一、实验概述
1.主要环节
(1).了解XCA软件的基本功能
(2).通过XCA创建根证书
(3).通过XCA创建证书模板
(4).创建实体证书
2.理论介绍
数字证书是网络通信中标志通信实体身份信息的一系列数据,其作用类似于现实生活中的身份证。身份证中包含人的姓名等描述信息,数字证书中也包含了通信实体的基本描述信息:身份证中包含身份证号,用来标识每一个人,数字证书中包含通信实体的公钥。身份证中包含国家公共安全机关的签章,所以具有权威性,数字证书中包含可信任的签发机构的数字签名,这个签发机构称为CA(CertificateAuthority,证书颁发机构)。
X.509证书是广泛应用的一种数字证书,是国际电信联盟电信标准化部门(ITU-T)和国际标准化组织(SO)的数字证书标准。X.509证书支持身份的鉴别与识别、完整性、保密性及不可否认性等安全服务。
X.509证书主要有两种类型:最终实体证书和CA证书。
(1)最终实体证书是认证机构颁发给最终实体的一种证书,该实体不能再给其他的实体颁发证书。
(2)CA证书也是认证机构颁发给实体的,但该实体可以是认证机构,它可以继续颁发最终实体证书和其他类型证书。
PKCS12证书:PKCS12将X509证书及其相关的非对称密钥对通过加密封装在一起。这使得用户可以通过PKCS12证书获取自己的非对称密钥对和X509证书。许多应用都使用PKCS12标准作为用户私钥和X509证书的封装形式。因此有时将封装了用户非对称密钥对和X.509证书的PKCS12文件称为“私钥证书”而将X509证书称为“公钥证书”
数字证书的工作过程:
如果用户B希望得到用户A的正确公钥,则验证过程如下(前提条件是rootCA是可信的):
(1)用户B获得用户A的数字证书。
(2)如果用户B信任CA2,则使用CA2的公钥验证CA2的签名,从而验证用户A的数字证书;如果用户B不信任CA2,则进入下一步。
(3)用户B使用rootCA的公钥验证CA2的证书,从而判断CA2是否可信
二、安装,运行XCA软件
1.下载地址:
官网:Home
GitHub: https://github.com/chris2511/xca/
本次实验使用的是xca-2.4.0
2.双击xca-2.4.0.msi