SSL安全演示实验证书服务.doc

SSL安全演示实验在这一小节中，我们将通过实验来学习如何实现客户机和服务器之间的SSL安全通信。在具体实验之前，我们先对实验的整体思路做一个描述。实验中使用两台计算机，一台作为服务器，一台作为客户端，客户机通过IE浏览器访问服务器的Web站点。服务器通过向证书颁发机构（CA）申请并安装服务器证书，并要求客户机通过SSL安全通道连接，从而可以保证双方通信的保密性、完整性和服务器的用户身份认证。同时，可以通过在客户机上申请并安装客户端证书，实现客户机的用户身份认证。这里说的证书指的就是数字证书，它是一种由证书颁发机构颁发并经证书颁发机构数字签名的、用于证明证书持有人身份的“网络身份证”，其中包括了证书持有人的公钥信息和证书颁发机构的数字签名，还可以包括用户的其他信息。数字证书的权威性取决于证书颁发机构的权威性。【实验目的】通过申请、安装数字证书，掌握使用SSL建立安全通信通道的方法。【实验原理】SSL协议的工作原理、数字证书的原理【实验环境】作为服务器的计算机预装Windows Server 2000/2003操作系统，作为客户端的计算机预装Windows 2000/XP/2003，两台计算机通过网络相连。【实验内容】 任务一：安装 “证书服务”Windows组件由于我们在后面的实验过程中需要向证书颁发机构申请数字证书，因此必须先在作为服务器的计算机上安装“证书服务”组件，使之成为一个证书颁发机构。具体实现步骤如下：（1）默认情况下Windows 2000/XP/20032003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”，如图7-12所示。图7-12 安装“证书服务”组件这里需要注意的是，在安装了证书服务后，计算机名和域成员身份都不能改变，因为计算机名到CA信息的绑定存储在Active Directory中。更改计算机名和域成员身份将使此CA颁发的证书无效。因此，在安装证书服务之前，要确认已经配置了正确的计算机名和域成员身份。（2）在CA类型对话框中选择，如图7-13所示，然后点按钮继续。图7-13 选择CA类型（3）在CA识别信息窗对话框中为安装的CA起一个公用名称，这里用“crn”，可分辨名称后缀可以不填，有效期限保持默认5年即可，如图7-14所示。图7-14 填写CA识别信息 （4）在证书数据库设置对话框中我们保持默认即可，因为只有保证默认目录，系统才会根据证书类型自动分类和调用，如图7-15所示。图7-15 设置证书数据库位置（5）配置好所需的参数后，系统会安装证书服务组件，当然需要在安装的过程中插入Windows Server 2003的安装盘。安装完成后，在“开始”“程序”“管理工具”中，可以看到“证书颁发机构”，打开后如图7-16所示。图7-16 证书颁发机构对话框至此，我们就已经安装好一个证书颁发机构，在图7-16中可以看到，此时没有颁发过任何证书。 任务二：在服务器创建服务器证书请求为了在服务器申请并安装服务器证书，必须先创建服务器证书请求。具体实现步骤如下：（1）在Web站点属性页的“目录安全性”页面中，点击“安全通信”选项区域的按钮，打开Web服务器证书向导，如图7-17所示。图7-17 Web服务器证书向导（2）单击按钮，显示如图7-18所示的服务器证书对话框，选择单选按钮来新建一个服务器证书。图7-18 选择为站点分配证书的方法（3）单击按钮，显示如图7-19所示的名称和安全性设置对话框，用于设置新证书的名称和密钥长度。图7-19 设置新证书的名称和密钥长度（4）单击按钮，显示如图7-20所示的的单位信息对话框，用来设置该证书所包含单位的相关信息，以便和其他单位的证书区分开。图7-20 设置证书的单位信息（5）单击按钮，显示如图7-21所示的公用名称对话框，在这里输入站点的公有名称。该公用名称要根据服务器而定，如果服务器位于Internet上，应使用有效的DNS名；如果服务器位于Intranet上，可以使用计算机的NetBIOS名。但如果公有名称发生变化，则需要获取新证书。图7-21 输入站点的公有名称（6）单击按钮，显示如图7-22所示的地理信息对话框，证书颁发机构都会要求提供一些地理信息。图7-22 填写地理信息上面三个对话框所需填写的内容，读者可以根据自己的情况而定。（7）单击按钮，显示如图7-23所示的证书请求文件名对话框，用来指定要保存的证书请求文件的文件名和路径。这里保存到c:certreq.txt文件中。图7-23 输入证书请求的文件名（8）单击按钮，显示如图7-24所示的请求文件摘要对话框，显示了前面设置的所有信息。图7-24 请求文件摘要（9）单击按钮完成Web服务器证书向导，如图7-25所示。至此，创建了一个服务器证书请求，并保存在文件c:certreq.txt中，如图7-26所示。图7-25 完成创建Web服务器证书请求图7-26 服务器证书请求文件内容 任务三：申请并安装服务器证书请求有了证书请求文件后，服务器就可以通过证书颁发机构组件CertSrv申请服务器证书。服务器提交证书申请后，证书颁发机构审核并颁发证书。颁发后的服务器证书从证书颁发机构导出后，可以在服务器上安装。这就完成了服务器证书的申请和安装工作，具体实现步骤如下：（1）在服务器上打开IE浏览器，输入46/CertSrv，这里“46”为服务器的地址。如果IIS工作正常，证书服务安装正确的话会出现Microsoft证书服务界面，如图7-27所示。图7-27 Microsoft证书服务界面（2）选择其中的“申请一个证书”，并在接下来的两个申请证书类型界面中依次选择“高级证书申请”和“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请”，将出现如图7-28所示的提交证书申请界面。在该界面中，我们将前面保存的服务器证书请求文件c:certreq.txt的内容（也即图7-26显示的文件内容）完整复制到“保存的申请”文本框中，并按按钮提交证书申请。图7-28 提交证书申请界面（3）当出现如图7-29所示的证书挂起界面时，说明证书申请已经被证书颁发机构收到，必须等待管理员颁发证书。图7-29 证书挂起界面（4）此时，在如图7-16所示的证书颁发机构对话框中，可以在“挂起的申请”文件夹中看到我们刚才提交的服务器证书申请（颁发的公用名是我们在前面设置的“win2003”）。这时，可以通过在该证书上右击弹出的快捷菜单中，依次选择“所有任务”“颁发”以颁发此证书，如图7-30所示。图7-30 证书颁发机构管理员颁发证书（5）管理员颁发证书后，在“颁发的证书”文件夹中就能看到已经颁发了的证书，如图7-31所示。图7-31 已经颁发的证书（6）双击该证书，可以在弹出的对话框中查看证书的详细信息，如图7-32所示。在每个证书信息对话框中可以看到证书的作用（目的）、所有者、颁发者和有效期，这正是数字证书的几个要素。从图中可以看到这个证书的目的是客户机用来保证远程计算机（服务器）的身份的。（7）在图7-32所示的对话框中选择“详细信息”页面，单击按钮，将启动证书导出向导，用于将该证书导出成文件。在证书导出向导中，需要选择导出证书的格式，如图7-33所示。在这里，我们选择Base64编码X.509的文件格式。 图7-32 服务器证书信息 图7-33 选择证书导出文件格式下面简单介绍一下可以用于证书导出和导入的几种文件格式。 DER编码二进制X.509：卓越编码规则（DER）X.509为证书和其他用于传输文件的编码定义了一种平台独立性的方法。也就是说，这种方法适合使用任何一种操作系统的计算机。如果你要将证书用于其他非Windows的操作系统上，就可以使用这种文件类型。这种文件类型使用.cer或.crt的文件扩展名。 Base64编码X.509：这也是一种X.509格式，该X.509的变体采取了一种为配合S/MINE（一种在Internet上安全发送电子邮件附件的标准方法）使用而设计的编码方法。整个文件作为ASCII字符编码，这样就可以保证它不受损坏地通过不同的邮件网关。这种文件类型使用.cer或.crt的文件扩展名。 加密消息语法标准PKCS #7证书：与X.509格式不同的是，PKCS（公钥加密标准）#7证书允许您将一个证书及其证书路径中的所有证书联合到一个文件中，这样，将一个受信任的证书从一台计算机移到另一台计算机上就会变得容易。这种文件类型使用.p7b的文件扩展名。 私人信息交换PKCS #12：这种格式有时又被称为“私人交换格式”，它允许将证书与它对应的私钥一起转换。这是惟一能包括私钥的格式。如果要允许将私钥包含进去，该私钥就必须被标记为可导出，这是由颁发原始证书的CA来控制的。这种文件类型使用.pfx或.p12的文件扩展名。 Microsoft系列证书存储 这种格式只用在你选择导出或导入一个完整的证书存储的时候。这种文件类型使用.sst的文件扩展名。在实际应用中我们应该采用哪一种文件格式呢？对于包括加密证书或其他带有私钥的证书的导出文件，使用PKCS #12。（包含私钥只是为了备份或在你自己的计算机上安装，不要将带有私钥的证书发送给其他人。）对于想要导入到运行Windows操作系统的计算机的证书，使用PKCS #7。运行其他操作系统的计算机可能不支持PKCS #7，为了创建一个能用到这种计算机上的证书，可以使用任何一种X.509格式的证书。X.509格式是接受程度最广泛的证书格式。（8）将服务器证书导出为c:shenzhen.cer文件，如图7-34所示。图7-34 设置要导出的文件的文件名（9）接下来，打开服务器的Internet信息服务（IIS）管理器，在Web站点属性页的“目录安全性”页面中，点击“安全通信”选项区域的按钮启动Web服务器证书向导，通过该向导来安装刚刚导出的服务器证书。在如图7-35所示的挂起的证书请求对话框中，选择单选按钮。图7-35 挂起的证书请求对话框（10）在随后的对话框中需要指定证书文件的名称和路径，并为网站指定SSL端口号（一般指定为“443”），就可以完成Web服务器证书的安装了。安装证书的摘要信息如图7-36所示。图7-36 安装证书的摘要信息 任务四：客户端通过SSL安全通道建立和服务器的连接在服务器上安装了服务器证书后，就可以通过设置，要求客户机通过SSL安全通道和服务器建立连接。具体实现步骤如下：（1）打开服务器的Internet信息服务（IIS）管理器，在Web站点属性页的“目录安全性”页面中，点击“安全通信”选项区域的按钮，打开安全通信对话框，如图7-37所示。在该对话框中，选中和复选框，要求SSL安全通道。图7-37 安全通信对话框（2）此时，如果在客户机的IE浏览器中直接输入46（46是服务器的IP地址）来访问服务器的Web站点的话，将显示“该页必须通过安全通道查看”，如图7-38所示。客户机需要在访问的地址前键入https:/并按Enter，也就是通过SSL安全通道建立和Web站点的通信。图7-38 客户机通过http访问Web站点的情况（3）在客户机的IE浏览器中输入46来访问Web站点（客户机通过浏览器获得服务器证书），出现如图7-39所示的安全警报。此时，如果单击其中的按钮，则表示客户机信任了证书持有人（服务器）的身份，将建立客户机和服务器的SSL安全通道连接。而如果用户要进一步验证该服务器证书的合法性（通过验证数字证书上由证书颁发机构的数字签名来验证其合法性），可以单击其中的按钮，打开如图7-40的证书信息对话框以查看证书的详细信息，从而决定是否通过验证。 图7-39 客户机访问Web站点时的安全警报 图7-40 对应的证书信息在这里我们可以看到，由于该证书不是由客户机所信任的根证书颁发机构所颁发的，所以出现了图7-39所示的第一个标识。另外，由于我们在客户机的IE浏览器中输入的访问站点名称（46）和证书所有者的名称（win2003）不一致，所以出现了图7-39所示的第二个标识。客户端用户如果对这些警告标识所提示的内容表示怀疑，可以选择图7-39的按钮不通过验证（也就是不建立SSL安全通道连接）。下面我们将通过一系列的配置来消除图7-39中的这两个警告标识，以使客户端用户放心地访问服务器的Web站点。为了排除第一个警告标识所提示的内容，需要将根证书颁发机构的证书导出，并安装到客户机证书存储区的“受信任的根证书颁发机构”中（当然做这个操作的前提条件是：客户端用户认为该根证书颁发机构可以信任）。具体实现步骤如下：（1）在证书颁发机构对话框中，右键单击证书颁发机构，打开其属性页，如图7-41所示。（2）在证书颁发机构的属性页中，选择“常规”页面，并单击按钮，可以看到证书的详细信息，如图7-42所示。 图7-41 证书颁发机构属性页 图7-42 CA的证书信息 （3）在图7-42所示的对话框中选择“详细信息”页面，单击按钮，将启动证书导出向导，用于将该根证书颁发机构的证书导出到一个文件中。在证书导出向导中，需要选择导出证书的文件格式，如图7-43所示。在这里，我们选择加密消息语法标准PKCS #7证书的文件格式。图7-43 选择证书导出文件格式（4）将该CA的证书导出为c:root.p7b文件，如图7-44所示。图7-44 设置要导出的文件的文件名（5）接下来，我们将导出的CA的证书文件root.p7b发送给客户机，在客户机上通过IE浏览器将该证书导入到“受信任的根证书颁发机构”中。在客户机上打开IE浏览器，选择“工具”“Internet选项”打开Internet选项对话框，选择其中的“内容”页面，如图7-45所示。（6）点击“证书”选项区域中的按钮，打开证书信息对话框，如图7-46所示。 图7-45 Internet选项对话框 图7-46 证书信息对话框 （7）单击其中的按钮，以启动证书导入向导，将我们前面从证书颁发机构导出的CA的证书文件c:root.p7b导入到客户机的证书存储区。由于这部分的操作步骤和前面介绍的证书导出操作类似，这里不再重复，请读者自己完成。（8）将CA的证书导入到客户机的证书存储区后，表示客户机已经信任了该CA颁发的证书。此时我们再通过46来访问服务器的Web站点时，就不会出现图7-39所示的第一个安全警告标识。如图7-47所示。图7-47 客户机访问Web站点时的安全警报为了排除图7-39所示的第二个警告标识所提示的内容，只要在访问服务器的Web站点时输入站点的DNS或NetBIOS名称就可以了（如果服务器位于Internet上，输入有效的DNS名；如果服务器位于Intranet上，输入计算机的NetBIOS名）。这里我们通过https:/win2003来访问Web站点，使输入的站点名称和安全证书上的所有者名称保持一致，就不会出现这个安全警告了。 任务五：申请并安装客户端证书通过前面的学习我们已经知道，数字证书是用来确保证书持有者身份的一种机制。根据其保证对象的不同可以分成服务器证书和客户端证书。前面讲的服务器证书是服务器用来向客户端用户证明自己的身份的；而客户端证书则是客户端用来向服务器证明自己的身份的。下面，我们通过实验来学习如何申请并安装客户端证书。（1）在服务器端的计算机上，打开Internet信息服务（IIS）管理器，在Web站点属性页的“目录安全性”页面中，点击“安全通信”选项区域的按钮，打开如图7-37所示的安全通信对话框。在安全通信对话框中，点击“客户端证书”选项区域中的单选按钮，表示要求客户端在连接该Web站点时必须提供客户端证书。（2）这时在客户端的计算机上，打开IE浏览器，通过输入46访问Web站点，会弹出选择数字证书对话框，如图7-48所示。图7-48 要求选择客户端证书由于没有安装客户端证书，因此在图7-48所示的对话框中没有可以选择的证书。如果我们直接点按钮，会出现如图7-49所示的“该页要求客户证书”提示，无法正常访问。图7-49 客户机访问Web站点时没有要求的客户证书的情况（3）为了在客户机上申请安装客户证书，必须先在服务器上取消第（1）步中所设置的“要求客户端证书”，改为选择按钮。（4）然后在客户机上访问46/CertSrv，打开如图7-27所示的证书服务页面。选择其中的“申请一个证书”，并在接下来的申请证书类型界面中选择“Web浏览器证书”，出现如图7-50所示的界面。在其中填写Web浏览器证书的识别信息，并按按钮提交证书申请。图7-50 填写Web浏览器证书识别信息（5）在弹出