PKI實验报告.docVIP

实验一 配置PKI与证书服务 实验项目名称： 配置PKI与证书服务 实验时间： 2012年10月29日 实验类型： 验证型 实验目的： 理解PKI与证书服务的工作原理； 熟练掌握安装PKI与证书服务； (3)掌握配置PKI与证书服务。 实验内容以及步骤： 一、安装证书服装器 用一个证书的服务器来颁发证书，然后再使用这个证书。 二、要在配置的网站上申请证书(草稿） 找到我们配置的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，去申请一个证书。“新建一个证书”，在国家时“必须选CN中国“，下面省市：湖南省，湘潭市，最后要生成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。相当于一个申请书。 三、正式向证书机构去申请一个证书（正式申请） 在网页地址栏中输入：http://localhost/certsrv这样一个地址 local本地 host是主机：localhost本地主机/certsrv这个cert这证书server srv服务器certsrv：证书服务器。 1、申请一个证书 2、高级证书申请 3、选择一个bAse64这个证书 4、把刚才生成的申请书文件：certrreg.txt文件中的内容全部复制到网页中保存的申请框中。 5。提交之后才正式申请开始，等着颁发证书。 四、颁发证书 到“证书颁发机构”-选择挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。 五、要把这个已经颁发过的证书下载下来。 方法就是： 1、http://localhost/certsrv 2、查看挂起的证书申请的状态，如果有一个，就下载这个证书：用BASE64这个类型的证书，把这个证书保存起C：\certnew.cer这样一个新证书。 六、使用这个证书来完成CA服务器的配置。 右击“这个网站的名字myweb,选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到C：\certnew.cer这样一个证书用上就可以了。 七、使用SSl(安全通道）功能来访问网页 方法是：右击“Myweb这个网站，选择“属性”“目录安全性”在“安全通信中的编辑”中，选择“要求安全通道”和”要求客户端的证书“。 八、具体步骤如下： 1、PKI系统中的数字证书简称证书。 它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身证号等）捆绑在一起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面，Web 用户身份验证,Web 服务器身份验证,安全电子邮件，Internet 协议安全（IPSec）；数字证书是由权威公正的第三方机构即CA签发的。 证书包含以下信息： 使用者的公钥值 使用者标识信息（如名称和电子邮件地址） 有效期（证书的有效时间） 颁发者标识信息 颁发者的数字签名 CA的核心功能就是颁发和管理数字证书，具体描述如下： 处理证书申请 鉴定申请者是否有资格接收证书 证书的发放 证书的更新 接收最终用户数字证书的查询、撤销 产生和发布证书吊销列表（CRL） 数字证书的归档 密钥归档 历史数据归档 （3）证书的发放过程 1）证书申请 用户根据个人信息填好申请证书的信息并提交证书申请信息 RA确认用户 在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实 证书策略处理 如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等 RA提交用户申请信息到CA RA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的 先安装CA证书服务器（这在里要注意，安装CA之前先要装好IIS因为CA要IIS的支持） （1）单击控制面板中的“添加或册除程序”，在windows组件向导中勾选“证书服务”复选框，单击“下一步”按钮。 （2）选择CA类型为“企业根CA”,选中下面的“用自义设置生成密钥对和CA证书”复选框，单击中“下一步”按钮。 企业根CA：需要AD服务，即计算机在活动目录中才可以。 企业从属CA：域中的另一台证书服务器上 独立根CA：服务器可以在AD中，也可以不在AD中。 （3）在出现的“公钥/私钥对”中保持默认值，单击“下一步”按钮。 在此CA的公用名称中输入CA的名称，一般是域名称 （5）设置证书数据库以及日志的路径。（如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务） 使用客户端进行测试时有三种情况： （1）忽略客户端证书：无论用户是否拥有证书，都将被授予访问权限，客户端不需要申请和安装客户端证书。 （2）接受客户端证书：用户可以使用客户端证书访问资源，但证书并不必需。客户端，客户端不需要申请和安装客户端证书。 （3）要求客户端证书：服务器在将用户与资源连接之间要请求客户端证书