独立跟CA的创建和证书申请.doc

School of Information Science and Engineering PKI实验教程 PKI 实验一 ：PKI系统原理【1】实验目的通过实验深入理解PKI系统的工作原理，了解数字证书和CA系统的主要功能和作用。【2】实验原理1. PKI基础PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI系统能够为用户生成并颁发数字证书，用户利用数字证书可以在网络环境下验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供基本保障。2. 数字证书数字证书就是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份，即要在网络上解决“我是谁”的问题。数字证书可以看作用户的“网络身份证”。3. CA如果将数字证书比喻为“身份证”，那么CA就好比颁发“身份证”的公安局，它能通过数字证书证明证书持有者的身份。CA是数字证书的核心部分，用于创建数字证书。CA系统首先获取用户的申请证书请求，CA将根据用户的请求信息产生证书，证书中包括用户的公钥，最后CA用自己的私钥对证书进行签名。4. Windows中的CA系统Windows 2000/2003的Server版本或Enterprise版本，将PKI功能作为操作系统的一项基本服务，避免了购买第三方PKI所带来的额外开销。Windows 2000/2003中支持两种类型的CA：企业CA和独立CA。企业CA一般用于为一个组织机构内部并且属于同一个域的用户和计算机颁发证书。如果给Windows 2000/2003域之外的独立用户颁发证书，一般安装独立CA。【3】实验环境安装Windows 2000/2003 Server操作系统的一台计算机以及与其联网的一台windows计算机。【4】实验内容和步骤1. 独立根CA的安装(1) 单击“开始”，选择“设置”“控制面板”“添加和删除程序”，在弹出的窗口中选择“添加和删除Windows组件”。 (2) 在弹出的窗口中，选择“证书服务”。（如果单击“详细信息”，这里面可以看到Windows所提供的CA和RA两个基本功能模块）。单击“下一步”按钮开始安装。(3) 在弹出的配置窗口中，选择“独立根CA”，单击“下一步”按钮。(4) 在出现的对话框中，按要求一次填入CA的名称、单位、部门、城市、电子邮件、描述、有效期限，单击“下一步”按钮。（可分辨名称处不填）(5) 在弹出的对话框中填入数据的存放位置，单击“下一步”按钮。下面会停止本机的IIS服务，并启动CA的服务，之后IIS信息服务会自动开启，并通过IIS的证书服务网页完成证书的操作。安装完成后，单击“开始”按钮，选择选择“设置”“控制面板”“管理工具”，此时可在该菜单中找到“证书颁发机构”，说明CA的安装已经完成。2. 通过Web页面申请证书在局域网的另一台计算机中打开IE，在地址栏中输入http:/安装根CA的主机IP地址/certsrv，正常情况下会出现RA的证书申请页面。下面先申请一个证书。(1) 选中“申请证书”，并单击“下一步”按钮。(2) 在弹出的页面中选择“用户证书申请”中的某一个用途的证书，例如“Web浏览器证书”。(3) 在弹出的窗口中填写用户的身份信息，完成后单击“提交”按钮。这种情况下，IE浏览器采用默认的加密算法生成公私钥对，私钥保存在本地计算机中，公钥和用户身份信息按照标准的格式发给CA服务器，然后出现提示窗口，单击“是”按钮，申请证书。(4) CA服务器响应后，出现证书挂起页面，标识CA服务器已经收到证书申请，需要进行处理后才能反馈。3. 证书发布(1) 在根CA所在的计算机上，单击“开始”按钮，选择“设置”“控制面板” “管理工具”“证书颁发机构”。在弹出的窗口左侧的菜单目录中选择“待定申请”，上一步中申请的证书“test出现在窗口左侧。 (2) 打开下拉框，点击“挂起的申请”。(3) 选中右边框中证书申请，单击鼠标右键，选择“所有任务”“颁发”，进行证书颁发。(4) 证书颁发后将从“挂起的申请”文件夹转入到“颁发的证书”文件夹中，标识证书颁发完成。在CA服务器中完成证书颁发后，下面转到证书申请者的计算机中，查看申请的证书是否颁发下来。4. 证书的下载安装(1) 在申请证书的计算机上打开IE浏览器，在地址栏中输入http:/安装根CA的主机IP地址/certsrv，进入证书申请页面。刚才完成了“申请证书”，下面选择“检查挂起的证书”，看看CA是否颁发了证书，单击“下一步”按钮。(2) 在弹出的页面中选择已经提交的证书申请，单击“下一步”按钮。(3) 如果CA已经将证书颁发，将弹出证书已颁发页面。(4) 单击“安装此证书”，弹出系统提示，这是由于没有下载安装CA系统的根证书，在下面会安装CA的根证书。在这里先单击“是”按钮，完成证书的安装。(5) 由于没有下载安装CA系统的根证书，所以无法验证其他用户提交的同一个CA颁发的证书是否被篡改，即此CA系统颁发给其他用户的证书是否可信任。为此要安装CA系统的根证书，在地址栏中输入http:/安装根CA的主机IP地址/certsrv，进入证书申请页面。选择“下载 CA 证书、证书链或 CRL”超级链接。(6) 在弹出的对话框中单击“下载CA证书”超级链接，在弹出的文件下载对话框中选择恰当的保存路