云计算与网络安全之数字署名与认证引导

内容提要

数字署名概述
CA认证与数字证书
数字证书实战
一、数字署名概述

1、数字署名

数字署名（digital signature）就是附加在数据单元上的一些特殊数据，或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者来确认数据单元的泉源和数据单元的完整性，防止被人伪造。
2、公钥密码技能用于数字署名
目前数字署名紧张是采用基于公钥密码体制的算法，这是公开密钥加密技能的另一种紧张应用。
3、数字署名算法
目前，广泛应用的数字署名算法紧张有RSA署名、DSS(数字署名系统)署名和Hash署名。这三种算法可单独使用，也可混合在一起使用。
4、PKI
PKI（Public Key Infrastructure，公钥底子设施）是一个用公钥概念与技能来实施和提供安全服务的普遍适用的安全底子设施。
PKI技能是信息安全技能的核心，也是电子商务的关键和底子技能。
二、CA认证与数字证书

1、CA认证
CA（Certificate Authority，认证机构）是PKI的紧张构成部分和核心执行机构，一般简称为CA，业界通常称为认证中心。CA是一种具有权势巨子性、可信任性和公正性的第三方机构。
CA的构成紧张有证书签发服务器、密钥管理中心和目次服务器。
2、数字证书
CA认证中心所发放的数字证书就是网络中标志通信各方身份信息的电子文件，它提供了一种在Internet上验证用户身份的方式。
数字证书简称证书，是PKI的核心元素，是数字署名的技能底子。数字证书可证明某一实体的身份及其公钥的正当性，以及该实体与公钥二者之间的匹配关系。
三、数字证书实战

1、安装证书服务

第1步：在Windows组件中安装证书服务。点击“程序”→“设置”→“控制面板”→“添加/删除Windows 组件”，勾选“证书服务”复选框，点击“下一步”按钮，如图
第2步：证书通过Web注册。在“证书服务”对话框中，勾选“证书服务CA”和“证书服务web注册支持”，点击“确定”按钮，即可安装证书服务。

2、创建企业根CA

CA的范例包罗企业根CA、企业从属CA和独立根CA。
下面以企业根CA为例，先容Microsoft 证书服务的安装过程。
第1步：在“CA范例”页面，选择“企业根CA”，并勾选“用自界说设置天生密钥对和CA证书(U)”项，点击“下一步”按钮，出现“公钥/私钥对”页面。

第2步：在“CSP(C)”列表框里选择对应的加密算法提供方，在“散列算法(H)”列表框里选择欲使用的加密算法，点击“下一步”按钮。

第3步：在“CA辨认信息”对话框中，可以修改对应的内容，点击“下一步”按钮。

第4步：在“证书数据库设置”对话框中，分别选择证书数据库、数据库日志和配置信息的生存位置，建议不要生存在操纵系统的安装目次下。

第5步：系统提示“要安装完成，证书服务必须临时停止Internet信息服务。
第6步：在随后出现的页面中，点击“完成”按钮，即完成“Microsoft 证书服务”的安装。
3、为Web服务器申请CA认证

（1）证书申请过程
第1步：打开“IIS 管理器”，右击“默认网站”选择“属性”，在“目次安全性”选项卡下单击“安全通信”的“服务器证书”按钮，开始证书的申请。

第2步：在出现的“服务器证书”页面，选择网站分配证书的方法，如选择“新建证书”。

第3步：在“耽误或立刻请求”页面，选择“如今预备证书请求，但稍后发送(P)”，点击“下一步”按钮。

第4步：在“名称和安全性设置”页面，输入新证书名称，选择密钥的位长，点击“下一步”按钮。

第5步：在“单位信息”页面，输入单位和部门信息。

第6步：在出现的页面中，按要求输入站点公用名称，点击“下一步”按钮。

第7步：在出现的页面中输入站点地理信息，如国家(地区)、省/自治区和市县。

第8步：在出现的页面中输入证书请求的文件名。

第9步：在出现的页面中输出请求文件择要，点击“下一步”按钮后，即完成Web服务器证书的申请。
申请过程中天生了文本文件certreq.txt，如图所示，此文件将提交给CA。

（2）提交证书申请
假如在天生服务器证书的申请过程中选择了“立刻将证书请求发送到联机证书颁发机构”，在天生证书的申请后，即可提交证书申请。操纵步调如下：
第1步：用记事本打开证书请求文件，如c:\certreq.txt，复制所有内容。
第2步：在IE地址栏打开http://服务器IP地址/certsrv/certrqxt.asp页面，如图点击“高级证书申请”。

第3步：在如图6.26所示“高级证书申请”页面，点击“使用base64编码的CMC或PKCS #10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”。打开“提交一个证书申请或续订申请”页面。

第4步：将刚才复制的“证书请求的文件”(c:\certreq.txt)内容粘贴到文本框内，单击“提交”按钮。
（3）颁发证书
打开“管理工具”中的“证书颁发机构”，在test文件夹下点击“挂起的申请”，右击右侧的使命，选择“所有使命”→“颁发”，如图所示。

（4）下载证书
第1步：在Web服务器上打开Microsoft 证书服务，选择“查看挂起的证书申请的状态”， 如图。

第2步：在“查看挂起的证书申请的状态”页面单击“生存的申请证书”， 如图所示。

第3步：此时显示“证书已颁发”，点选“Base 64 编码”，并单击“下载证书”，完成证书的下载。

（5）在Web服务器上安装证书
第1步：打开“IIS 管理器”，右击“默认网站”，选择“属性”，打开“目次安全性”选项卡，单击“安全通信”中“服务器证书”按钮，打开Web服务器证书安装领导，单击“下一步”按钮。
第2步：在如图所示“挂起的证书请求”页面点选“处理挂起的请求并安装证书”单击“下一步”按钮。

第3步：在窗口中输入包含证书颁发机构响应的文件的路径和名称，单击“下一步”按钮。

第4步：在图中为网站指定SSL端口，默以为443，单击“下一步”按钮。

第5步：出现如图所示天生的证书择要，在此可以查看证书的相干信息，单击“下一步”，按钮，即完成Web服务器证书领导。

（6）在Web服务器上查看证书
第1步：完成证书的安装后，右击“默认网站”选择属性，打开“目次安全性”选项卡，如图所示。

第2步：在“目次安全性”选项卡下单击“安全通信”的“查看证书”按钮，出现Web服务器证书信息。

（7）启用安全通道(SSL)
在“目次安全性”选项卡下单击“安全通信”的“编辑”按钮，出现“安全通信”对话框，如图所示。在安全通信对话框中勾选“要求安全通道(SSL)”复选框。

4、用数字证书对文档署名

第1步：打开要署名的文档，比如：Word 文档，单击菜单“工具”→“选项”，点开“安全性”标签，如图所示。

第2步：单击中部左侧的“数字署名”按钮，随后会弹出一个如图所示的“数字署名”窗口。

第3步：单击“添加”按钮，从你的数字证书中选择一个(如“liu yuansheng”)进行添加。

第4步：单击“确定”按钮返回，得到添加的数字证书。

第5步：当你再次打开署名后的该文件时，就会看到Word页面最上方显示的文件名背面的括号中有“已署名，未验证”字样。署名后的文档不能再修改，若要生存修改的内容，则会取消其署名，如图所示。

5、网上银行的数字证书应用

（1）银行数字证书紧张用于网上交易的网上银行结算。其紧张功能是交易方身份鉴别、保证信息的完整性和信息内容的保密性。
（2）只要用户申请并使用了银行提供的数字证书，即可保证网上银行业务的安全。
即使黑客窃取了用户的账户密码，没有用户的数字证书，也无法进入用户的网上银行账户。
经过数字署名的网银交易数据是不可修改的，且具有唯一性和不可否认性，从而可以防止他人冒用证书持有者名义进行网上交易。
更多精彩内容请关注本站！！！


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。