实验三 PKI证书服务的应用.doc

实验三 PKI证书服务的应用 实验名称：在域环境下配置CA并应用到web服务器和客户端 实验环境： 实验步骤： 安装IIS和CA。（因为安装CA时要向默认网站里新建相应的虚拟目录，用来申请证书时使用。） 开始-设置-控制面板-添加/删除程序-添加/删除windows组件 选择相应的服务，单击“下一步”。 选择“企业根”，单击“下一步”。注意：域环境下CA的类型有四种，在工作组环境下只有独立根可以建立。 输入相应的ca的名称（一般与计算机名相同），单击“下一步”。 保持默认的路径，单击“下一步”。 现在已经开始安装了。 CA已经成功的完成了。 配置web服务器。 开始-程序-管理工具-Internet信息管理 右击“网站”，选择“新建网站”。 输入相应的web站点的描述，单击“下一步”。 输入相应的站点的ip地址和端口号，单击“下一步”。 输入相应的主目录的路径，单击“下一步”。 设置相应的权限，单击“下一步”。 单击“完成”。 查看站点是否可以成功的访问。 启动IE，输入1 可以成功的访问。 给web服务器申请证书。 因为CA被写入了默认网站的虚拟目录里，所以我们申请证书时要注意，将web先暂停一下，启用默认网站的配置。 但是在那之前，先要web服务器上填写一个证书申请表。 右击web，选择“属性”。 选择“目录安全性”，单击“服务器证书”。 单击“下一步”。 选择“新建证书”，单击“下一步”。 单击“下一步”。 单击“下一步”。 输入相应的单位和部门，单击“下一步”。 单击“下一步”。 输入相应的配置，单击“下一步”。 选择证书申请表的目录，单击“下一步”。 单击“完成”，这时证书申请表已经成功的填写完成了。 给web服务器申请证书 启动IE，在地址栏输入1/certsrv。 输入相应的用户名和密码，单击“确定”。 单击“添加”，添加相应的网站到相应的访问目录。 单击“申请一个证书”。 单击“高级证书申请”。 选择第二项。 将刚才填写的证书申请表填写到相应的位置，选择正确的证书模版，单击提交。 单击“是”。 单击“下载证书”。 单击“保存”。 选择“证书的保存位置”，单击“保存”。 证明已经成功的下载了证书。 Web应用相应的证书。 右击web，选择“属性”。 选择安全性选项卡，单击“服务器证书”。 单击“下一步”。 选择证书的正确位置，单击“下一步”。 配置相应的端口号，单击“下一步”。 单击“下一步”。 单击“完成”。 启动IE，输入1。 可以成功的访问，这是因为还没有采用ssl服务。 进入web的属性窗口的目录安全性选项卡。 单击“编辑”。 选择“要求安全通道”，客户端证书选择忽略客户端证书，单击“确定”。 到此服务器端的证书应用已经成功的完成了。 在客户端验证。 启动IE，输入1。 不能成功。键入1。 单击“是”。 已经成功的显示了。因为客户采用的是忽略客户端证书，所以客户端在访问web服务器的时候不提示下载证书。 改变客户端的证书模式。 选择“要求客户端证书”，单击“确定”。 在客户端验证。 启动IE，输入httpas://1。 提示没有证书。 客户端下载证书。 启动IE，输入1/certsrv。 输入相应的用户名和相应的密码，单击“确定”。 将相应的网站添加到IE中。 单击“申请一个证书”。 单击“用户证书”。 单击“提交”。 单击“安装此证书”。 此时证明证书已经成功。 此时在验证。 启动IE，输入1。 此时已经有了一个证书，单击“确定”。 证明已经成功的采用证书。 实验总结： 1、PKI（public Key infrastructure，公钥基础结构）是通过使用公钥技术和数字证书来确保系统信息安全并负责验证数字证书持有这身份的一种体系。 PKI有公钥加密技术、数字证书、CA、RA等共同组成。 3、PKI体系能够实现的功能有：身份验证、数据的完整性、数据的机密性、操作的不可否认性。 4、公钥加密技术：公钥（public key）和私钥（private key）：密钥是成对出现的，这两个密钥互不相同，两个密钥可以互相加密和解密；不能够根据一个密钥推算出另一密钥；公钥对外公开，私钥只有私人持有。 5、数据加密：用接收方的公钥加密，接收用自己的私钥解密，实现了数据的机密性。 6、数字签名：用发送发的私钥进行加密，用发送的公钥进行解密，实现了身份验证、数据的完整性、操作的不可否认性。 CA（certificate authority，证书颁发机构）是PKI公钥结构的核心部分。 8、证书包含的信息：使用者的公钥值、使用者的表示信息、有效期、颁发者表示信息、颁发者的数字签名。 9、CA的作用：处理证书的申请、鉴定证书申请者是否有资格接收证书、证书的颁发、证书的更新、接收最终用户数字证书的查询和撤销、产生和发布证书吊销列