第一篇:PKI证书实验报告
实 验 报 告
本次实验报告包含以下实验内容
1. 最终用户证书申请 2. PKI统一管理 3. 交叉认证及信任管理 4. 非对称加密实验 5. 数字签名实验 6. SSL应用实验
姓名: 刘俊
学号: 10072130165 班级: 计算机一班
日期:3月22日
一、实验环境
1、数据库服务器:MYSQL
2、PKI服务器:JBoss3.2.5
3、客户端硬件:Pentium 2 400Mhz 以上,256M内存,与服务器的网络连接。
4、客户端软件:Java Swing(Java 1.4版本以上)
二、实验内容
1.进行证书申请
该PKI系统中进行证书申请,需提供以下信息:用户名、SubjectDN、保护私钥的密码、EMAIL地址、证件类型和号码、出生日期、证书用途。申请界面如下图所示:
1)在填写完注册信息后,日志窗口提示注册成功,没有出错信息(图1-2)。表明证书申请成功。
证书申请成功界面 2.进行证书申请管理
通过对实验提供的应用程序的使用,注意到在该PKI系统中可以对注册信息进行以下的注册管理:
1)否决请求:明确告诉申请者提交的信息是不合法的,并能阻止用户使用一些相关信息(如用户名、EMAIL、SubjectDN等等)再度申请。
2)删除信息:在提交的信息明显是无用的、垃圾信息或是误提交的信息时,管理员可以将这个信息删除。
3)准予签发:在提交的信息是有效的,而且能代表申请者本身真实的身份时,管理员可以为其签发证书。签发成功如图2-2所示 3.按证书状态查找证书
在提供的客户端程序中按照各种状态查找证书,图3-1列出了查找证书状态为活跃的查找结果,点选查找到的证书,在右边的文本框中将会出现证书的具体信息。由此可得出结论,在该PKI系统中,证书状态不仅仅是简单的有效和被撤销两种状态,还有“未激活的”(有效但不被系统认可)、“被临时撤销”(可随时恢复有效状态)以及“不属于任何人的”等等状态。这一些状态的设置在一定程度上丰富了整个系统的证书管理功能。
图3-1 证书状态为活跃的查找结果
4.改变证书状态 程序中提供的对证书的操作有激活证书、永久撤销以及临时撤销。激活证书是先查看处于未激活状态或是临时撤销的证书,认可其签发的有效性后,将其激活,表明证书已被系统认可。临时撤销的证书可以使用激活证书将其激活。永久撤销证书表明这个证书由于某种原因使得这个证书的有效性不再得以保证,在选择完撤销原因后,可以将其永久撤销。5.导出PKCS12证书
通过操作,发现只有处于激活状态的证书才能被导出。首先列出处于激活状态的证书,然后点选一张证书,按【导出证书】按钮,选择保存位置保存得到的证书。
在WINDOWS系统中双击得到的PKCS12文件,出现如图3-2所示的界面。点击下一步,出现如图3-3所示的提示输入密码的界面,可见得到的PKCS12文件是被密码所保护的。输入注册时填入的密码,导入成功。在浏览器中的工具>Internet选项>内容>证书(见图3-4),查找到导入的证书后,看到证书内容与申请时填写的身份信息一致。
图3-2 证书导入向导界面
图3-3密码输入界面
图3-4 证书详细信息
6.生成CRL并查看 在程序中通过对证书的永久撤销操作将一张序列号为7246b2ff9206b7ab的证书撤销,然后在CRL界面中点击【创建CRL】按钮,然后点击【导出CRL】将CRL保存到文件系统。在WINDOWS平台中点击导出的CRL文件,观察可得CRL中的撤销列表包含了我撤销的证书的序列号,如图3-5所示。证书撤销成功。
图3-5 证书撤销
7.设置CA证书策略
1)首先选择CA1作为设置对象。
2)以“普通用户”作为登入角色,设置CA1的信任策略,各项设置如图4-1所示。
3)完成信任策略设置后,再进行主体DN及证书有效期设置,并按下“更改”按钮完成CA1的所有设置。结果如图4-2所示。
4)重新选择“学生”作为登入角色,设置CA1的信任策略,结果与先前设置的结果相符。如图4-3所示。
5)最后按下“导出证书”按钮导出CA1的证书,在IE安装后,证书内容与设置的相符,如图4-4所示。
图4-1 信任策略设置
图4-2 完成信任策略设置
图4-3 可信策略设置
图4-4 IE中的CA1证书
8.设置终端用户证书策略
设置信任策略时,发现终端用户证书中只能设置“证书策略”及“策略映射”扩展项。
9.交叉认证的建立及策略管理 1)选择CA3向CA2建立交叉认证,为此交叉认证证书设置以下信任策略:
(1)路径约束为3(2)名字约束中PermitSubtree:O=test2及ExcludeSubtree::OU=test3(3)策略约束中RequireExplicitPolicy = 2及InhibitPolicyMapping = 3 设置后按下“签发交叉认证”完成交叉认证。
2)在“已签发的交叉认证”中选择“CA3->CA2”并按下“导出交叉认证证书”按钮,就能得到CA3向CA2签发的交叉认证证书,结果如图5-1所示。
图5-1 CA3向CA2签发的交叉认证
10.证书路径的构建及有效性验证
1)同时签发CA2向CA1的交叉认证、CA3向CA6的交叉认证及CA6向CA1的交叉认证,三个交叉认证都不设置信任策略。2)同时CA1的设置等于“信任管理实验”中CA1的设置。3)建立EE3对EE1的证书路径,返回结果如图5-2所示。
图5-2 证书路径构建结果
4)选择第一条路径进行验证,验证结果为:CA1的Subject DN 与
CA3->CA2的PermittedSubtree不相符。因为CA1证书中设置了主体DN为O=test1,OU=test1所以其主体DN中“O”项与CA3->CA2交叉认证证书中的名字约束中的PermittedSubtree:O=test2不相符,所以证书路径无效。若把CA1的主体DN收改为O=test2,OU=test1,则可顺利通过名字约束检证。
5)修改CA1证书DN后再验证证书路径,验证结果为:EE1路径长度大于CA3->CA2证书的路径约束。因为CA3->CA2证书中定义的路径约束为3,而以CA3为起点,EE1的路径长度为4,超出了CA3信任的范围,所以本路径无效。若要修改此错误,只能撤销CA3->CA2的交叉认证,重新签发,当中策略设置只要把路径约束改为4则可。6)修改了路径约束后,再进行此路径的验证,验证结果为:CA2->CA1必需有一个策略。因为CA3->CA2证书中的策略约束定义了RequireExplicitPolicy=2,所以CA2->CA1证书中没有定义任何证书策略,所以本路径无效。若要修改此错误,只能撤销CA2->CA1的交叉认证,重新签发,当中策略设置只要加入一个证书策略则可。7)完成修改后,再进行此路径的验证,验证结果为:CA1不能用策略映射因为其路径长度少于CA3->CA2的InhibitPolicyMapping的值。因为在“信任管理实验”中,CA1证书设置了策略映射,同时以CA3为起点,CA1的路径长度为2,以于InhibitPolicyMapping的值,因为大于InhibitPolicyMapping的值的证书才能应用策略映射,所以路径无效。要修改此错误,只要把CA1证书的策略映射去掉则可。8)完成以上修改,再进行此路径的验证,验证结果为:经验证后,该证书路径为有效。
11.非对称加密实验: 按照实验步骤完成该实验 12.数字签名实验: 按照实验步骤完成该实验 13.双向认证实验
双向认证的含义就是连接过程中客户端与服务端都建立彼此之间的信任关系,只有相互能够识别和信任,才能够进行正常的访问,有一方不信任另一方,那么连接被中断。
三、实验原理
本次实验设计的实验原理如下:
1.证书的概念 2.证书包含的内容 3.证书的主要用途
4. RA系统是CA的证书发放、管理的延伸,是整个CA中心得以正常运营不可缺少的一部分。与EE和CA完全兼容并可以互操作,支持同样的基本功能。在PKI中,RA通常能够支持多个EE和CA。
注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。注册管理一般由一个独立的注册机构(即RA)来承担。
对于一个规模较小的PKI应用系统来说,可把注册管理的职能由认证中心CA来完成,而不设立独立运行的RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。
5.在公钥体制环境中,必须有一个可信权威的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系。CA正是这样的机构,它是PKI应用中权威的、可信任的、公正的第三方机构。
6.常用证书扩展项的类型及其用处
7.可信信任的概念 8.信任域的策略管理 9.交叉认证的概念 10.交叉认证的策略管理 11.证书路径的建立 12.证书路径有效性验证 13.证书包含的内容 14.证书的实时性原则
四、实验步骤
1.设置实验参数
图1 设置实验参数
2.最终用户证书申请
在申请页面中填写表格,带*的为必填项目。注意填写的内容要符合格式。在日志记录中看到成功消息后表示成功。
图2 最终用户证书申请
3.PKI统一管理
在证书管理中找到刚才申请的证书,激活该证书,然后在注册管理页面中的状态处选择证书已签发,可以看到刚才激活的证书。
图3 证书管理
图4 注册管理
注册管理日志记录
[7:36:16]服务器正在查找新注册的用户,请稍后...[7:36:16]找到7条符合要求的证书申请信息 [7:36:18]系统正在为用户产生RSA密钥对...[7:36:18]密钥对产生
[7:36:18]服务器正在签发证书,请稍候...[7:36:19]证书成功签发且用户信息成功更新 [7:36:19]服务器正在查找新注册的用户,请稍后...[7:36:19]找到6条符合要求的证书申请信息
证书管理日志记录
[7:36:30]服务器查找证书中,请稍后...[7:36:30]找到15个符合要求的证书 [7:36:31]服务器查找证书中,请稍后...[7:36:31]找到9个符合要求的证书 [7:36:32]服务器查找证书中,请稍后...[7:36:32]找到15个符合要求的证书 [7:36:35]服务器查找证书中,请稍后...[7:36:35]找到4个符合要求的证书
[7:36:38]服务器激活了gkmeteor用户的证书 [7:36:38]服务器查找证书中,请稍后...[7:36:38]找到3个符合要求的证书 [7:36:42]服务器查找证书中,请稍后...[7:36:42]找到3个符合要求的证书 [7:36:43]服务器查找证书中,请稍后...[7:36:43]找到15个符合要求的证书 [7:36:44]服务器查找证书中,请稍后...[7:36:44]找到10个符合要求的证书
[7:37:00]保存证书在C:Documents and SettingsAdministrator桌面gkmeteor.cer和C:Documents and SettingsAdministrator桌面gkmeteor.p12成功!
[7:37:12]CRL保存到: C:Documents and SettingsAdministrator桌面gkmeteor.crl
导出证书后,将得到的PKCS12证书在windows系统中打开(双击),输入申请时填写的保护私钥的密码后将证书和私钥导入windows浏览中的证书库中。成功后,点击浏览器中的工具>Internet选项>内容>证书(见图3-2),查找到导入的证书后,查看证书内容是否与申请时填写的身份信息一致。截下相关的图片以及写下相关结论到实验报告中。
之后,将得到的CRL文件在windows系统中打开(双击),见图3-3。查看是否包含操作示例程序时撤销的证书的序列号以及其他相关信息是否正确。截下相关的图片以及写下相关结论到实验报告中。
图5 证书导入向导
图6 Windows中查看证书
图7 Windows中查看CRL
4.交叉认证及信任管理
1.在界面上的“信任关系图”中,不同的图型分别代表根CA证书、子CA证书及终端用户证书,通过点选不同的证书来进行设置。当选择了证书后,在“证书内容”中会显示该证书相应的一些资料。首先选择一张CA证书,进行以下设置。2.对此证书设置一个有效期,可通过界面上的“有效期”进行配置。
3.也可以设置证书的主体DN,在此只提供组织/公司及部门的设置(这项设置影响到交叉认证实验中证书路径有效性的验证)。
图8 信任管理实验
4.可以自行选择是否为此证书添加策略,如果想添加,可以通过按下“设置..”按钮进行策略设置。按下“设置..”后会出现图4-2的对话框,选择登入身份,按下确定后,就会出现图4-3的对话框,此时可以进行策略设置。选择要为此证书设置哪些策略。
图9 角色登入对话框
5.完成所有设置后,按下“更新”按钮,就可以完成设置操作。
5.非对称加密实验
在非对称加密实验的页面中选择刚才激活的证书,并填写刚才设置的用户名和私钥密码。解密之后可以在日志信息中看到解密后的信息。
图10 非对称加密
非对称加密实验(接收方)日志记录 [07:46:16][正常][开始监听端口:8888]
[07:46:25][正常][收到来自ip: /127.0.0.1 的信息 信息为: AAAAgLhr/wvtbhnFb72AIxFcTSQAclBAVkzwsjlT+QzUeTOtpGY/tnb0Zj9fQPGY7mIxlLxbtLFY ncpVfmh6WwqHx7PqmW3KVutXQN4+LOIVGTURwzNgvwPR6n7G3JG7vmNQufxdHLUhC6zp1xMeujB3 OWWY6VJPNgbOevnOq62PcAEn9N66ag2FOqtgLw4KKXLU3N0KOcKJGNe7 请选择相应的证书中的私钥来解密] [07:46:46][正常][正在读取私钥…] [07:46:46][正常][成功读取私钥] [07:46:46][正常][利用私钥解密收到的会话密钥...] [07:46:46][正常][成功解出会话密钥,会话密钥为(BASE64编码): bXrVSp52j3+KrWvcv2dt6VQTLwfa3EWi] [07:46:46][正常][利用会话密钥解密收到的信息...] [07:46:46][正常][成功解得信息,信息为: 螺丝钉解放勒克司]
7. 数字签名实验
导入刚才激活的证书,验证签名,可以在日志信息中看到收到的信息没有被修改。
图11 数字签名实验
数字签名实验(发送方)日志记录 [07:45:01][正常][正在读取私钥…] [07:45:01][正常][成功读取私钥] [07:45:01][正常][正在生成消息摘要(MD5算法)...] [07:45:01][正常][成功生成消息摘要,消息摘要为(BASE64编码): cIkKB//yWj+OjySnK206QQ==] [07:45:01][正常][正在利用私钥签名待发送的消息摘要(RSA算法)...] [07:45:01][正常][完成数字签名,签名后数据(BASE64编码): dvylYbMpDxe0DJhpGNtqdya/4dvJPD3IPcl+En06ZXbFupJ3YO2x9FM1Hb2Owv3qo1VwsjwxrbEi /pT64r9OkOrlOwhCv9PvfWF2YupxI1ag/vqfMYu3agpYVRGJJZk4DOZIqA3YY39EMCTxdZan2uvs 2PMeH2IVACbGCERpbes=] [07:45:01][正常][发送签名后的信息...] [07:45:01][正常][成功发送签名信息]
数字签名实验(接收方)日志记录
[07:44:56][正常][开始监听端口:8889] [07:45:01][正常][收到来自ip: /127.0.0.1 的信息其用户名为: gkmeteor 信息为(BASE64编码): dvylYbMpDxe0DJhpGNtqdya/4dvJPD3IPcl+En06ZXbFupJ3YO2x9FM1Hb2Owv3qo1VwsjwxrbEi /pT64r9OkOrlOwhCv9PvfWF2YupxI1ag/vqfMYu3agpYVRGJJZk4DOZIqA3YY39EMCTxdZan2uvs 2PMeH2IVACbGCERpbes= 请选择相应的证书中的公钥来进行身份认证及收到的信息是否已被修改] [07:45:09][正常][正在读取证书...] [07:45:09][正常][成功读取证书.] [07:45:09][正常][正在读取公钥...] [07:45:09][正常][成功读取公钥,公钥为(BASE64编码): MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDU/dP4J6g9LXtn2i8YarhgyM4pH+2yImt6eOwV k2H+JUG/LaoPxMjZUI5nvVOzzHGNlYGE/isd0Rk+1BFNEUaLYJtAXd6KGlY/ii48mVAVErkZef87 dPYEdwcf1cNDuW7xjUJCnehhortOgv+RpidHqYFllbY6FqVKkt+/GXr2WwIDAQAB] [07:45:09][正常][正在进行身份认证...] [07:45:09][错误][收到的信息的消息摘要为(MD5算法,BASE64编码): cIkKB//yWj+OjySnK206QQ==] [07:45:09][正常][身份得到确认:
Subject DN为: C=China, ST=shanghai, L=minhang, O=cs, CN=sbsong
Serial Number为: ***4261 而且收到的信息没有被修改.]
8.SSL应用实验
选择服务器证书和服务器信任的证书。该步骤我们小组没有实现成功,原因是要在ie中安装服务器信任的证书。
SSL实验日志记录
[07:47:39][正常][请选择服务器出示给客户机的证书:server.keystore] [07:47:43][正常][请选择服务器出示给客户机的证书:server.keystore] [07:47:47][正常][请选择服务器出示给客户机的证书:server.keystore] [07:47:51][正常][已经选择好服务器自己的证书!等待验证] [07:47:51][正常][请选择单向认证或者双向认证!验证时请打开ie浏览器] [07:48:03][正常][证书选择正确,服务器双向认证已经启动,请执行ie访问!] [07:48:03][正常][双向认证(注意):请先在ie中安装服务端信任的证书才能正确访问]
五、实验总结分析
本次网络安全实验,我们做的主要是PKI证书管理。另外我最感兴趣的非对称加密实验和数字签名实验。这两个实验早在信息安全的课上我们就已经接触到了。我记得系庆
六、实验思考题
1. 在本实验环境中,在信息的安全传输上可能存在什么问题?如何解决? 用户提交的信息可能是私密的个人信息,为防止被第三方截取,应对用户填写的信息在网络中进行传输时进行保护。例如在WEB的HTTP中,可以使用SSL或是TLS进行加密传输。
2. 在本实验环境中,公私钥对将会是以何种方式产生的? 密钥对由CA生成。
3. 寻找至少一个有申请证书的web站点或技术文档,查看(1)申请证书时所需提供的信息(2)申请信息的安全性如何得到保障(3)独特之处。www.xiexiebang.comu。edu。cn
第二篇:网络安全实验报告 - PKI证书应用(范文模版)
一、实验目的
1.观察没有PKI服务支持时的WEB流量内容
2.实现PKI服务,然后观察结果
二、实验内容与步骤
1.无认证(服务器和客户端均不需要身份认证)
(1)客户端启动协议分析器开始捕获;客户端在IE浏览器地址栏中输入http://服务器IP,访问服务器Web服务。
通过协议分析器对HTTP会话的解析中可以确定,在无认证模式下,服务器与客户端的Web通信过程是以明文实现的。
2.单向认证(仅服务器需要身份认证)(1)CA(主机A)安装证书服务
(2)服务器(主机B)证书申请
通过Web服务向CA申请证书
CA为服务器颁发证书
通告服务器查看证书。
(3)服务器(主机B)安装证书
服务器下载、安装由CA颁发的证书
此时服务器证书已安装完毕,可以单击“目录安全性”页签中单击“查看证书”按钮,查看证书的内容,回答下面问题。
证书信息描述:无法将这个证书验证到一个受信任的证书颁发机构 颁发者:user7DCA
再次通过IE浏览器查看“受信任的根证书颁发机构”,查看名为userGX的颁发者(也就是CA的根证书),CA证书不存在 服务器下载、安装CA根证书
证书信息描述:保证远程计算机的身份 颁发者: user7DCA 再次通过IE浏览器查看“受信任的根证书颁发机构”,查看名为userGX的颁发者(也就是CA的根证书),CA证书存在(4)Web通信
客户端重启IE浏览器,在地址栏输入http://100.10.1.2/并确认,此时访问的Web页面出现如图所示信息。
客户端启动协议分析器,设置过滤条件:仅捕获客户端与服务器间的会话通信,并开始捕获数据。
客户端在IE浏览器地址栏中输入“https://100.10.1.2/”并确认,访问服务器Web服务。在协议解析页面可观察到,服务器与客户端的Web通信过程是以密文实现的
3.双向认证(服务器和客户端均需身份认证)(1)服务器要求客户端身份认证(2)客户端访问服务器
客户端在IE浏览器地址栏中输入“https://服务器IP”访问服务器Web服务。出现“选择数字证书”对话框,但是没有数字证书可供选择。单击“确定”,页面出现提示“该页要求客户证书”。
(3)客户端(主机C)证书申请 客户端提交证书申请
CA为客户端颁发证书 客户端下载、安装证书链
(4)客户端查看颁发证书
客户端单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”,会在“个人”页签中看到同组主机CA颁发给自己的证书,如图10-1-5所示。
(5)客户端再次通过https访问服务器
二.安全电子邮件
1.主机B、C创建邮件账户
2.邮件用户(主机B、C)申请电子邮件保护证书
(1)邮件用户在IE浏览器地址栏中输入“http://172.16.0.81/certsrv/”并确认,访问CA的证书申请页面。
(2)邮件用户通过“申请一个证书”|“高级证书申请”|“创建并向此CA提交一个申请”,申请一张电子邮件保护证书。
(3)CA为邮件用户颁发电子邮件保护证书。
(4)邮件用户通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“安装证书”将数字证书安装好。
3.邮件用户设置Outlook Express 4.发送签名电子邮件(未加密)
5.发送加密电子邮件
6.邮件用户验证邮件的加密作用(1)导出证书
(2)删除证书后查看加密邮件
(3)导入证书后查看加密邮件。
三、实验小结
此次试验使我了解到了数字证书的知识,以及对数据加密的理解,让我学到了数字证书的验证过程以及数据加密技术,其中涉及到公钥等重要概念,并且让我了解了数字证书以及数据加密在如今科技发展迅速的社会中的重要性
第三篇:PKI 数字证书 种类 应用介绍
PKI数字证书 种类 应用介绍
目录
目录
1.2.基本概念.....................................................................................................................................................2 数字证书的类别.........................................................................................................................................3 1.个人安全电子邮件证书.........................................................................................................................3 2.个人身份证书.........................................................................................................................................3 3.企业身份证书.........................................................................................................................................3 4.企业安全电子邮件证书.........................................................................................................................3 5.服务器身份证书.....................................................................................................................................3 6.企业代码签名证书.................................................................................................................................4 7.个人代码签名证书.................................................................................................................................4 3.数字证书功能与应用.................................................................................................................................4 8.数字安全证书功能介绍.........................................................................................................................4 9.在IE中的应用.......................................................................................................................................6 10.在Foxmail 5.0中的应用....................................................................................................................8 11.在Outlook2000中的应用................................................................................................................13 12.在AutoCAD2004中的应用.............................................................................................................18 13.在Outlook Express 5中的应用.....................................................................................................23 14.在Microsoft Word XP中的应用(重要).....................................................................................30
1.基本概念
互联网(Internet)为使用者提供了一个开放的、跨越国界的的信息高速公路的同时,促进了电子商务的产生和发展。电子商务的蓬勃发展给各行各业带来了机遇,但网上欺诈、偷盗和非法闯入等行为对电子商务构成了严重威胁。身份认证中心(CA)的出现和数字安全证书的使用,有效遏制了网上欺诈等行为,为电子商务的开展提供了更加安全的网络环境。
数字安全证书就是标志网络用户身份信息的一系列数据,是用来在网络通讯中识别通讯各方的身份,即要在Internet上解决“我是谁”的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
在网上电子交易中,商户需要确认持卡人是信用卡或借记卡的合法持有者,同时持卡人也必须能够鉴别商户是否是合法商户,是否被授权接受某种品牌的信用卡或借记卡支付。而数字安全证书就是参与网上交易活动的各方(如持卡人、商家、支付网关)身份的代表,每次交易时,都要通过数字安全证书对各方的身份进行验证。基于数字证书的关键性,数字证书必须有一个大家都信赖的公正的第三方认证机构即CA中心来颁发和管理。
数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循itut x.509国际标准。
一个标准的x.509数字安全证书包含以下一些内容:
证书的版本信息;
证书的序列号,每个证书都有一个唯一的证书序列号;
证书所使用的签名算法;
证书的发行机构名称,命名规则一般采用x.500格式;
证书的有效期,现在通用的证书一般采用utc时间格式;
证书所有人的名称,命名规则一般采用x.500格式;
证书所有人的公开密钥;
证书发行者对证书的签名。
2.数字证书的类别
1.个人安全电子邮件证书
符合x.509标准的数字安全证书,通过IE或Netscape申请,用IE申请的证书存储于Windows的注册表中,用Netscape申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的WEB服务器(起https服务)表明身份。
2.个人身份证书
符合x.509标准的数字安全证书,证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于Ekey或软盘中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。
3.企业身份证书
符合x.509标准的数字安全证书,证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于Ekey,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易致富信息等方面。
4.企业安全电子邮件证书
符合x.509标准的数字安全证书,通过IE或Netscape申请,用IE申请的证书存储于Windows的注册表中,用Netscape申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的WEB服务器(起https服务)表明身份。
5.服务器身份证书
符合x.509标准的数字安全证书,证书中包含服务器信息和服务器的公钥,用于标识证
书持有服务器的身份。数字安全证书和对应的私钥存储于Ekey或IC卡中,用于表征该服务器的身份。主要用于网站交易服务器,目的是保证客户和服务器产生与交易支付等信息相关时,确保双方身份的真实性、安全性、可信任度等。
6.企业代码签名证书
Netscape版--代表软件开发者身份,用于对其开发的软件进行数字签名。使用Netscape游览器申请,储存于Netscape个人用户目录下,专用于Netscape游览器。
Internet Explorer版--代表软件开发者身份,用户先要下载微软的Inetsdk,使用其中的工具生成证书请求,将证书请求通过受理点递交到FJCA签发,私钥储存于Windows的注册表中。专用于Internet Explorer游览器。
7.个人代码签名证书
Netscape版--代表软件开发者身份,用于对其开发的软件进行数字签名。使用Netscape游览器申请,储存于Netscape个人用户目录下,专用于Netscape游览器。
Internet Explorer版--代表软件开发者身份,用户先要下载微软的Inetsdk,使用其中的工具生成证书请求,将证书请求通过受理点递交到FJCA签发,私钥储存于Windows的注册表中。专用于Internet Explorer游览器。
3.数字证书功能与应用
8.数字安全证书功能介绍
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就去说;必须保证网络安全的四个要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
为了保证网络的四大要素,一般采用加密算法。在加密算法中,一般采用对称加密和非对
称加密结合的方式。常见的方法如数字信封,数字签名等,都采用两者结合的方式比如a发信息给b,b先将自己的公钥发送给a,a用b的公钥对数据进行加密,发给b,b收到后,用自己的私钥解密。问题出现在a收到b的公钥时,如何知道肯定是b的公钥,而不是其他人的。这时候就出现了一个第三方的概念。犹如现实生活中,朋友之间的介绍,abc三人,ab是朋友,bc是朋友,但ac本来不认识,如果b介绍,ac就可以互相认识了。在电子商务环境中,a的公钥由CA签发,b的公钥由CA签发,由于ab共同信任CA签发,所以可以彼此信任。CA签发就是把用户的公钥和用户的身份进行挂钩,使用户可以证明该公钥是属于该人的。
数字安全证书主要有以下四大功能:
一、信息的保密性
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。而FJCA中心颁发的数字安全证书保证了电子商务的信息传播中信息的保密性。
二、交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑 客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。而FJCA中心颁发的数字安全证书可保证网上交易双方的身份,银行和信用卡公司可以通过CA认证确认身份,放心的开展网上业务。
三、不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此FJCA中心颁发的数字安全证书确保了电子交易通信过程的各个环节的不可否认性,使交易双方的利益不受到损害。
四、不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此FJCA中心颁发的数字安全证书也确保了电子交易文件的不可修改性,以保障交易的严肃和公正。
9.在IE中的应用
一、如何在IE中查看证书
1、在 Internet Explorer 的菜单上,单击 工具 菜单中的 Internet选项;
2、选取 内容 选项卡,然后点击 证书 以查看您信任的当前证书的列表;
3、点击 个人 选项卡可以查看您已经申请的个人数字证书;
4、选定您要查看的个人数字证书,然后单击 查看 按钮,可以查看证书的详细信息。
二、如何使用数字证书访问安全站点
当您在访问安全站点的时候,安全站点回要求您出示您的数字证书以证明您的身份,这时会弹出一个对话框,如下图:
这时,您只需要选择您的数字证书,然后单击确定,就能完成安全站点对您的身份验证。
10.在Foxmail 5.0中的应用
※发送安全电子邮件
Foxmail是一个常用的电子邮件收发工具。目前,Foxmail的最新版本(Foxmail5.0 Beta1)已经支持数字签名。您首先需要拥有一个个人电子证书,然后方可使用Foxmail发送安全的电子邮件。
发送安全电子邮件的步骤如下:
1.选择当前使用的信箱账户,查看账户属性,如下图。
2.选择您的数字证书,如下图:
如果列表中没有出现您的证书,可能的原因有:
◎您可能在申请证书是填写的邮件地址有误,请重新申请证书;
◎您申请的证书可能不是安全电子邮件证书,请重新申请证书;
◎您的系统时间可能比CA的系统时间晚,证书还未生效,请修改您的系统时 间。
4.选择数字证书之后,您就可以发送包含数字签名的电子邮件。
在发送带有数字签名的电子邮件时,如果您的数字证书安全级别较高,有可能要输入证书保护口令。
※查看安全电子邮件
收件人使用Foxmail(版本号:5.0 beta1)收到包含有数字签名的邮件时,邮件的发件人名称前的图标将包含有数字签名的标志。如下图所示:
当收件人打开这封包含数字签名的新邮件时,在出现邮件的正式内容前,将出现如下内容:
当收件人点击最下方的“继续”按钮后,邮件的真正内容将出现。如下图所示:
用鼠标点击邮件内容右上方的红色签字标志,可以查看数字证书的内容。
当您拥有了对方的安全电子邮件证书,就可以向对方发送加密的电
子邮件了,如下图所示:
(注意:只有在您已经获得对方安全电子邮件证书的情况下,才可以发送加密的电子邮件,否则,将会提示找不到收件人的证书。)
如何获取对方的安全电子邮件证书:
(1)从对方证书所属的CA网站上下载;
(2)让对方给您发送带有数字签名的电子邮件,在签名电子邮件中附带着数字证书。
11.在Outlook2000中的应用
一、发送包含数字签名的电子邮件
在Internet Explorer浏览器下,您首先需要拥有一个个人电子证书,然后方可使用Outlook 2000发送安全的电子邮件。
发送安全电子邮件的步骤如下: 1.打开Outlook 2000,选择“工具(T)”下的“选项(O)...”菜单,选择“安全”选项。选中“给待发邮件添加数字签名(D)”。点击“我的S/MIME设置”下方的“更改设置(S)...”按钮。
2.在出现的对话框中进行安全性设置。具体设置如下图所示。“该安全邮件的默认安全性设置(T)”以及“所有安全邮件的默认安全性设置(M)”可根据您的需要自行设置。
在“证书和算法”设置中,您可以选择你的签名证书以及加密证书,选则证书的对话框如下:
3.如果列表中没有出现您的证书,可能的原因请参照4-3-1中的第三点说明。
4.配置好邮件账户信息之后,您可以书写一封电子邮件。然后单击“发送”按钮,将电子邮件发送出去。
(注意:点击发送以后如果出现以下窗口,则说明您的数字证书的安全等极为高级,只需输入您的证书保护口令就可正常发送。)
二、查看安全电子邮件
收件人收到包含有数字签名的邮件时,邮件的发件人名称前的图标将包含有数字签名的标志。如下图所示。
当收件人打开这封包含数字签名的新邮件时,如下图所示:
点击邮件内容右上方的红色签字标志,可以查看证书的各项属性:
如何将数字标识添加到联系人列表中: 1.打开附有数字标识的邮件。
要使发件人将数字标识附加到邮件中,可要求发件人发送带数字签名的电子邮件。
2.用鼠标右键单击“发件人”字段中的名称,然后单击快捷菜单上的“添加到联系人”。
3.如果联系人列表中已存在此人的条目,请单击“覆盖该地址”。该数字标识将与此收件人的联系人条目一同存储,这样您就可以给此人发送加密的电子邮件了。要查看联系人的证书,请双击该联系人的姓名,然后单击“证书”选项卡。具体说明请参考“Outlook 2000使用帮助”。
三、发送加密的电子邮件
当您拥有了对方的安全电子邮件证书,并添加到通讯簿后,就可以向对方发送加密的电子邮件了。
(注意:只有在您已经获得对方安全电子邮件证书的情况下,才可以发送加密的电子邮件,否则,将会提示找不到收件人的证书。)发送电子邮件的方法请参考“Outlook 2000使用帮助”。
12.在AutoCAD2004中的应用
随着信息技术的不断发展,设计行业所使用的软件也在不断的更新。其中,著名的Autodesk公司推出了最新的AutoCAD2004,在大大提升软件性能的同时,也添加了对设计图纸文件进行数字签名的功能。数字签名可以维护数据的真实性,并为发送和接收数据提供一个安全的环境。可以进行工程协作、通过 Internet 传输文件并保证文件未被更改。数字签名可以通过数字证书识别个人或组织,还可以验证文件。当进行工程协作或通过 Internet 传递文件时,文件的验证尤为重要。可以在 AutoCAD 或 Windows 资源管理器中验证数字签名。
使用数字签名功能,可以获取关于签名文件的以下信息:
●文件签名后是否被更改。
●签名者是否为声明的签名者。
●是否可以跟踪签名者(以防止伪造)。
数字签名由于以下原因将被确定为无效:
●附加数字签名时文件被损坏。
●文件在转换中被损坏。
●数字证书不再有效。
在AutoCAD2004中文版中添加数字签名的具体做法是:
1、打开工程图形,如图1。
图1
2、点击菜单“工具”下的“选项”,如图2。
图2
3、选择“打开和保存”标签。选中“显示数字签名信息”,并打开“安全选项(O)…”对话框。如图
3、图4。
图3
图4
4、可以为工程图纸添加“时间戳”以及数字签名的“注释”。如图5。
图5
5、添加了数字签名后,在AutoCAD2004状态栏的右下方,将出现一个红色的印章图标。如图6。
图6
6、点击该红色印章可以查看(验证)数字签名。如图7。从图7种可以看出,这个验证数字签名的程序同样可以对当前图形引用的外部参照图形中的签名进行验证。
图7
7、点击图7中“查看根签名(V)”按钮,将出现图8中的内容。其中,不仅可以看到图形文件的存储位置信息,也可以获知对图形进行数字签名的签名者的信息,以及数字签名的注释、签名时间和日期、所使用的时间服务器等。另外,还可以通过对其他字段的查看,获知签名者数字证书更详细的内容。
图8
注意
如果希望保持有效的数字签名状态,请不要添加口令或对已附加数字签名的文件进行修改或保存。请在签名文件之前进行修改,例如,添加口令。如果修改、保存或输出图形数据,签名信息将无法保持完整性。
例如,在图9中,对一个已经添加过数字签名的图形进行修改:加上一条直线,再次保存时,数字签名将失效。
图9
除了上面介绍的这种方法,AutoCAD2004还可以一次对多个图形批量进行数字签名,对于需要将众多图形添加数字签名用户,那将是更方便的做法。
需要注意的一点是,如果数字签名的安全等级设置为高级,每次需要用到数字证书时,都需要用到证书的保护口令。如果保护口令丢失,将无法对图形进行数字签名,如图9命令行中的提示。
13.在Outlook Express 5中的应用
在Internet Explorer浏览器下,您首先需要拥有一个个人电子证书,然后方可使用Outlook Express发送安全的电子邮件。
一、发送包含数字签名的电子邮件 1.打开Outlook Express,选择“工具(T)”下的“选项(O)...”菜单,选择“安全”选项,点击“高级”按钮,在“撤销检查”选项中,选择“从不”。
2.选择Outlook Express菜单栏中的“工具(T)”下“账号(A)...”菜单。选择您所需要使用安全电子邮件的邮件账号,设置该账号的属性,在弹出的“属性”面板中,选择“安全”选项。单击选择“从以下地点发送安全邮件时使用数字标识(U):”项,然后单击“数字标识(D)...”按钮,选中一个证书,如以下各图所示。
(注意:所选证书必须是“安全电子邮件证书”。)
3.如果列表中没有出现您的证书,可能的原因有:
◎您可能在申请证书是填写的邮件地址有误,请重新申请证书; ◎您申请的证书可能不是安全电子邮件证书,请重新申请证书; ◎您的系统时间可能比CA的系统时间晚,证书还未生效,请修改您的系统时间。
4.配置好邮件账户信息之后,您可以书写一封电子邮件。之后,对电子邮件做“数字签名”操作。方法是单击工具栏上的“工具(T)”中“数字签名(D)”的选项。然后单击“发送”按钮,将电子邮件发送出去。
(注意:点击发送以后如果出现以下窗口,则说明您的数字证书的安全等极为高级,只需输入您的证书保护口令就可正常发送。)
二、查看安全电子邮件
收件人收到包含有数字签名的邮件时,邮件的发件人名称前的图标将包含有数字签名的标志。如下图所示:
当收件人打开这封包含数字签名的新邮件时,在出现邮件的正式内容前,将出现如下内容:
当收件人点击最下方的“继续”按钮后,邮件的真正内容将出现。如下图所示:
将鼠标放在邮件内容右上方的红色签字标志上,点击鼠标右键,选取“查看安全属性(R)...”
单击“添加到通讯簿(D)”即可。通过查看通讯簿中联络人的数字标识可以得到安全电子邮件证书与电子邮件地址的对应关系,如下图所示:
三、发送加密的电子邮件
当您拥有了对方的安全电子邮件证书,并添加到通讯簿后,就可以向对方发送加密的电子邮件了,如下图所示:
(注意:只有在您已经获得对方安全电子邮件证书的情况下,才可以发
送加密的电子邮件,否则,将会提示找不到收件人的证书。)
14.在Microsoft Word XP中的应用(重要)
为Microsoft Word XP创建的文档添加数字签名的方法如下:
一、在“工具”菜单上,单击“选项”,再单击“安全性”选项卡。
二、单击“数字签名”。
三、单击“添加”。
四、选择要添加的数字签名,然后单击“确定”。
如果用户的数字证书的安全等级较高,在使用数字证书之前,系统会提示输入证书的使用密码。
五、选择证书后,再次单击“确定”。
添加了数字签名后的文档,即使被修改,也无法保存所做的修改,否则将导致数字签名的丢失。
第四篇:证书
机电一体化
职业定义:从事机电一体化设备的使用和技术管理工作的高级技术应用性专门人才。从事的主要工作包括:机电一体化设备的安装、调试、操作、维修和管理。
职业概况:报考机电一体化工程师系列,最对口的专业是机电一体化技术。其核心课程,包括电工与电子技术、机械制造技术、液压与气动技术、机电设备控制技术、数控加工工艺与编程、微机原理及应用、可编程控制器、测试技术、数控机床故障诊断与维护、CAD实训、数控机床的编程和操作实训、机床电器控制实训、数控加工实训、液压与气动实训等课程。设置的专业方向,包括机械电子技术、机械制造与计算机控制、机器人应用、机电设备及自动化、数控机床使用和维修、数控设备管理和维护。就业领域,是机械制造工艺设计与实施、工装设计与实施、机电一体化设备的管理和维护、数控机床的编程和操作等工作。
职业资格: 该职业资格共分三级:助理机电一体化工程师、机电一体化工程师、高级机电一体化工程师。申报条件:(具备下列条件之一)
一、助理机电一体化工程师:
1、本科以上或同等学历学生;
2、大专以上或同等学历应届毕业生并有相关实践经验者;
二、机电一体化工程师:
1、已通过助理机电一体化工程师资格认证者;
2、研究生以上或同等学历应届毕业生;
3、本科以上或同等学历并从事相关工作一年以上者;
4、大专以上或同等学历并从事相关工作两年以上者。
三、高级机电一体化工程师:
1、已通过机电一体化工程师资格认证者;
2、研究生以上或同等学历并从事相关工作一年以上者;
3、本科以上或同等学历并从事相关工作两年以上者;
4、大专以上或同等学历并从事相关工作三年以上者。发证机构: 经职业技能鉴定、认证考试合格者,颁发加盖全国职业资格认证中心(JYPC)职业技能鉴定专用章钢印的《注册职业资格证书》。权威证书,全国通用。政府认可,企业欢迎。网上查询,就业首选。考试时间: 每年统考四次,时间为4月、6月、10月和12月
深圳市博文通信息咨询有限公司,主营业务为职业技能认证及鉴定的咨询顾问,为全国职业资格考试认证中心(JYPC)代理,可代理颁发全国职业资格考试认证中心的职业资格鉴定证书证书项目包括下面内容:土建类、法律类、交通运输类、公安类、文化教育类、材料与能源类生化与药品类、电子机算机类、水利类、环保气象安全类、旅游类、农林牧渔类、制造类、财经类、轻纺食品类、医药卫生类、资源与测绘类、几乎涵盖了全部职业领域共计200多项职业岗位.王老师
一、机电一体化工程师培训对象:
凡具有机电工程类相关专业初级含初级以上职称,或自动化电气类相关专业学历证明(研究生毕业当年,本科毕业一年以上大专,毕业二年以上,中专毕业三年以上)的工程技术人员和管理人员均可报名参加。
二、机电一体化工程师培训内容:
机械制造基础 机械制造工艺学 机械设计基础 电工技术基础 电工设计基础
微型计算机基础及应用 自动控制系统及应用 数控技术及应用 可编程控制器原理与应用
三、培训证书:
参加考试合格后,学员可获得信息产业部颁发的《机电一体化工程师》培训证书和成绩单,持证上岗,证书全国通用。证书中对通过考试后所掌握的知识和具备的能力进行了详细的描述,既可作为学员职业能力的证明,也可作为企事业单位选聘人才依据。
第五篇:证书样本
NCEE认定证书:
证书说明 :通过全国电气智能应用水平考试(NCEE)相应级别培训和考试的学员,成绩合格可获得信息产业部电子人才交流中心和建设部人力资源开发中心联合颁发的认定证书和成绩单,同时可获得国家人事部和信息产业部联合颁发的 《 信息专业技术人才知识更新工程(“653 工程 ”)》培训证书.
证书名称:全国信息化工程师证书
外形特征:13x18.5cm 书本状
防伪:
一、证书边框采用“卷叶花图案”“纽索式花边”微缩文字放大镜下可见“NCIE”;
二、证书下方加入防伪NCIE标志,在荧光灯下可视;
三、证书内含有专用文字浮雕地纹“全国电气智能应用水平考试”;
四、证书内含有专用“NCIE”标志;
证书名称:信息专业技术人才知识更新工程(“653 工程 ”)培训证书
点击咨询 