【正文】 =F:\EJBCA\\jre\lib\security。F:\EJBCA\\bin。這時你的JBOSS_HOME\server\default\, :時生成的,這個文件里包含了ant 時打的所有的包 啟動JBOSS ,在啟動JBOSS的過程中,。AdminCA139。其中①處為設(shè)置創(chuàng)建的CA的管理名稱，僅為管理之用。 for no policy at all.(Ex 39。⑦處為SSL服務(wù)端的證書唯一甄別名，⑧要求填寫超級管理員證書庫的密碼，此密碼要求安全可靠并不可忘記。3) Edit Publishers通過此功能模塊，管理員可以添加并配置新的LDAP服務(wù)器，作為證書發(fā)布點。2） Edit Administrator Privileges對管理員權(quán)限進(jìn)行相應(yīng)的設(shè)置。Keytool 是一個有效的安全鑰密和證書的管理工具， 證書鏈的keystore(相當(dāng)一個數(shù)據(jù)庫)。它通過采用并實現(xiàn)符合國際標(biāo)準(zhǔn)的公開鑰和對稱鑰密碼算法，以及數(shù)據(jù)加密、解密、數(shù)字簽名、簽名驗證等核心技術(shù)，構(gòu)造了符合國際相關(guān)標(biāo)準(zhǔn)的認(rèn)證體系，實現(xiàn)了PKI技術(shù)的核心基礎(chǔ)設(shè)施CA系統(tǒng)。(3) 進(jìn)行兩種方式（委托證書申請和PKCS10）的數(shù)字證書申請、簽發(fā)、下載、安裝。詳細(xì)功能見軟件使用說明書。（ii） CA端數(shù)據(jù)庫配置 配置數(shù)據(jù)庫服務(wù)器的用戶（DBUSER）為sa,口令（DBPASSWD）為 12345678（任意），創(chuàng)建一個數(shù)據(jù)庫，名稱為：caserver，,創(chuàng)建一系列表。該密鑰用于簽發(fā)數(shù)字證書。 點擊“輸出證書”按鈕，出現(xiàn)提示對話框，以文件方式保存系統(tǒng)證書，如命名根證書為：(),通信證書為：。如下圖所示： 然后單擊“輸出證書和密鑰”按鈕，輸出該RA系統(tǒng)的密鑰和證書。(VII)RA系統(tǒng)數(shù)據(jù)庫配置 配置數(shù)據(jù)庫服務(wù)器的用戶（DBUSER）為sa,口令（DBPASSWD）為 12345678（任意），創(chuàng)建一個數(shù)據(jù)庫，名稱為：caserver，,創(chuàng)建一系列表。(VI) RA系統(tǒng)所需的軟件準(zhǔn)備RA中心端應(yīng)用系統(tǒng)軟件包。系統(tǒng)提示框如下： （11）添加一個RA端系統(tǒng)。點擊“生成CA系統(tǒng)通信證書”按鈕，提示口令并輸入，生成通信證書。 添加系統(tǒng)管理員成功，退出系統(tǒng)，并以該系統(tǒng)管理員身份登錄系統(tǒng)。MS SQL SERVER 或 版本的數(shù)據(jù)庫服務(wù)器軟件包。CA端軟件安裝后包括兩部分，一個是后臺管理軟件（負(fù)責(zé)CA本地配置，策略制定，RA管理，密鑰生成，證書簽發(fā)，證書注銷，證書歸檔，證書查詢，生成和發(fā)布CRL，權(quán)限管理等核心服務(wù)），一個是通信服務(wù)器（通信服務(wù)器負(fù)責(zé)接受來自各個RA的業(yè)務(wù)申請）。(1) 實驗所需的具體軟件環(huán)境和所需的軟件包在VMWARE win2000 環(huán)境下,導(dǎo)入已經(jīng)安裝但尚未配置過的系統(tǒng)軟件SureCA系統(tǒng)的服務(wù)器端CA和客戶端RA軟件包和SQL SERVER 數(shù)據(jù)庫以及NETSCAPE 目錄服務(wù)器軟件包。 實驗內(nèi)容獨立完成EJBCA系統(tǒng)的各個模塊的安裝和配置，并能完成多種數(shù)字證書的申請、簽發(fā)、下載、注銷，黑名單的生成、下載等CA基本功能。二、用戶自己建立Token，通過發(fā)送證書簽名申請CSR（Certificate Signing Request），CA對發(fā)送信息簽名，發(fā)送證書給用戶。2） Log Configuration對系統(tǒng)的日志功能進(jìn)行設(shè)置。2) Edit Certificate Profiles該功能模塊列舉了系統(tǒng)默認(rèn)的三種證書配置，最終用戶、根CA和子CA證書配置。CN=,O=PrimeKey Solutions AB,C=SE39。 for any policy or 39。365039。)2. You run this installation with access to administrative privileges. Is these requirements meet (Yes/No) :程序提示必須經(jīng)過ant deploy將EJBCA部署到應(yīng)該服務(wù)器，并且具有administrative權(quán)限，鍵入Yes將繼續(xù)下一步的安裝配置。（iii）ant deploy 過程運行ant順利通過后，鍵入ant deploy命令。%SystemRoot%\System32\Wbem?？蛇x的多個發(fā)布器，以用來在LDAP中發(fā)布證書和CRL支持用來為指定用戶和證書來恢復(fù)私鑰的密鑰恢復(fù)模塊基于組件的體系結(jié)構(gòu)，用來發(fā)布證書和CRL到不同的目的地基于組件的體系結(jié)構(gòu)，用來在發(fā)布證書時采用多種實體授權(quán)方法容易集成到大型應(yīng)用程序中，并為集成到業(yè)務(wù)流程進(jìn)行了優(yōu)化可以通過訪問。使用 Ant，您能夠編寫單個生成文件，這個生成文件在任何 Java 平臺上都一致地操作,Ant 的其他關(guān)鍵優(yōu)勢包括其突出的簡單性和無縫地使用自定義功能來擴(kuò)展它的能力。它是開放源代碼的項目，遵循最新的J2EE規(guī)范。 實驗內(nèi)容獨立完成EJBCA系統(tǒng)的各個模塊的安裝和配置，并能完成多種數(shù)字證書的申請、簽發(fā)、下載、注銷，黑名單的生成、下載等CA基本功能。 15. 等待安裝完成。這樣就指定了存儲 CA 配置信息的文件夾位置。如果未選中“ 高級選項 ”復(fù)選框，則繼續(xù)執(zhí)行下一步。 4. 單擊 “下一步”。3．申請證書、簽發(fā)證書、下載證書等。關(guān)于私鑰的保密問題。正確情況下返回0。填充方式常用的有兩種RSA_PKCS1_PADDING和RSA_PKCS1_OAEP_PADDING。下面介紹OpenSSL中RSA算法的函數(shù)接口。公鑰密碼算法當(dāng)前仍是RSA算法占統(tǒng)治地位。需要使用經(jīng)過考驗的公開的加密算法，如DES/AES/RC4等；（2） 口令的質(zhì)量，以及從口令衍生密鑰的方法。流算法是從密鑰作為種子產(chǎn)生密鑰流，明文比特流和密鑰流異或即加密。相關(guān)函數(shù)名如下(參數(shù)略)。void DES_cfb_encrypt(const unsigned char *in, unsigned char *out, int numbits, long length, DES_key_schedule *schedule, DES_cblock *ivec, int enc)。因此，輸出可能比length長，而且必然是8字節(jié)的倍數(shù)。參數(shù)中密鑰結(jié)構(gòu)ks是用函數(shù)DES_set_key()準(zhǔn)備好的，而密鑰key是用隨機數(shù)算法產(chǎn)生的64個隨機比特。（2） 掌握對稱算法的使用方法。建議：（1）為了看清關(guān)心的流量，在逮包期間盡量關(guān)閉其它無關(guān)程序，尤其是P2P下載等程序。Windump基于Winpcap是tcpdump的翻版。（2） Web郵件口令。（3） 訪問某個網(wǎng)頁，可以制造HTTP流量，順便可以看到TCP會話，包括三次握手的過程。推薦使用Ethereal或Sniffer Pro。 按照以太網(wǎng)原理，以太網(wǎng)卡可以收聽到本網(wǎng)段上的所有幀，也包括和本機無關(guān)的其它機器之間的通信。 實驗二 Sniffer網(wǎng)絡(luò)偵聽和pcap編程 實驗?zāi)康模?）了解和驗證網(wǎng)絡(luò)安全威脅最基本的一種形式：網(wǎng)絡(luò)竊聽。之后便可使用光盤來啟動安裝（虛擬機可以用光盤鏡像如：ISO、vcd文件作為光盤。Reset：重啟，相當(dāng)于物理計算機的RESET按鈕。Windows 2000 SERVER 操作系統(tǒng)就不用介紹了。三、 系列實驗實驗一 VMWARE虛擬機和WIN2000安裝 實驗?zāi)康? 通過在主系統(tǒng)平臺上安裝和配置一個虛擬機環(huán)境，為下面的實驗打好實驗環(huán)境基礎(chǔ)。2． 安全實驗環(huán)境內(nèi)容的總體描述本系列實驗的總體目標(biāo)是：通過安裝和配置一系列CA系統(tǒng)（包括微軟公司操作系統(tǒng)中提供的CA模塊、商業(yè)化CA系統(tǒng)以及一些開放源碼的CA系統(tǒng)），理解并掌握CA系統(tǒng)的原理和實際使用方法；進(jìn)而根據(jù)實際應(yīng)用系統(tǒng)的安全需要，通過數(shù)字證書的使用，搭建一些基本的PKI安全環(huán)境，從而理解并掌握在實際應(yīng)用中是如何做到基于密碼技術(shù)來完成安全化改造的，進(jìn)一步掌握PKI技術(shù)的開發(fā)，能夠做到對系統(tǒng)進(jìn)行安全需求分析，并做一些較為簡單有效的安全方案，提高實際動手能力。（4）證書撤銷處理系統(tǒng)證書由于某種原因需要作廢，終止使用，將通過證書撤銷列表 CRL 來實現(xiàn)。使用基于公開密鑰技術(shù)平臺的用戶建立安全通信信任機制的基礎(chǔ)是，網(wǎng)上進(jìn)行的任何需要提供安全服務(wù)的通信都是建立在公鑰的基礎(chǔ)之上的，而與公鑰成對的私鑰只掌握在他們與之通信的對方。它負(fù)責(zé)證書申請者的信息錄入、審核等工作；同時，對發(fā)放的證書完成相應(yīng)的管理功能。（8）密鑰歸檔。8． CA中心CA中心（Certificate Authority）即數(shù)字證書認(rèn)證機構(gòu)，是一個可信的、權(quán)威的第三方機構(gòu)，其主要功能就是為用戶（包括人和設(shè)備等）簽發(fā)數(shù)字證書，并實施相應(yīng)的管理。通過驗證者對數(shù)字證書的驗證，確保用戶身份和用戶公開鑰的一一對應(yīng)性，從而確認(rèn)用戶對該公開鑰的合法擁有，從而利用該公鑰進(jìn)行安全的信息加密。5． 數(shù)字簽名在收發(fā)雙方不能完全信任的情況下，數(shù)字簽名是解決該問題的最好方法。SHA1和MD5是目前最常用的雜湊函數(shù)。因此，公鑰密碼技術(shù)適應(yīng)了電子商務(wù)應(yīng)用需要。其二，發(fā)送方和接收方必須以安全的方式傳遞和保存密鑰副本，對稱加密的安全性取決于密鑰的保密性而不是算法的機密性。本實驗將主要集中在涉及密碼技術(shù)的實驗內(nèi)容上。計算機安全是一個受到全社會關(guān)注并亟待解決的大問題。本實驗采用了一些信息安全方面開放源碼的較成熟的軟件包和部分商業(yè)化并可用于教學(xué)目的的軟件產(chǎn)品作為實驗的基本平臺，這有利于同學(xué)們能夠充分利用因特網(wǎng)進(jìn)行更多的實驗內(nèi)容的收集和進(jìn)一步研究的展開，充分利用網(wǎng)絡(luò)信息安全相關(guān)資源，將更有助于本實驗內(nèi)容的良好完成。傳統(tǒng)的對稱密碼系統(tǒng)主要是建立在位操作基礎(chǔ)之上，而公鑰密碼算法和密鑰生成則是建立在數(shù)學(xué)函數(shù)基礎(chǔ)之上。SHA1和MD5是目前最常用的雜湊函數(shù)。設(shè)有散列函數(shù) ｈ＝Ｈ（Ｍ），這里 Ｍ是可變長度消息，ｈ是固定長度的函數(shù)值。數(shù)字簽名必須是與消息相關(guān)的二進(jìn)制位串，簽名必須使用發(fā)送方某些獨有的信息，以防止偽造和否認(rèn)，產(chǎn)生數(shù)字簽名比較容易，識別和驗證簽名比較容易，偽造數(shù)字簽名在計算上是不可行的，保存數(shù)字簽名的拷貝是可行的。證書的驗證主要包括驗證數(shù)字簽名是否正確（確認(rèn)證書是否被修改）、證書有效期是否有效、證書簽發(fā)者是否可信、證書中其他信息是否符合政策、證書是否已經(jīng)被注銷等，在證書鏈中，還應(yīng)驗證證書鏈中所有的證書是否符合信任鏈關(guān)系等。（3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書—證書的發(fā)放。主體的公鑰可有兩種產(chǎn)生方式：（1）用戶自己生成密鑰對，然后將公鑰以安全的方式傳給 CA，該過程必須保證用戶公鑰的可驗證性和完整性。一般說來，注冊機構(gòu)控制注冊、證書傳遞、其他密鑰和證書生命周期管理過程中主體、最終實體和 PKI間的交換。然后由可信任的 CA 對該用戶身份及對應(yīng)公鑰相結(jié)合的證書進(jìn)行數(shù)字簽名，用來證明證書的有效性。二、 實驗基本環(huán)境簡介基本的實驗環(huán)境主要包括以下：1． 虛擬安全環(huán)境的建立為了保持本實驗的獨立性和安全性，搭建一個相對獨立的安全環(huán)境很有必要。l 配置一個在WINDOWS平臺下基于C/S環(huán)境的CA系統(tǒng)環(huán)境。 實驗指導(dǎo) 軟件準(zhǔn)備VMware是VMware公司出品的一個多系統(tǒng)安裝軟件。裝好之后，你可以發(fā)現(xiàn)你多了兩塊名為VMware Virtual Ethernet Adapter (basic hostonly support for VMnet1)和VMware Virtual Ethernet Adapter (Network Address Translation (NAT) for VMnet8)的虛擬網(wǎng)卡，這也是VMware的特色所在，因為在VMware下你可以使用虛擬網(wǎng)卡進(jìn)行聯(lián)網(wǎng)設(shè)置及其實驗。如果想回到主機系統(tǒng)，則可以按Ctrl+Alt使鼠標(biāo)回到主機系統(tǒng)。你會發(fā)現(xiàn)在虛擬機中的設(shè)備和你實際的設(shè)備完全不一樣，VMware為了保證系統(tǒng)的兼容性和穩(wěn)定性，把現(xiàn)有的設(shè)備都虛擬成了最標(biāo)準(zhǔn)的、兼容性最好的設(shè)備。（2） 使用Sniffer工具軟件偵聽網(wǎng)絡(luò)傳輸信息，包括通信內(nèi)容及賬戶/口令等敏感信息。下圖第一個可以看到其它機器之間的流量，第二個圖是對一個NetBIOS分組的格式字段解析。這些標(biāo)準(zhǔn)格式的協(xié)議分組Sniffer程序都可以解析。（5） FTP到某個站點，可以觀察FTP流量。（3） 登錄注冊論壇等。（2） 一個包捕獲程序的基本框架，要說明所調(diào)用的winpcap關(guān)鍵函數(shù)。思考如何保護(hù)網(wǎng)絡(luò)傳輸數(shù)據(jù)安全：（A）抵御竊聽；（B）發(fā)現(xiàn)竊聽；（C）不被察覺地竊聽。（3） 編寫一個簡單但是安全的文件加密程序。void DES_ecb_encrypt(const_DES_cblock *input,DES_cblock *output, DES_key_schedule *ks,int enc)。參數(shù)length指示輸入字節(jié)長度。void DES_cfb64_encrypt(const unsigned char *in, unsigned char *out, long length, DES_key_schedule *schedule, DES_cblock *ivec, int *num, int enc)； OFB和CFB類似，也有兩個函數(shù)，用法一樣。void AES_ecb_encrypt()?？梢园裄C4看作異或，因此加密兩次即解密。在加密前對明文添加校驗保護(hù)，比如添加MD5/SHA1校驗值，如果解密后校驗不符則可以斷定密文有篡改或口令不對。這樣就可以保密K2而公布K1，從而大大簡化了密鑰管理。RSA * RSA_generate_key(int bits, unsigned long e, void (*callback) (int,int,void *),void *cb_arg)。輸出長度等于RSA鑰的模長。 RSA算法例子程序(供參考)RSA加解密例子RSA簽名和驗證