数字证书(CA)的申请、安装及应用

一、实验综述

实验名称： 个人数字证书的安装和使用

实验目的： 了解 Certification 及 Certification Authority ，学会在电子邮件中使用数字签名

实验环境： Windows XP Professional Server Pack 2, Internet Explore 6, Outlook Express 6.

实验过程：

下载根证书 >> 申请个人证书 >> 安装个人证书 >> 验证证书的安装 >> 应用证书

二、实验准备知识

１、数字证书(CA证书)简介

数字证书与公钥密码体制紧密相关。在公钥密码体制中，每个实体都有一对互相匹配的密钥：公开密钥（ Pubic Key 公钥）和私有密钥（ Private Key 私钥）。公开密钥为一组用户所共享，用于加密或验证签名，私有密钥仅为证书拥有者本人所知，用于解密或签名。

当发送一份秘密文件时，发送方使用接收方的公钥对该文件加密，而接收方则使用自己的私钥解密。因为接收方的私钥仅为本人所有，其他人无法解密该文件，所以能保证文件安全到达目的地。

一份经过签名的文件如有改动，就会导致数字签名的验证过程失败，这样就保证了文件的完整性。因此以数字证书为核心的加密传输、数字签名、数字信封等安全技术，使得在 Internet 上可以实现数据的真实性、完整性、保密性及交易的不可抵赖性。

２、数字证书的作用

１、身份认证

数字证书中包括的主要内容有：证书拥有者的个人信息、证书拥有者的公钥、公钥的有效期、颁发数字证书的 CA 、 CA 的数字签名等。所以网上双方经过相互验证数字证书后，不用再担心对方身份的真伪，可以放心地与对方进行交流或授予相应的资源访问权限。

２、加密传输信息

无论是文件、批文，还是合同、票据，协议、标书等，都可以经过加密后在 Internet 上传输。发送方用接收方的公钥对报文进行加密，接收方用只有自己才有的私钥进行解密，得到报文明文。

３、数字签名抗否认

在现实生活中用公章、签名等来实现的抗否认在网上可以借助数字证书的数字签名来实现。数字签名不是书面签名的数字图象，而是在私有密钥控制下对报文本身进行密码变化形成的。数字签名能实现报文的防伪造和防抵赖。

３、数字证书应用

１、网上办公

网上办公的主要内容包括：文件的传送、信息的交互、公告的发布、通知的传达、工作流控制、员工培训以及财务人事等其他方面的管理。数字证书的使用可以完美地解决安全传输、身份识别和权限管理这些问题，使网上办公顺畅实现。

２、网上政务

随着网上政务各类应用的增多，原来必须指定人员到政府各部门窗口办理的手续都可以在网上实现。如：网上注册申请、申报、注册、网上纳税、网上审批、指派任务等。数字证书可以保证网上政务应用中身份识别和文档安全传输的实现。

３、网上交易

网上交易主要包括网上谈判、网上采购、网上销售、网上支付等方面。网上交易极大地提高了交易效率，降低了成本。而数字证书可以解决网上身份无法识别、网上信用难以保证等难题的困扰。

三、实验过程

１、下载根证书

连接到： testca.netca.net 。由于证书的申请会在加密方式下进行，而网证通 NETCA 是没有经过验证的 CA ，系统会自动弹出安全警报，点击“是”继续下一步，点查看证书可看到对方证书的详细信息：

确认后进入网证通电子认证系统的主界面：

点击“证书申请”后进入证书申请主界面：

点击“试用型个人数字证书申请”，出于实验目的：

由于是初次安装，按照提示，选择“安装证书链”：

由于该网站没有经过安全确认（未安装根证书），在弹出的对话框中确定（选“是”）以继续下一步：

确定以上对话框就可完成根证书的安装，该站点就被确认为信息的机构 CA 了。

角本对话框弹出提示，此时系统提示已经完成证书的安装

２、申请个人证书

系统还要求输入证件号码、出生年月、地址等个人附加资料，以上这些资料与其客服有关，可以不用填写。

资料填写完后会显示《北京网证通科技有限公司（试用型）电子认证服务协议》，点击“继续”后同意以上协议，

３、安装个人证书

在以上步骤中，证书已经申请完毕，并且已经取得一个“证书业务受理号”，通过这个号码和之前设定的密码就可以下载到相应的数字证书。

输入正确，系统会再次显示你填写的个人信息

在安装证书前，系统会再次弹出对话框，确认证书的合法性

在以上对话框中作最后的确定，就可以看到系统提示证书安装成功。

４、验证证书的安装

证书安装完毕，需要进一步验证安装的正确性。在开始菜单中 - 运行“ mmc ”进入控制台：

在控制台中，选择“添加 / 删除管理单元”后，添加“证书”管理单元。如果安装正确，在“个人” >> “证书”一项中就可以看到颁发者为“ NETCA Test Individual CA ”的个人数字证书。

５、应用证书到邮件客户端

证书安装完成要把邮件集成到电子邮件客户端软件 Outlook Express 6 中。打开 Outlook Express 6 ，点击菜单栏“工具” -> “帐户”弹出以下对话框：

选中当前的账户（上图中 Hotmail ）点击属性，进入对此属性的详细配置：

面板中有“常规”、“服务器”、“连接”、“安全”四个选项，选中“安全”，可以看到有“证书”一栏，点击右边的选择：

此时可以看到刚刚安装完成的 NETCA TEST 证书，确定后证书就集成到邮件的账户中了。

四、实验中的问题及思考

问题１： 开始在 Outlook 账户的“证书”一栏中看不到已经安装的证书。

解决方案： 在第一次使用时没有对 Outlook 创建账户，先下载了证书后创建账户，证书就无法集成到账户中，重新安装证书就可以解决

五、实验心得

通过本次实验我学会了如何下载安装数字证书，及如何把证书集成到电子邮件客户端系统中。通过实践对 Certification 和 Certification Authority 的机制有了进一步了解。在 Windows 系统中管理数字证书，还需要进一步的学习。同时，在网上搜索资料时发现，在 Windows 　 Server 中安装 Certification Authority 服务就可以把任何一台服务器配置成 CA 。一个企业可以通过这一方法在域内发布自己的数字证书进行安全验证。

而通过和上一实验“加密”对比，对 PKI 又有了进一步的认识。

本文转自hexianguo 51CTO博客，原文链接： http://blog.51cto.com/xghe110/89988 ，如需转载请自行联系原作者