实验5-1 CA 证书的安装

2024年4月19日发(作者：)

实验 5-1 CA证书的安装、申请及在Web中的应用

1、实验目的

通过观察和动手实验，使学生更深入理解PKI公钥基础设施中数字证书的作

用，以win2003 server CA中心为例，学会客户端如何从独立CA中心申请数字

证书，CA中心如何签发证书。

2、实验原理

2.1 PKI基础

PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安

全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、

硬件、人员、策略和过程的集合。PKI基于数字证书基础之上，使用户在虚拟的

网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和

不可否认性，为电子商务交易的安全提供了基本保障。

一个典型的PKI系统应包括如下组件：

（1）安全策略

安全策略建立和定义了组织或企业信息安全方面的指导方针，同时也定义了

密码系统使用的处理方法和原则。

（2）证书操作阐述CPS（Certificate Practice Statement）

一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供

服务，所以需要提供CPS给其使用者参考，以供其了解详细的运作机理。CPS是

一些操作过程的详细文档，一般包括CA是如何建立和运作的，证书是如何发行、

接收和废除的，密钥是如何产生、注册和认证的等内容。

（3）证书认证机构CA（Certificate Authority）

CA系统是PKI的核心部分，因为它管理公钥的整个生命周期。CA的作用主

要包括如下几个方面：

发放证书，用数字签名绑定用户或系统的识别号和公钥。

规定证书的有效期。

通过发布证书废除列表（CRL）确保必要时可以废除证书。

（4）注册机构RA（Registration Authority）

RA是CA的组成部分，是用户向CA申请服务的注册机构，它负责接收用户

的证书申请，审核用户的身份，并为用户向CA提出证书请求，最后将申请的证

书发放给用户。

（5）证书分发系统CDS（Certificate Distribution System）

证书通过证书分发系统对外公开发布，用户可在此获取其它用户的证书。证

书的发布可以有多种途径，比如，用户可以自己发布，或是通过目录服务器向外

发布。

（6）基于PKI的应用接口

PKI是一个安全框架，它的价值在于使用户能够方便地使用加密、数字签名

等安全服务，为此一个完整的PKI必须提供良好的应用接口，可以在此基础上提

供多种安全应用服务。

2.2 数字证书

数字证书相当于我们平常使用的身份证，身份证用于标明使用者的身份，数

字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，

在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决

相互间的信任问题。

数字证书是经证书认证机构数字签名的，包含用户身份信息、用户公开密钥

信息的一个文件。由于证书是由证书认证机构颁发的，有证书认证机构的数字签

名，所以证书的拥有者是被证书认证机构所信任的。如果可以信任证书认证机构，

则完全可以信任证书的拥有者。所以通过证书，可以使证书的拥有者向系统中的

其它实体证明自己的身份。

数字证书的存储格式标准有多种，X.509是最基本的证书存储标准格式。X.509

格式的数字证书结构如下图所示。

证书的版本

证书序列号

签名算法标识

证书签发机构名

证书有效期

证书持有者用户名

证书用户公钥信息