Windows CA系统.doc

贵州大学实验报告学院：计信学院 专业：信息安全 班级：信息101姓名杨青学号1008060173实验组实验时间20周星期四指导教师蒋朝惠成绩实验项目名称Windows CA系统实验目的1、 理解CA和PKI的概念2、 理解数字证书的基本概念3、 了解CA在Windows 2000/XP中所起的作用4、 掌握Windows 2000 Server/Server 2003配置、管理的相关知识5、 学会在Windows 2000/XP中创建一个独立存在的CA，内容包括安装/删除证书服务、安装一个独立/从属存在的CA、从某个CA申请证书和发放证书实验原理1、 PKI PKI技术是为就解决因特网的安全而发展起来的，PKI采用证书管理公钥，通过第三方的可信任机构-认证机构，把用户的公钥和用户的其他标识捆绑在一起，在因特网网上验证用户的身份。2、 PKI体系结构 CA是PKI的核心部分，用于创建和发放数字证书，CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名，证书在使用的过程中，其他用户，应用程序或实体需要下载安装CA跟证书，使用CA根证书中的公钥对CA颁发的证书进行验证。 PKI体系是由多种认证机构及各种终端实体等组件所组成，其机构模式一般为多层次的树形结构，PKI是由很多CA及CA信任链组成的。3、 数字证书介绍 为保证网上数字信息的安全传输，除了在通信传输中采用更强的加密算法等措施以外，必须建立一种信任及信任验证机制，即数字证书。在电子交易中，为了验证身份，就用CA签发证书，保证交易的真实性。4、 Windows中的CA 系统 Windows 2003对PKI做了全面的支持，在提供高强度安全性的同时，还与操作系统做了紧密的联系，并作为操作系统的一项基本服务而存在。 Windows 2003支持两种CA，企业CA和独立CA，又将CA分为根CA和从属CA。实验环境1、 一台运行Windows 2000 Server/Server 2003的计算机，并将其配置为域控制器2、 一台拥有类似配置的计算机，并将其加入上述域实验步骤及内容1、 创建一个独立存在的根CA1） 以管理员身份登录计算机2） 启动Windows组件的安装向导3） 选中【证书服务】复选框4） 选中【独立根CA】5） 在CA标识信息界面中，输入用户有关信息6） 指定配置数据、数据库和日志的位置7） 停止IIS服务2、 创建一个独立存在的从属CA任务一：添加你的合伙人的CA作为一个信任根CA1） 以管理员身份登录计算机2） 打开【运行】对话框3） 输入http:/partner_server/certsrv4） 选中【检索CA证书或证书吊销列表】5） 单击【安装此证书证书路径】任务二：创建一个独立存在CA1） 单击【添加/删除Windows组件】2） 选中【证书服务】3） 选中【独立从属CA】4） 输入用户标识信息5） 指定配置数据、数据库和日志的位置6） 选中【将申请直接发送给网上的CA】7） 停止IIS服务任务三:针对根CA的下层CA发放一个证书1） 在【证书颁发机构】中单击【待定申请】文件夹2） 选中待批准的证书右击，选中【所有任务】-【颁发】命令3） 在控制台树中，单击【颁发的证书】任务四1） 选中【证书颁发机构】2） Server CA并右击，选中【所有任务】-【安装CA证书】3）4） 在【选择要完成CA安装的文件】，从根CA通过网络连接获得证书5） 在【CA证书请求】中输入根CA的计算机的名称3、 请求一个计算机证书思考题：1、基于PKI的属性证书和基于X.509的CA证书有何区别？ X.509 V4增加了属性证书的概念。提起属性证书就不能不提起授权管理基础设施（PMI，Privilege Management Infrastructure）。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。与PKI信任技术相比，两者的区别主要在于PKI证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；而PMI证明这个用户有什么权限、什么属性、能干什么，并将用户的属性信息保存在授权证书（又称管理证书）中。2、如何在UNIX和Linux下实现安装和配置证书服务？答：1、生成密钥2、自签证书3、编辑openssl的配置文件/etc/pki/tls/f4、建立所需文件实验总结此次实验并没有完整的完成，原因有关实验室