创建和管理数字证书

一、实验概述

1.主要环节

（1）.了解XCA软件的基本功能

（2）.通过XCA创建根证书

（3）.通过XCA创建证书模板

（4）.创建实体证书

2.理论介绍

数字证书是网络通信中标志通信实体身份信息的一系列数据，其作用类似于现实生活中的身份证。身份证中包含人的姓名等描述信息，数字证书中也包含了通信实体的基本描述信息:身份证中包含身份证号，用来标识每一个人，数字证书中包含通信实体的公钥。身份证中包含国家公共安全机关的签章，所以具有权威性，数字证书中包含可信任的签发机构的数字签名，这个签发机构称为CA(CertificateAuthority，证书颁发机构)。

X.509证书是广泛应用的一种数字证书，是国际电信联盟电信标准化部门(ITU-T)和国际标准化组织(SO)的数字证书标准。X.509证书支持身份的鉴别与识别、完整性、保密性及不可否认性等安全服务。

X.509证书主要有两种类型:最终实体证书和CA证书。

(1)最终实体证书是认证机构颁发给最终实体的一种证书，该实体不能再给其他的实体颁发证书。

(2)CA证书也是认证机构颁发给实体的，但该实体可以是认证机构，它可以继续颁发最终实体证书和其他类型证书。

PKCS12证书：PKCS12将X509证书及其相关的非对称密钥对通过加密封装在一起。这使得用户可以通过PKCS12证书获取自己的非对称密钥对和X509证书。许多应用都使用PKCS12标准作为用户私钥和X509证书的封装形式。因此有时将封装了用户非对称密钥对和X.509证书的PKCS12文件称为“私钥证书”而将X509证书称为“公钥证书”

数字证书的工作过程：

如果用户B希望得到用户A的正确公钥，则验证过程如下(前提条件是rootCA是可信的):

(1)用户B获得用户A的数字证书。

(2)如果用户B信任CA2，则使用CA2的公钥验证CA2的签名，从而验证用户A的数字证书；如果用户B不信任CA2，则进入下一步。

(3)用户B使用rootCA的公钥验证CA2的证书，从而判断CA2是否可信

二、安装，运行XCA软件

1.下载地址：
官网：Home
GitHub: https://github.com/chris2511/xca/

本次实验使用的是xca-2.4.0

2.双击xca-2.4.0.msi