【正文】 =F:\EJBCA\\jre\lib\security。F:\EJBCA\\bin。這時(shí)你的JBOSS_HOME\server\default\, :時(shí)生成的,這個(gè)文件里包含了ant 時(shí)打的所有的包 啟動(dòng)JBOSS ,在啟動(dòng)JBOSS的過(guò)程中,。AdminCA139。其中①處為設(shè)置創(chuàng)建的CA的管理名稱，僅為管理之用。 for no policy at all.(Ex 39。⑦處為SSL服務(wù)端的證書(shū)唯一甄別名，⑧要求填寫(xiě)超級(jí)管理員證書(shū)庫(kù)的密碼，此密碼要求安全可靠并不可忘記。3) Edit Publishers通過(guò)此功能模塊，管理員可以添加并配置新的LDAP服務(wù)器，作為證書(shū)發(fā)布點(diǎn)。2） Edit Administrator Privileges對(duì)管理員權(quán)限進(jìn)行相應(yīng)的設(shè)置。Keytool 是一個(gè)有效的安全鑰密和證書(shū)的管理工具， 證書(shū)鏈的keystore(相當(dāng)一個(gè)數(shù)據(jù)庫(kù))。它通過(guò)采用并實(shí)現(xiàn)符合國(guó)際標(biāo)準(zhǔn)的公開(kāi)鑰和對(duì)稱鑰密碼算法，以及數(shù)據(jù)加密、解密、數(shù)字簽名、簽名驗(yàn)證等核心技術(shù)，構(gòu)造了符合國(guó)際相關(guān)標(biāo)準(zhǔn)的認(rèn)證體系，實(shí)現(xiàn)了PKI技術(shù)的核心基礎(chǔ)設(shè)施CA系統(tǒng)。(3) 進(jìn)行兩種方式（委托證書(shū)申請(qǐng)和PKCS10）的數(shù)字證書(shū)申請(qǐng)、簽發(fā)、下載、安裝。詳細(xì)功能見(jiàn)軟件使用說(shuō)明書(shū)。（ii） CA端數(shù)據(jù)庫(kù)配置 配置數(shù)據(jù)庫(kù)服務(wù)器的用戶（DBUSER）為sa,口令（DBPASSWD）為 12345678（任意），創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)，名稱為：caserver，,創(chuàng)建一系列表。該密鑰用于簽發(fā)數(shù)字證書(shū)。 點(diǎn)擊“輸出證書(shū)”按鈕，出現(xiàn)提示對(duì)話框，以文件方式保存系統(tǒng)證書(shū)，如命名根證書(shū)為：(),通信證書(shū)為：。如下圖所示： 然后單擊“輸出證書(shū)和密鑰”按鈕，輸出該RA系統(tǒng)的密鑰和證書(shū)。(VII)RA系統(tǒng)數(shù)據(jù)庫(kù)配置 配置數(shù)據(jù)庫(kù)服務(wù)器的用戶（DBUSER）為sa,口令（DBPASSWD）為 12345678（任意），創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)，名稱為：caserver，,創(chuàng)建一系列表。(VI) RA系統(tǒng)所需的軟件準(zhǔn)備RA中心端應(yīng)用系統(tǒng)軟件包。系統(tǒng)提示框如下： （11）添加一個(gè)RA端系統(tǒng)。點(diǎn)擊“生成CA系統(tǒng)通信證書(shū)”按鈕，提示口令并輸入，生成通信證書(shū)。 添加系統(tǒng)管理員成功，退出系統(tǒng)，并以該系統(tǒng)管理員身份登錄系統(tǒng)。MS SQL SERVER 或 版本的數(shù)據(jù)庫(kù)服務(wù)器軟件包。CA端軟件安裝后包括兩部分，一個(gè)是后臺(tái)管理軟件（負(fù)責(zé)CA本地配置，策略制定，RA管理，密鑰生成，證書(shū)簽發(fā)，證書(shū)注銷，證書(shū)歸檔，證書(shū)查詢，生成和發(fā)布CRL，權(quán)限管理等核心服務(wù)），一個(gè)是通信服務(wù)器（通信服務(wù)器負(fù)責(zé)接受來(lái)自各個(gè)RA的業(yè)務(wù)申請(qǐng)）。(1) 實(shí)驗(yàn)所需的具體軟件環(huán)境和所需的軟件包在VMWARE win2000 環(huán)境下,導(dǎo)入已經(jīng)安裝但尚未配置過(guò)的系統(tǒng)軟件SureCA系統(tǒng)的服務(wù)器端CA和客戶端RA軟件包和SQL SERVER 數(shù)據(jù)庫(kù)以及NETSCAPE 目錄服務(wù)器軟件包。 實(shí)驗(yàn)內(nèi)容獨(dú)立完成EJBCA系統(tǒng)的各個(gè)模塊的安裝和配置，并能完成多種數(shù)字證書(shū)的申請(qǐng)、簽發(fā)、下載、注銷，黑名單的生成、下載等CA基本功能。二、用戶自己建立Token，通過(guò)發(fā)送證書(shū)簽名申請(qǐng)CSR（Certificate Signing Request），CA對(duì)發(fā)送信息簽名，發(fā)送證書(shū)給用戶。2） Log Configuration對(duì)系統(tǒng)的日志功能進(jìn)行設(shè)置。2) Edit Certificate Profiles該功能模塊列舉了系統(tǒng)默認(rèn)的三種證書(shū)配置，最終用戶、根CA和子CA證書(shū)配置。CN=,O=PrimeKey Solutions AB,C=SE39。 for any policy or 39。365039。)2. You run this installation with access to administrative privileges. Is these requirements meet (Yes/No) :程序提示必須經(jīng)過(guò)ant deploy將EJBCA部署到應(yīng)該服務(wù)器，并且具有administrative權(quán)限，鍵入Yes將繼續(xù)下一步的安裝配置。（iii）ant deploy 過(guò)程運(yùn)行ant順利通過(guò)后，鍵入ant deploy命令。%SystemRoot%\System32\Wbem?？蛇x的多個(gè)發(fā)布器，以用來(lái)在LDAP中發(fā)布證書(shū)和CRL支持用來(lái)為指定用戶和證書(shū)來(lái)恢復(fù)私鑰的密鑰恢復(fù)模塊基于組件的體系結(jié)構(gòu)，用來(lái)發(fā)布證書(shū)和CRL到不同的目的地基于組件的體系結(jié)構(gòu)，用來(lái)在發(fā)布證書(shū)時(shí)采用多種實(shí)體授權(quán)方法容易集成到大型應(yīng)用程序中，并為集成到業(yè)務(wù)流程進(jìn)行了優(yōu)化可以通過(guò)訪問(wèn)。使用 Ant，您能夠編寫(xiě)單個(gè)生成文件，這個(gè)生成文件在任何 Java 平臺(tái)上都一致地操作,Ant 的其他關(guān)鍵優(yōu)勢(shì)包括其突出的簡(jiǎn)單性和無(wú)縫地使用自定義功能來(lái)擴(kuò)展它的能力。它是開(kāi)放源代碼的項(xiàng)目，遵循最新的J2EE規(guī)范。 實(shí)驗(yàn)內(nèi)容獨(dú)立完成EJBCA系統(tǒng)的各個(gè)模塊的安裝和配置，并能完成多種數(shù)字證書(shū)的申請(qǐng)、簽發(fā)、下載、注銷，黑名單的生成、下載等CA基本功能。 15. 等待安裝完成。這樣就指定了存儲(chǔ) CA 配置信息的文件夾位置。如果未選中“ 高級(jí)選項(xiàng) ”復(fù)選框，則繼續(xù)執(zhí)行下一步。 4. 單擊 “下一步”。3．申請(qǐng)證書(shū)、簽發(fā)證書(shū)、下載證書(shū)等。關(guān)于私鑰的保密問(wèn)題。正確情況下返回0。填充方式常用的有兩種RSA_PKCS1_PADDING和RSA_PKCS1_OAEP_PADDING。下面介紹OpenSSL中RSA算法的函數(shù)接口。公鑰密碼算法當(dāng)前仍是RSA算法占統(tǒng)治地位。需要使用經(jīng)過(guò)考驗(yàn)的公開(kāi)的加密算法，如DES/AES/RC4等；（2） 口令的質(zhì)量，以及從口令衍生密鑰的方法。流算法是從密鑰作為種子產(chǎn)生密鑰流，明文比特流和密鑰流異或即加密。相關(guān)函數(shù)名如下(參數(shù)略)。void DES_cfb_encrypt(const unsigned char *in, unsigned char *out, int numbits, long length, DES_key_schedule *schedule, DES_cblock *ivec, int enc)。因此，輸出可能比length長(zhǎng)，而且必然是8字節(jié)的倍數(shù)。參數(shù)中密鑰結(jié)構(gòu)ks是用函數(shù)DES_set_key()準(zhǔn)備好的，而密鑰key是用隨機(jī)數(shù)算法產(chǎn)生的64個(gè)隨機(jī)比特。（2） 掌握對(duì)稱算法的使用方法。建議：（1）為了看清關(guān)心的流量，在逮包期間盡量關(guān)閉其它無(wú)關(guān)程序，尤其是P2P下載等程序。Windump基于Winpcap是tcpdump的翻版。（2） Web郵件口令。（3） 訪問(wèn)某個(gè)網(wǎng)頁(yè)，可以制造HTTP流量，順便可以看到TCP會(huì)話，包括三次握手的過(guò)程。推薦使用Ethereal或Sniffer Pro。 按照以太網(wǎng)原理，以太網(wǎng)卡可以收聽(tīng)到本網(wǎng)段上的所有幀，也包括和本機(jī)無(wú)關(guān)的其它機(jī)器之間的通信。 實(shí)驗(yàn)二 Sniffer網(wǎng)絡(luò)偵聽(tīng)和pcap編程 實(shí)驗(yàn)?zāi)康模?）了解和驗(yàn)證網(wǎng)絡(luò)安全威脅最基本的一種形式：網(wǎng)絡(luò)竊聽(tīng)。之后便可使用光盤(pán)來(lái)啟動(dòng)安裝（虛擬機(jī)可以用光盤(pán)鏡像如：ISO、vcd文件作為光盤(pán)。Reset：重啟，相當(dāng)于物理計(jì)算機(jī)的RESET按鈕。Windows 2000 SERVER 操作系統(tǒng)就不用介紹了。三、 系列實(shí)驗(yàn)實(shí)驗(yàn)一 VMWARE虛擬機(jī)和WIN2000安裝 實(shí)驗(yàn)?zāi)康? 通過(guò)在主系統(tǒng)平臺(tái)上安裝和配置一個(gè)虛擬機(jī)環(huán)境，為下面的實(shí)驗(yàn)打好實(shí)驗(yàn)環(huán)境基礎(chǔ)。2． 安全實(shí)驗(yàn)環(huán)境內(nèi)容的總體描述本系列實(shí)驗(yàn)的總體目標(biāo)是：通過(guò)安裝和配置一系列CA系統(tǒng)（包括微軟公司操作系統(tǒng)中提供的CA模塊、商業(yè)化CA系統(tǒng)以及一些開(kāi)放源碼的CA系統(tǒng)），理解并掌握CA系統(tǒng)的原理和實(shí)際使用方法；進(jìn)而根據(jù)實(shí)際應(yīng)用系統(tǒng)的安全需要，通過(guò)數(shù)字證書(shū)的使用，搭建一些基本的PKI安全環(huán)境，從而理解并掌握在實(shí)際應(yīng)用中是如何做到基于密碼技術(shù)來(lái)完成安全化改造的，進(jìn)一步掌握PKI技術(shù)的開(kāi)發(fā)，能夠做到對(duì)系統(tǒng)進(jìn)行安全需求分析，并做一些較為簡(jiǎn)單有效的安全方案，提高實(shí)際動(dòng)手能力。（4）證書(shū)撤銷處理系統(tǒng)證書(shū)由于某種原因需要作廢，終止使用，將通過(guò)證書(shū)撤銷列表 CRL 來(lái)實(shí)現(xiàn)。使用基于公開(kāi)密鑰技術(shù)平臺(tái)的用戶建立安全通信信任機(jī)制的基礎(chǔ)是，網(wǎng)上進(jìn)行的任何需要提供安全服務(wù)的通信都是建立在公鑰的基礎(chǔ)之上的，而與公鑰成對(duì)的私鑰只掌握在他們與之通信的對(duì)方。它負(fù)責(zé)證書(shū)申請(qǐng)者的信息錄入、審核等工作；同時(shí)，對(duì)發(fā)放的證書(shū)完成相應(yīng)的管理功能。（8）密鑰歸檔。8． CA中心CA中心（Certificate Authority）即數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)，是一個(gè)可信的、權(quán)威的第三方機(jī)構(gòu)，其主要功能就是為用戶（包括人和設(shè)備等）簽發(fā)數(shù)字證書(shū)，并實(shí)施相應(yīng)的管理。通過(guò)驗(yàn)證者對(duì)數(shù)字證書(shū)的驗(yàn)證，確保用戶身份和用戶公開(kāi)鑰的一一對(duì)應(yīng)性，從而確認(rèn)用戶對(duì)該公開(kāi)鑰的合法擁有，從而利用該公鑰進(jìn)行安全的信息加密。5． 數(shù)字簽名在收發(fā)雙方不能完全信任的情況下，數(shù)字簽名是解決該問(wèn)題的最好方法。SHA1和MD5是目前最常用的雜湊函數(shù)。因此，公鑰密碼技術(shù)適應(yīng)了電子商務(wù)應(yīng)用需要。其二，發(fā)送方和接收方必須以安全的方式傳遞和保存密鑰副本，對(duì)稱加密的安全性取決于密鑰的保密性而不是算法的機(jī)密性。本實(shí)驗(yàn)將主要集中在涉及密碼技術(shù)的實(shí)驗(yàn)內(nèi)容上。計(jì)算機(jī)安全是一個(gè)受到全社會(huì)關(guān)注并亟待解決的大問(wèn)題。本實(shí)驗(yàn)采用了一些信息安全方面開(kāi)放源碼的較成熟的軟件包和部分商業(yè)化并可用于教學(xué)目的的軟件產(chǎn)品作為實(shí)驗(yàn)的基本平臺(tái)，這有利于同學(xué)們能夠充分利用因特網(wǎng)進(jìn)行更多的實(shí)驗(yàn)內(nèi)容的收集和進(jìn)一步研究的展開(kāi)，充分利用網(wǎng)絡(luò)信息安全相關(guān)資源，將更有助于本實(shí)驗(yàn)內(nèi)容的良好完成。傳統(tǒng)的對(duì)稱密碼系統(tǒng)主要是建立在位操作基礎(chǔ)之上，而公鑰密碼算法和密鑰生成則是建立在數(shù)學(xué)函數(shù)基礎(chǔ)之上。SHA1和MD5是目前最常用的雜湊函數(shù)。設(shè)有散列函數(shù) ｈ＝Ｈ（Ｍ），這里 Ｍ是可變長(zhǎng)度消息，ｈ是固定長(zhǎng)度的函數(shù)值。數(shù)字簽名必須是與消息相關(guān)的二進(jìn)制位串，簽名必須使用發(fā)送方某些獨(dú)有的信息，以防止偽造和否認(rèn)，產(chǎn)生數(shù)字簽名比較容易，識(shí)別和驗(yàn)證簽名比較容易，偽造數(shù)字簽名在計(jì)算上是不可行的，保存數(shù)字簽名的拷貝是可行的。證書(shū)的驗(yàn)證主要包括驗(yàn)證數(shù)字簽名是否正確（確認(rèn)證書(shū)是否被修改）、證書(shū)有效期是否有效、證書(shū)簽發(fā)者是否可信、證書(shū)中其他信息是否符合政策、證書(shū)是否已經(jīng)被注銷等，在證書(shū)鏈中，還應(yīng)驗(yàn)證證書(shū)鏈中所有的證書(shū)是否符合信任鏈關(guān)系等。（3）向申請(qǐng)者頒發(fā)、拒絕頒發(fā)數(shù)字證書(shū)—證書(shū)的發(fā)放。主體的公鑰可有兩種產(chǎn)生方式：（1）用戶自己生成密鑰對(duì)，然后將公鑰以安全的方式傳給 CA，該過(guò)程必須保證用戶公鑰的可驗(yàn)證性和完整性。一般說(shuō)來(lái)，注冊(cè)機(jī)構(gòu)控制注冊(cè)、證書(shū)傳遞、其他密鑰和證書(shū)生命周期管理過(guò)程中主體、最終實(shí)體和 PKI間的交換。然后由可信任的 CA 對(duì)該用戶身份及對(duì)應(yīng)公鑰相結(jié)合的證書(shū)進(jìn)行數(shù)字簽名，用來(lái)證明證書(shū)的有效性。二、 實(shí)驗(yàn)基本環(huán)境簡(jiǎn)介基本的實(shí)驗(yàn)環(huán)境主要包括以下：1． 虛擬安全環(huán)境的建立為了保持本實(shí)驗(yàn)的獨(dú)立性和安全性，搭建一個(gè)相對(duì)獨(dú)立的安全環(huán)境很有必要。l 配置一個(gè)在WINDOWS平臺(tái)下基于C/S環(huán)境的CA系統(tǒng)環(huán)境。 實(shí)驗(yàn)指導(dǎo) 軟件準(zhǔn)備VMware是VMware公司出品的一個(gè)多系統(tǒng)安裝軟件。裝好之后，你可以發(fā)現(xiàn)你多了兩塊名為VMware Virtual Ethernet Adapter (basic hostonly support for VMnet1)和VMware Virtual Ethernet Adapter (Network Address Translation (NAT) for VMnet8)的虛擬網(wǎng)卡，這也是VMware的特色所在，因?yàn)樵赩Mware下你可以使用虛擬網(wǎng)卡進(jìn)行聯(lián)網(wǎng)設(shè)置及其實(shí)驗(yàn)。如果想回到主機(jī)系統(tǒng)，則可以按Ctrl+Alt使鼠標(biāo)回到主機(jī)系統(tǒng)。你會(huì)發(fā)現(xiàn)在虛擬機(jī)中的設(shè)備和你實(shí)際的設(shè)備完全不一樣，VMware為了保證系統(tǒng)的兼容性和穩(wěn)定性，把現(xiàn)有的設(shè)備都虛擬成了最標(biāo)準(zhǔn)的、兼容性最好的設(shè)備。（2） 使用Sniffer工具軟件偵聽(tīng)網(wǎng)絡(luò)傳輸信息，包括通信內(nèi)容及賬戶/口令等敏感信息。下圖第一個(gè)可以看到其它機(jī)器之間的流量，第二個(gè)圖是對(duì)一個(gè)NetBIOS分組的格式字段解析。這些標(biāo)準(zhǔn)格式的協(xié)議分組Sniffer程序都可以解析。（5） FTP到某個(gè)站點(diǎn)，可以觀察FTP流量。（3） 登錄注冊(cè)論壇等。（2） 一個(gè)包捕獲程序的基本框架，要說(shuō)明所調(diào)用的winpcap關(guān)鍵函數(shù)。思考如何保護(hù)網(wǎng)絡(luò)傳輸數(shù)據(jù)安全：（A）抵御竊聽(tīng)；（B）發(fā)現(xiàn)竊聽(tīng)；（C）不被察覺(jué)地竊聽(tīng)。（3） 編寫(xiě)一個(gè)簡(jiǎn)單但是安全的文件加密程序。void DES_ecb_encrypt(const_DES_cblock *input,DES_cblock *output, DES_key_schedule *ks,int enc)。參數(shù)length指示輸入字節(jié)長(zhǎng)度。void DES_cfb64_encrypt(const unsigned char *in, unsigned char *out, long length, DES_key_schedule *schedule, DES_cblock *ivec, int *num, int enc)； OFB和CFB類似，也有兩個(gè)函數(shù)，用法一樣。void AES_ecb_encrypt()?？梢园裄C4看作異或，因此加密兩次即解密。在加密前對(duì)明文添加校驗(yàn)保護(hù)，比如添加MD5/SHA1校驗(yàn)值，如果解密后校驗(yàn)不符則可以斷定密文有篡改或口令不對(duì)。這樣就可以保密K2而公布K1，從而大大簡(jiǎn)化了密鑰管理。RSA * RSA_generate_key(int bits, unsigned long e, void (*callback) (int,int,void *),void *cb_arg)。輸出長(zhǎng)度等于RSA鑰的模長(zhǎng)。 RSA算法例子程序(供參考)RSA加解密例子RSA簽名和驗(yàn)證