云计算与网络安全之数字签名与认证指导

内容提要

数字签名概述

CA认证与数字证书

数字证书实战

一、数字签名概述

1、数字签名

数字签名（digital signature）就是附加在数据单元上的一些特殊数据，或是对数据单元所作的密码变换。

这种数据或变换允许数据单元的接收者来确认数据单元的来源和数据单元的完整性，防止被人伪造。

2、公钥密码技术用于数字签名

目前数字签名主要是采用基于公钥密码体制的算法，这是公开密钥加密技术的另一种重要应用。

3、数字签名算法

目前，广泛应用的数字签名算法主要有RSA签名、DSS(数字签名系统)签名和Hash签名。这三种算法可单独使用，也可混合在一起使用。

4、PKI

PKI（Public Key Infrastructure，公钥基础设施）是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

二、CA认证与数字证书

1、CA认证

CA（Certificate Authority，认证机构）是PKI的主要组成部分和核心执行机构，一般简称为CA，业界通常称为认证中心。CA是一种具有权威性、可信任性和公正性的第三方机构。

CA的组成主要有证书签发服务器、密钥管理中心和目录服务器。

2、数字证书

CA认证中心所发放的数字证书就是网络中标志通信各方身份信息的电子文件，它提供了一种在Internet上验证用户身份的方式。

数字证书简称证书，是PKI的核心元素，是数字签名的技术基础。数字证书可证明某一实体的身份及其公钥的合法性，以及该实体与公钥二者之间的匹配关系。

三、数字证书实战

1、安装证书服务

第1步：在Windows组件中安装证书服务。点击“程序”→“设置”→“控制面板”→“添加/删除Windows 组件”，勾选“证书服务”复选框，点击“下一步”按钮，如图

第2步：证书通过Web注册。在“证书服务”对话框中，勾选“证书服务CA”和“证书服务web注册支持”，点击“确定”按钮，即可安装证书服务。

2、创建企业根CA

CA的类型包括企业根CA、企业从属CA和独立根CA。

下面以企业根CA为例，介绍Microsoft 证书服务的安装过程。

第1步：在“CA类型”页面，选择“企业根CA”，并勾选“用自定义设置生成密钥对和CA证书(U)”项，点击“下一步”按钮，出现“公钥/私钥对”页面。

第2步：在“CSP(C)”列表框里选择对应的加密算法提供方，在“散列算法(H)”列表框里选择欲使用的加密算法，点击“下一步”按钮。

第3步：在“CA识别信息”对话框中，可以修改对应的内容，点击“下一步”按钮。

第4步：在“证书数据库设置”对话框中，分别选择证书数据库、数据库日志和配置信息的保存位置，建议不要保存在操作系统的安装目录下。

第5步：系统提示“要安装完成，证书服务必须暂时停止Internet信息服务。

第6步：在随后出现的页面中，点击“完成”按钮，即完成“Microsoft 证书服务”的安装。

3、为Web服务器申请CA认证

（1）证书申请过程

第1步：打开“IIS 管理器”，右击“默认网站”选择“属性”，在“目录安全性”选项卡下单击“安全通信”的“服务器证书”按钮，开始证书的申请。

第2步：在出现的“服务器证书”页面，选择网站分配证书的方法，如选择“新建证书”。

第3步：在“延迟或立即请求”页面，选择“现在准备证书请求，但稍后发送(P)”，点击“下一步”按钮。

第4步：在“名称和安全性设置”页面，输入新证书名称，选择密钥的位长，点击“下一步”按钮。

第5步：在“单位信息”页面，输入单位和部门信息。

第6步：在出现的页面中，按要求输入站点公用名称，点击“下一步”按钮。

第7步：在出现的页面中输入站点地理信息，如国家(地区)、省/自治区和市县。

第8步：在出现的页面中输入证书请求的文件名。

第9步：在出现的页面中输出请求文件摘要，点击“下一步”按钮后，即完成Web服务器证书的申请。

申请过程中生成了文本文件certreq.txt，如图所示，此文件将提交给CA。

（2）提交证书申请

如果在生成服务器证书的申请过程中选择了“立即将证书请求发送到联机证书颁发机构”，在生成证书的申请后，即可提交证书申请。操作步骤如下：

第1步：用记事本打开证书请求文件，如c:\certreq.txt，复制所有内容。

第2步：在IE地址栏打开http://服务器IP地址/certsrv/certrqxt.asp页面，如图点击“高级证书申请”。

第3步：在如图6.26所示“高级证书申请”页面，点击“使用base64编码的CMC或PKCS #10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”。打开“提交一个证书申请或续订申请”页面。

第4步：将刚才复制的“证书请求的文件”(c:\certreq.txt)内容粘贴到文本框内，单击“提交”按钮。

（3）颁发证书

打开“管理工具”中的“证书颁发机构”，在test文件夹下点击“挂起的申请”，右击右侧的任务，选择“所有任务”→“颁发”，如图所示。

（4）下载证书

第1步：在Web服务器上打开Microsoft 证书服务，选择“查看挂起的证书申请的状态”， 如图。

第2步：在“查看挂起的证书申请的状态”页面单击“保存的申请证书”， 如图所示。

第3步：此时显示“证书已颁发”，点选“Base 64 编码”，并单击“下载证书”，完成证书的下载。

（5）在Web服务器上安装证书

第1步：打开“IIS 管理器”，右击“默认网站”，选择“属性”，打开“目录安全性”选项卡，单击“安全通信”中“服务器证书”按钮，打开Web服务器证书安装向导，单击“下一步”按钮。

第2步：在如图所示“挂起的证书请求”页面点选“处理挂起的请求并安装证书”单击“下一步”按钮。

第3步：在窗口中输入包含证书颁发机构响应的文件的路径和名称，单击“下一步”按钮。

第4步：在图中为网站指定SSL端口，默认为443，单击“下一步”按钮。

第5步：出现如图所示生成的证书摘要，在此可以查看证书的相关信息，单击“下一步”，按钮，即完成Web服务器证书向导。

（6）在Web服务器上查看证书

第1步：完成证书的安装后，右击“默认网站”选择属性，打开“目录安全性”选项卡，如图所示。

第2步：在“目录安全性”选项卡下单击“安全通信”的“查看证书”按钮，出现Web服务器证书信息。

（7）启用安全通道(SSL)

在“目录安全性”选项卡下单击“安全通信”的“编辑”按钮，出现“安全通信”对话框，如图所示。在安全通信对话框中勾选“要求安全通道(SSL)”复选框。

4、用数字证书对文档签名

第1步：打开要签名的文档，比如：Word 文档，单击菜单“工具”→“选项”，点开“安全性”标签，如图所示。

第2步：单击中部左侧的“数字签名”按钮，随后会弹出一个如图所示的“数字签名”窗口。

第3步：单击“添加”按钮，从你的数字证书中选择一个(如“liu yuansheng”)进行添加。

第4步：单击“确定”按钮返回，得到添加的数字证书。

第5步：当你再次打开签名后的该文件时，就会看到Word页面最上方显示的文件名后面的括号中有“已签名，未验证”字样。签名后的文档不能再修改，若要保存修改的内容，则会取消其签名，如图所示。

5、网上银行的数字证书应用

（1）银行数字证书主要用于网上交易的网上银行结算。其主要功能是交易方身份鉴别、保证信息的完整性和信息内容的保密性。

（2）只要用户申请并使用了银行提供的数字证书，即可保证网上银行业务的安全。

即使黑客窃取了用户的账户密码，没有用户的数字证书，也无法进入用户的网上银行账户。

经过数字签名的网银交易数据是不可修改的，且具有唯一性和不可否认性，从而可以防止他人冒用证书持有者名义进行网上交易。

更多精彩内容请关注本站！！！