前言：本站為你精心整理了小議電子商務(wù)的CA認(rèn)證實踐范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：本文主要介紹了使用公開源代碼的工具OpenSSL來完成數(shù)字證書的簽署，實現(xiàn)電子商務(wù)中的ca認(rèn)證的過程。

關(guān)鍵詞：電子商務(wù)；OpenSSL；CA認(rèn)證

1.前言

作為電子商務(wù)的安全核心SSL協(xié)議在電子商務(wù)安全性方面扮演了重要的角色。本文就是從安全技術(shù)角度介紹了以公開源代碼的工具OpenSSL來實現(xiàn)電子商務(wù)中的安全認(rèn)證過程。

2.SSL（SecureSocketLayer）協(xié)議及其主要技術(shù)

1996年由美國Netscape公司開發(fā)和倡導(dǎo)的SSL協(xié)議，它是目前安全電子商務(wù)交易中使用最多的協(xié)議之一,它被許多世界知名廠商的Intranet和Internet網(wǎng)絡(luò)產(chǎn)品所支持。

SSL應(yīng)用在Client和Server間安全的WebHTTP通信，URL以https開始替代http,并使用443端口進(jìn)行通信。它主要使用加密機制、數(shù)字簽名、數(shù)字摘要、身份認(rèn)證、CA認(rèn)證技術(shù)提供Client和Server之間的秘密性、完整性、認(rèn)證性三種基本的安全服務(wù)。

3.用OpenSSL工具實現(xiàn)安全認(rèn)證

目前，國外主流的電子商務(wù)安全協(xié)議在核心密碼算法上都有出口限制，如只允許40位或56位的RC4和512位的RSA算法出口等。這樣的算法強度引進(jìn)后無法滿足我國電子商務(wù)實際應(yīng)用當(dāng)中的安全需求。但是，完全自主定義和開發(fā)一套安全標(biāo)準(zhǔn)體系不是一蹴而就的事情，需要人、財、物的長期投入。

因此，如何對國外主流的電子商務(wù)安全協(xié)議的安全模塊進(jìn)行改造，用國內(nèi)先進(jìn)的密碼算法替換其相應(yīng)的安全強度不夠的算法，變?yōu)閲a(chǎn)的強安全協(xié)議，這樣就能較好地提高我國電子商務(wù)安全技術(shù)水平。

在SSL未提供源代碼的情況下，由澳大利亞軟件工程師EricYoung與TimHudson聯(lián)合開發(fā)的OpenSSL恰好解決了這一難題。它不僅能實現(xiàn)SSL的所有功能，支持目前所有基于SSLV2/V3和TSLV1的應(yīng)用軟件，而且由于源代碼公開和提供了各種加密算法，完全可以滿足國外安全協(xié)議引進(jìn)后的本地化改造需求。

下面就用OpenSSL提供的強大功能在FreeBSD平臺下進(jìn)行手工簽署證書的過程。

⑴先建立一個CA的證書，首先為CA創(chuàng)建一個RSA私用密鑰：

#OpenSSLgenrsa-des3-outca.key1024

該指令中g(shù)enras表示生成RSA私有密鑰文件。

-des3表示用DES3加密該文件。

-outca.key表示生成文件ca.key。

1024是我們的RSAkey的長度。

生成server.key的時候會要你輸入一個密碼，這個密鑰用來保護你的ca.key文件，這樣即使人家偷走你的ca.key文件，也打不開，拿不到你的私有密鑰。

運行該指令后系統(tǒng)提示輸入PEMpassphrase，也就是ca.key文件的加密密碼，這里設(shè)為12345678。

⑵用下列命令查看它的內(nèi)容：

#OpenSSLrsa-noout-text-inca.key

該指令中rsa表示對RSA私有密鑰的處理。

-noout表示不打印出key的編碼版本信息。

-text表示打印出私有密鑰的各個組成部分。

-inca.key表示對ca.key文件的處理

對RSA算法進(jìn)行分析可以知道，RSA的私有密鑰其實就是三個數(shù)字，其中兩個是質(zhì)數(shù)primenumbers。產(chǎn)生RSA私有密鑰的關(guān)鍵就是產(chǎn)生這兩個質(zhì)數(shù)。還有一些其他的參數(shù)，引導(dǎo)著整個私有密鑰產(chǎn)生的過程。

⑶利用CA的RSA密鑰創(chuàng)建一個自簽署的CA證書

#OpenSSLreq-new-x509-days365-keyca.key-outca.crt

該指令中req用來創(chuàng)建和處理CA證書,它還能夠建立自簽名證書,做RootCA。

-new產(chǎn)生一個新的CSR,它會要輸入創(chuàng)建證書請求CSR的一些必須的信息。

-x509將產(chǎn)生自簽名的證書，一般用來做測試用，或者自己做個RootCA用。

-days365指定我們自己的CA給人家簽證書的有效期為365天。

-keyca.key指明我們的私有密鑰文件名為ca.key。

-outca.crt指出輸出的文件名為ca.crt。

執(zhí)行該指令時系統(tǒng)要求用戶輸入一些用戶的信息，如下所示：（框內(nèi)為輸入的內(nèi)容）

Usingconfigurationfrom/etc/ssl/f

EnterPEMpassphrase:12345678

Youareabouttobeaskedtoenterinformationthatwillbeincorporated

intoyourcertificaterequest.

WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.

Therearequiteafewfieldsbutyoucanleavesomeblank

Forsomefieldstherewillbeadefaultvalue,

Ifyouenter''''.'''',thefieldwillbeleftblank.

-----

CountryName(2lettercode)[AU]:CN（兩個字母的國家代號）

StateorProvinceName(fullname)[Some-State]:JIANGSU（省份名稱）

LocalityName(eg,city)[]:ZHANGJIAGANG（城市名稱）

OrganizationName(eg,company)[InternetWidgitsPtyLtd]:FAMILYNETWORK（公司名稱）

OrganizationalUnitName(eg,section)[]:HOME（部門名稱）

CommonName(eg,YOURname)[]:TJL（你的姓名）

EmailAddress[]:TJL@（Email地址）

⑷用下列命令查看生成證書的內(nèi)容：

#OpenSSLx509-noout-text-inca.crt

該指令中x509表示證書處理工具。

-noout表示不打印出key的編碼版本信息。

-text表示以文本方式顯示內(nèi)容。

-inca.crt表示對ca.crt文件進(jìn)行處理

系統(tǒng)顯示證書內(nèi)容為：

Certificate:

Data:

Version:3(0x2)

SerialNumber:0(0x0)

SignatureAlgorithm:md5WithRSAEncryption

Issuer:C=CN,ST=JIANGSU,L=ZHANGJIAGANG,O=FAMILYNETWORK,OU=HOME,CN=TJL/Email=TJL@WX88.NE

Validity

NotBefore:Feb2414:49:272003GMT

NotAfter:Feb2114:49:272013GMT

Subject:C=CN,ST=JIANGSU,L=ZHANGJIAGANG,O=FAMILYNETWORK,OU=HOME,CN=TJL/Email=TJL@

SubjectPublicKeyInfo:

PublicKeyAlgorithm:rsaEncryption

RSAPublicKey:(1024bit)

Modulus(1024bit):

00:da:20:09:11:19:1f:12:f0:98:0c:fc:91:ac:3e:

……

22:e1:ca:04:0f:dc:e9:bd:9f

Exponent:65537(0x10001)

X509v3extensions:

X509v3SubjectKeyIdentifier:

03:B0:14:8C:5D:C6:F8:F4:B0:96:A0:CC:7C:8F:9B:00:BB:78:E6:A6

X509v3AuthorityKeyIdentifier:

keyid:03:B0:14:8C:5D:C6:F8:F4:B0:96:A0:CC:7C:8F:9B:00:BB:78:E6:A6

DirName:/C=CN/ST=JIANGSU/L=ZHANGJIAGANG/O=FAMILYNETWORK/OU=HOME/CN=TJL/Email=TJL@

serial:00

X509v3BasicConstraints:

CA:TRUE

SignatureAlgorithm:md5WithRSAEncryption

8d:e8:46:82:40:b4:18:a2:12:9f:7a:66:e5:fc:0c:3f:77:5a:

……

04:13

從上面的輸出內(nèi)容可以看出這個證書基本包含了X.509數(shù)字證書的內(nèi)容，從發(fā)行者Issuer和接受者Subject的信息也可以看出是個自簽署的證書。

下面創(chuàng)建服務(wù)器證書簽署請求（使用指令和系統(tǒng)顯示信息基本和以上類似）：

⑸首先為Apache創(chuàng)建一個RSA私用密鑰：

#OpenSSLgenrsa-des3-outserver.key1024

這里也要設(shè)定口令passphrase，生成server.key文件。

⑹用下列命令查看它的內(nèi)容：

#OpenSSLrsa-noout-text-inserver.key

⑺用server.key生成證書簽署請求CSR：

#OpenSSLreq-new-keyserver.key-outserver.csr

這里也要輸入一些請求證書的信息，和上面的內(nèi)容類似。

⑻生成證書請求后，下面可以簽署證書了，需要用到OpenSSL源代碼中的一個腳本sign.sh，簽署后就可以得到數(shù)字證書server.crt。

#sign.shserver.csr

⑼啟動安全Web服務(wù)

最后在apache服務(wù)器中進(jìn)行ca認(rèn)證設(shè)置，拷貝server.crt和server.key到/usr/local/apache/conf

修改httpd.conf將下面的參數(shù)改為：

SSLCertificateFILE/usr/local/apache/conf/server.crt

SSLCertificateKeyFile/usr/local/apache/conf/server.key

可以啟動帶安全連接的Apache試一下了。

#/usr/local/apache/bin/apachectlstartssl

提示輸入passphrase（就是前面為服務(wù)器設(shè)置的口令）

⑽進(jìn)行安全連接

通過另一臺電腦（IP地址為192.168.0.1）的IE瀏覽器與這臺Apache服務(wù)器（IP地址為192.168.0.2）連接并且選擇https協(xié)議，即：https://192.168.0.2:443。出現(xiàn)安全連接警告窗口，因為我的服務(wù)器證書是自己手工簽署的，不是經(jīng)過真正的CA頒發(fā)的證書，是個無效證書，所以按確定后出現(xiàn)安全證書無效的警告窗口。按“是”繼續(xù)，出現(xiàn)如圖1所示：

注意這里瀏覽器地址欄內(nèi)輸入的是https而不是http，另外此時在狀態(tài)欄內(nèi)出現(xiàn)了一把小鎖，這說明SSL協(xié)議起作用了，服務(wù)器和瀏覽器之間建立了一個安全連接這樣我們使用開放源代碼的工具OpenSSL來完成了電子商務(wù)的CA認(rèn)證過程，同時這也只是使用現(xiàn)成的工具來完成的，在實際使用中還要分析它的源代碼，修改源代碼，來達(dá)到自己的安全需要。

4．結(jié)束語

SSL是目前國際上流行Web安全工具，它融合了多種安全技術(shù)，實現(xiàn)安全的Web通信，必將在國內(nèi)的安全電子交易領(lǐng)域得到廣泛的應(yīng)用。通過對公開源代碼的工具OpenSSL的使用和分析，可以使我們對SSL協(xié)議有很好的理解和應(yīng)用，對研究電子商務(wù)中的安全問題有具有特別的理論價值和實用價值。

參考文獻(xiàn)：

[1]AlanOFreier,PhilipKarlton.TheSSLProtocolVersion3.0[J].NetscapeCommunications.1996

[2]CCITT.RecommendationX.509:TheDirectory.AuthenticationFramework[R].1998

[3]林楓主編.電子商務(wù)安全技術(shù)及應(yīng)用北京:航空航天大學(xué)出版社

[4]易江波,趙戰(zhàn)生,阮耀平.SSL及使用SSLeay實現(xiàn)證書的簽發(fā)和管理計算機應(yīng)用研究2001

[5]韋衛(wèi),王德杰等.基于SSL的完全WWW系統(tǒng)的研究與實現(xiàn)[J].計算機研究與發(fā)展1999

[6]唐禮勇,陳鐘編寫.電子商務(wù)技術(shù)及其安全問題.計算機工程與應(yīng)用2000