实验七PKI技术之信任模型.docVIP

实验 图1-1 选择CA类型 在“CA识别信息”中，填写“此CA的公用名称”即给CA取一个名字，单击“下一步”，如图1-2所示： 图1-2 CA识别信息 在“证书数据库设置”中选择默认位置，单击“下一步”。 在“CA证书申请”中选择“将申请保存到一个文件”，单击“下一步”（默认保存到C:\CAConfig\目录下），如图1-3所示： 图1-3 CA证书申请 此时提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。 在随后弹出的“所需文件”通用对话框中指定“文件复制来源”为C:\ExpNIS\Encrypt-Lab\Tools\WindowsCA\i386，单击“确定”继续安装。若出现提示信息“证书安装不完全...”，单击“确定”继续安装，如图1-4所示： 图1-4 提示信息 （2）完成安装后可以在“管理工具”中运行“证书颁发机构”服务。此时证书服务还没有从根CA处获得证书，所以证书服务不能工作。但主机B已经拥有了独立从属CA的角色，如图1-5所示： 图1-5 独立从属CA的角色 （三） 根CA为独立从属CA颁发证书 「注」 从属CA向根CA进行证书申请时，要确保在当前时间根CA已经成功拥有了自身的角色。 图1-6访问CA的证书申请页面 （2）通过“申请一个证书”|“高级证书申请”|“使用base64编码...提交一个申请”进入提交证书申请页面，如图1-7： 图1-7 申请证书 （3）使用记事本打开从属CA的请求文件（默认C:\CAConfig\目录下，扩展名为req的文件），将其内容全部复制粘贴到提交证书申请页面的“保存的申请”的输入框中，然后单击“提交”等待CA颁发证书，如图1-8所示： 图1-8 提交证书申请页面 （4）CA查看“证书颁发机构”中“挂起的申请”目录，可以看到刚提交的申请，右键单击此申请单击“所有任务”|“颁发”颁发证书，如图1-9所示： 图1-9颁发证书 （5）独立从属CA通过“证书服务主页”|“查看挂起的证书申请的状态” | “保存的申请证书”|“DER编码”|“下载证书链”将以“.p7b”结尾的文件下载到本地计算机的指定位置，例如本机的“C:\CAConfig\”目录，如图1-10~1-12所示： 图1-10查看挂起的证书申请的状态 图1-11保存的申请证书 图1-12下载证书链 （6）独立从属CA运行”证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“安装CA证书”，在本机的“C:\CAConfig\”文件夹中选择以“.p7b”结尾的证书链文件安装证书。在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“启动服务”，显示提示信息“正在启动证书服务”，然后证书服务即可运行，如图1-13、1-14所示： 图1-13安装CA证书 图1-14启动服务 （四）客户端向独立从属CA申请证书 「注」 客户端向从属CA进行证书申请时，要确保在当前时间从属CA已经成功拥有了自身的角色。 图1-15申请Web浏览器证书 （2）独立从属CA为客户端颁发证书，如图1-16所示： 图1-16 为客户端颁发证书 （3）客户端安装此证书，并通过单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”会在”个人”页签中看到CA颁发给自己的证书，如图1-17~1-19所示： 图1-17 安装证书 图1-18 证书安装成功 图1-19 查看颁发给自己的证书 （4）客户端在证书的“证书路径”页签中，看到包含根CA、独立从属CA及用户证书的证书链，如图1-20所示： 图1-20证书路径 实验小结 本次实验过程中了解常用的信任模型：下属层次信任模型、对等模型、互连的网状模型。混合模型是兼具各常见模型部分特征的一种模型。PKI体系结构比较复杂，其中包括层次结构、网状结构以及信任列表结构，这样就形成了多种不同PKI结构联接的特点，形成了寻找证书路径复杂及证书验证复杂等问题。 其次，通过实验熟悉了信任模型之间的主从关系，以及实际的信任关系等内容。