2023年6月27日发(作者：)

国内典型CA数字证书申请与使用

1.实验运行环境

Windows XP 、Outlook Expres

2.实验目的

(1)熟悉主要的国内CA系统。

(2)通过实验了解SHECA的证书策略，并理解证书策略的主要内容。

(3)掌握数字证书的申请与下载、安装、导入、导出操作。

(4)练习使用数字证书收、发电子邮件

3.实验要求

(1)下载SHECA证书策略，阅读并理解其主要内容。

(2)下载并安装UCA根证书。

(3)为自己的电子邮箱申请电子邮件证书。

(4)使用Outlook配置邮箱，并安装使用数字证书。

(5)互相发送加密、添加数字签名的电子邮件。

(6)练习数字证书的导入、导出。

(7)完成实验报告。

4.实验内容和步骤

4.1 SHECA证书策略CP及其说明CPS简介

4.1.1概述

上海市数字证书认证中心有限公司(Shanghai Electronic Certificate Authority

Center Co.，Ltd.)，缩写为SHECA，简称上海CA。SHECA成立于1998年，原名称为上海市电子商务安全证书管理中心有限公司，于2005年8月5日正式更名为上海市数字证书认证中心有限公司。

4.1.2名称类型

认证机构依照特定的签发程序，保存与证书注册过程有关的特定记录，对特定对象的身份进行鉴别，以区别于其他的申请者。这一命名过程中出现的名称，包括甄别名和证书扩展项中包含的用户唯一标识项，是一组能辨别真实世界中实体的数据。

SHECA 生成或者签发的证书的主要识别名称（SubjectName），采用 X.501

Distinguished Name(DN)的方式。 每个证书订户按照 X.509 的规定，将对应一个可分辨的名称，该名称由甄别名和用户唯一标识项组成。甄别名包含于每张证书的主题中，用户唯一标识项包含于证书扩展项中。该名称唯一标识证书订户的身份。

4.1.3申请者身份的鉴别

SHECA 需要对证书申请者的身份进行程序性的鉴别，包括但不限于验证用户提供的身份证明材料、通过第三方进行调查、通过公共数据库调查、邮政地址调查等等。

SHECA 首先会要求申请者对其递交的材料作真实性声明，并承担相应的法律责任。SHECA

会按照本 CPS 的规定，对材料进行鉴别。SHECA 也可能采取附加的或者额外的方式进行这种鉴别。

4.1.4 SHECA根密钥的产生

SHECA 的根密钥对是由国家密码主管部门批准和许可的设备生成的。目前，SHECA 采用了济南得安计算机技术有限公司的 SJY05-B 主机加密服务器，该加密机符合国家密码管理相关规定的要求，并遵循 FIPS140-2 标准的相关规定。

在生成 SHECA 的密钥对时，必须有超过 3 位的具备权限的密钥管理和操作人员在场，同时操作硬件加密机产生密钥对。任何人无法独自完成根密钥对的产生，而且密钥在加密机内部生成。任何和私钥有关的操作都在加密机内部进行，完成后将结果输出，私钥无法以明文或者密文的方式输出到加密机外。

4.2邮件证书策略摘要

4.2.1概述

安全电子邮件证书是专门为邮件用户发放的数字证书，邮件用户使用数字证书发送加密和签名邮件，来保证用户邮件系统的安全。邮件用户使用数字证书对电子邮件进行数字签名并加密传输，以证明邮件发送者身份真实性，保障邮件传输过程中不被他人阅读及篡改，并由邮件接收者进行验证，确保电子邮件内容的完整性。安全电子邮件证书遵循国际数字证书X.509 V3标准，采取对称密钥长度为128位，非对称密钥长度为1024位密码机制，确保证书在进行邮件加密时的高安全性。

4.2.2邮件加密

邮件加密是利用PKI的公钥加密技术，以电子邮件证书作为公钥的载体，发件人使用邮件接收者的数字证书中的公钥对电子邮件的内容和附件进行加密，加密后的邮件只能由接收者持有的私钥才能解密，因此只有邮件接收者才能阅读，其他人截获该邮件看到的只是加密后的乱码信息，这样就可确保电子邮件在传输过程中不被他人阅读，防止了机密信息的泄露。

4.2.2邮件签名

邮件签名是利用PKI的私钥签名技术，以电子邮件证书作为私钥的载体，邮件发送者使用自己数字证书的私钥对电子邮件进行数字签名，邮件接收者通过验证邮件的数字签名以及签名者的证书，来验证邮件是否被篡改，并判断发送者的真实身份，确保电子邮件的真实性和完整性。

4.3.申请及管理过程

由于上海认证中心取消了体验版证书，只有收费版的证书提供申请，所以改为选择MyCA的数字证书作为替代。MyCA提供的证书服务是试用、学习性质的免费CA服务。

4.3.1使用MyCA

先访问，选择右侧安装根证书，以保证正常的使用MyCA的服务。 4.3.2注册申请个人证书

MyCA的证书安装时自动进行的，只需按步骤操作即可。

申请流程：

点击注册

填写资料提交 服务器发送验证邮件

安装成功

输入身份识别码收取验证邮件

4.3.3查找他人数字证书

用于查找他人的数字证书并下载。由于在接下来的邮件加密步骤中，所发送的对象的数字证书需要导入到Outlook Express中，所以在之前的步骤里申请两份个人证书，以便在这个步骤搜寻证书下载；或者在这个步骤搜寻同学的数字证书下载。

查找结果（点击名字查看详细信息）并选择下载：

4.3.3吊销数字证书

如果证书不需要了或者其他原因可以选择申请吊销证书。

4.4.运用证书发送、接收邮件的过程

4.4.1配置自己的邮件账户

第一次进入Outlook Express会自动打开配置向导，如果没有自动弹出的话，可以选择“工具”-“账户”来进行配置。

选择POP3或者IMAP服务器，并填入相应的服务器地址，服务器地址可以从自己Web邮箱的设置或者帮助里查看，这里我选择的是网易的邮箱。

根据向导完成后点击“工具”-“账户”，在显示的Internet帐户对话框中选择刚才设置的账户并点击“属性”； 点击“服务器”，勾选“我的服务器要求身份验证”并点击“设置”进行配置。

4.4.2添加联系人并导入其数字签名

要使用数字证书签名并加密邮件还需要为邮件的接收方设置证书，点击“通讯录”添加一个新联系人，输入邮件地址和名称并选择“数字标识”一栏，点击“导入”，选择之前下载的该邮件接收者的数字证书进行导入，导入成功后单击确定即可。

4.4.3发送带有数字签名并加密的邮件

创建一封新邮件，并在右侧点选“签名”与“加密”，邮件收件人右侧会有图标提示。然后输入内容选择发送。 如果之前没有为邮件接收人导入数字证书，则会提示出错，显示无法加密邮件。

5实验结果分析与总结

5.1结果分析

这次试验遇到的主要问题是，在使用Outlook Express时无法发送签名邮件，当时已经在电脑里导入了对方的数字证书，但是却报错提示无法确定对方的数字标识，只能选择不加密发送。后来上网查阅了资料才知道，原来是要在通讯录里添加对方的联系信息并同时在通讯录里导入他的数字证书而不是在电脑里添加，才能顺利发送签名邮件。

另外在导入他人的证书环节一开始也有疑问：无法直接导入从MyCA下载的他人证书，难道只能让对方把他的证书发给你，那证书安全性从何而来？但是后来时间才发现原来是下载他人证书（后缀.crt）然后安装他的证书，这样证书只会出现在“Internet选项-内容-证书”的“其他人”一栏，再从这导出（后缀.cer），从而就可以顺利的导入到Outlook的联系人数字标识里了。

5.2实验总结

通过此次实验，我熟悉主要的国内CA系统，了解SHECA的证书策略和证书策略的主要内容，自己动手实践了一遍数字证书的申请与下载、安装、导入、导出操作的过程，并练习使用数字证书收、发电子邮件。