密码编码学与网络安全实验报告及代码五要点.doc

计算机科学与技术学院实验报告 ? 实验题目：CA组件安装与配置 学号： 日期：2014-5-14 班级： 2011级电子商务 姓名： Email：@163.com 实验目的： 通过安装和配置虚拟机的WINDOWS2003 SERVER操作系统中集成的CA组件,实现浏览器证书和WEB证书的签发,进一步了解微软公司的PKI技术框架,并能够使用该模块,在实际系统中进一步应用(也可以在安装WINDOWS 2003 SERVER的时候一并选择安装)。 硬件环境：?我滴电脑啊： 软件环境： 同实验三、四环境，即实验一二所配置的环境：安装在VMWARE虚拟机上的WIN2003 ；装有Perl以及OpenSSL的VC++6.0 。 实验步骤： 下面安装配置CA服务器： 首先打开“服务器管理器”→添加角色，选中“Acitve Directory证书服务”。如下图所示 单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。后者主要是通过web界面来进行证书的相关操作。如下图所示。 单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。 单击“下一步”，如下图所示，由于是企业中第一个证书服务器，所以我们选“根CA”。 单击“下一步”，如下图所示，选择“新建私钥”； 单击“下一步”，如下图所示，这里就用默认的。 单击“下一步”，如下图所示，这边修改CA的公用名称为CA01，该名称无实际意义，随便取。 上图中的可分辨后缀名可不填写。下面的操作全部默认，过程这里省略了。 安装IIS服务过程略过，但注意一定要选择"Asp.Net"组件! 下面配置web服务器 首先安装好IIS和DNS组件，这里省略。 打开IIS，这里我们的加密网站就直接使用原来的默认网站了，当然新建网站也一样做。首先修改C:\inetpub\wwwroot中的首页，把原来的文件删除，新建一个index.htm，内容任意。并且测试下这个网页能被访问到，如下图所示： 注意：新建网页的时候，我们一般是用记事本，然后另存为index.htm，这里注意和windows 2003不一样，需要打开后缀名。否则另存为后的文件是index.htm.txt。在这里把DNS也配好，添加主机记录，客户机的的DNS地址也要设置好，测试通过域名能访问该网站。 IIS服务器此时还不信任颁发证书的CA服务器。解决办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构", 在web服务器上打开/certsrv/ 选择“下载CA证书、证书链或CRL”。为了方便，下载保存到桌面上，然后双击安装。安装过程中把证书导入到“受信任的根证书颁发机构”中，如下图：（这里最好勾选“显示物理存储区”，导入到local computer） 接下来在网站中配置证书，打开IIS，选中“计算机名字”，在中间选中“服务器证书”如下图所示， 在右边选中“创建证书申请”，如下图所示： 输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO 3166-1 A2）：我们的证书是用于web服务的，所以这里一定要填网站的访问域名，比如,注意这里如果填，用就无法访问，会出现证书不是颁发给该网站之类的提示。 选择加密服务程序和密钥长度，加密服务程序选择缺省的Microsoft RSA Schannel Cryptographic Provider，加密长度一般可以为1024位，如果申请EV证书至少2048位。 单击“下一步”，出现保存证书申请文件对话框，输入任意文件名，保存到桌面，用记事本打开，如下图： 接下来我们来完成证书申请， 在第二台win2008客户机上打开浏览器，输入：/certsrv；如下图：这里选申请证书。 这里选“高级证书申请” 这里选“使用base64……” 此图中的编码从之前的abc中用记事本打开复制过来，注意包含-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----。 接下来去CA服务器上颁发证书。在“管理工具”中打开“Certification Authority”，进入“挂起的证书”中颁发，如下图所示： 打开/certsrv，选“查看挂起的证书申请的状态”，如下图所示： 这里下载证书到桌面，保存为“webca“。 接下来在IIS中完成证书申请，如下图： 主要这里不要放一开始申请的导入“受信任的根证书颁发机构”的certnew证书，而是后来申请的certnew2证书。当弄错了，是不会继续的，所以这步一般不会错。 注：证书申请除了通过网页方式申请外，还可以打开MMC，添加证书模块来做。 接下来对网站进行设置，配置HTTPS执行双向认证 默认情况下，HT