数字证书PKI实验.doc

.网络安全概论课程实验报告实验名称：数字证书PKI实验学员姓名： 实验成绩：优 良 中 及格 不及格 【实验过程与结果】一、实验环境搭建1.A安装、启动证书服务1.1 开启虚拟机软件VMWare，开启并配置Win2003操作系统（1）设置网络适配器选中Win2003操作系统，点击Virtual Machine SettingsNetwork AdapterNetwork connectionBridged（桥接模式），点击OK保存。（2）设置IP地址A进行IP的相关配置： 28；B设置为29；C设置为30测试A、B、C之间的连通性：BpingC,如图：ApingB,如图：CpingA,如图：1.2 A安装启动IIS服务（1）点击控制面板-添加或删除程序（2）点击添加/删除windows组件勾选应用程序服务器，并点击下一步；在安装过程中，会提示一些安装信息，将之前准备好的软件装在相应的文件目录中选取相应文件，点击确定即可；同理，找到相应文件，如图：同理，找到相应的文件单击确定即可。到这里，IIS服务器就搭建完成了，我们测试一下，看看其是否正常运行：我们右键单击浏览，可以看到如下截图，表明IIS服务器正常运行。1.3 A安装启动证书服务（1）打开控制面板-添加或删除应用程序（2）单击添加/删除windows组件勾选证书服务，会弹出如上图的提示框，单击“确认”；会出现上图情况，直接单击“下一步”；设置CA的公用名称，单击“下一步”；设置证书数据库以及证书数据库日志的位置，单击“下一步”；提示要暂时停止使用Internet服务，单击“是”；提示要启动Active Server Page，单击“是”；到此为止，证书服务已经启动；下面我们看一看证书服务是否正常运作：可以看到，证书颁发机构正在运作，启动成功！1.4 C验证A的服务器：用户C打开IE浏览器，访问主机A的CA网址：28/certsrv，正常访问CA页面2. B安装、启动 web 网站 （ 1） B 安装启动 IIS 方法：控制面板添加删除程序添加/删除 Windows 组件应用程序服务器。 说明：安装过程中，会提示安装所需的一些文件。解压缩实验软件中 IIS6.0_for _2003.rar 文件，根据提示操作即可。 （ 2）配置 web 网站 方法：开始管理工具Internet 信息服务（ IIS）管理器；在 IIS 管理器的 右边栏空白处，点击右键，打开“资源管理器”，新建hello.txt，写入“ hello.good morning”， 另存为 hello.htm，如下图示；打开 IE，访问 29 ，若出现如下图示页 面，表示 web 网站正常运行。二、数字证书管理3. C 申请证书 方法： 打开 IE 浏览器，在地址栏中输入28/certsrv，选择：申请一个证书。 注意：填入客户端信息时，国家地区栏填入“ CN”。1）申请web 浏览器证书:2）申请电子邮件保护证书；3）申请客户端身份验证证书，要求该证书对应的密钥对仅用于签署，密钥长度 2048，并启用强私钥保护，采用 MD5 算法，请在实验报告中给出相应选择的截图。4. A 颁发证书查看挂起的申请，可以看到之前的三个申请选择一个申请-右键-所有任务-颁发查看颁发的证书，三个证书已成功颁发5. C 获取、安装、查看证书 要求： C 分别查看所申请证书的下列信息：序列号、签名算法、有效起始和终止日期、公钥、密钥用法，请注意不同证书密钥用法的不同。请在实验报告中给出 A 所申请证书信息的截图。1）web证书查看证书点击“工具”Internet选项内容-证书双击查看证书2）邮箱证书，同上查看证书3）客户端证书，同上查看证书6. A 吊销证书，发布证书撤销列表 要求： A 分别以“未指定”、 “被取代”、 “密钥泄露”原因吊销 web 浏览器证书、电 子邮件保护证书和客户端身份验证证书。1）吊销web浏览器证书选中web证书-右键-所有任务-吊销证书理由码:未指定选择是，可看到该ID为4的证书已从此列表中消失2）吊销电子邮件保护证书理由码：被取代3）吊销客户端身份验证证书理由码：密钥泄露4）发布证书撤销列表CRL在吊销的证书中可以看到以上三个证书存在右键“吊销的证书”-所有任务-发布点击确定，发布了一个新的CRL7. C 查看 CRL（证书撤销列表） 要求： 请在实验报告中给出各撤销证书有关信息（如序列号、吊销日期、 CRL 理由码）的截图。选择“下载一个CA证书，证书链或CRL”选择“下载最新的基CRL”保存到桌面查看CRL查看吊销列表可以看到之前被吊销的三个证书，包括序列号、吊销日期和吊销理由三、 SSL 单向认证启动8. 网站 B 申请数字证书 （ 1）生成证书申请 方法： 开始-管理工具-Internet 信息服务（ IIS）管理器。右键单击“默认网站”，选择“属性” 菜单项，进入“目录安全性”标签页。 点击“服务器证书”按钮，启动“Web 服务器证书向导”。说明：选择“创建一个 新证书”选项；在设置“站点公用名称”，以 Web 网站 B 的 IP 地址作为站点的公 用名称。 访问网站： http:/ 28/certsrv/default.asp，申请一个证书。说明：选择“高级证 书申请”；在高级证书申请中，选择“使用 base64 编码的 PKCS #10 文件提交一 个证书申请，或使用 base64 编码的 PKCS #7 文件更新证书申请”；打开存放的证 书请求文件“ c:/certreq.txt”，将其内容复制到如图所示的文本框内，点击“提交”。9. A 颁发证书10.网站 B 下载、安装自己的数字证书 方法： 下载自己的数字证书。访问网站： http:/ 28/certsrv/default.asp，选择“查看挂起 的证书申请的状态”，若显示证书已颁发，选择“下载证书”至本地。 安装自己的数字证书。按默认设置安装，导入成功进入 Internet 信息服务（ IIS）管理器。右键单击“默认 网站”，选择“属性”菜单项，进入“目录安全性”标签页，点击“服务器证书” 按钮，启动“Web 服务器证书向导”，选择“处理挂起的请求并安装证书”，安装 证书。查看证书11.用户 C 下载、安装 CA 证书方法： 访问网站： http:/ IPA/certsrv/ default.asp，选择“下载一个 CA 证书、证书 链或 CRL” “下载 CA 证书”，将 CA 证书下载至本地；双击 CA 证书，安装 证书；安装过程中把证书导入到“受信任的根证书颁发机构”中，如下图：（这里 最好勾选“显示物理存储区”，导入到 local computer）。12. 网站 B 配置 方法： 进入 Internet 信息服务（ IIS）管理器。右键单击“默认网站”，选择“属性” 菜单项，进入“目录安全性”标签页，选择“安全通信”“编辑”，勾选“要求安全通 道（ SSL） ”。13. 用户 C 访问网站 B用户 C 分别使用 http:/IPB 和 https:/IPB 访问网站 B。 要求：实验报告中给出这两次的访问结果。四、实现 SSL 双向认证28/certsrv14.用户 C 申请“ web 浏览器证书”用户C重新向CA申请web浏览器证书，如图：15.A 颁发证书16.C 下载、安装数字证书17.网站 B 下载、安装 CA 证书17.1登陆28/certsrv17.2下载证书17.3安装证书18.网站 B 配置进入 Internet 信息服务 （ IIS）管理器。右键单击“默认网站”， 选择“属性”菜单项， 进入“目录安全性”标签页，选择“安全通信” “编辑”，勾选“要求客户端证书”。如图：19.用户C访问网站B 用户 C 使用 29访问网站 B 时，网页提示选择数字证书，选择证书正常访问网站 B正常访问网页，如图:【实验分析】1. 数字证书中“签名算法”表示什么？ 表示数字签名所使用的一种哈希算法，在实验中，我们可以看到是sh1RSA算法。2. 为什么步骤 11 中 C 要下载安装 CA 证书？服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的 CA 是否可靠，发行 CA 的公钥能否正确解开客户证书的发行 CA 的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密 码”，然后执行一系列步骤来产生主通讯密码.3. 第三部分“ SSL 单向认证启动”中实现了对谁的身份认证？第四部分呢？ 实现了对服务端的身份认证，第四部分“双向认证”,服务端需要客户端提供身份认证，实现了对客户端的身份认证。【实验中出现问题及解决方法】1. B在建立网站后不能成功访问 搭建好自己的网站写了一个简单的网页作为默认网页，但打开浏览器访问B的ip时不能正常访问。通过查阅资料可知:Windows Server 2003服务器IIS禁用ASP程序. 解决方案：这种故障是由IIS 6.0默认的安全设置造成的。为增强服务器的安全性，IIS 6.0默认禁止ASP程序运行，而IIS 5.0则默认允许ASP程序运行。可以手动允许IIS 6.0的ASP程序支持。第1步，依次单击“开始”“管理工具”“Internet信息服务（IIS）管理器”，打开“Internet信息服务（IIS）管理器”控制台窗 口。在控制台左窗格中单击选中“Web服务扩展”选项，然后在右窗格中用鼠标右键单击Active Server Pages选项，并在打开的快捷菜单中执行“允许”命令第2步，在左窗格中展开“网站”目录，用鼠标右键单击提供论坛服务的站点名称（本例为BBS），并在打开的快捷菜单中执行“属性”命令，打开“BBS 属性”对话框。然后单击“文档”标签，在“文档”选项卡中单击“添加”按钮，并在打开的“添加内容页”对话框中输入默认内容页的名称.2. B和C提交申请后，在证书颁发过程中发现颁发失败 通过查阅资料可知：在网页浏览时要求浏览器启用脚本，而启动这一功能必须要考IE浏览器才能实现，我们之前用的搜狐浏览器并没有支持这一功能。 具体操作如下： 点击IE浏览器的工具internet选项安全自定义级别，找到脚本选项将下面附属的三小项都改为启用，然后单击确定。如下图所示：【实验体会】通过本次实验，我们掌握了数字证书的申请、颁发、安装、查看、吊销操作，通过实践对证书和PKI相关知识有了进一步的理解和掌握。在实验中，我们三个人分工协作，分别扮演了CA、Web、用户的角色，模拟了现实中数字证书的申请、颁发、安装、查看、吊销等工作。我们通过搭建网络开始，一步一步情景的实现，这对我们对这一过程的掌握更加深刻。这也是我们第一次以不同的身份进行合作来进行实验，不仅加深了我们对知识的掌握和理解，更加的锻炼了我们的动手能力和相互协作共同完成任务的能力。数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，其中证书中包含拥有者的个人信息、证书拥有者的公钥、颁发数字证书的CA、CA的数字签名等，在交互双方经过后，可获得资源访问的权限。试验中进行Web访问时，对于SSL单向认证，数字证书可以提供服务器