19数字认证.docVIP

数字签名与认证 1．将各个小组主机设置为证书服务器CA服务器。 （1）通过控制面板中的添加/删除程序，选择添加/删除Windows组件。在indows组件向导中找到证书服务，选中证书服务的复选框单击下一步如图19-1所示。 图19-1 在indows组件向导中选择证书服务 （2）系统会弹出安装证书服务后计算机名和区域成员身份会出现改变，是否继续的提示，选是即可如图19-2所示。 图19-2 继续安装 （3）在indows组件向导独立根CA，如图19-3所示。 图19-3 选择独立根CA （4）CA识别信息CA公用名称输入本地计算机的IP地址，如，其他设置保留默认信息即可，如图19-4所示。 图19-4 输入CA公用名称 （5）输入证书数据库等信息的保存路径，选择默认位置系统目录的system32下的certlog即可，如图19-5所示。 图19-5 输入证书数据库等信息的保存路径 （6）出现要完成安装，证书服务必须暂时停止IIS服务的提示。选择是后继续，如图19-6所示。 图19-6 暂时停止IIS服务 （7）复制文件完成indows组件的安装工作，如图19-7所示。 图19-7 完成证书服务器的安装 2．在各个小组工作站的网站上申请证书（1）打开Internet信息服务，停止默认站点。新建一个eb站点，站点说明为安全站点测试，如图19-8所示。 图19-8 站点说明在IE浏览器中输入本机IP地址，测试站点的可访问性，如图19-9所示。 图19-9 测试站点的可访问性 （）打开站点属性对话框，在目录安全性选项卡中，单击服务器证书，如图19-10图19-10 设置目录安全性创建一个新证书，图19-11所示。 图19-11 创建新证书 （）延迟或立即请求选择现在准备证书请求，但稍后发送，如图19-12所示。 图19-12 准备证书请求 （）设置证书的名称和特定位长名称保持默认即可在位长处可以根据实际加密需要设置如图19-13所示。 图19-13 设置证书的名称和特定位长 （）设置输入单位信息，包括单位和部门如图19-14所示。 图19-14 输入特定信息 （）设置站点公用名称输入计算机名或者IP地址如图19-15所示。 图19-15 输入特定信息 （）设置地理信息填写，如图19-16所示。 图19-16 输入特定信息 （）设置设置证书请求的文件名以缺省保存到系统盘根目录下certreq.txt，如图19-17所示。 图19-17 设置证书请求的文件名 （）向证书颁发机构提交证书请求信息。在此实验中，证书颁发来自小组主机，登录证书申请页面/certsrv，如图19-18所示。 图19-18 选择申请一个证书申请一个证书后，在申请面选择高级证书申请，如图19-19所示。 图19-19 选择高级证书申请在高级证书申请面选择使用base64编码的CMC或PKCS #10文件提交一个证书申请，或继订证书申请，如图19-20所示。 图19-20 选择证书类别 打开文件c:\certreq.txt，将文本内容复制到Base64编码证书申请对应的文本框中如图19-21所示。 图19-21 粘贴证书内容击提交，成功申请后出现证书挂起提示，说明证书申请已经收到，等待管理员通过申请认证，如图19-22所示。 图19-22 出现证书挂起提示 3．小组主机的管理员手动颁发该证书才能使之生效。 （1）选择任务栏的开始程序管理工具证书颁发机构，在左边选项中找到挂起的申请，如图19-23所示。 图19-23 找到挂起的申请在待申请的证书上单击鼠标右键，弹出菜单中有所有任务一项，接着选择子项颁发。这时这个待定申请就会转移到颁发的证书下面，如图19-24所示。 图19-24 转移到颁发的证书 （）在颁发的证书下找到刚才颁发的证书，双击打开。在证书属性窗口的详细信息标签中选择复制到文件，如图19-25所示。 图19-25 选择复制到文件 （）在证书导出向导中，任意选择一种CER格式导出，比如DER 编码二进制并保存成文件，如图19-26所示。 图19-26 证书导出 4．配置小组工作站的IIS的SSL安全加密功能。 （1）再次IIS设置窗口中启用SSL安全加密功能。默认网站属性窗口中点目录安全性标签，然后在安全通信处点服务器证书按钮，挂起的证书请求窗口中选择处理挂起的请求并安装证书选项，如图19-27所示。 图19-27 选择处理挂起的请求并安装证书选项 （2）浏览按钮找到在验证证书中通过证书导出向导刚刚保存的DER编码格式的文件，如图19-28所示。 图19-28 导入证书 （3）这时就可以设置SSL参数了，在安