证书服务---实验指导.docVIP

实验指导 实验一名称：证书应用 试验目的： 了解PKI体系； 了解用户进行证书申请和CA颁发证书过程； 掌握认证服务的安装及配置方法； 掌握使用数字证书配置安全站点的方法； 试验人数： 每组两人； 系统环境： windows2000 advance Server 网络环境： 交换式局域网 试验工具： sinffer pro，windows CA---windows自带证书服务。 实验步骤： 2个同学自由结组，确定好服务器端和客户端，在服务器端配置好IIS，并发布一个网站。 无认证（服务器和客户端均不需要身份认证） 通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。 1、客户端启动sinffer或者协议分析器，建立一个捕获窗口，然后开始捕获数据包；客户端在IE浏览器地址栏中输入http://服务器IP地址，访问服务器web服务。成功访问到服务器web主页面后，停止捕获数据包并显示，找到http的会话数据包，找到源端口或者目的端口为80的会话，查看decode模式，通过解析http会话可以确定，在无认证模式下，服务器与客户端的web通信过程是以明文实现的。 二、单向认证（仅服务器需要身份认证） CA主机（同学A的主机，以下简称主机A）安装证书服务 主机A依次选择“开始”|“设置”|“控制面板”|“添加或删除程序”|“添加/删除windows组件”，选中组件中的“证书服务”，此时出现“Microsoft 证书服务”提示信息，单击“是”，然后单击“下一步”。在接下来的安装过程中依次要确定如下信息： CA类型（选择独立根CA） CA的公用名称 证书数据库设置（默认） 在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”。系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为windows 2000 advance Server安装盘下的i386文件夹即可，（若安装过程中出现提示信息，请忽略该提示继续安装）。 「注」：若安装过程中出现“windows文件保护”提示，单击“取消”按钮，选择“是”继续；在证书服务安装过程中若网络中存在主机重名，则安装过程会提示错误；安装证书服务后，计算机将不能再重新命名，不能加入到某个域或者从某个域中删除；要使用证书服务的web组件，需要安装IIS。 在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。 服务器（同学B的主机，以下简称主机B）证书申请 提交服务器证书申请 服务器在“开始”|“程序”|“管理工具”中打开“Internet信息服务（IIS）管理器”，通过“Internet 信息服务（IIS）管理器”左侧树状结构中的“Internet信息服务”|“计算机名（本地计算机）”|“网站”|“默认网站”打开默认网站，然后右键单击“默认网站”，单击“属性”。 在“默认网站 属性”的“目录安全性”网签中单击“安全通信”中的“服务器证书”，此时出现“Web服务器证书向导”，单击“下一步”。 在“选择此网站使用的方法”中，选择“新建证书”，单击“下一步”。 选择“现在准备证书请求，但稍后发送”，单击“下一步”。 填入有关证书申请的相关信息，单击“下一步”。 在“证书请求文件名”中，指定证书请求文件的文件名和存储的位置（默认Ｃ:\certreq.txt）。单击“下一步”直到“完成”。 通过web服务向CA申请证书 服务器在IE浏览器地址栏中输入http://CA的IP地址/certsrv/并确认。 服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码…提交一个申请”进入“提交一个证书申请或续订申请”页面。 打开证书请求文件certreg.txt，将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中，然后单击“提交”，并通告CA已提交证书申请，等待CA颁发证书。 CA为服务器颁发证书 在服务器提交了证书申请后，CA在“管理工具”|“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项，会看到服务器提交的证书申请。右键单击服务器提交的证书申请，选择“所有任务”|“颁发”，为服务器颁发证书（这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中，双击查看为服务器颁发的证书）。 告诉服务器查看证书。 3、服务器（主机B）安装证书 服务器下载、安装由CA颁发的证书 通过CA“证书服务主页”|“查看鼓起的证书申请状态”|“保存的申请证书”，进入“证书已颁发”页面，点击“下载证书”将证书文件下载到本地。 在“默认网站”|“属性”的“目录安全性”网签中单击“服务器证书”按钮，此时出现“web服务器证书向导”，单击“下一步”。 选择“处理挂起的请求并安装证书”，单击“下一步”。 在“路径和文件名”中选择存储到本地计