PKI证书实验报告_pki实验报告

PKI证书实验报告由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“pki实验报告”。

实 验 报 告

本次实验报告包含以下实验内容

1． 最终用户证书申请 2． PKI统一管理 3． 交叉认证及信任管理 4． 非对称加密实验 5． 数字签名实验 6． SSL应用实验

姓名： 刘俊

学号： 10072130165 班级： 计算机一班

日期：3月22日

一、实验环境

1、数据库服务器：MYSQL2、PKI服务器：JBo3.2.53、客户端硬件：Pentium 2 400Mhz 以上，256M内存，与服务器的网络连接。

4、客户端软件：Java Swing（Java 1.4版本以上）

二、实验内容

1.进行证书申请

该PKI系统中进行证书申请，需提供以下信息：用户名、SubjectDN、保护私钥的密码、EMAIL地址、证件类型和号码、出生日期、证书用途。申请界面如下图所示：

1)在填写完注册信息后，日志窗口提示注册成功，没有出错信息（图1-2）。表明证书申请成功。

证书申请成功界面 2．进行证书申请管理

通过对实验提供的应用程序的使用，注意到在该PKI系统中可以对注册信息进行以下的注册管理：

1)否决请求：明确告诉申请者提交的信息是不合法的，并能阻止用户使用一些相关信息（如用户名、EMAIL、SubjectDN等等）再度申请。

2)删除信息：在提交的信息明显是无用的、垃圾信息或是误提交的信息时，管理员可以将这个信息删除。

3)准予签发：在提交的信息是有效的，而且能代表申请者本身真实的身份时，管理员可以为其签发证书。签发成功如图2-2所示 3.按证书状态查找证书

在提供的客户端程序中按照各种状态查找证书，图3-1列出了查找证书状态为活跃的查找结果，点选查找到的证书，在右边的文本框中将会出现证书的具体信息。由此可得出结论，在该PKI系统中，证书状态不仅仅是简单的有效和被撤销两种状态，还有“未激活的”（有效但不被系统认可）、“被临时撤销”（可随时恢复有效状态）以及“不属于任何人的”等等状态。这一些状态的设置在一定程度上丰富了整个系统的证书管理功能。

图3-1 证书状态为活跃的查找结果

4.改变证书状态 程序中提供的对证书的操作有激活证书、永久撤销以及临时撤销。激活证书是先查看处于未激活状态或是临时撤销的证书，认可其签发的有效性后，将其激活，表明证书已被系统认可。临时撤销的证书可以使用激活证书将其激活。永久撤销证书表明这个证书由于某种原因使得这个证书的有效性不再得以保证，在选择完撤销原因后，可以将其永久撤销。5.导出PKCS12证书

通过操作，发现只有处于激活状态的证书才能被导出。首先列出处于激活状态的证书，然后点选一张证书，按【导出证书】按钮，选择保存位置保存得到的证书。

在WINDOWS系统中双击得到的PKCS12文件，出现如图3-2所示的界面。点击下一步，出现如图3-3所示的提示输入密码的界面，可见得到的PKCS12文件是被密码所保护的。输入注册时填入的密码，导入成功。在浏览器中的工具>Internet选项>内容>证书（见图3-4），查找到导入的证书后，看到证书内容与申请时填写的身份信息一致。

图3-2 证书导入向导界面

图3-3密码输入界面

图3-4 证书详细信息

6.生成CRL并查看 在程序中通过对证书的永久撤销操作将一张序列号为7246b2ff9206b7ab的证书撤销，然后在CRL界面中点击【创建CRL】按钮，然后点击【导出CRL】将CRL保存到文件系统。在WINDOWS平台中点击导出的CRL文件，观察可得CRL中的撤销列表包含了我撤销的证书的序列号，如图3-5所示。证书撤销成功。

图3-5 证书撤销

7.设置CA证书策略

1)首先选择CA1作为设置对象。

2)以“普通用户”作为登入角色，设置CA1的信任策略，各项设置如图4-1所示。

3)完成信任策略设置后，再进行主体DN及证书有效期设置，并按下“更改”按钮完成CA1的所有设置。结果如图4-2所示。

4)重新选择“学生”作为登入角色，设置CA1的信任策略，结果与先前设置的结果相符。如图4-3所示。

5)最后按下“导出证书”按钮导出CA1的证书，在IE安装后，证书内容与设置的相符，如图4-4所示。

图4-1 信任策略设置

图4-2 完成信任策略设置

图4-3 可信策略设置

图4-4 IE中的CA1证书

8.设置终端用户证书策略

设置信任策略时，发现终端用户证书中只能设置“证书策略”及“策略映射”扩展项。

9.交叉认证的建立及策略管理 1)选择CA3向CA2建立交叉认证，为此交叉认证证书设置以下信任策略：

(1)路径约束为3(2)名字约束中PermitSubtree：O=test2及ExcludeSubtree:：OU=test3(3)策略约束中RequireExplicitPolicy = 2及InhibitPolicyMapping = 3 设置后按下“签发交叉认证”完成交叉认证。

2)在“已签发的交叉认证”中选择“CA3->CA2”并按下“导出交叉认证证书”按钮，就能得到CA3向CA2签发的交叉认证证书，结果如图5-1所示。

图5-1 CA3向CA2签发的交叉认证

10.证书路径的构建及有效性验证

1)同时签发CA2向CA1的交叉认证、CA3向CA6的交叉认证及CA6向CA1的交叉认证，三个交叉认证都不设置信任策略。2)同时CA1的设置等于“信任管理实验”中CA1的设置。3)建立EE3对EE1的证书路径，返回结果如图5-2所示。

图5-2 证书路径构建结果

4)选择第一条路径进行验证，验证结果为：CA1的Subject DN 与

CA3->CA2的PermittedSubtree不相符。因为CA1证书中设置了主体DN为O=test1，OU=test1所以其主体DN中“O”项与CA3->CA2交叉认证证书中的名字约束中的PermittedSubtree：O=test2不相符，所以证书路径无效。若把CA1的主体DN收改为O=test2，OU=test1，则可顺利通过名字约束检证。

5)修改CA1证书DN后再验证证书路径，验证结果为：EE1路径长度大于CA3->CA2证书的路径约束。因为CA3->CA2证书中定义的路径约束为3，而以CA3为起点，EE1的路径长度为4，超出了CA3信任的范围，所以本路径无效。若要修改此错误，只能撤销CA3->CA2的交叉认证，重新签发，当中策略设置只要把路径约束改为4则可。6)修改了路径约束后，再进行此路径的验证，验证结果为：CA2->CA1必需有一个策略。因为CA3->CA2证书中的策略约束定义了RequireExplicitPolicy=2，所以CA2->CA1证书中没有定义任何证书策略，所以本路径无效。若要修改此错误，只能撤销CA2->CA1的交叉认证，重新签发，当中策略设置只要加入一个证书策略则可。7)完成修改后，再进行此路径的验证，验证结果为：CA1不能用策略映射因为其路径长度少于CA3->CA2的InhibitPolicyMapping的值。因为在“信任管理实验”中，CA1证书设置了策略映射，同时以CA3为起点，CA1的路径长度为2，以于InhibitPolicyMapping的值，因为大于InhibitPolicyMapping的值的证书才能应用策略映射，所以路径无效。要修改此错误，只要把CA1证书的策略映射去掉则可。8)完成以上修改，再进行此路径的验证，验证结果为：经验证后，该证书路径为有效。

11.非对称加密实验： 按照实验步骤完成该实验 12.数字签名实验： 按照实验步骤完成该实验 13.双向认证实验

双向认证的含义就是连接过程中客户端与服务端都建立彼此之间的信任关系，只有相互能够识别和信任，才能够进行正常的访问，有一方不信任另一方，那么连接被中断。

三、实验原理

本次实验设计的实验原理如下：

1.证书的概念 2.证书包含的内容 3.证书的主要用途

4． RA系统是CA的证书发放、管理的延伸，是整个CA中心得以正常运营不可缺少的一部分。与EE和CA完全兼容并可以互操作，支持同样的基本功能。在PKI中，RA通常能够支持多个EE和CA。

注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。注册管理一般由一个独立的注册机构（即RA）来承担。

对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务，可以增强应用系统的安全。

5．在公钥体制环境中，必须有一个可信权威的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。CA正是这样的机构，它是PKI应用中权威的、可信任的、公正的第三方机构。

6．常用证书扩展项的类型及其用处

7．可信信任的概念 8．信任域的策略管理 9．交叉认证的概念 10．交叉认证的策略管理 11．证书路径的建立 12．证书路径有效性验证 13．证书包含的内容 14．证书的实时性原则

四、实验步骤

1．设置实验参数

图1 设置实验参数

2．最终用户证书申请

在申请页面中填写表格，带*的为必填项目。注意填写的内容要符合格式。在日志记录中看到成功消息后表示成功。

图2 最终用户证书申请

3．PKI统一管理

在证书管理中找到刚才申请的证书，激活该证书，然后在注册管理页面中的状态处选择证书已签发，可以看到刚才激活的证书。

图3 证书管理

图4 注册管理

注册管理日志记录

[7:36:16]服务器正在查找新注册的用户,请稍后...[7:36:16]找到7条符合要求的证书申请信息 [7:36:18]系统正在为用户产生RSA密钥对...[7:36:18]密钥对产生

[7:36:18]服务器正在签发证书,请稍候...[7:36:19]证书成功签发且用户信息成功更新 [7:36:19]服务器正在查找新注册的用户,请稍后...[7:36:19]找到6条符合要求的证书申请信息

证书管理日志记录

[7:36:30]服务器查找证书中,请稍后...[7:36:30]找到15个符合要求的证书 [7:36:31]服务器查找证书中,请稍后...[7:36:31]找到9个符合要求的证书 [7:36:32]服务器查找证书中,请稍后...[7:36:32]找到15个符合要求的证书 [7:36:35]服务器查找证书中,请稍后...[7:36:35]找到4个符合要求的证书

[7:36:38]服务器激活了gkmeteor用户的证书 [7:36:38]服务器查找证书中,请稍后...[7:36:38]找到3个符合要求的证书 [7:36:42]服务器查找证书中,请稍后...[7:36:42]找到3个符合要求的证书 [7:36:43]服务器查找证书中,请稍后...[7:36:43]找到15个符合要求的证书 [7:36:44]服务器查找证书中,请稍后...[7:36:44]找到10个符合要求的证书

[7:37:00]保存证书在C:Documents and SettingsAdministrator桌面gkmeteor.cer和C:Documents and SettingsAdministrator桌面gkmeteor.p12成功！

[7:37:12]CRL保存到: C:Documents and SettingsAdministrator桌面gkmeteor.crl

导出证书后，将得到的PKCS12证书在windows系统中打开（双击），输入申请时填写的保护私钥的密码后将证书和私钥导入windows浏览中的证书库中。成功后，点击浏览器中的工具>Internet选项>内容>证书（见图3-2），查找到导入的证书后，查看证书内容是否与申请时填写的身份信息一致。截下相关的图片以及写下相关结论到实验报告中。

之后，将得到的CRL文件在windows系统中打开（双击），见图3-3。查看是否包含操作示例程序时撤销的证书的序列号以及其他相关信息是否正确。截下相关的图片以及写下相关结论到实验报告中。

图5 证书导入向导

图6 Windows中查看证书

图7 Windows中查看CRL

4．交叉认证及信任管理

1.在界面上的“信任关系图”中，不同的图型分别代表根CA证书、子CA证书及终端用户证书，通过点选不同的证书来进行设置。当选择了证书后，在“证书内容”中会显示该证书相应的一些资料。首先选择一张CA证书，进行以下设置。2.对此证书设置一个有效期，可通过界面上的“有效期”进行配置。

3.也可以设置证书的主体DN，在此只提供组织/公司及部门的设置（这项设置影响到交叉认证实验中证书路径有效性的验证）。

图8 信任管理实验

4.可以自行选择是否为此证书添加策略，如果想添加，可以通过按下“设置..”按钮进行策略设置。按下“设置..”后会出现图4-2的对话框，选择登入身份，按下确定后，就会出现图4-3的对话框，此时可以进行策略设置。选择要为此证书设置哪些策略。

图9 角色登入对话框

5.完成所有设置后，按下“更新”按钮，就可以完成设置操作。

5．非对称加密实验

在非对称加密实验的页面中选择刚才激活的证书，并填写刚才设置的用户名和私钥密码。解密之后可以在日志信息中看到解密后的信息。

图10 非对称加密

非对称加密实验(接收方)日志记录 [07:46:16][正常][开始监听端口:8888]

[07:46:25][正常][收到来自ip: /127.0.0.1 的信息 信息为: AAAAgLhr/wvtbhnFb72AIxFcTSQAclBAVkzwsjlT+QzUeTOtpGY/tnb0Zj9fQPGY7mIxlLxbtLFY ncpVfmh6WwqHx7PqmW3KVutXQN4+LOIVGTURwzNgvwPR6n7G3JG7vmNQufxdHLUhC6zp1xMeujB3 OWWY6VJPNgbOevnOq62PcAEn9N66ag2FOqtgLw4KKXLU3N0KOcKJGNe7 请选择相应的证书中的私钥来解密] [07:46:46][正常][正在读取私钥…] [07:46:46][正常][成功读取私钥] [07:46:46][正常][利用私钥解密收到的会话密钥...] [07:46:46][正常][成功解出会话密钥,会话密钥为(BASE64编码): bXrVSp52j3+KrWvcv2dt6VQTLwfa3EWi] [07:46:46][正常][利用会话密钥解密收到的信息...] [07:46:46][正常][成功解得信息,信息为: 螺丝钉解放勒克司]

7． 数字签名实验

导入刚才激活的证书，验证签名，可以在日志信息中看到收到的信息没有被修改。

图11 数字签名实验

数字签名实验(发送方)日志记录 [07:45:01][正常][正在读取私钥…] [07:45:01][正常][成功读取私钥] [07:45:01][正常][正在生成消息摘要(MD5算法)...] [07:45:01][正常][成功生成消息摘要,消息摘要为(BASE64编码): cIkKB//yWj+OjySnK206QQ==] [07:45:01][正常][正在利用私钥签名待发送的消息摘要(RSA算法)...] [07:45:01][正常][完成数字签名,签名后数据(BASE64编码): dvylYbMpDxe0DJhpGNtqdya/4dvJPD3IPcl+En06ZXbFupJ3YO2x9FM1Hb2Owv3qo1VwsjwxrbEi /pT64r9OkOrlOwhCv9PvfWF2YupxI1ag/vqfMYu3agpYVRGJJZk4DOZIqA3YY39EMCTxdZan2uvs 2PMeH2IVACbGCERpbes=] [07:45:01][正常][发送签名后的信息...] [07:45:01][正常][成功发送签名信息]

数字签名实验(接收方)日志记录

[07:44:56][正常][开始监听端口:8889] [07:45:01][正常][收到来自ip: /127.0.0.1 的信息其用户名为: gkmeteor 信息为(BASE64编码): dvylYbMpDxe0DJhpGNtqdya/4dvJPD3IPcl+En06ZXbFupJ3YO2x9FM1Hb2Owv3qo1VwsjwxrbEi /pT64r9OkOrlOwhCv9PvfWF2YupxI1ag/vqfMYu3agpYVRGJJZk4DOZIqA3YY39EMCTxdZan2uvs 2PMeH2IVACbGCERpbes= 请选择相应的证书中的公钥来进行身份认证及收到的信息是否已被修改] [07:45:09][正常][正在读取证书...] [07:45:09][正常][成功读取证书.] [07:45:09][正常][正在读取公钥...] [07:45:09][正常][成功读取公钥,公钥为(BASE64编码): MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDU/dP4J6g9LXtn2i8YarhgyM4pH+2yImt6eOwV k2H+JUG/LaoPxMjZUI5nvVOzzHGNlYGE/isd0Rk+1BFNEUaLYJtAXd6KGlY/ii48mVAVErkZef87 dPYEdwcf1cNDuW7xjUJCnehhortOgv+RpidHqYFllbY6FqVKkt+/GXr2WwIDAQAB] [07:45:09][正常][正在进行身份认证...] [07:45:09][错误][收到的信息的消息摘要为(MD5算法,BASE64编码): cIkKB//yWj+OjySnK206QQ==] [07:45:09][正常][身份得到确认:

Subject DN为: C=China, ST=shanghai, L=minhang, O=cs, CN=sbsong

Serial Number为: ***4261 而且收到的信息没有被修改.]

8．SSL应用实验

选择服务器证书和服务器信任的证书。该步骤我们小组没有实现成功，原因是要在ie中安装服务器信任的证书。

SSL实验日志记录

[07:47:39][正常][请选择服务器出示给客户机的证书：server.keystore] [07:47:43][正常][请选择服务器出示给客户机的证书：server.keystore] [07:47:47][正常][请选择服务器出示给客户机的证书：server.keystore] [07:47:51][正常][已经选择好服务器自己的证书!等待验证] [07:47:51][正常][请选择单向认证或者双向认证!验证时请打开ie浏览器] [07:48:03][正常][证书选择正确,服务器双向认证已经启动，请执行ie访问!] [07:48:03][正常][双向认证(注意):请先在ie中安装服务端信任的证书才能正确访问]

五、实验总结分析

本次网络安全实验，我们做的主要是PKI证书管理。另外我最感兴趣的非对称加密实验和数字签名实验。这两个实验早在信息安全的课上我们就已经接触到了。我记得系庆

六、实验思考题

1． 在本实验环境中，在信息的安全传输上可能存在什么问题？如何解决？ 用户提交的信息可能是私密的个人信息，为防止被第三方截取，应对用户填写的信息在网络中进行传输时进行保护。例如在WEB的HTTP中，可以使用SSL或是TLS进行加密传输。

2． 在本实验环境中，公私钥对将会是以何种方式产生的？ 密钥对由CA生成。

3． 寻找至少一个有申请证书的web站点或技术文档，查看(1)申请证书时所需提供的信息(2)申请信息的安全性如何得到保障(3)独特之处。www.daodoc.comu。edu。cn