 会话时生 成加密密钥的长度，密钥越长越不容易破解）证书。 最低 40 位的服务器证书在建立会话时，根据浏览器版本不同，可产生40 位或 128 位的 SSL 会话密钥用来建立用户浏览器与服务器之间的安全通道。而 最低 128 位的服务器证书不受浏览器版本的限制可以产生128 位以上的会话密 钥，实现高级别的加密强度，无论是IE 或 Netscape 浏览器，即使使用强行攻 四川信息职业技术学院毕业设计说明书(论文) 9 击的办法破译密码，也需要 10 年。 4.34.3 SSLSSL 应用应用 在这一章中将通过实验来介绍如何实现客户机和服务器之间的SSL 安全通 信。在具体实验之前，先对实验整体思路做一个描述。实验中使用两台计算机， 一台作为客户端，客户机通过 IE 浏览访问服务器的 WEB 站点。服务器通过向 证书颁发机构 (CA)申请并安装服务器证书，并要求客户机通过SSL 安全通道连 图 4-1 安装“证书服务”组件 接，从而可以保证双方通信的保密性、完整性和服务器的用户身份认证。同时， 可以通过在客户机上申请并安装客户端证书，实现客户机的身份认证。 实验目的:通过申请、安装数字证书，掌握使用SSL 建立安全通信的方法。 实验原理:SSL 协议的工作原理、数字证书的原理。 实验环境:作为服务器的计算机预装 Windows Server 2003 操作系统，作 为客户端的计算机预装 Windows xp,两台计算机通过网络相连。 四川信息职业技术学院毕业设计说明书(论文) 10 4.3.1 安装“证书服务”Windows 组件。 由于在后面的实验过程中需要向证书颁发机构申请数字证书，因此必须先在 作为服务器的计算机上安装 “证书服务”组件，使之成为一个证书颁发机构， 具体实现步骤如下介绍。 (1)默认情况下 WindowsXP/Server2003 没有安装证书服务，需要通过控制 面板的添加/删除 Windows 组件来安装 “证书服务” ，如图 4-1 所示。这里需要 图 4-2 选择 CA 类型 注意的是，在安装了证书服务后，计算机名和域成员身份都不能改变，因为 计算机名到 CA 信息的绑定存储在 Active Directory 中。更改计算机名和域成 员身份将使此 CA 颁发的证书无效。因此，安装证书服务之前，要确认已经配置 了正确的计算机名和域成员身份。 (2)在 CA 类型对话框中选中单选按钮，如图 4-2 所示，然后 单击按钮继续。 四川信息职业技术学院毕业设计说明书(论文) 11 (3)在 CA 识别信息对话框中为安装的 CA 起一个公用名称，这里用 “crn” ， “可分辨名称后缀 ”可以不填， “有效期限”保持默认 5 年即可如图 4-3 所示。 图 4-3 填写 CA 识别信息 图 4-4 设置证书数据库位置 四川信息职业技术学院毕业设计说明书(论文) 12 (4)在证书数据库设置对话框中保持默认设置即可，因为只有保证默认目录， 系统才会根据证书类型自动分类和调用，如图4-4 所示。 图 4-5 “证书颁发机构 ” 对话框 图 4-6 Web 服务器证书向导 (5)配置好所需的参数后，系统会安装证书服务组件，当然需要在安装的过 程中插入 Windows Server2003 的安装盘。安装完成后，在 “开始”“程序” “管理工具”中，可以看到 “证书颁发机构 ”对话框，打开后如图 4-5 所示。 四川信息职业技术学院毕业设计说明书(论文) 13 至此，已经安装好一个证书颁发机构，在图4-5 中可以看到，此时没有颁发过 任何证书。 4.3.2 在服务器创建服务器证书请求。 为了在服务器申请并安装服务器证书，必须先创建服务器证书请求，具体实现 步骤介绍如下。 (1) 在 Web 站点的“目录安全性”选项卡中，单击“安全通信”选项区域 按钮，打开 Web 服务器证书向导，如图 4-6 所示。 (2) 单击按钮，显示如图 4-7 所示的服务器证书对话框，选中新建 证书单选按钮来新建一个服务器证书。 图 4-7 选择为站点分配证书的方法 (3) 单击按钮，显示如图 4-8 所示的名称和安全性设置对话框，用 于设置新证书的名称和密钥长度。 (4) 单击按钮，显示如图 4-9 所示的单位信息对话框，用来设置该 四川信息职业技术学院毕业设计说明书(论文) 14 证书所包含单位的相关信息，以便和其他单位的证书区分开。 (5) 单击按钮，显示如图 4-10 所示的公用名称对话框，在这里输 入站点的公用名称。该公用名称要根据服务器而定，如果服务器位于 Internet 上， 应使用有效的 DNS 名；如果服务器位于 Intranet 上，可以使用计算机的 NetBIOS 名。如果公用名称发变化，则需要获取新证书。 图 4-8 设置新证书的名称和密钥长度 四川信息职业技术学院毕业设计说明书(论文) 15 图 4-9 设置证书的单位信息 图 4-10 输入站点的公用名称 图 4-11 填写地理信息 图 4-12 输入证书请求的文件名 图 4-13 请求文件摘要 (6) 单击按钮，显示如图 4-11 所示的地理信息对话框，证书颁发 机构都会要求提供一些地理信息。 (7) 单击按钮，显示如图 4-12 所示的证书请求文件名对话框，用 四川信息职业技术学院毕业设计说明书(论文) 16 来指定要保存的证书请求的文件和路径。这里保存到 c:certreq.txt 文件中。 图 4-14 完成创建 Web 服务器证书请求 图 4-15 服务器证书请求文件内容 (8) 单击按钮，显示如图 4-13 所示的请求文件摘要对话框，显示 了前面设置的所有信息。 (9) 单击按钮完成 Web 服务器证书向导，如图 4-14 所示。至此， 创建了一个服务器证书请求，并保存在文件 c:certreq.txt 中，如图 4-15 所示。 4.3.3 申请并安装服务器证书请求 有了证书请求文件后，服务器就可以通过证书颁发机构组件 CertSrv 申请服务 器证书。服务器提交证书申请后，证书颁发机构审核并颁发证书。颁发后的服务器 证书从证书颁发机构导出后，可以在服务器上安装。这就完成了服务器证书的申请 和安装工作，具体步骤如下。 (1)在服务器上打开 IE 浏览器，输入“http:/localhost/certsrv”,其中 “localhost”为服务器的地址。如果 IIS 工作正常，证书服务安装正确，就会出 现 Microsoft 证书服务界面，如图 4-16。 四川信息职业技术学院毕业设计说明书(论文) 17 图 4-16 Microsoft 证书服务界面 图 4-17 提交证书申请界面 四川信息职业技术学院毕业设计说明书(论文) 18 图 4-18 证书挂起界面 (2)单击其中的“申请一个证书”超链接，并在接下来的两个申请证书类型界 面中依次选择“高级证书申请”和“使用 base64 编码的 CMC 或 PKCS#10 文件提交 一个证书申请，或使用 base64 编码的 PKCS#7 文件续订证书申请”,将出现如图 4- 17 所示的提交证书申请界面。在该界面中，将前面保存的服务器证书请求文件 c:certreq.txt 的内容(即图 4-15 显示的文件内容)完整复制到“保存的申请”文 本框中，并单击“提交”按钮提交证书申请。 图 4-19 证书颁发机构管理员颁发证书 四川信息职业技术学院毕业设计说明书(论文) 19 (3)当出现如图 4-18 所示的证书挂起界面时，说明证书申请已经被证书颁发机 构收到，必须等待管理员颁发证书。 (4)此时，在如图 4-5 所示的“证书颁发机构”对话框中，可以在“挂起的申 请”文件夹中看到刚才提交的服务器证书申请。此时，可以在该证书上右击，再在 弹出的快捷菜单中选择“所有任务”“颁发”命令以颁发此证书，如图 4-19 所 示。 图 4-20 已经颁发的证书 (5)管理员颁发证书后，在“颁发的证书”文件夹中就能到已经颁发的了的证 书，如图 4-20 所示。 图 4-21 服务器证书信息 图 4-22 选择证书导出文件格式 四川信息职业技术学院毕业设计说明书(论文) 20 (6)双击该证书，可以在弹出的对话框中查看证书的详细信息，如图 4-21 所示。 在每个证书信息对话框中可以看到证书的作用(目的)、所有者、颁发者和有效期， 这正是数字证书的几个要素。 从图中可以看到这个证书的目的是客户机用来保证远程计算机(服务器)的身份 的。 (7)在图 4-21 所示的对话框中选择“详细信息”选项卡，单击 按钮，将启动证书导出，用于将该证书导出成文件。在证书导出向 导中，需要选择导出证书的格式，如图 4-22 所示。在这里，选择 Base64 编码 X.509 的文件格式。 下面简单介绍一下可以用于证书导出和导入的几种文件格式。 A、DER 编码二进制 X.509：卓越编码规则(DER)X.509 为证书和其他用于传输 文件的编码定义了一种平台独立性的方法。也就是说，这种方法适合使用任何一种 操作系统的计算机。如果要将证书用于其他非 Windows 的操作系统上，就可以使用 这种文件类型。这种文件类型使用.cer或.crt 的文件扩展名。 B、ase64 编码 X.509:这也是一种 X.509 格式，该 X.509R 的变体采取了一种为 配合 S/MINE(一种在 Internet 上安全发送电子邮件附件的标准方法)使用而设计的 编码方法。整个文件作为 ASCII 字符编码，可以保证其不受损坏地通过不同的邮件 四川信息职业技术学院毕业设计说明书(论文) 21 图 4-23 设置要导出的文件的文件名 网关。这种文件类型使用.cer 或.cet 的文件扩展名。 C、息语法标准PKCS#7 证书：与 X.509 格式不同的是，PKCS(公钥加密标 准)#7 证书允许您将一个证书及其证书路径中的所有联合到一个文件中，这样，将 一个受信任的证书从一台计算机移到另一台计算机上就会变得容易。这种文件类型 使用.p7b 的文件扩展名。 D、个人息交换PKCS#12：这种格式有时又被称为“私人交换格式” ，它允 许将证书与它对应的私钥一起转换。这是唯一能包括私钥的格式。如果要允许将私 钥包含进去，该私钥就必须标记为可导出，这是由颁发原始证书的 CA 来控制的。 这种文件类型使用.pfx 或.p12 的文件扩展名。 对于包括加密证书或其他带有私钥的证书的导出文件，使用 PKCS#12。(包含 私钥只是为了备份或在本地计算机上安装，不要将带有私钥的证书发送给其他人) 对于想要导入到运行 Windows 操作系统的计算机的证书，使用 PKCS#7。运行其他 操作系统的计算机可能不支持 PKCS#7，为了创建一个能用到这种计算机上的证书， 可以使用任何一种 X.509 格式的证书。X.509 格式是接受程度最广泛的证书格式。 (8)将服务器证书导出为：c:shenzhen.cer 文件，如图 4-23 所示。 图 4-24 “挂起的证书请求”对话框 四川信息职业技术学院毕业设计说明书(论文) 22 图 4-25 安装证书的摘要信息 (9)打开服务器的 Internet 信息服务(IIS)管理器，在 Web 站点的“目录安全 性”选项卡中，单击“安全通信”选项区域的按钮启动 Web 服务器 证书向导，通过该向导来安装刚刚导出的服务器证书。在如图 4-24 所示的“挂起 证书请求”对话框中，选中单选按钮。 (10)在随后出现的对话框中需要指定证书文件的名称和路径，并为网站指定 SSL 端口号(一般指定为“443”)，就可以完成 Web 服务器证书的安装了。安装证 书的摘要信息如图 4-25 所示。 4.3.4 客户端通过 SSL 安全通道建立和服务器的连接。 在服务器上安装了服务器证书后，就可以通过设置要求客户机通过 SSL 安全通道和 服务器建立连接，具体实现步骤如下。 (1) 打开服务器的 Internet 信息服务(IIS)管理器，在 Web 站点的“目录安全 性”选项卡中，单击“安全通信”选项区域的按钮，打开“安全 四川信息职业技术学院毕业设计说明书(论文) 23 图 4-26 “安全通信” 对话框 图 4-27 客户机通过 HTTP 访问 Web 站点情况 通信”对话框，如图 4-26 所示。在该对话框中，选中和 复选框，要求 SSL 安全通道。 (2)此时，如果在客户机的 IE 浏览器中直接输入 http:/localhost 来访问服 四川信息职业技术学院毕业设计说明书(论文) 24 务器的 Web 站点，将显示“该页必须通过安全通道查看”如图 4-27 所示。客户机 需要在访问的地址前输入“https:/”并按回车键，也就是通过 SSL 安全通道建立 和 Web 站点的通信。 (3)在客户机的 IE 浏览器中输入 https:/localhost 来访问 Web 站点(客户机 通过浏览器获得服务器证书)，出现如图 4-28 所示的安全警报。此时，如果单击其 中的“是”按钮，则表示客户机信任了证书持有人(服务器)身份，将建立客户机和 服务器的 SSL 安全通道连接。如果用户要进一步验证该服务器证书的合法性(通过 验证数字证书上由证书颁发机构的数字签名来验证其合法性)，可以单击其中的 图 4-28 客户机访问 Web 站点时的安全警报 图 4-29 对应的证书信息 按钮，打开如图 4-29 的证书信息对话框以查看证书的详细信息，从 而决定是否通过验证。在这里可以看到，由于该证书不是由客户机所信任的根证书 颁发机构所颁发的，所以出现了图 4-28 所示的第一个标识。另外，由于在客户 机 的 IE 浏览器中输入的访问站点名称(localhost)和证书所有者的名称(win2003)不 一致，所以出现了图 4-28 所示的第二个标识。客户端用户如果对这些警告标识 四川信息职业技术学院毕业设计说明书(论文) 25 所提示的内容表示怀疑，可以单击图 4-28 中的按钮不通过验证(也就 是不建立 SSL 安全通道连接)。 图 4-30 证书颁发机构属性页 下面将通过一系列的的配置来消除图 4-28 中的这两个警告标识，以使客户端 用户放心地访问服务器的 Web 站点。 四川信息职业技术学院毕业设计说明书(论文) 26 图 4-31 CA 的证书信息 为了排除第一个警告标识所提示的内容，需要将根证书颁发机构的证书导出， 并安装到客户机证书存储区的“受信任的根证书颁发机构”中(当然做这个操作的 前提条件是：客户端用户认为该根证书颁发机构可以信任)，具体实现步骤如下。 A、在证书颁发机构对话框中，右击证书颁发机构，选择“属性”命令打开其 属性页，如图 4-30 所示。 B、在证书颁发机构属性界面中选择“常规”选项卡并单击按钮， 可以看到证书的详细信息。如图 4-31 所示。 图 4-32 选择证书导出文件格式 C、在图 4-31 所示的对话框中选择“详细信息”选项卡，单击 按钮，将启动证书导出向导，用于将该根证书颁发机构的证书导出 到一个文件中。在证书出向导中，需要选择导出证书的文件格式，如图 4-32 所示。 在这里，选择加密消息语法标准PKCS#7 证书的文件格式。 D、将该 CA 的证书导出为 c:root.p7b 文件，如图 4-33 所示。 E、将导出的 CA 的证书文件 root.p7b 发送给客户机，在客户机上通过 IE 浏览 四川信息职业技术学院毕业设计说明书(论文) 27 器将该证书导入到“受信任的根证书颁发机构中” 。在客户机上打开 IE 浏览器，选 择“工具”“Internet 选项”命令，打开“Internet”选项对话框，选择其中 的“内容”选项卡，如图 4-34 所示。 图 4-33 设置要导出的文件的文件名 四川信息职业技术学院毕业设计说明书(论文) 28 图 4-34 Internet 选项对话框 F、单击“证书”选项区域中的按钮，打开证书信息对话框，如 图 4-35 所示。 G、单击其中的按钮，以启动证书导入向导，将前面从证书颁发机 构导出的 CA 的证书文件 c:root.p7b 导入到客户机的证书存储区。由于这部分的 操作步骤和前面介绍的证书导出操作类似，不再重复，读者可以自行完成。 图 4-35 证书信息对话框 图 4-36 客户机访问 Web 站点时的安全警报 H、将 CA 的证书导入到客户机的证书存储区后，表示客户机已经信任了该 CA 颁发的证书。此时再通过 https:/localhost 来访问服务器的 Web 站点时，就不会 出现图 4-28 所示的第一个安全警告标识，如图 4-36 所示。 为了排除图 4-28 所示的第二个警告标识所提示的内容，只要在访问服务器的 Web 站点输入站点的 DNS 或 NetBIOS 名称就可以了(如果服务器位于 Internet 上， 输入有效的 DNS 名；如果服务器位于 Intranet 上，输入计算机的 NetBIOS 名)。 4.3.5 申请并安装客户端证书。 四川信息职业技术学院毕业设计说明书(论文) 29 通过前面的学习已经知道，数字证书是用来确保证书持有者身份的一种机制。 根据其保证对象的不同可以分成服务器证书和客户端证书。前面讲的服务器证书是 服务器用来向客户端用户证明自己身份的；而客户端证书则是客户端用来向服务器 证明自己身份的。下面，通过实验来学习如何申请并安装客户证书。 (1)在服务器端的计算机上，打开 Internet 信息服务(IIS)管理器，在 Web 站 点的“目录安全性”选项卡中，单击“安全通信”选项区域的按钮， 打开“安全通信”对话框。在“安全通信”对话框中，选中“客户端证书”选项区 域中的单选按钮，表示要求客户端在连接该 Web 站点时必须提 供客户端证书。 (2)这时在客户端的计算机上，打开 IE 浏览器，通过输入 https:/localhost 访问 Web 站点，会弹出“选择数字证书”对话框。 由于没有安装客户端证书，因此选择数字证书的对话框中没有可以选择的证书。 如果直接单击“确定”按钮，会出现 “该页要求客户证书”提示，无法正常访问。 图 4-37 填写 WEB 浏览器证书识别信息 (3)为了在客户机上申请安装客户证书，必须先在服务器上取消第(1)步中所设 四川信息职业技术学院毕业设计说明书(论文) 30 置的“要求客户端证书” ，改为选中单选按钮。 (4)在客户机上访问 https:/localhost/certsrv, 打开如图 4-16 所示的证书 服务页面。单击其中的“申请一个证书”超链接，并在接下来的申请证书类型界面 中选择“Web 浏览器证书” ，出现如图 4-37 所示的界面。在其中填写 Web 浏览器证 书的识别信息，并单击“提交”按钮提交证书申请。 (5)在弹出的“潜在的脚本冲突”提示对话框中，单击“是”按钮继续证书申 请。 图 4-38 证书挂起界面 当出现如图 4-38 所示的证书挂起界面时，说明证书申请已经被证书颁发机构收到， 必须等待管理员颁发证书。 (6)按照前面在 4.3 中介绍的方法，在服务器的证书颁发机构对话框中，审核 并完成该客户端证书的颁发。 (7)CA 颁发证书后，在客户机上访问 https:/localhost/certsrv，回到证书 服务页面。单击其中的“查看挂起的证书申请的状态”超链接，并在接下来出现的 界面中选择刚才申请的证书(如果有多个证书，可以通过申请时间来识别)，将出现 四川信息职业技术学院毕业设计说明书(论文) 31 如图 4-31 所示的界面。 (8)单击其中的“安装此证书”超链接，可以完成客户端数字证书的安装。在 安装前会出现“潜在脚本冲突”的提示对话框，直接单击“是”按钮即可。 图 4-39 查看申请的证书状态 (9)恢复服务器的“安全通信”对话框中的设置。在客户端 通过 https:/localhost 访问 Web 站点，会弹出如图 4-40 所示的“选择数字证书” 对话框。这时，可以选定刚刚安装的客户端证书“client” 。 四川信息职业技术学院毕业设计说明书(论文) 32 图 4-40 选择客户端数字证书 图 4-41 客户端证书信息 (10)单击按钮，可以查看该证书的详细信息，如图 4-41 所示。 从图 4-41 中可以看到这个证书的目的是客户机用来向远程计算机(服务器)证明自 己身份。 (11)单击图 4-40 所示对话框中的“确定”按钮，访问 Web 站点。到此，完成 了整个数字证书的安装和使用实验。 需要说明的是，尽管 SSL 能提供实际不可破译的加密功能，但是 SSL 安全机制 的实现会大大增加系统的开销，增加了服务器 CPU 的额外负担，使 SSL 加密传输的 速度大大低于非加密传输的速度。因此，为了防止整个 Web 网站的性能下降，可以 考虑只把 SSL 安全机制用来处理高度机密的信息，如提交包含信用卡信息的表格。 四川信息职业技术学院毕业设计说明书(论文) 33 致 谢 三年时光，转瞬即逝。在此即将毕业之际，向众多给予我帮助和建议的老师、 亲人、朋友和同学们表示衷心的感谢！ 我首先要感谢的是我的指导师，陈老师。陈老师渊博的知识、踏实的治学风格 和认真负责的精神让我受益匪浅，他是我学习的榜样。耐心指导我毕业论文如何写 作，注意事项，错误改进；这些日子以来的进步离不开陈老师的帮助。 最后我要特别感谢远在营山的我的父母，是您们含辛茹苦的养育了我二十多年， 从您们长满老茧的双手以及饱经风霜而布满皱纹的面颊上就可以知道您们对我付出 了多少辛劳和汗水。我为我一直不能长时间陪伴二老而感到十分愧疚。养育之恩当 涌泉相报，我会继续努力取得更好的成绩，不辜负您们的期望。还要感谢我的姐姐 是你每月用自己微薄的工资给我交生活费用是你给了我前进的动力！还有所有的亲 戚朋们我在这里由衷地感谢你们的鼓励与支持，谢谢！ 四川信息职业技术学院毕业设计说明书(论文) 34 参考文献参考文献 1信息安全技术教程 荆继武 主编 中国人民公安大学出版社 2计算机网络安全技术 （第 2 版） 石淑华 池瑞楠 编著 人民邮电出版 社 3数字证书应用技术指南 中国商用密码认证体系结构研究课题组编 著 电子工业出版社 4网络设备互联技术梁广民 王隆杰 编著 清华大学出版社 5网络互联技术蔡学军 梁广民 编著 高等教育出版社