实验十一认证服务器配置及管理.doc

实验十一认证服务器配置与管理 一、实验目的 1.掌握证书服务的安装并能够架设企业独立根CA。2.掌握用户向独立根CA申请证书的相关知识。3.熟悉数字证书管理的相关操作。4.结合SSL实现Web服务器的安全通信。二、实验环境PC机，操作系统：Windows Server 2003 R2三、实验内容(一):Windows 2003证书服务的安装、配置与管理安装证书服务并架设独立根CA首先安装IIS服务和ASP组件。因为安装CA时要向默认网站里新建相应的虚拟目录，用来申请证书时使用。然后安装证书服务，架设独立根CA。在CA识别信息中只需填写“此CA的公用名称”一栏即可。其他可保持默认信息。1。依次打开“控制面板”“添加删除程序”“windows组件”,如下图：系统会提示安装完“证书服务”不能再更改计算机名或域成员身份，我们单击是。2:选择CA的类型，选择独立根CA。3:输入CA的识别信息。4:单击“下一步”，生成密钥。5:配置证书数据库的存放位置，我采用默认值就可以了，如下图：6:单击“下一步”系统完成“证书服务”的安装。用户向独立根CA申请证书(1)在客户端打开Web浏览器，输入http:/CA的IP地址/certsrv，登录CA，申请一个证书电子邮件保护证书，填写相关信息，申请提交。(2)在服务器端发放证书。(3)在客户端安装已颁发的证书。(4)在客户端查看已经安装的证书。可参考课本P430-431数字证书的管理参考课本P432-P439。(1)CA的备份与还原(2)吊销证书，证书吊销列表(CRL)的发布，下载CRL(3)导出与导入用户的证书(4)申请一个可以导出私有密钥的证书(5)更新证书二、SSL HTTP配置：阶段一：为Web网站创建证书申请文件1:打开IIS管理器，右键单击“默认网站”，在弹出的快捷菜单中单击“属性”，在“默认网站”属性的“目录安全性”选项卡中，单击“服务器证书”按钮:根据证书向导来建立和安装证书，第一步，选择“新建证书”如下图：2:单击“下一步”，在这一步骤中默认的选项为是第一项。3:单击“下一步”，在这步骤中，为新建的证书起一个名字。4:单击“下一步”，为新建的证书设置“单位”和“部门”名称。5:单击“下一步”，这一步骤中为新建的证设置一个公用的名称。6:单击“下一步”，这一步设置地理信息。所在国家、省份和城市。7:单击“下一步”，这一步输入证书请求的文件和选择保存的位置。按默认值保存的文件名是：certreq.txt，保存在c盘根目录下。8:单击“下一步”，在这时显示证书摘要信息。然后单击“下一步”，再单击“完成”。结束生成证书申请文件。打开文件C:certreq.txt，该文件用Base 64编码的形式显示，包含了之前输入的信息以及公钥和用私钥签名的信息。阶段二：为Web网站申请证书9:打开IE浏览器，在地址栏里输入：http:/ip/certsrv，打开如下的页面：10:在“选择一个任务”下面单击“申请一个证书”的链接，开始申请证书。11:在打开的如下图的页面上，单击“高级证书申请”。12:在“高级证书申请”的页面上单击第二个链接：使用base64编码.，如下图：13:浏览进刚才生成的certreq.txt文件，将其内容全部复制到“保存的申请”文本框中。然后提交，如下图：提交之后，出现证书挂起页面。阶段三 在CA服务器上颁发证书14:系统生成证书，不过此进证书被挂起，等管理员颁发，登录CA服务器，打开“证书颁发机构”，单击“挂起的申请”，我们可以看到刚才申请的证书如下图：15:“颁发证书”。，右键单击刚才申请的证书，在快捷菜单中选择“所有任务”然后单击“颁发”。16:此时我们就可以在“颁发的证书”中看到刚才颁发的证书。阶段四 下载证书 打开IE浏览器，在地址栏里输入：http:/ip/certsrv，单击查看挂起的证书请求的状态，打开页面，单击保存的申请证书，打开证书已颁发页面，选择DER编码选项，并单击下载证书，下载并保存该证书。下载证书另外一种方法17:在“颁发的证书”中双击刚才申请的证书，打开证书对话框，单击“详细信息“选项卡。然后单击“复制到文件.”按钮，导出证书。按默认值，就可以。如下图：18:为导出的证书分配一个名称和位置。我们证保存c盘根目录下。名字为aa.cer阶段五 为Web网站安装证书19:在“默认网站”属性的“目录安全性”选项卡中，单击“服务器证书”按钮，提示存在挂起的证书。20:单击“下一步”，在这一步骤里询问对挂起的证书请求，如何处理。在这里选“处理挂起的请求并安装证书。21:在这一步里，要求输入证书的名字和路径，c:aa.cer22:这一步，配置SSL端口，默认值：443。一般无需更改。23:这一步骤列出证书的详细信息。单击“下一步”开始安装证书。阶段六 为Web站点设置安全通信在目录安全性选项卡中，单击安全通信区域中的编辑按扭钮，勾选“要求安全通道(SSL)，Web服务器只接受HTTPS访问，在客户端区域中选择忽略客户端证书选项。客户端通过网站证书来验证网站的身份，而网站不验证客户端的身份。客户端与服务器可以安装传输数据了。如果不选择“要求安全通道(SSL)”选项，客户端既可以用HTTP协议访问Web网站，也可以用HTTPS协议访问Web站点。阶段七 访问Web网站先用http:/ip访问，观察结果，查看能不能使用HTTP协议访问网站。然后在IE浏览器地址栏输入https:/ip，打开网页时，会弹出一个如下的安全报警信息的对话框，单击“是”按钮继续。阶段八 配置Web网站实现双向认证如果需要通过证书验证客户端身份，可以要求试图访问Web网站的客户端必须提供证书才能访问。1. 设置Web网站要求客户端证书打开网站属性对话框，选择目录安全性选项卡，单击编辑，在客户端证书区域选择要求客户端证书选项，确定。这样Web网站会要求验证客户端身份，试图访问Web