实训 下载数字证书 电子支付安全策略
模块五
实训目的与要求: 实训目的与要求
数字证书实训
知识目标:了解数字证书的功能,掌握数字证书的使用方法。 能力目标:熟练掌握数字证书的使用方法。 实训重点与难点: 实训重点与难点 实训重点:数字证书的使用方法。 实训难点:数字证书的使用方法 实训内容: 实训内容 熟练掌握数字证书的使用方法。 实训程序: 实训程序
1、 在线申请数字证书
2、 在线了解数字证书的作用
3、 备份数字证书
4、 保存数字证书
5、 恢复数字证书
6、 使用数字证书 下面以中国数字认证网为例,说明申请并下载免费个人安全电子邮件数字证书的过程。 整个过程分为安装根证书,个人证书的申请及安装数字证书三大步骤
1)安装根证书 (
1) 进入中国数字认证网 (http://www.ca3
65.com) 主页, 单击页面的免费证书下的 “根 CA 证书”链接,如图 7?1 所示,下载根 CA 证书,选择弹出对话框的“保存”选项,将文 件保存在自己指定目录下。
图 7?1
中国数字认证网主页
(
2)打开指定目录,找到刚才保存的 rootFree 文件,双击,弹出证书窗口,如图 7? 2 所示。
图 7?2
没有启用信任的根证书
(
3)单击下端的“安装证书” ,弹出“证书导入向导” 。 (
4)单击“下一步”按钮,出现如图 7?3 所示的窗口,选择“根据证书类型,自动选 择证书存储区(U)。 ”
图 7?3
根证书导入向导(
1)
(
5)单击“下一步” ,出现如图 7?4 所示的证书导入向导窗口。
图 7?4
根证书导入向导(
2)
(
6) 单击 “完成” 出现根证书的存储区窗口, , 可以看到证书有效期和序号等一些信息, 如图 7?6 所示,单击“是” ,出现证书导入成功的提示,说明根证书安装成功。
图 7?5
安全性警告
(
7)根证书安装成功后成为“受信任的根证书颁发机构” 。单击 IE 浏览器的“工具” 菜单,从中选择“Internet 选项” ,然后选择“内容”标签,单击“证书” ,然后选择“受 信任的根证书颁发机构”标签,列表中有相应的一些根证书,找到安装的 CA365 根证书,如 图 7?6 所示。
图 7?6
CA365 根证书
(
8)单击“查看”按钮查看所安装的根证书,此时的根证书为受信任的根证书,如图 7?7 所示。
图 7?7 受信任的根证书 ? (
9)选中安装的 CA365 根证书,单击“高级”按钮,可以看到所安装证书的目的,如 服务器验证、代码签名、安全电子邮件等,如图 7?8 所示。
图 7?8
根证书高级选项
2)个人证书的申请 ,并根 (
1)打开中国数字认证网的主页,点击“免费证书”栏中的“用表格申请证书” 据表格栏目填写。其中在证书用途栏中选择“电子邮件保护证书” ,然后选择用表格申请证 书, 输入你的个人资料, CSP 栏目中选择 在 “Microsoft Base Cryptagraphic Provider V
1.
0” (见 图 7?
9) ,填写补充信息,存储介质选择“本地” ,将证书保存到本机硬盘上;最后点击“提 交”按钮进行申请,如图 7?9 所示。
图 7?9 免费证书填写表格 (
2)填写完毕后单击“提交”按钮。出现图 7?10 所示的对话框,点击“是” ,页面跳
转到“正在创建新的 RSA 交换密钥”窗口中,单击“确定”按钮(见图 7-
11) 。
图 7?10 潜在的脚本冲突提示窗口
图 7?11 正在创建新的 RSA 交换密钥窗口 (
3)在如图 7?12 所示的界面中,记下供以后查询及填写个人真实材料所需的“证书 序列号” ,然后单击“下载并安装证书,如图 7-12 所示,这样,个人数字证书就被安装在电 脑的浏览器内。
图 7?12
下载安装证书窗口
3)数字证书的导出 (
1)在 IE 中,选择“工具→Internet 选项→ 内容→证书” ,选择个人标签栏,选择 你的数字证书,如图 7?13 所示。
图 7?13 数字证书对话框 (
2)单击“导出”按钮,系统提示“欢迎使用证书导出向导” ” ,进入证书管理器导出向 导程序,如图 7-14 所示。
图 7?14 证书导出向导(
1) (
3)系统询问是否将私钥跟证书一起导出,选择“是” ,导出私钥(如果你在申请数字 证书时选择的存储介质为非本地计算机,此时系统导出的私钥项为虚) ,如图 7-15 所示。
图 7?15 证书导出向导(
2)
(
4)系统让你选择导出证书的格式,如果导出私钥的数字证书文件,则格式为 PFX。
如图 7?16 所示。
图 7?16
证书导出向导(
3)
(
5)在导出私钥时,系统会提示要求输入私钥保护密码,为了防止第三方非法使用你 的数字证书,请输入你的私钥保护密码;然后根据系统提示进行下一步(见图 7?
17) ;在 出现的对话框中,你还需要选择导出文件的路径和填写文件名(见图 7?
18) 。至此,证书 管理器导出向导完成导出任务。
图 7?17
证书导出向导(
4)
图 7?18
证书导出向导(
5)
说明: 说明:证书导出时若连同私钥一起导出,则导出文件的图标上有一把钥匙,图标为
Key.pfx
,否则图标为
NewCert.der
。
注意: 注意:数字证书的导出一般要连同私钥一起导出,这样便于给个人或企业留下备份。以 后你的计算机重装系统或在别的计算机上使用此数字证书时, 导入就可以了。 但在公共场所 或非自己私人的计算机上使用了数字证书, 一定要记得删除。 带有私钥的证书一定要记得保 管好,在电子商务交易中和发送加密与签名邮件的时候要使用(详细内容见本书第 5 章) 。 数字证书的存储:数字证书一般可以存储在硬盘、USB Key、IC 卡等介质中。目前比较 流行的做法是选择外观像普通的优盘的 USB Key 作为数字证书的存储介质。 这样做的优点是: 第一,直接利用计算机的 USB 接口,不再需要安装额外的读取设备。第二,在身份鉴别时采 取了双因素认证方法。 所谓双因素认证, 即在身份鉴别时不仅仅通过用户名和口令等数字信 息鉴别身份,还要借助于其他物理设备。正如在 ATM 机上取款时将 IC 卡或磁卡和口令相结 合起来进行身份鉴别一样,在互联网上进行身份鉴别也可以将 USB Key 和口令结合起来。
4)数字证书的导入 (
1)启动 IE,选择“工具→Internet 选项→内容→证书→个人” ,再单击“导入”按 钮,系统提示“欢迎使用证书导入向导” ,进入导入向导;下一步点击“浏览”按钮选择证 书导入的文件,或直接点击带有私钥的导出文件,出现如图 7?19 所示的证书导入向导。
图 7?19
证书导入向导(
1)
(
2)点击“下一步” ,这时系统提示输入前面证书的导出密码(以后导入时也要求输入 该密码) ,并选中图中的两个复选框后,单击“下一步” ,如图 7?20 所示。
7?20
证书导入向导(
2)
(
3) 在随后出现的设置证书存储区中, “根据证书类型, 选择 自动选择证书存储区 (U) ” 或指定将证书存入“个人” ,然后单击“下一步” ,并在下一窗口中单击“完成”按钮。
5)数字证书的查询及下载 (
1)数字证书的查询 为了查询上述已经申请成功的免费个人电子邮件证书, 可单击中国数字认证网主页 “免 费证书”栏下的“证书查询” ,在随后的查询窗口中用户可按证书序列号、名称或公司来查 询。当然,若记得序列号便可得到唯一的查询结果,如图 7?21 所示。 (
2)数字证书的下载 图 7?21 为数字证书的查询结果,点击“下载”可以下载自己的或对方的数字证书。
注意,此时下载的证书是只有公钥的证书,图标为
NewCert.der
。
实训任务: 实训任务 任务一:学生按照上述数字证书的下载安装在计算机上实际做一遍。 任务二:分析一个实际开展电子商务的企业如 DELL 公司,海尔商城,淘宝网站等保证网上 支付的安全技术策略
在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客 在购买东西的时候不会钱财两空,一种新的支付方式??第三方支付出现了,第 三方支付平台的出现解决了电子商务的瓶颈??网上支付信用与安全问题,充当 商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的 疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。 那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子 商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用 E-mail 来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费 游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的 今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。 近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进 而对第三方支付的安全性问题提出质疑, 认为电子支付有可能被金融犯罪分子所 利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围 内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就 所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控 制能力,也大大低估了各大第三方支付公司的风险把控能力。 实际情况是,早在 1996 年 4 月 1 日,中国人民银行就颁布并实施了《信用 卡业务管理办法》 ,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意 透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支 付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控 制系统,协助银行解决问题。 在如何对待信用卡套现的问题上, 国内领先的第三方支付平台如 PAYPAL(贝 宝)、支付宝、快钱等目前都采用了多种安全措施。 例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方 面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安 全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。 作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在 2006 年 7 月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份 认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务
中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户 实名制信息来校验用户填写的姓名和银行账户号码是否准确, 摒弃了某些购物网 站仅凭一个手机号码或者身份证号码进行简单认证的模式。 支付宝公司还在国内 率先推出了 “全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。 为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全 性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支 付宝的数字证书从技术上摆脱了普通 6 位密码验证,改以 1024 位加密的数字签 名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。 央行发布的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业 务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过 1000 元 人民币,每日累计金额不应超过 5000 元人民币,并规定信用卡的网上支付不得 超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日 支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行 联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信 用卡支付限制的是单笔最高限额 499 元。为了保证支付宝的安全性,支付宝还有 CTU 风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现 行为。 实际上,从 2006 年 5 月开始,支付宝就已委托中国工商银行对支付宝公司 开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付 宝客户交易保证金托管报告》 。这是中国银行界第一次为第三方支付平台做资金 托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006 年 12 月 8 日, 从工行对 11 月