证书管理实验

【实验环境】

ISES客户端

【实验步骤】

  • 查看证书

  • 查看证书详细信息

  1. 选择任意证书状态,在下方“证书列表”中出现符合要求的所有证书。
  2. 在“证书列表”中点击要查看证书,在右侧“证书详细信息”栏出现被选证书信息。

上述操作如图1.2.3‑1所示。

图1.2.3‑1查看证书详细信息

  • 查看根证书

  1. 选择任意证书状态,在下方“证书列表”中出现符合要求的所有证书。
  2. 点击“查看根证书”按钮,弹出证书信息窗口,如图1.2.3‑3所示,如果未安装过此根证书,会提示此CA根证书不受信任。。

图1.2.3‑2

图1.2.3‑3查看根证书

  1. 点击“详细信息”或“证书路径”选项卡可查看根证书的详细属性或颁发机构,如图1.2.3‑4所示。

图1.2.3‑4证书选项卡

  1. 点击“常规”选项卡,进入显示根证书基本信息界面;点击“安装证书”按钮,弹出“证书导出向导”窗口,用户可根据系统提示信息按步骤安装根证书。如图1.2.3‑5所示。

图1.2.3‑5安装证书

  1. 点击“详细信息”选项卡,进入查看根证书详细属性界面;点击“复制到文件”按钮,弹出“证书导出向导”窗口,用户可根据系统提示信息按步骤导出根证书。如图1.2.3‑6所示。

图1.2.3‑6导出证书

  • 查看CRL

  1. 选择任意证书状态,在下方“证书列表”中出现符合要求的所有证书。
  2. 点击“查看CRL”按钮,系统弹出“证书吊销列表”窗口,如图1.2.3‑7所示。

图1.2.3‑7证书吊销列表

  1. 点击“确定”按钮返回实验实施界面。

  • 导出证书

  1. 点击“已颁发的证书”单选框,下方“证书列表中”出现已颁发的所有证书。
  2. 点击要导出的证书。
  3. 点击“导出证书”按钮,注:用户可根据需要勾选“导出时包含私钥”复选框。
  4. 弹出“另存为”窗口,如图1.2.3‑8所示。

图1.2.3‑8证书另存为

  1. 在“文件名”框中填写文件名后点击“保存”按钮,弹出“输入密码”窗口,如图1.2.3‑9所示。

图1.2.3‑9设置私钥密码

  1. 输入密码后点击“确定”按钮,确认导出证书,系统弹出导出成功提示信息,如图1.2.3‑10所示。

图1.2.3‑10证书导出成功提示

  1. 点击“确定”按钮返回实验实施界面。

  • 撤销证书

  1. 点击“已颁发的证书”单选框,下方“证书列表中”出现已颁发的所有证书。
  2. 点击要撤销的证书。
  3. 选择撤销该证书的原因。
  4. 点击“撤销证书”按钮,系统弹出撤销成功提示信息,如图1.2.3‑11所示。

图1.2.3‑11撤销证书

实验原理:

公钥证书发放以后,需要进行有效的管理。公钥证书的管理一般包括三个方面:

  1. 证书的检索:根据不同证书状态查看不同证书信息。
  2. 证书的验证:验证一个证书的有效性。可查看该证书的作废证书表(CRL)。
  3. 证书取消:有两种方式导致证书取消,即证书的自然过期,或证书在有效期内被作废(撤销)。

可根据X.509V3证书格式和CRL结构对公钥证书进行管理。

  1. X.509V3证书格式:

现实中有各种各样的证书,如PGP证书、SET和IPSec证书。最广泛采用的证书格式是国际电信联盟(ITU)提出的X.509版本3格式(X.509V3)。X.509V3版本格式如下:

  1. 版本号
  2. 证书序列号
  3. 签名算法标识符
  4. 颁发者信息
  5. 有效期
  6. 主体名称
  7. 主体公钥信息
  8. 颁发者唯一标识符
  9. 主体唯一标识符
  10. 扩展项
  11. 颁发者签名
  1. CRL结构

CRL是作废证书表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。