构建基于Windows2003的CA系统.doc

参考文献：/view/fbb1930d4a7302768e993943.html1.7 实例：构建基于Windows 2003的CA系统实验环境如图-113所示。PKI原理回顾：PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础，使用户在虚拟的网络环境中能够验证相互之间的身份，并保证敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。CA系统是PKI的核心，因为它管理公钥的整个生命周期。 实验环境Windows 2003 Server对PKI做了全面支持，在提供高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。SSL（Secure Socket Layer，安全套接字层）是由Netscape公司开发的，被广泛应用于Internet上的身份认证及Web服务器和用户端浏览器之间的安全数据通信。SSL协议在TCP/IP协议之上，在HTTP等应用层协议之下，对基于TCP/IP协议的应用服务是完全透明的。利用CA颁发的证书，在服务器和客户端之间建立可靠的会话，从而保证两者之间通信的安全性。通过此类功能，企业就可以为相关用户颁发证书，并利用它来控制只有获取证书的用户才可以进行基于安全通道协议（即对Web网站上加密文件的访问使用https，而非http方式）验证的访问。图-114 Windows组件向导图-115 详细信息实验过程如下：1安装证书服务器（CA服务器）在3计算机上，创建IIS（Web服务器）和创建CA认证中心。（1）创建IIS依次选择选择【开始】/【控制面板】/【添加/删除程序】 /【添加/删除Windows组件】，出现【Windows组件向导】对话框，如图-114所示，选择【应用程序服务器】。单击【详细信息】按钮，选择如图-115所示的选项，单击【确定】按钮，回到图-114，单击【下一步】按钮，完成IIS的安装。（2）创建CA认证中心第1步：在图-114中选择【证书服务】，出现【Microsoft证书服务】对话框，如图-116所示，单击【是】按钮，回到图-114，单击【详细信息】按钮，出现【证书服务】对话框，如图-117所示，选中其中的两项，单击【确定】按钮，开始安装。图-116 中国金融CA结构图-117 证书服务组件 图-118 CA类型第2步：在图-118中，选择证书颁发类型“独立根CA”。选择证书颁发类型包括：企业根CA、企业从属CA、独立根CA和独立从属CA。企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要Active Directory支持，而独立根CA不需要。从属级的CA由于只能从另一个证书颁发机构获取证书，所以一般不选择。在Windows 2003 Server中，企业根CA使用Active Directory来确定申请人的身份，确定申请人是否具有申请他们所指定的证书类型的安全权限，并由此自动确定是否立即颁发证书或拒绝申请，这种策略设置不能被更改。如果选择此选项一定要注意保护含有此服务的服务器，不能直接暴露在外。独立根CA可以选择在收到申请时自动颁发证书或将申请保持为挂起状态，由管理员验证证书申请者的真实性及合法性，决定是否颁发证书。第3步：在图-118中，单击【下一步】按钮，如图-119所示，填写CA识别信息，单击【下一步】按钮，如图-120所示，出现【证书数据库设置】对话框，选择证书数据库及日志的位置。第4步：在图-120中，单击【下一步】按钮，出现如图-121所示对话框，询问是否停止IIS，单击【是】按钮，如图-122所示。配置组件过程中，出现如图-123所示对话框，单击【是】按钮。出现如图-124所示对话框，单击【完成】按钮，安装完成。图-119 CA识别信息 图-120 证书数据库设置 图-121 是否停止IIS 图-122 配置组件图-123 中国金融CA结构图-124 安装完成第5步：设置证书服务管理。依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】，如图-125所示。右键单击【jsjCA】，选择【属性】/【策略模块】，如图-126所示。单击【属性】按钮，如图-127所示，选择【将证书请求状态设置为挂起，管理员必须明确地颁发证书】，单击【确定】按钮，完成证书服务管理的设置。图-125 证书颁发机构 图-126 jsjCA属性 图-127 请求处理 图-128 Internet信息服务（IIS）管理器2安装Web服务器（SSL网站）在6计算机上，创建Web服务器。第1步：安装IIS，过程和在3计算机上一样。 图-129 主目录 图-130 文档第2步：依次选择【开始】/【程序】/【管理工具】/【Internet信息服务（IIS）管理器】，如图-128所示，右键单击【ztg网站】，选择【属性】/【主目录】，如图-129所示；选择【文档】，如图-130所示；选择【目录安全性】，如图-131所示。在c:inetpubwwwroot下面创建index.htm主页文件，内容是“您正在访问ssl网站！”。 图-131 目录安全性图-132 Web服务器证书向导第3步：在图-131中，单击【服务器证书】按钮，如图-132所示，单击【下一步】按钮，如图-133所示，选择【新建证书】。后续过程如图-134图-141所示。在图-139中，要记住文件名的路径，后面申请证书时，要用到该文件的内容。 图-133 服务器证书图-134 延迟或立即请求 图-135 名称和安全性设置图-136 单位信息 图-137 站点公用名称图-138 地理信息 图-139 证书请求文件名 图-140 请求文件摘要 图-141 完成证书向导图-142 安全通信第4步：在图-131中，单击【编辑】按钮，如图-142所示，选择【要求安全通道】和【要求客户端证书】，单击【确定】按钮。第5步：打开IE浏览器，在地址栏输入3/certsrv/，如图-143所示，单击“申请一个证书”， 如图-144所示，单击“高级证书申请”，如图-145所示，单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”，如图-147所示， 将图-146所示的C: certreq.txt文本文件内的内容，粘贴到“保存的申请”。 图-143 选择任务 图-144 证书类型 图-145 高级证书申请 图-146 certreq.txt文件内容 图-147 粘贴到“保存的申请” 图-148 RA结构在图-147中，单击【提交】按钮，如图-148所示，申请的证书处于挂起状态。第6步：在证书服务器上（3计算机），依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】，如图-149所示。单击左侧栏的【挂起的申请】，在右侧栏右键单击一个挂起的申请，依次选择【所有任务】/【颁发】。第7步：在3计算机上，在图-143中，单击“查看证书申请状态”，如图-150所示，单击“保存的申请证书”，如图-151所示，单击“下载证书链”，如图-152所示，单击【保存】按钮，将文件certnew.p7b保存在桌面。图-149 证书颁发机构 图-150 查看证书申请状态图-151 中国金融CA结构 图-152 文件下载图-153 证书向导第8步：在图-131中，单击【服务器证书】按钮，如图-153所示，单击【下一步】按钮。后续过程如图-154图-158所示，完成证书的安装。 图-154 挂起的证书请求 图-155 处理挂起的请求 图-156 SSL端口 图-157 证书摘要 图-158 证书安装完成图-159 ztg网站属性第9步：在图-159中，单击【查看证书】按钮，如图-160所示，查看安装的证书。单击【确定】按钮回到图-159，单击【确定】按钮，SSL网站创建完成。 图-160 证书内容图-161 下载证书，证书链或CRL3配置客户端第1步：在客户端（1计算机），打开IE浏览器，在地址栏输入3/certsrv，出现类似图-143所示的页面，单击“下载一个证书，证书链或CRL”， 出现如图-161所示的页面，单击“安装此CA证书链”，出现如图-162所示的对话框，单击【是】按钮添加证书，安装CA证书链后，客户机的登录用户就会信任此CA服务器（证书服务器）。图-162 潜在的脚本冲突 图-163 申请一个证书 图-164 用户信息第2步：向CA服务器申请Web浏览器证书，先回证书服务首页，类似图-143所示的页面，单击“申请一个证书”，出现如图-163所示的页面，单击“Web浏览器证书”，出现如图-164所示的页面，填写用户信息，单击【提交】按钮，出现如图-165所示的对话框，单击【是】按钮，出现如图-166所示的页面，表示申请的证书到达CA服务器，处于挂起状态。 图-165 潜在脚本冲突 图-166 证书挂起状态第3步：在证书服务器上（3计算机），依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】，如图-167所示。单击左侧栏的【挂起的申请】，在右侧栏右键单击一个挂起的申请，依次选择【所有任务】/【颁发】。图-167 证书颁发机构第4步：在客户端（1计算机），打开IE浏览器，在地址栏输入3/certsrv，出现类似图-143所示的页面，单击“查看挂起的证书申请的状态”，出现如图-168所示的页面，单击“Web浏览器证书”，出现如图-169所示的页面，得知申请的证书已经颁发，单击“安装此证书”，出现如图-170所示的对话框，单击【是】按钮。出现如图-171所示的对话框，表明证书已经安装成功。 图-168 查看挂起证书申请的状态图-169 证书已颁发图-170 潜在的脚本冲突 图-