证书服务---实验指导.doc

实验指导实验一名称：证书应用试验目的：了解PKI体系；了解用户进行证书申请和CA颁发证书过程；掌握认证服务的安装及配置方法；掌握使用数字证书配置安全站点的方法；试验人数：每组两人；系统环境：windows2000 advance Server网络环境：交换式局域网试验工具：sinffer pro，windows CA-windows自带证书服务。实验步骤：2个同学自由结组，确定好服务器端和客户端，在服务器端配置好IIS，并发布一个网站。一、 无认证（服务器和客户端均不需要身份认证）通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。1、客户端启动sinffer或者协议分析器，建立一个捕获窗口，然后开始捕获数据包；客户端在IE浏览器地址栏中输入http:/服务器IP地址，访问服务器web服务。成功访问到服务器web主页面后，停止捕获数据包并显示，找到http的会话数据包，找到源端口或者目的端口为80的会话，查看decode模式，通过解析http会话可以确定，在无认证模式下，服务器与客户端的web通信过程是以明文实现的。二、单向认证（仅服务器需要身份认证）1、 CA主机（同学A的主机，以下简称主机A）安装证书服务主机A依次选择“开始”|“设置”|“控制面板”|“添加或删除程序”|“添加/删除windows组件”，选中组件中的“证书服务”，此时出现“Microsoft 证书服务”提示信息，单击“是”，然后单击“下一步”。在接下来的安装过程中依次要确定如下信息：CA类型（选择独立根CA）CA的公用名称证书数据库设置（默认）在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”。系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为windows 2000 advance Server安装盘下的i386文件夹即可，（若安装过程中出现提示信息，请忽略该提示继续安装）。注：若安装过程中出现“windows文件保护”提示，单击“取消”按钮，选择“是”继续；在证书服务安装过程中若网络中存在主机重名，则安装过程会提示错误；安装证书服务后，计算机将不能再重新命名，不能加入到某个域或者从某个域中删除；要使用证书服务的web组件，需要安装IIS。在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。2、 服务器（同学B的主机，以下简称主机B）证书申请 提交服务器证书申请服务器在“开始”|“程序”|“管理工具”中打开“Internet信息服务（IIS）管理器”，通过“Internet 信息服务（IIS）管理器”左侧树状结构中的“Internet信息服务”|“计算机名（本地计算机）”|“网站”|“默认网站”打开默认网站，然后右键单击“默认网站”，单击“属性”。在“默认网站 属性”的“目录安全性”网签中单击“安全通信”中的“服务器证书”，此时出现“Web服务器证书向导”，单击“下一步”。在“选择此网站使用的方法”中，选择“新建证书”，单击“下一步”。选择“现在准备证书请求，但稍后发送”，单击“下一步”。填入有关证书申请的相关信息，单击“下一步”。在“证书请求文件名”中，指定证书请求文件的文件名和存储的位置（默认:certreq.txt）。单击“下一步”直到“完成”。 通过web服务向CA申请证书服务器在IE浏览器地址栏中输入http:/CA的IP地址/certsrv/并确认。服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码提交一个申请”进入“提交一个证书申请或续订申请”页面。打开证书请求文件certreg.txt，将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中，然后单击“提交”，并通告CA已提交证书申请，等待CA颁发证书。 CA为服务器颁发证书在服务器提交了证书申请后，CA在“管理工具”|“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项，会看到服务器提交的证书申请。右键单击服务器提交的证书申请，选择“所有任务”|“颁发”，为服务器颁发证书（这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中，双击查看为服务器颁发的证书）。告诉服务器查看证书。3、服务器（主机B）安装证书 服务器下载、安装由CA颁发的证书通过CA“证书服务主页”|“查看鼓起的证书申请状态”|“保存的申请证书”，进入“证书已颁发”页面，点击“下载证书”将证书文件下载到本地。在“默认网站”|“属性”的“目录安全性”网签中单击“服务器证书”按钮，此时出现“web服务器证书向导”，单击“下一步”。选择“处理挂起的请求并安装证书”，单击“下一步”。在“路径和文件名”中选择存储到本地计算机的证书文件，单击“下一步”。在“SSL端口”文本框中填入“443”，单击“下一步”直到“完成”。此时服务器证书已安装完毕，可以单击“目录安全性”页签中单击“查看证书”按钮，查看证书的内容，回答下面问题。证书信息描述： 颁发者： 打开IE浏览器点击“工具”|“Internet选项”|“内容”|“证书”，在“受信任的根证书颁发机构”页签中查看刚才那个证书的颁发者（也就是CA的根证书），查看其是否存在。服务器下载、安装CA根证书通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“保存的申请证书”，进入“证书已颁发”页面，点击“下载证书链”（包括服务器颁发证书和CA根证书），将证书certnew.p7b下载到本地。右键单击certnew.p7b证书文件，在弹出菜单中选择“安装证书”，进入“证书导入向导”页面，单击“下一步”按钮，在“证书存储”中选择“将所有的证书放入下列存储”，浏览选择“受信任的根证书颁发机构”|“本地计算机”，单击“下一步”按钮，直到完成。再次查看服务器证书，回答下列问题：证书信息描述： 颁发者： 再次通过IE浏览器点击“工具”|“Internet选项”|“内容”|“证书”，在“受信任的根证书颁发机构”页签中查看刚才那个证书的颁发者（也就是CA的根证书），查看其是否存在。4、web通信服务器在“默认网站”|“属性”的“目录安全性”页签中单击“编辑”按钮，选中“要求安全通道SSL”，并且“忽略客户端证书”（不需要客户端身份认证），单击“确定”按钮使设置生效。客户端重启IE浏览器，在地址栏输入http:/服务器IP/并确认，此时访问的web页面出现如下页面信息：客户端启动sinffer pro 或者协议分析器，设置过滤条件：仅捕获客户端与服务器间的会话通信，开始捕获数据。客户端在IE浏览器地址栏中输入http:/服务器的IP/并确认，访问服务器web服务。此时会出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，又出现“安全警报”对话框询问“是否继续？”，单击“是”。此时客户端即可以访问服务器web页面了。访问成功后，停止捕获，并在协议分析中找到含有客户端与服务器IP地址的会话，可以看到服务器与客户端的web通信过程是密文实现的。三、双向认证（服务器和客户端都需要身份认证）1、服务器要求客户端身份认证服务器在“默认网站”|“属性”的“目录安全性”页签中单击“编辑”按钮，选中“要求安全通道SSL”，并且“要求客户端证书”，单击“确定”按钮使设置生效。2、客户端访问服务器客户端在IE浏览器地址栏中输入http:/服务器IP地址访问服务器web服务。此时弹出“安全警报”对话框，提示“即将通过安全连接查看页面”，单击“确定”，又弹出“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，但是没有数字证书可供选择。单击“确定”，页面出现提示“该页面要求客户证书”。3、客户端主机证书申请 登录CA服务主页面客户端在确认CA已经启动了“证书颁发机构”服务后，通过IE浏览器访问http:/CA的IP地址/certsrv/,可以看到CA证书服务的主页面。 客户端提交证书申请在主页面“选择一个任务”中单击“申请一个证书”，进入下一个页面。在证书类型页面中选择“web浏览器证书”，进入下一页面。在“web浏览器证书识别信息”页面中按信息项目填写自己的相关信息。信息填写完毕后，单击“提交”按钮提交识别信息，当页面显示“证书挂起”信息时，说明CA已经收到用户的证书申请，但是用户必须等待管理员颁发证书。单击页面右上角的“主页”回到证书服务主页面。在“选择一个任务”中单击“查看挂起的证书申请状态”进入下一页面，会看到“web浏览器证书（提交申请时间）”。单击自己的证书申请，这时会看到证书的状态依然是挂起状态。接下来请CA为自己颁发证书。 CA为客户端颁发证书通告客户端查看证书。 客户端查看颁发证书客户端重新访问CA证书服务主页面，单击“查看挂起的证书申请的状态”，然后单击自己的证书申请。此时页面显示“证书已颁发”。单击“安装此证书”，对于弹出的“安全性警告”对话框选择“是”，这时页面显示信息“您的新证书已经成功安装”。4、客户端下载、安装证书链客户端单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”，会在“个人”页签中看到CA主机颁发给自己的证书。5、客户端再次通过https访问