实验六 PKI技术之证书管理.doc

实验CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。…”，单击“确定”。如图3-14所示： 图3-12 证书吊销 图3-13 吊销的证书 图3-14提示信息 CA在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“还原CA”，此时出现“证书颁发机构还原向导”提示要立即关闭证书服务，单击“确定”。出现“证书颁发机构还原向导”，单击“下一步”，如图3-15所示： 图3-15 立即停止证书服务 在“选择要还原的项目”中选中两个选项。“从这个位置还原”选择CA备份的目录，单击“下一步”，如图3-16所示： 图3-16 设置要还原的项目 输入密码，单击“下一步”直到“完成”，如图3-17所示： 图3-17 提供密码 “证书颁发机构还原向导”提示要启动证书服务，单击“是”启动证书服务，如图3-18所示： 图3-18 提示信息 此时检查刚才被吊销的证书，已经从“吊销的证书”目录中还原回“颁发的证书”目录中，如图3-19所示： 图3-19 吊销的证书已还原 4． 证书吊销 （1）主机A申请服务器证书。 请根据练习一中服务器证书申请实验步骤，为主机A生成服务器证书请求，并安装服务器证书和证书链。 （2）主机A在IIS中设置SSL，要求安全通道和客户端证书，如图3-20所示： 图3-20 安全通信 （3）客户端访问服务器。 客户端在IE浏览器地址栏中输入“https://服务器IP”并确认。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，如图3-21所示。又出现“安全警报”对话框询问“是否继续？”，单击“是”，如图3-22所示。出现“选择数字证书”对话框，选择相应的数字证书，单击“确定”即可以访问服务器的Web服务了，如图3-23所示： 图3-21 安全警报（1） 图3-22 安全警报（2） 图3-23 访问Web服务 （4）CA将客户端证书吊销，并发布CRL。 CA在“颁发的证书”中找到客户端使用的Web浏览器证书。右键单击此证书“所有任务”|“吊销证书”，选择任意“理由码”，单击“确定”，此时证书即转移到“吊销的证书”目录中。在左侧树状结构中右键单击“吊销的证书”|“所有任务”|“发布”，出现对话框“发布CRL”，单击“确定”，如图3-24所示。在左侧树状结构中右键单击“吊销的证书”|“属性”弹出“吊销的证书的属性”对话框，单击“查看CRL”页签,单击“吊销列表”按钮，可以查看刚发布的CRL，如图3-25所示： 图3-24 发布CRL 图3-25 吊销的证书属性 （5）客户端访问服务器。 重新访问服务器的证书服务，此时发现不能访问服务器，页面显示“该页要求有效的SSL客户证书”。说明此时客户端证书已经不被信任。 实验小结 通过本次实验，掌握了CA通过自定义方式查看申请信息的方法，如何备份和还原CA以及吊销证书和发布CRL的方法。 复习了上一节实验课有关安装证书和服务器证书申请等实验内容，并学习了有关CA的操作，如：CA自动颁发证书、客户端申请证书、CA的备份和还原、证书吊销等操作。 同时，实验过程中遇到了一些问题，如：CA根证书没有正确的申请和发布，没有选择指定需要进行吊销的证书吊销导致实验无法正确的完成等。