网络安全毕业论文5.doc

《网络安全毕业论文5.doc》由会员分享，可在线阅读，更多相关《网络安全毕业论文5.doc（36页珍藏版）》请在三一办公上搜索。

1、四川信息职业技术学院毕业设计说明书(论文)设计(论文)题目:数字证书在网络安全中的典型应用专 业: 计算机网络技术 班 级: 计网09-1班 学 号: 0944069 姓 名: 李 婷 指导教师: 陈 新 华 2011 年 11 月 28 日目 录摘 要1第1章 概 述2第2章 数字证书原理4第3章 数字证书的颁发6第4章 SSL证书应用84.1 SSL证书安全认证的原理84.2 SSL证书的功能84.3 SSL应用94.3.1 安装“证书服务”Windows组件。94.3.2 在服务器创建服务器证书请求。134.3.3 申请并安装服务器证书请求164.3.4 客户端通过SSL安全通道建立和服

2、务器的连接。224.3.5 申请并安装客户端证书。28致 谢33参考文献34摘 要随着网络技术的飞速发展，网上办公、网上购物、网上炒股、网上娱乐、网上贸易、网上理财以及网上求职等纷纷大行其道，电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了某些敏感或有价值的数据被滥用的风险。如何防范风险，增强网上安全问题显得尤为重要。为了保证互联网上电子交易及支付的安全性，保密性等，防范交易主支付过程中的欺诈行为，必须在网上建立一种信任机制。加强网上安全有多种技术措施和手段，下面就通过数字证书的概述，原理，颁发过程以及SSL证书应用来详细说明其是加强网上安全的一种有效方

3、式。关键词：数字证书概述、原理、颁发过程、SSL应用第1章 概 述数字证书，英文名称digital certificate。数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发的证书。 CA中心是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。 它能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证

4、书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。 由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性，保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。 数字证书特点有：安全性为了避

5、免传统数字证书方案中，由于使用不当造成的证书丢失等安全隐患，支付宝创造性的推出双证书解决方案：支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员当前所使用的计算机。 第二张证书不能备份，会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取，仍可保证其账户不会受到损失。支付盾是一个类似于U盘的实体安全工具，它内置的微型智能卡处理器能阻挡各种的风险，让您的账户始终处于安全的环境下。目前，为保证电子邮件安全性所使用的方式是数字证书。 唯一性：支付宝数字证书根据用户身份给予相应的网络资源访问权限，申请使用数字证书后，如果在其他电脑登录支付宝账

6、户，没有导入数字证书备份的情况下，只能查询账户，不能进行任何操作，这样就相当于您拥有了类似“钥匙”一样的数字凭证，增强账户使用安全。 方便性：即时申请、即时开通、即时使用。量身定制多种途径维护数字证书，例如通过短信，安全问题等。不需要使用者掌握任何数字证书相关知识，也能轻松掌握。第2章 数字证书原理数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥

7、解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已 图2-1公钥加密、私钥签名的过程知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密 钥对发送的信息进行加密，安全地传送给商户，

8、然后由商户用自己的私有密钥进行解密，如图2-1所示。 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认 保证信息自签发后到收到为止未曾作过任何修改，签发文件是真实文件。 数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。 数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，所不

9、同的是数字证书不再是纸质的证照，而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。第3章 数字证书的颁发CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权,CA是可以信任的第三方。CA也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。 如果用户想得到一份属于自己的证书，他应先向 CA 提出申请

10、。在 CA 判明申请者的身份后，便为他分配 一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。 如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。 数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。 目前全国各地现在均成立了各省市自己的CA公司，为本地企业提供商用数字证书。 CA中心作为国家认可的、权威、可信、公正的

11、第三方机构，专门负责发放并管理所有参与网上业务的实体所需的数字证书，数字证书是网络世界中的身份证，可以在网络世界中为互不见面的用户建立安全可靠的信任关系，而这种信任关系的建立则源于PKI/CA认证中心，构建安全的PKI/CA认证中心是至关重要的。因为，如果PKI/CA认证中心安全性不够，非法用户可能入侵PKI/CA认证中心，扰乱认证中心正常运行；一些有别有用心的人可能利用认证中心潜在安全漏洞（政策、合同、服务等），对认证中心进行攻击，造成不可估量的社会影响。 在当前环境下，为了让用户切实感到CA中心所提供的服务是安全可信的，保证认证中心各项业务正常运行，规避潜在的安全隐患，从而推动电子政务、电

12、子商务等对信任机制要求较高的网上业务的发展，CA中心必须加强信息安全管理以切实获得用户的信任，消除用户残余的安全忧虑。 数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。第4章 SSL证书应用4.1

13、 SSL证书安全认证的原理安全套接字层 (SSL) 技术通过加密信息和提供鉴权，保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。4.2 SSL证书的功能确认网站真实性（网站身份认证）：用户需要登录正确的网站进行在线购物或其它交易活动，但由于互联网的广泛性和开放性，使得互联网上存在着许多假冒、钓鱼网站，用户如何来判断网站的真实性，如何信任自己正在访问的网站，可信网站将帮你确认网站的

14、身份。 保证信息传输的机密性：用户在登录网站在线购物或进行各种交易时，需要多次向服务器端传送信息，而这些信息很多是用户的隐私和机密信息，直接涉及经济利益或私密，如何来确保这些信息的安全呢？可信网站将帮您建立一条安全的信息传输加密通道。在SSL会话产生时，服务器会传送它的证书，用户端浏览器会自动的分析服务器证书，并根据不同版本的浏览器，从而产生40位或128位的会话密钥，用于对交易的信息进行加密。所有的过程都会自动完成，对用户是透明的，因而，服务器证书可分为两种：最低40位和最低128位（这里指的是SSL会话时生成加密密钥的长度，密钥越长越不容易破解）证书。 最低40位的服务器证书在建立会话时，

15、根据浏览器版本不同，可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥，实现高级别的加密强度，无论是IE或Netscape浏览器，即使使用强行攻击的办法破译密码，也需要10年。4.3 SSL应用 在这一章中将通过实验来介绍如何实现客户机和服务器之间的SSL安全通信。在具体实验之前，先对实验整体思路做一个描述。实验中使用两台计算机，一台作为客户端，客户机通过IE浏览访问服务器的WEB站点。服务器通过向证书颁发机构(CA)申请并安装服务器证书，并要求客户机通过SSL安全通道连图4-1安装“证书

16、服务”组件接，从而可以保证双方通信的保密性、完整性和服务器的用户身份认证。同时，可以通过在客户机上申请并安装客户端证书，实现客户机的身份认证。实验目的:通过申请、安装数字证书，掌握使用SSL建立安全通信的方法。实验原理:SSL协议的工作原理、数字证书的原理。实验环境:作为服务器的计算机预装Windows Server 2003操作系统，作为客户端的计算机预装Windows xp,两台计算机通过网络相连。4.3.1 安装“证书服务”Windows组件。由于在后面的实验过程中需要向证书颁发机构申请数字证书，因此必须先在作为服务器的计算机上安装“证书服务”组件，使之成为一个证书颁发机构，具体实现步骤

17、如下介绍。(1)默认情况下WindowsXP/Server2003没有安装证书服务，需要通过控制面板的添加/删除Windows组件来安装“证书服务”，如图4-1所示。这里需要 图4-2 选择CA类型注意的是，在安装了证书服务后，计算机名和域成员身份都不能改变，因为计算机名到CA信息的绑定存储在Active Directory中。更改计算机名和域成员身份将使此CA颁发的证书无效。因此，安装证书服务之前，要确认已经配置了正确的计算机名和域成员身份。(2)在CA类型对话框中选中单选按钮，如图4-2所示，然后单击按钮继续。(3)在CA识别信息对话框中为安装的CA起一个公用名称，这里用“crn”，“可分

18、辨名称后缀”可以不填，“有效期限”保持默认5年即可如图4-3所示。图4-3 填写CA识别信息图4-4 设置证书数据库位置(4)在证书数据库设置对话框中保持默认设置即可，因为只有保证默认目录，系统才会根据证书类型自动分类和调用，如图4-4所示。图4-5 “证书颁发机构” 对话框 图4-6 Web服务器证书向导(5)配置好所需的参数后，系统会安装证书服务组件，当然需要在安装的过程中插入Windows Server2003的安装盘。安装完成后，在“开始”“程序”“管理工具”中，可以看到“证书颁发机构”对话框，打开后如图4-5所示。至此，已经安装好一个证书颁发机构，在图4-5中可以看到，此时没有颁发过

19、任何证书。4.3.2 在服务器创建服务器证书请求。为了在服务器申请并安装服务器证书，必须先创建服务器证书请求，具体实现步骤介绍如下。(1) 在Web站点的“目录安全性”选项卡中，单击“安全通信”选项区域按钮，打开Web服务器证书向导，如图4-6所示。(2) 单击按钮，显示如图4-7所示的服务器证书对话框，选中新建证书单选按钮来新建一个服务器证书。图4-7 选择为站点分配证书的方法(3) 单击按钮，显示如图4-8所示的名称和安全性设置对话框，用于设置新证书的名称和密钥长度。(4) 单击按钮，显示如图4-9所示的单位信息对话框，用来设置该证书所包含单位的相关信息，以便和其他单位的证书区分开。(5)

20、 单击按钮，显示如图4-10所示的公用名称对话框，在这里输入站点的公用名称。该公用名称要根据服务器而定，如果服务器位于Internet上，应使用有效的DNS名；如果服务器位于Intranet上，可以使用计算机的NetBIOS名。如果公用名称发变化，则需要获取新证书。图4-8 设置新证书的名称和密钥长度 图4-9 设置证书的单位信息 图4-10 输入站点的公用名称 图4-11 填写地理信息 图4-12 输入证书请求的文件名图4-13 请求文件摘要(6) 单击按钮，显示如图4-11所示的地理信息对话框，证书颁发机构都会要求提供一些地理信息。(7) 单击按钮，显示如图4-12所示的证书请求文件名对话

21、框，用来指定要保存的证书请求的文件和路径。这里保存到c:certreq.txt文件中。 图4-14 完成创建Web服务器证书请求 图4-15 服务器证书请求文件内容(8) 单击按钮，显示如图4-13所示的请求文件摘要对话框，显示了前面设置的所有信息。(9) 单击按钮完成Web服务器证书向导，如图4-14所示。至此，创建了一个服务器证书请求，并保存在文件c:certreq.txt中，如图4-15所示。4.3.3 申请并安装服务器证书请求有了证书请求文件后，服务器就可以通过证书颁发机构组件CertSrv申请服务器证书。服务器提交证书申请后，证书颁发机构审核并颁发证书。颁发后的服务器证书从证书颁发机

22、构导出后，可以在服务器上安装。这就完成了服务器证书的申请和安装工作，具体步骤如下。(1)在服务器上打开IE浏览器，输入“http:/localhost/certsrv”,其中“localhost”为服务器的地址。如果IIS工作正常，证书服务安装正确，就会出现Microsoft证书服务界面，如图4-16。图4-16 Microsoft 证书服务界面图4-17 提交证书申请界面 图4-18证书挂起界面(2)单击其中的“申请一个证书”超链接，并在接下来的两个申请证书类型界面中依次选择“高级证书申请”和“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS

23、#7文件续订证书申请”,将出现如图4-17所示的提交证书申请界面。在该界面中，将前面保存的服务器证书请求文件c:certreq.txt的内容(即图4-15显示的文件内容)完整复制到“保存的申请”文本框中，并单击“提交”按钮提交证书申请。图4-19 证书颁发机构管理员颁发证书(3)当出现如图4-18所示的证书挂起界面时，说明证书申请已经被证书颁发机构收到，必须等待管理员颁发证书。(4)此时，在如图4-5所示的“证书颁发机构”对话框中，可以在“挂起的申请”文件夹中看到刚才提交的服务器证书申请。此时，可以在该证书上右击，再在弹出的快捷菜单中选择“所有任务”“颁发”命令以颁发此证书，如图4-19所示。

24、图4-20 已经颁发的证书 (5)管理员颁发证书后，在“颁发的证书”文件夹中就能到已经颁发的了的证书，如图4-20所示。 图4-21 服务器证书信息 图4-22 选择证书导出文件格式(6)双击该证书，可以在弹出的对话框中查看证书的详细信息，如图4-21所示。在每个证书信息对话框中可以看到证书的作用(目的)、所有者、颁发者和有效期，这正是数字证书的几个要素。从图中可以看到这个证书的目的是客户机用来保证远程计算机(服务器)的身份的。(7)在图4-21所示的对话框中选择“详细信息”选项卡，单击按钮，将启动证书导出，用于将该证书导出成文件。在证书导出向导中，需要选择导出证书的格式，如图4-22所示。在

25、这里，选择Base64编码X.509的文件格式。下面简单介绍一下可以用于证书导出和导入的几种文件格式。A、DER编码二进制X.509：卓越编码规则(DER)X.509为证书和其他用于传输文件的编码定义了一种平台独立性的方法。也就是说，这种方法适合使用任何一种操作系统的计算机。如果要将证书用于其他非Windows的操作系统上，就可以使用这种文件类型。这种文件类型使用.cer或.crt的文件扩展名。B、ase64编码X.509:这也是一种X.509格式，该X.509R的变体采取了一种为配合S/MINE(一种在Internet上安全发送电子邮件附件的标准方法)使用而设计的编码方法。整个文件作为ASC

26、II字符编码，可以保证其不受损坏地通过不同的邮件图4-23设置要导出的文件的文件名网关。这种文件类型使用.cer或.cet的文件扩展名。C、息语法标准PKCS#7证书：与X.509格式不同的是，PKCS(公钥加密标准)#7证书允许您将一个证书及其证书路径中的所有联合到一个文件中，这样，将一个受信任的证书从一台计算机移到另一台计算机上就会变得容易。这种文件类型使用.p7b的文件扩展名。D、个人息交换PKCS#12：这种格式有时又被称为“私人交换格式”，它允许将证书与它对应的私钥一起转换。这是唯一能包括私钥的格式。如果要允许将私钥包含进去，该私钥就必须标记为可导出，这是由颁发原始证书的CA来控制的

27、。这种文件类型使用.pfx或.p12的文件扩展名。对于包括加密证书或其他带有私钥的证书的导出文件，使用PKCS#12。(包含私钥只是为了备份或在本地计算机上安装，不要将带有私钥的证书发送给其他人)对于想要导入到运行Windows操作系统的计算机的证书，使用PKCS#7。运行其他操作系统的计算机可能不支持PKCS#7，为了创建一个能用到这种计算机上的证书，可以使用任何一种X.509格式的证书。X.509格式是接受程度最广泛的证书格式。(8)将服务器证书导出为：c:shenzhen.cer文件，如图4-23所示。 图4-24 “挂起的证书请求”对话框 图4-25 安装证书的摘要信息(9)打开服务器

28、的Internet信息服务(IIS)管理器，在Web站点的“目录安全性”选项卡中，单击“安全通信”选项区域的按钮启动Web服务器证书向导，通过该向导来安装刚刚导出的服务器证书。在如图4-24所示的“挂起证书请求”对话框中，选中单选按钮。(10)在随后出现的对话框中需要指定证书文件的名称和路径，并为网站指定SSL端口号(一般指定为“443”)，就可以完成Web服务器证书的安装了。安装证书的摘要信息如图4-25所示。4.3.4 客户端通过SSL安全通道建立和服务器的连接。在服务器上安装了服务器证书后，就可以通过设置要求客户机通过SSL安全通道和服务器建立连接，具体实现步骤如下。(1) 打开服务器的

29、Internet信息服务(IIS)管理器，在Web站点的“目录安全性”选项卡中，单击“安全通信”选项区域的按钮，打开“安全图4-26 “安全通信” 对话框 图4-27 客户机通过HTTP访问Web站点情况通信”对话框，如图4-26所示。在该对话框中，选中和复选框，要求SSL安全通道。(2)此时，如果在客户机的IE浏览器中直接输入http:/localhost来访问服务器的Web站点，将显示“该页必须通过安全通道查看”如图4-27所示。客户机需要在访问的地址前输入“https:/”并按回车键，也就是通过SSL安全通道建立和Web站点的通信。(3)在客户机的IE浏览器中输入https:/local

30、host来访问Web站点(客户机通过浏览器获得服务器证书)，出现如图4-28所示的安全警报。此时，如果单击其中的“是”按钮，则表示客户机信任了证书持有人(服务器)身份，将建立客户机和服务器的SSL安全通道连接。如果用户要进一步验证该服务器证书的合法性(通过验证数字证书上由证书颁发机构的数字签名来验证其合法性)，可以单击其中的 图4-28 客户机访问Web站点时的安全警报 图4-29 对应的证书信息按钮，打开如图4-29的证书信息对话框以查看证书的详细信息，从而决定是否通过验证。在这里可以看到，由于该证书不是由客户机所信任的根证书颁发机构所颁发的，所以出现了图4-28所示的第一个标识。另外，由于

31、在客户机的IE浏览器中输入的访问站点名称(localhost)和证书所有者的名称(win2003)不一致，所以出现了图4-28所示的第二个标识。客户端用户如果对这些警告标识所提示的内容表示怀疑，可以单击图4-28中的按钮不通过验证(也就是不建立SSL安全通道连接)。 图4-30 证书颁发机构属性页 下面将通过一系列的的配置来消除图4-28中的这两个警告标识，以使客户端用户放心地访问服务器的Web站点。 图4-31 CA的证书信息为了排除第一个警告标识所提示的内容，需要将根证书颁发机构的证书导出，并安装到客户机证书存储区的“受信任的根证书颁发机构”中(当然做这个操作的前提条件是：客户端用户认为该

32、根证书颁发机构可以信任)，具体实现步骤如下。A、在证书颁发机构对话框中，右击证书颁发机构，选择“属性”命令打开其属性页，如图4-30所示。B、在证书颁发机构属性界面中选择“常规”选项卡并单击按钮，可以看到证书的详细信息。如图4-31所示。图4-32 选择证书导出文件格式C、在图4-31所示的对话框中选择“详细信息”选项卡，单击按钮，将启动证书导出向导，用于将该根证书颁发机构的证书导出到一个文件中。在证书出向导中，需要选择导出证书的文件格式，如图4-32所示。在这里，选择加密消息语法标准PKCS#7证书的文件格式。D、将该CA的证书导出为c:root.p7b文件，如图4-33所示。E、将导出的C

33、A的证书文件root.p7b发送给客户机，在客户机上通过IE浏览器将该证书导入到“受信任的根证书颁发机构中”。在客户机上打开IE浏览器，选择“工具”“Internet选项”命令，打开“Internet”选项对话框，选择其中的“内容”选项卡，如图4-34所示。图4-33 设置要导出的文件的文件名 图4-34 Internet选项对话框F、单击“证书”选项区域中的按钮，打开证书信息对话框，如图4-35所示。G、单击其中的按钮，以启动证书导入向导，将前面从证书颁发机构导出的CA的证书文件c:root.p7b导入到客户机的证书存储区。由于这部分的操作步骤和前面介绍的证书导出操作类似，不再重复，读者可以

34、自行完成。 图4-35 证书信息对话框 图4-36 客户机访问Web站点时的安全警报H、将CA的证书导入到客户机的证书存储区后，表示客户机已经信任了该CA颁发的证书。此时再通过https:/localhost来访问服务器的Web站点时，就不会出现图4-28所示的第一个安全警告标识，如图4-36所示。为了排除图4-28所示的第二个警告标识所提示的内容，只要在访问服务器的Web站点输入站点的DNS或NetBIOS名称就可以了(如果服务器位于Internet上，输入有效的DNS名；如果服务器位于Intranet上，输入计算机的NetBIOS名)。4.3.5 申请并安装客户端证书。通过前面的学习已经知

35、道，数字证书是用来确保证书持有者身份的一种机制。根据其保证对象的不同可以分成服务器证书和客户端证书。前面讲的服务器证书是服务器用来向客户端用户证明自己身份的；而客户端证书则是客户端用来向服务器证明自己身份的。下面，通过实验来学习如何申请并安装客户证书。(1)在服务器端的计算机上，打开Internet信息服务(IIS)管理器，在Web站点的“目录安全性”选项卡中，单击“安全通信”选项区域的按钮，打开“安全通信”对话框。在“安全通信”对话框中，选中“客户端证书”选项区域中的单选按钮，表示要求客户端在连接该Web站点时必须提供客户端证书。(2)这时在客户端的计算机上，打开IE浏览器，通过输入http

36、s:/localhost访问Web站点，会弹出“选择数字证书”对话框。由于没有安装客户端证书，因此选择数字证书的对话框中没有可以选择的证书。如果直接单击“确定”按钮，会出现 “该页要求客户证书”提示，无法正常访问。图4-37 填写WEB浏览器证书识别信息(3)为了在客户机上申请安装客户证书，必须先在服务器上取消第(1)步中所设置的“要求客户端证书”，改为选中单选按钮。(4)在客户机上访问https:/localhost/certsrv, 打开如图4-16所示的证书服务页面。单击其中的“申请一个证书”超链接，并在接下来的申请证书类型界面中选择“Web浏览器证书”，出现如图4-37所示的界面。在其

37、中填写Web浏览器证书的识别信息，并单击“提交”按钮提交证书申请。(5)在弹出的“潜在的脚本冲突”提示对话框中，单击“是”按钮继续证书申请。图4-38 证书挂起界面当出现如图4-38所示的证书挂起界面时，说明证书申请已经被证书颁发机构收到，必须等待管理员颁发证书。(6)按照前面在4.3中介绍的方法，在服务器的证书颁发机构对话框中，审核并完成该客户端证书的颁发。(7)CA颁发证书后，在客户机上访问https:/localhost/certsrv，回到证书服务页面。单击其中的“查看挂起的证书申请的状态”超链接，并在接下来出现的界面中选择刚才申请的证书(如果有多个证书，可以通过申请时间来识别)，将出

38、现如图4-31所示的界面。(8)单击其中的“安装此证书”超链接，可以完成客户端数字证书的安装。在安装前会出现“潜在脚本冲突”的提示对话框，直接单击“是”按钮即可。图4-39 查看申请的证书状态(9)恢复服务器的“安全通信”对话框中的设置。在客户端通过https:/localhost访问Web站点，会弹出如图4-40所示的“选择数字证书”对话框。这时，可以选定刚刚安装的客户端证书“client”。 图4-40 选择客户端数字证书 图4-41 客户端证书信息(10)单击按钮，可以查看该证书的详细信息，如图4-41所示。从图4-41中可以看到这个证书的目的是客户机用来向远程计算机(服务器)证明自己身

39、份。(11)单击图4-40所示对话框中的“确定”按钮，访问Web站点。到此，完成了整个数字证书的安装和使用实验。需要说明的是，尽管SSL能提供实际不可破译的加密功能，但是SSL安全机制的实现会大大增加系统的开销，增加了服务器CPU的额外负担，使SSL加密传输的速度大大低于非加密传输的速度。因此，为了防止整个Web网站的性能下降，可以考虑只把SSL安全机制用来处理高度机密的信息，如提交包含信用卡信息的表格。致 谢三年时光，转瞬即逝。在此即将毕业之际，向众多给予我帮助和建议的老师、亲人、朋友和同学们表示衷心的感谢！我首先要感谢的是我的指导师，陈老师。陈老师渊博的知识、踏实的治学风格和认真负责的精神

40、让我受益匪浅，他是我学习的榜样。耐心指导我毕业论文如何写作，注意事项，错误改进；这些日子以来的进步离不开陈老师的帮助。最后我要特别感谢远在营山的我的父母，是您们含辛茹苦的养育了我二十多年，从您们长满老茧的双手以及饱经风霜而布满皱纹的面颊上就可以知道您们对我付出了多少辛劳和汗水。我为我一直不能长时间陪伴二老而感到十分愧疚。养育之恩当涌泉相报，我会继续努力取得更好的成绩，不辜负您们的期望。还要感谢我的姐姐是你每月用自己微薄的工资给我交生活费用是你给了我前进的动力！还有所有的亲戚朋们我在这里由衷地感谢你们的鼓励与支持，谢谢！参考文献1信息安全技术教程 荆继武 主编 中国人民公安大学出版社2计算机网络安全技术（第2版） 石淑华 池瑞楠 编著 人民邮电出版社3数字证书应用技术指南 中国商用密码认证体系结构研究课题组编著 电子工业出版社4网络设备互联技术梁广民 王隆杰 编著 清华大学出版社5网络互联技术蔡学军 梁广民 编著 高等教育出版社