数字证书PKI实验

精品文档 1欢迎下载 网络安全概论网络安全概论 课程实验报告课程实验报告 实验名称 数字证书 PKI 实验 学员姓名 实验成绩 优 良 中 及格 不及格 实验过程与结果 一 实验环境搭建一 实验环境搭建 1 A1 A 安装 启动证书服务安装 启动证书服务 1 1 开启虚拟机软件 VMWare 开启并配置 Win2003 操作系统 1 设置网络适配器 选中 Win2003 操作系统 点击 Virtual Machine Settings Network Adapter Network connection Bridged 桥接模式 点击 OK 保存 2 设置 IP 地址 A 进行 IP 的相关配置 192 168 32 128 B 设置为 192 168 32 129 C 设置为 192 168 32 130 测试 A B C 之间的连通性 BpingC 如图 ApingB 如图 精品文档 2欢迎下载 CpingA 如图 1 2 A 安装启动 IIS 服务 1 点击控制面板 添加或删除程序 2 点击添加 删除 windows 组件 精品文档 3欢迎下载 勾选应用程序服务器 并点击下一步 在安装过程中 会提示一些安装信息 将之前准备好的软件装在相应的文件目录 精品文档 4欢迎下载 中选取相应文件 点击确定即可 同理 找到相应文件 如图 精品文档 5欢迎下载 同理 找到相应的文件单击确定即可 精品文档 6欢迎下载 到这里 IIS 服务器就搭建完成了 我们测试一下 看看其是否正常运行 我们右键单击浏览 可以看到如下截图 表明 IIS 服务器正常运行 精品文档 7欢迎下载 1 3 A 安装启动证书服务 1 打开控制面板 添加或删除应用程序 2 单击添加 删除 windows 组件 精品文档 8欢迎下载 勾选证书服务 会弹出如上图的提示框 单击 确认 精品文档 9欢迎下载 会出现上图情况 直接单击 下一步 设置 CA 的公用名称 单击 下一步 精品文档 10欢迎下载 设置证书数据库以及证书数据库日志的位置 单击 下一步 提示要暂时停止使用 Internet 服务 单击 是 提示要启动 Active Server Page 单击 是 精品文档 11欢迎下载 到此为止 证书服务已经启动 下面我们看一看证书服务是否正常运作 可以看到 证书颁发机构正在运作 启动成功 1 4 C 验证 A 的服务器 用户 C 打开 IE 浏览器 访问主机 A 的 CA 网址 192 168 32 128 certsrv 正常访问 CA 页面 2 2 B B 安装 启动安装 启动 webweb 网站网站 精品文档 12欢迎下载 1 1 B B 安装启动 IISIIS 方法 控制面板 添加删除程序 添加 删除 Windows 组件 应用程序服 务器 说明 安装过程中 会提示安装所需的一些文件 解压缩实验软件中 IIS6 0 for 2003 rar 文件 根据提示操作即可 2 2 配置 webweb 网站 方法 开始 管理工具 Internet 信息服务 IIS 管理器 在 IIS 管理器的 右边栏空白处 点击右键 打开 资源管理器 新建 hello txt 写入 hello good morning 另存为 hello htm 如下图示 打开 IE 访问 http 192 168 32 129 若出现如下图示页 面 表示 web 网站正常运行 精品文档 13欢迎下载 二 数字证书管理二 数字证书管理 3 3 C C 申请证书 方法 打开 IE 浏览器 在地址栏中输入 http 192 168 32 128 certsrv 选择 申请一个 证书 注意 填入客户端信息时 国家地区栏填入 CN 精品文档 14欢迎下载 1 申请 web 浏览器证书 2 申请电子邮件保护证书 精品文档 15欢迎下载 3 申请客户端身份验证证书 要求该证书对应的密钥对仅用于签署 密钥长度 2048 并启用强 私钥保护 采用 MD5 算法 请在实验报告中给出相应选择的截图 精品文档 16欢迎下载 精品文档 17欢迎下载 4 4 A A 颁发证书 查看挂起的申请 可以看到之前的三个申请 选择一个申请 右键 所有任务 颁发 查看颁发的证书 三个证书已成功颁发 5 5 C C 获取 安装 查看证书 要求 C 分别查看所申请证书的下列信息 序列号 签名算法 有效起始和终止日期 公钥 密钥用法 精品文档 18欢迎下载 请注意不同证书密钥用法的不同 请在实验报告中给出 A 所申请证书信息的截图 1 web 证书 精品文档 19欢迎下载 查看证书 点击 工具 Internet 选项 内容 证书 精品文档 20欢迎下载 双击查看证书 精品文档 21欢迎下载 2 邮箱证书 同上 查看证书 精品文档 22欢迎下载 3 客户端证书 同上 查看证书 精品文档 23欢迎下载 6 6 A A 吊销证书 发布证书撤销列表 要求 A 分别以 未指定 被取代 密钥泄露 原因吊销 web 浏览器证书 电 子邮 件保护证书和客户端身份验证证书 1 吊销 web 浏览器证书 选中 web 证书 右键 所有任务 吊销证书 理由码 未指定 选择是 可看到该 ID 为 4 的证书已从此列表中消失 精品文档 24欢迎下载 2 吊销电子邮件保护证书 理由码 被取代 3 吊销客户端身份验证证书 理由码 密钥泄露 4 发布证书撤销列表 CRL 在吊销的证书中可以看到以上三个证书存在 精品文档 25欢迎下载 右键 吊销的证书 所有任务 发布 点击确定 发布了一个新的 CRL 7 7 C C 查看 CRLCRL 证书撤销列表 要求 请在实验报告中给出各撤销证书有关信息 如序列号 吊销日期 CRL 理由码 的截图 精品文档 26欢迎下载 选择 下载一个 CA 证书 证书链或 CRL 选择 下载最新的基 CRL 保存到桌面 精品文档 27欢迎下载 查看 CRL 查看吊销列表 精品文档 28欢迎下载 可以看到之前被吊销的三个证书 包括序列号 吊销日期和吊销理由 三 SSLSSL 单向认证启动 8 8 网站 B B 申请数字证书 1 1 生成证书申请 方法 开始 管理工具 Internet 信息服务 IIS 管理器 右键单击 默认网站 选择 属性 菜单项 进入 目录安全性 标签页 精品文档 29欢迎下载 点击 服务器证书 按钮 启动 Web 服务器证书向导 说明 选择 创建一个 新证书 选项 在设置 站点公用名称 以 Web 网站 B 的 IP 地址作为站点的公 用名称 精品文档 30欢迎下载 精品文档 31欢迎下载 精品文档 32欢迎下载 访问网站 http 192 168 32 128 certsrv default asp 申请一个证书 说明 选择 高级证 书申请 在高级证书申请中 选择 使用 base64 编码的 PKCS 10 文件提交一 个 证书申请 或使用 base64 编码的 PKCS 7 文件更新证书申请 打开存放的证 书请求文件 c certreq txt 将其内容复制到如图所示的文本框内 点击 提交 精品文档 33欢迎下载 精品文档 34欢迎下载 9 9 A A 颁发证书 精品文档 35欢迎下载 10 10 网站 B B 下载 安装自己的数字证书 方法 下载自己的数字证书 访问网站 http 192 168 32 128 certsrv default asp 选择 查看挂起 的证书申请的状态 若显示证书已颁发 选择 下载证书 至本地 精品文档 36欢迎下载 安装自己的数字证书 按默认设置安装 导入成功 精品文档 37欢迎下载 进入 Internet 信息服务 IIS 管理器 右键单击 默认 网站 选择 属性 菜单项 进入 目录安全性 标签页 点击 服务器证书 按钮 启动 Web 服务器证书向导 选择 处理 挂起的请求并安装证书 安装 证书 精品文档 38欢迎下载 精品文档 39欢迎下载 查看证书 11 11 用户 C C 下载 安装 CACA 证书 方法 访问网站 http IPA certsrv default asp 选择 下载一个 CA 证书 证书 链 或 CRL 下载 CA 证书 将 CA 证书下载至本地 双击 CA 证书 安装 证书 安装过程 中把证书导入到 受信任的根证书颁发机构 中 如下图 这里 最好勾选 显示物理存储区 精品文档 40欢迎下载 导入到 local computer 精品文档 41欢迎下载 精品文档 42欢迎下载 12 12 网站 B B 配置 方法 进入 Internet 信息服务 IIS 管理器 右键单击 默认网站 选择 属性 菜单 项 进入 目录安全性 标签页 选择 安全通信 编辑 勾选 要求安全通 道 SSL 精品文档 43欢迎下载 精品文档 44欢迎下载 13 13 用户 C C 访问网站 B B 用户 C 分别使用 http IPB 和 https IPB 访问网站 B 要求 实验报告中给出这两次的 访问结果 精品文档 45欢迎下载 四 实现 SSLSSL 双向认证 192 168 32 128 certsrv 14 14 用户 C C 申请 webweb 浏览器证书 用户 C 重新向 CA 申请 web 浏览器证书 如图 精品文档 46欢迎下载 15 A15 A 颁发证书 精品文档 47欢迎下载 16 C16 C 下载 安装数字证书 17 17 网站 B B 下载 安装 CACA 证书 17 1 登陆 192 168 32 128 certsrv 17 2 下载证书 精品文档 48欢迎下载 17 3 安装证书 精品文档 49欢迎下载 精品文档 50欢迎下载 18 18 网站 B B 配置 进入 Internet 信息服务 IIS 管理器 右键单击 默认网站 选择 属性 菜单项 进入 目录安全性 标签页 选择 安全通信 编辑 勾选 要求客户端证书 如图 精品文档 51欢迎下载 19 19 用户 C 访问网站 B 用户 C 使用 https 192 168 32 129 访问网站 B 时 网页提示选择数字证书 选择证书正常访问 网站 B 正常访问网页 如图 实验分析 1 数字证书中 签名算法 表示什么 表示数字签名所使用的一种哈希算法 在实验中 我们可以看到是 sh1RSA 算法 2 为什么步骤 11 中 C 要下载安装 CA 证书 服务器要求客户的身份认证 服务器必须检验客户证书和签名随机数的合法性 具体的合法 性验证过程包括 客户的证书使用日期是否有效 为客户提供证书的 CA 是否可靠 发行 CA 的 公钥能否正确解开客户证书的发行 CA 的数字签名 检查客户的证书是否在证书废止列表 CRL 中 检验如果没有通过 通讯立刻中断 如果验证通过 服务器将用自己的私钥解开加 密的 预主密 码 然后执行一系列步骤来产生主通讯密码 3 第三部分 SSL 单向认证启动 中实现了对谁的身份认证 第四部分呢 实现了对服务端的身份认证 第四部分 双向认证 服务端需要客户端提供身份认证 精品文档 52欢迎下载 实现了对客户端的身份认证 实验中出现问题及解决方法 1 B 在建立网站后不能成功访问 搭建好自己的网站写了一个简单的网页作为默认网页 但打开浏览器访问 B 的 ip 时不能 正常访问 通过查阅资料可知 Windows Server 2003 服务器 IIS 禁用 ASP 程序 解决方案 这种故障是由 IIS 6 0 默认的安全设置造成的 为增强服务器的安全性 IIS 6 0 默认禁止 ASP 程序运行 而 IIS 5 0 则默认允许 ASP 程序运行 可以手动允许 IIS 6 0 的 ASP 程序支持 第 1 步 依次单击 开始 管理工具 Internet 信息服务 IIS 管理器 打开 Internet 信息服务 IIS 管理器 控制台窗 口 在控制台左窗格中单击选中 Web 服务扩展 选项 然后在右窗格中用鼠标右键单击 Active Server Pages 选项 并在打开的快捷菜单中执行 允许 命令 第 2 步 在左窗格中展开 网站 目录 用鼠标右键单击提供论坛服务的站点名称 本例为 BBS 并在打开的快捷菜单中执行 属性 命令 打开 BBS 属性 对话框 然后单击 文档 标签 在 文档 选项卡中单击 添加 按钮 并在打开的 添加内容页 对话框中输入默认内 容页的名称 2 B 和 C 提交申请后 在证书颁发过程中发现颁发失败 通过查阅资料可知 在网页浏览时要求浏览器启用脚本 而启动这一功能必须要考 IE 浏 览器才能实现 我们之前用的搜狐浏览器并没有支持这一功能 具体操作如下 点击 IE 浏览器的 工具 internet 选项 安全 自定义级别 找到脚本选项将下面附属的三小项都改为启用 然后单击确定 如下图所示 精品文档 53欢迎下载 实验体会 通过本次实验 我们掌握了数字证书的申请 颁发 安装 查看 吊销操作 通过实践对证 书和 PKI 相关知识有了进一步的理解和掌握 在实验中 我们三个人分工协作 分别扮演了 CA Web 用户的角色 模拟了现实中数字证 书的申请 颁发 安装 查看 吊销等工作 我们通过搭建网络开始 一步