实验四PKI技术之证书的应用.doc

实验 图5-1 HTTP明文会话 通过协议分析器对HTTP会话的解析中可以确定，在无认证模式下，服务器与客户端的Web通信过程是以明文实现的。 2． 单向认证（仅服务器需要身份认证） （1）CA（主机A）安装证书服务 主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，如图5-2所示，然后单击“下一步”。 图5-2提示信息 在接下来的安装过程中依次要确定如下信息： CA类型（选择独立根CA）如图5-3所示： 图5-3 选择“独立根” CA的公用名称（userGXCA，其中G为组编号（1-32），X为主机编号(A-F)，如第2组主机D，其使用的用户名应为user2D）如图5-4所示： 图5-4 输入CA识别信息 证书数据库设置（默认） 在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为C:\ExpNIS\Encrypt-Lab\Tools\WindowsCA\i386即可（若安装过程中出现提示信息，请忽略该提示继续安装）。如图5-5所示： 图5-5 选择文件复制来源 「注」 若安装过程中出现“Windows文件保护”提示，单击“取消”按钮，选择“是”继续；在证书服务安装过程中若网络中存在主机重名，则安装过程会提示错误；安装证书服务之后，计算机将不能再重新命名，不能加入到某个域或从某个域中删除；要使用证书服务的Web组件，需要先安装IIS（本系统中已安装IIS）。 在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。 （2）服务器（主机B）证书申请 「注」 服务器向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。 图5-6 “默认网站”属性 在“选择此网站使用的方法”中，选择“新建证书”，单击“下一步”。如图5-7所示： 图5-7 选择“新建证书” 选择“现在准备证书请求，但稍后发送”，单击“下一步”。如图5-8所示： 图5-8 选择“现在准备证书，但稍后发送（P）” 填入有关证书申请的相关信息，如图5-9~5-12所示，单击“下一步”。 图5-9 名称和安全性设置 图5-10 单位信息 图5-11 站点公用名称 图5-12 地理信息 在“证书请求文件名”中，指定证书请求文件的文件名和存储的位置（默认c:\certreq.txt）。单击“下一步”直到“完成”。如图5-13所示： 图5-13 输入文件名 通过Web服务向CA申请证书 服务器在IE浏览器地址栏中输入“http://CA的IP/certsrv/”并确认。 服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码...提交一个申请”进入“提交一个证书申请或续订申请”页面。如图5-14~5-15所示： 图5-14 证书服务主页 图5-15 点击“高级证书申请” 打开证书请求文件certreq.txt，将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中，然后单击“提交”，并通告CA已提交证书申请，等待CA颁发证书。如图5-16所示： 图5-16 提交证书申请 然后显示证书已经挂起，如图5-17所示： 图5-17 证书挂起 CA为服务器颁发证书 在服务器提交了证书申请后，CA在“管理工具”｜“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项，会看到服务器提交的证书申请。右键单击服务器提交的证书申请，选择“所有任务”｜“颁发”，为服务器颁发证书（这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中，双击查看为服务器颁发的证书）。 通告服务器查看证书。如图5-18所示： 图5-18 查看颁发的证书 （3）服务器（主机B）安装证书 服务器下载、安装由CA颁发的证书 通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“保存的申请证书”，进入“证书已颁发”页面，分别点击“下载证书”和“下载证书链”，将证书和证书链文件下载到本地。如图5-19、5-20所示： 图5-19 下载证书 图5-20 下载证书链 在“默认网站”｜“属性”的“目录安全性”页签中单击“服务器证书”按钮，此时出现“Web服务器证书向导”，如图5-21所示。单击“下一步”。 图5-21 Web服务器证书向导 选择“处理挂起的请求并安装证书”，单击“下一步”。如图5-22所示： 图5-22 选择“处理挂起的请求并安装证书” 在“路径和文件名”中选择存储到本地计算机的证书文件，单击“下一步”。如图5-23所示： 图5-23路径和文件名 在“SSL端口”文本框中填入“443”，单击“下一步”直到“完成”。如图5-24