实验六基于web的SSL应用.doc

实验六、基于Web的SSL应用 一、实验目的 1、通过实验深入了解SSL的工作原理，熟练掌握Windows server2003环境下CA系统和SSL连接的配置和使用方法。 2、给IIS配置SSL，给指定Web站点利用SSL加密HTTP通道。 二、实验原理（理论课） 三、实验环境 装有Windows Server 2003的计算机二台，一个拥有一个独立存在的根CA（server），另一台将作为独立存在的下层CA并做服务器使用（server1）。装有windows 7或Windows Server 2003的客户机（client）一台。 四、实验内容和步骤 1、为客户机client申请Web浏览器证书 在client中点击‘开始’》》》01/certsrv 点击‘申请一个证书’进入申请页面： 如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。 申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。 需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。 如果想查看更多选项，请点击‘更多选项’： 在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0，选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’： 单击‘是’： 单击‘设置安全级别’： 将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口： 输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。 单击‘完成’： 单击‘确定’，浏览器页面跳向如下： 到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发开始 》》》 管理工具 》》》 证书颁发机构： 在‘挂起的申请’里已经存在申请挂起等待颁发的证书。 右键点击挂起的证书 》》》 所有任务 》》》 颁发： 刚才的挂起证书已经存入‘颁发的证书’存储区。此时，申请人登陆证书申请系统，并查看挂起，就会获取相应的证书。 该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面： 点击‘安装此证书’： 您应该已经信任CA机构，所以请单击‘是’： 您已经成功安装数字证书。 如果要找回您刚才安装的数字证书，请单击浏览器上的：工具 》》》 Internet选项 》》》 内容 》》》 证书，弹出如下窗口： 此时您已经发现，在证书个人存储区内已经安装了您刚刚申请并成功安装的证书。单击‘查看’： 这就是数字证书了。 （1）填写服务器证书信息 在server1中安装好IIS，并将其打开（这里用‘默认网站’为例） 右键点击‘默认网站’ 》》》 属性：选择‘目录安全性’选项卡： 图中‘查看证书’为灰色不可用，说明我们还未为‘默认网站’配置数字证书。 单击‘服务器证书’，弹出如下窗口： 单击‘下一步’： 由于之前并为配置过数字证书，所以应选择‘新建证书’。如果以前配置过数字证书，并且数字证书仍然可用，则选择‘分配现有证书’即可。 单击‘下一步’： 单击‘下一步’： 名称可以根据需要更改，不影响证书的使用。位长默认为1024，一般已经足够安全，数值越大就越安全，但是数值越大系统的处理速度就会越慢。 直接单击‘下一步’： 单位、部门请填写真实并能够被证实的信息，因为CA管理员会根据这些信息进行审核。 单击‘下一步’： 这一步很关键。公用名称不能随便更改，只能是该网站的DNS，如果尚未申请DNS则可以用IP地址代替。默认情况下是服务器的计算机名，但这种情况只适合于企业机构（AD管理），我们要配置的是独立机构，所以公用名只能是DNS或IP地址。 单击‘下一步’： 这些信息也将是CA管理员的审核对象。 单击‘下一步’： 至此，数字证书的信息已经填写完毕，这一步将这些信息以Base64编码的形式保存在本地，Web管理员可以用编码到CA证书申请系统进行证书的申请。 单击‘下一步’： 以上就是数字证书的本地信息，CA管理员将对其进行审核，并决定是否颁发。 单击‘下一步’： 单击‘完成’ CA的证书申请系统申请服务器验证证书。 打开如下网页： 点