使用PKI保护web访问和web服务器.doc

使用PKI保护web访问和web服务器 实验目的：利用DNS、IIS、CA等服务来实现对WED访问和WEB服务器的保护。 实验环境：两台同网段win2003服务器，DC机，Client机，其中为Client为客户机，DC为服务器。DC机上DNS，IIS，CA服务。 实验步骤： 1：启动这两台虚拟机，将每台机的网卡模式都设为仅本地。为每台机配置IP。 DC的配置： Client机的配置： 2：在DC机上安装如下服务：DNS，IIS。 3：在服务器DC的DNS配置一个域建立对应的A记录,并在IIS上创建该站点。 新建一个名为的域，新建主机。 在DC机C盘下新建一个文件夹，在文件夹下新建文件index.html. 在IIS上创建一个名为的网站。 将的默认内容文档设置为index.htm 4：在客户机Client上尝试通过访问该站点。 结果表明，此时，Client机是能够访问该站点的。 5：在服务器B上安装CA服务，CA的名称设置为 CSMZ-ROOT-CA。 6.在IIS的站点的安全设置里向CA申请服务器验证证书。设置在IIS的站点的安全设置里设置要求使用SSL连接。 设置在IIS的站点的安全设置里设置要求使用SSL连接 打开DC的浏览器，输入/certsrv/，开始申请服务器证书。 打开C盘下的certreq.txt文件，复制里面的内容。 将certreq.txt文件的内容复制到“保存的申请里面”，提交申请。 此时，我们再到DC机得CA管理里把证书颁发 这时，我们再次访问/certsrv/，将CA机构颁发的证书下载。 7：在Client机上尝试再次用通过访问该站点。 看看会有什么结果? 提示我们用查看，那接下来我们尝试访问，看看会有什么提示？ 点击查看证书，将证书添加为受信任的证书。 将证书安装到“受信任的发行者”下面。 这时，我们再刷新网页看看是否能够访问？ 由图可以看出，此时，Client机可以访问这个站点了。 8：设置在IIS的站点的安全设置里设置要求客户端提供证书。并尝试在Client机上访问该站点。 在Client机上尝试通过访问该站点，看看是否能够访问？ 我们再尝试通过访问该站点，看看是否能够访问？ 此时，我们在client机向DC机的CA机构申请一个客服端证书，并且在将证书颁发给Client机。（注意：此时应在DC机的IIS上停止这个网站）。 此时，我们在DC机的IIS里面启动这个网站，再在Client上尝试访问，看看会有什么效果？ 结果表面，此时我们向服务器提供自己的客服端验证证书，就可以成功的访问该站点了。 9：在服务器DC上把站点的数字证书吊销（吊销原因选择证书待定） 这时，我们再到Client机上通过来访问这个站点，看看结果是怎样的？（注意：在访问站点之前，先应该在internet选项里将访问的历史记录清理掉，同时设置不要求使用SSL连接） 结果表面，此时Client依然能够访问该站点。原因在于，服务器的数字证书被吊销，它的安全性能就减弱了，而Client机访问该网站，此时不再需要信任证书，或者是客户端验证了，可以直接访问。 那么，我们将站点的数字证书恢复颁发，在CA上将Client机的证书吊销，再尝试访问该站点，看看会有什么效果？ 将站点的数字证书恢复颁发 吊销已经颁发给Client机的证书（注意：在吊销证书后，要将CRL发布间隔调小点，设为一个小时，然后在将物理机的时间设为几天后的时间，尽量让时间间隔长点。并设置要求使用SSL连接） 此时，我们再来访问此站点，看看是否能访问？ 可以，看出，此时Client机的客户端验证证书已经被吊销，该站点不能被访问。