构建基于Windows_2003CA系统.docVIP

：构建基于Windows 2003的CA系统 实验环境如图-1所示。 PKI原理回顾：PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础，使用户在虚拟的网络环境中能够验证相互之间的身份，并保证敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。CA系统是PKI的核心，因为它管理公钥的整个生命周期。 图1 实验环境 Windows 2003 Server对PKI做了全面支持，在提供高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。 SSL（Secure Socket Layer，安全套接字层）是由Netscape公司开发的，被广泛应用于Internet上的身份认证及Web服务器和用户端浏览器之间的安全数据通信。SSL协议在TCP/IP协议之上，在HTTP等应用层协议之下，对基于TCP/IP协议的应用服务是完全透明的。利用CA颁发的证书，在服务器和客户端之间建立可靠的会话，从而保证两者之间通信的安全性。通过此类功能，企业就可以为相关用户颁发证书，并利用它来控制只有获取证书的用户才可以进行基于安全通道协议（即对Web网站上加密文件的访问使用https，而非http方式）验证的访问。 图-2 Windows组件向导 图-3 详细信息 实验过程如下： 1．安装证书服务器（CA服务器） 在3计算机上，创建IIS（Web服务器）和创建CA认证中心。 （1）创建IIS 依次选择选择【开始】/【控制面板】/【添加/删除程序】 /【添加/删除Windows组件】，出现【Windows组件向导】对话框，如图-2所示，选择【应用程序服务器】。单击【详细信息】按钮，选择如图-3所示的选项，单击【确定】按钮，回到图-2，单击【下一步】按钮，完成IIS的安装。 （2）创建CA认证中心 第1步：在图-2中选择【证书服务】，出现【Microsoft证书服务】对话框，如图-4所示，单击【是】按钮，回到图-2，单击【详细信息】按钮，出现【证书服务】对话框，如图-5所示，选中其中的两项，单击【确定】按钮，开始安装。 图-4 中国金融CA结构c:\inetpub\wwwroot下面创建index.htm主页文件，内容是“您正在访问ssl网站！”。 图-19 目录安全性 图-20 Web服务器证书向导 第3步：在图-19中，单击【服务器证书】按钮，如图-20所示，单击【下一步】按钮，如图-21所示，选择【新建证书】。后续过程如图-22—图-29所示。在图-27中，要记住文件名的路径，后面申请证书时，要用到该文件的内容。 图-21 服务器证书 图-22 延迟或立即请求 图-23 名称和安全性设置 图-24 单位信息 图-25 站点公用名称 图-26 地理信息 图-27 证书请求文件名 图-28 请求文件摘要 图-29 完成证书向导 图-30 安全通信 第4步：在图-19中，单击【编辑】按钮，如图-30所示，选择【要求安全通道】和【要求客户端证书】，单击【确定】按钮。 第5步：打开IE浏览器，在地址栏输入3/certsrv/，如图-31所示，单击“申请一个证书”， 如图-32所示，单击“高级证书申请”，如图-33所示，单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”，如图-35所示， 将图-34所示的C:\ certreq.txt文本文件内的内容，粘贴到“保存的申请”。 图-31 选择任务 图-32 证书类型 图-33 高级证书申请 图-34 certreq.txt文件内容 图-35 粘贴到“保存的申请” 图-36 RA结构certnew.p7b保存在桌面。 图-37 证书颁发机构 图-38 查看证书申请状态 图-39 中国金融CA结构安装此CA证书链”，出现如图-51所示的页面，单击“Web浏览器证书”，出现如图-52所示的页面，填写用户信息，单击【提交】按钮，出现如图-53所示的对话框，单击【是】按钮，出现如图-54所示的页面，表示申请的证书到达CA服务器，处于挂起状态。 图-53 潜在脚本冲突