实验报告实验名称:____________PKI实验___________学生姓名:_________________________专业:_______________班级:_____________________学号:_____________________指导教师:_________________________实验成绩:________________________________实验地点:_____________________实验时间:_____一、实验目的与实验要求1、实验目的证书服务的安装Web服务器的配置:单向认证和双向认证证书服务的管理独立从属CA的配置2、实验要求认真完成实验内容实验报告若发现抄袭,实验不合格二、实验设备及网络拓扑红亚安全教学系统三、实验内容与步骤一、CA安装证书服务独立根CA:独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是,因此它不需要AD,但是,如果存在AD用于发布证书和证书吊销列表,则会使用AD,由于独立根CA不需要AD,因此可以很容易地将它众网络上断开并置于安全的区域,这在创建安全的离线根CA时非常有用。环境准备:虚拟机PC1安装好WindowsServer20031.添加IIS组件:点击“开始”——“控制面板”——“添加/删除程序”——“添加/删除windows组件”――“Internet信息服务(IIS)”(如果没有这一项就安装“应用程序服务器”)。Web服务器Server2003证书服务器Server2003客户端WindowsXP2.点击‘确定’‘下一步’安装完成后,点击“开始”——“管理工具”——“IIS管理器”,查看IIS管理器,如下图:3.添加‘证书服务’组件:点击“开始”——“控制面板”——“添加/删除程序”——“添加/删除windows组件”――“证书服务”,勾选上。勾选之后出现如下提示,选择“是”,继续“下一步”:4.选择“独立根”,默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择。如图:5.Microsoft证书服务的默认CSP为:MicrosoftStrongCryptographicProvider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’6.填写CA的公用名称(以test为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。7.证书数据库设置,保持默认,点击“下一步”进行安装。提示要停止IIS服务,选择“是”:。出现下图,选择“是”,继续安装8.若出现“浏览”,则如下处理:然后点击“确定”:9.开始》》》管理工具》》》证书颁发机构,打开如下窗口:在启动“证书颁发机构”服务后,PC1便拥有了CA的角色。二、提交服务器证书申请环境准备:PC2作为Web服务器安装了WindowsServer2003,PC1中按照实验一中的步骤安装好证书服务,PC2与PC1网络互通。1.在开始-程序-管理工具中打开“Internet信息服务(IIS)管理器”,通过左侧树状结构中的Internet信息服务-计算机名(本地计算机)-网站-新建网站test,选中test网站后右键单击“属性”。2.在PC2中打开浏览器,输入,打开如下页面:3.选择“申请一个证书”,选择“高级证书申请”。4.之后选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请”,将1中保存的证书请求C:\certreq.txt文本文件内的内容,粘贴到“保存的申请”然后“提交”。5.这时在PC1中,点击开始——程序——管理工具——证书颁发机构,可出现如下界面:在挂起的申请里可以看到刚才申请的证书ID为2的申请。6.选中证书鼠标右键,选择“所有任务”→“颁发”,进行证书颁发,如下图所示。7.证书颁发后将从“挂起的申请”文件夹转入到“颁发的证书”文件夹中,标识证书颁发完成,查看如下。8.证书的下载安装在申请证书的计算机上打开浏览器,在地址栏输入http://[PC1的ip地址]/certsrv,进入证书申请页面。刚才完成了“申请证书”,下面选择“查看挂起的证书申请的状态”,看看CA是否颁发了证书,如下图所示,点击下一步;在弹出的页面中选择已经提交的证书申请如下图所示。如果CA已经将证书颁发,则页面如下,选择“安装此证书”。下载证书和证书链保存到本地,其后缀分别为cer和p7b文件。9.在IIS信息服务管理器-网站-test(我们建的测试网站),右键“属性”。选择“目录安全性”选项卡,单击“服务器证书”按钮,此时出现“Web服务器证书向导”,单击“下一步”。选择“处理挂起的请求并安装证书”:选择之前保存的证书文件路径:在SSL端口文本框中填入443,单击“下一步”。完成整个安装过程。此时服务器证书已经安装完毕,可以单击“目录安全性”选项卡中“查看证书”按钮查看证书内容。回答下面问题:证书信息描述:。颁发者:。打开IE浏览器点击“工具”|“Internet选项”|“内容”|“证书”,在“受信任的根证书颁发机构”页签中查看名为test的颁发者(也就是CA的根证书),查看其是否存在。10.安装CA根证书右键单击certnew.p7b证书文件,在弹出菜单中选择“安装证书”,进入“证书导入向导”页面,单击“下一步”。再次查看服务器证书,回答下列问题:证书信息描述:。颁发者:。再次通过IE浏览器查看“受信任的根证书颁发机构”,查看名为test的颁发者(也就是CA的根证书),查看其是否存在。11.单向认证(仅服务器需要身份认证)在IIS信息服务管理器-网站-test-属性的“目录安全性”页签“安全通信”中单击“编辑按钮”,选中“要求安全通道SSL”,并且“忽略客户端证书”(不需要客户端身份认证),单击“确定”。客户端启动IE浏览器,输入http://服务器PC2的IP:100/index.html并确认,此时页面如下:客户端在IE中输入https://服务器PC2的IP/index.html,此时会出现“安全警报”对话框提示,确定后出现如下界面:12.双向认证(服务器和客户端均需身份认证)服务器端PC2在IIS信息服务管理器中,网站-test-属性,打开“目录安全性”-“编辑”,选中“要求安全通道SSL”,并且“要求客户端证书”,单击确定。客户端IE访问地址栏上输入https://服务器IP/index.html访问,此时弹出“安全警报”对话框,提示即将通过安全连接查看网页,确定后弹出“是否继续”,确定后出现“选择数字证书”对话框,但是没有数字证书可供选择,单击确定,页面出现提示“该页要求客户证书”。客户端向CA申请证书:登录,在主页面选择“申请一个证书”,然后选择“Web浏览器证书”,在出现的页面填写相关信息后“提交”申请。接下来请CA为客户端颁发证书。客户端安装证书:客户端通过IE浏览器,工具-Internet选项-内容-证书,会在“个人”选项卡中看到主机CA给自己颁发的证书。然后访问https://服务器IP/index.html查看网站。三、证书服务管理1.停止/启动证书服务进入“证书颁发机构”菜单,右击刚建立的CA节点,在“所有任务”中选择“停止服务”,即可停止服务,CA节点图标此时变成红叉;同样,单击“启动服务”,则可启动证书。2.CA备份/还原右击CA节点,在“所有任务”中选择“备份CA”,即进入“证书颁发机构备份向导”,单击“下一步”按钮,选择要备份的项目和要备份的文件夹,单击“下一步”按钮。为了保护私钥的安全性,接着要输入保护私钥和证书文件的秘密,如下图所示。然后点击下一步,即可选择完成操作。CA的还原操作需要先停止CA服务,然后右击“CA公共名称节点”,在“所有服务”中选择“还原CA”,即进入“证书颁发机构还原向导”,单击“下一步”按钮,弹出如图所示的对话框,选择要还原的项目和证书文件所在的文件夹,单击“下一步”按钮。在出现的对话框中输入保护私钥和证书文件的密码,单击“下一步”按钮,单击“完成”,即完成CA的还原,如下图所示。3.证书废除右击“颁发的证书”中需要废除的证书,在弹出的菜单中选择“所有任务”中的“吊销证书”菜单项,如下图所示。在弹出的“证书吊销”对话框中选择吊销的理由,单击“是”按钮,这个被废除的证书就转移到了“吊销的证书”文件夹。为了把吊销的证书对外发布,下面创建一个证书吊销列表,以供客户端下载查询。右击“吊销的证书”文件夹,在“所有任务”中单击“发行”,单击“是”,即可完成证书的吊销列表的创建和发布,如下所示。如果要查看创建的证书吊销列表,右击“吊销的证书”文件夹,单击弹出菜单中的“属性”,弹出“吊销的证书属性”窗口,单击“查看当前CRL”按钮,中显示了吊销的证书信息。四、独立从属CA配置环境:两台WindowsServer2003,分别为PC1作为独立根CA,PC2作为从属CA,一台Windowsxp作为客户端1.首先在PC1上配置独立根CA服务,如实验一所示。2.打开PC2配置为独立从属CA服务。选择独立从属CA。如果父CA在线可用,则选中将申请直接发送给网络上的CA.在文本框中输入父CA的计算机名,和父CA的名称.如果父CA不在线可用,则选中将申请保存到一个文件,并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.验证安装:查看从属CA,可以看服务(“开始”——“管理工具”——“服务”),有图中的服务便安装成功。该主机已经拥有了独立从属CA的角色。3.如果第2步中选择的是“将申请保存到一个文件”,则需要使用此证书申请文件手工向父CA提交申请,首先打开浏览器访问,然后“申请一个证书”-“高级证书申请”-“使用Base64编码的……”,打开如下页面。在Base-64文本框中粘贴入第2步中保存的req文件,然后提交申请。4.在独立根CA服务器PC1上,点击“开始”——“管理工具”——“证书颁发机构”。然后点击“挂起的证书”会看到从属CA的申请证书,然后可以颁发证书。5.独立从属CA通过“证书页主页”-查看挂起的证书申请的状态-保存的申请证书-下载证书链,将以.p7b结尾的文件下载到本地。6.独立从属CA运行“证书颁发机构”的左侧树状结构中右键单击“CA的名称”-所有任务-安装CA证书,选择上面的.p7b结尾的证书链文件安装证书。在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”-所有任务-启动服务,然后证书服务即可运行。7.客户端向独立CA申请证书客户端通过IE访问http://独立从属CA的IP/certsrv可以申请一张Web浏览器证书四:实验结果与分析五:完成实验手册中实验过程中的问题和思考问题如果用户将根证书删除,用户证书是否还会被信任?否六:结论(讨论)1.实验结论了解和学习了以下内容:证书服务的安装Web服务器的配置:单向认证和双向认证证书服务的管理独立从属CA的配置2.讨论关闭虚拟机时注意不要直接关闭浏览器,必须按正常关机关闭虚拟机每个实验首先进行分组、学习实验原理、掌握实验步骤,组内分工,再开始实验实验开始时确认自己的设备IP地址并保证和组内成员可以互相ping通七、教师评审教师评语实验成绩签名:日期: