数字证书和SSL实验示例.doc

在Windows中使用数字证书和SSL 超文本传输协议（HTTP）以明文传输信息，这样很容易造成信息泄漏或遭受攻击，特别是在电子商务领域，使用HTTP更是危险致极。为安全个人或金融信息的传输，Netscape开发了安全套接字层（SSL）协议来管理信息的加密，广泛用于WEB浏览器与服务器之间的身份认证和加密数据传输。它在电子商务中已经无处不在，并且流行的浏览器和服务器都支持它。 当使用SSL连接到Web服务器时，地址栏中的URL将显示https。SSL在传输层使用TCP端口443。在HTTP层，将用户需求翻译成HTTP请求；在SSL层，借助下层协议的信道安全协商出一分加密密钥，并用此密钥来加密HTTP请求；在TCP层，与WEB SERVER的443端口建立连接，传递SSL处理后的数据。这样SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保密的效果。 证书颁发机构是受信任的机构，它通过为实体创建一个电子文档（称为数字证书）来证明实体的身份，该数字证书将身份与公钥之间建立一种关联。证书颁发机构有公共证书机构和内部证书机构，其中： 公共证书颁发机构是在世界范围内颇具权威的组织，它负责验证实体的身份并为其创建和维护证书。公共CA的一些组织如VeriSign、Entrust和Baltimore。 内部证书颁发机构由实体自行执行、维护并控制。这通常用于内部员工的雇员和设备，也用于客户和合伙人。 为了在Web服务器上使用证书进行身份认证，需要采取下图（图1－1）若干步骤。 图1-1 使用证书进行身份认证 本实验中将首先看看默认情况下什么证书颁发机构被配置来与浏览器合作。然后将创建一个证书颁发机构服务器，设置一个Web服务器来使用SSL，并测试新的配置。 一、实验目的 完成本实验，应能够： 1．列举浏览器所配置的受信任的证书颁发机构。 2．安装并配置证书颁发机构服务器。 3．创建证书请求。 4．颁发/签署证书。 5．用SSL安全化Web站点。 6．描述当以SSL连接时Web页面使用的过程。 二、实验环境 Windows XP Professional（与2000系统机器能相互访问） Windows 2000 Advanced Server（IP：28） 要求配置了默认Web服务器。 Windows 2000 Advanced Server 安装CD或ISO 三、实验步骤 步骤1 查看受信任的根证书颁发机构。 Web浏览器通常配置了许多来自证书颁发机构的证书，先来看一下。 在Windows XP Professional PC机： 打开Internet Explorer。 单击“工具”、“Internet选项”。 选中“内容”选项卡，并在内容窗口中单击“证书”。 在打开的证书窗口中选择“受信任的根证书颁发机构”，出现图1－2。 图1-2 浏览器 中受信 任的根 证书 在打开的证书窗口中任意双击一个证书，查看该证书的有效期和作用。 步骤2 安装并配置证书颁发机构服务器。 将Windows 2000 Advanced Server配置成证书颁发机构服务器。 在控制面板里选择添加/删除程序，再选择安装/删除Windows组件。 在组件对话框中选择“证书服务”选项，打开Windows组件安装向导开始安装证书。 在证书颁发机构类型窗口中选中“独立根 CA(S)” ，如图1－3，单击“下一步”继续。 图 1-3 证书颁发机构类型 在CA标识信息窗口，参照图1－4进行CA名称、组织、部门、城市、省份、国家、邮件等信息的填写。 在数据存储路径窗口，保持默认选项，单击“下一步” ，继续。 指定数据存储位置之后，会出现警告窗口，提示你将停止Internet信息服务，选择“确定”，继续安装证书。 插入系统盘或选择ISO文件路径，完成证书服务的安装。 步骤3 创建证书请求 Web服务器需要为证书创建一个请求。在这个过程中，Web服务器将创建自己的密钥对，其中的公钥将是证书请求的一部分。 图 1-4 CA标识信息 在控制面板内打开“管理工具”，选择“Internet服务管理器” 。 在树型窗格中，右击“默认Web站点”并选中属性。 单击“目录安全性”选项卡，单击“服务器证书” ，打开Web服务器证书向导的欢迎界面并单击“下一步”继续。 在服务器证书界面，选中“创建一个新证书”选项，继续。 在稍后或立即请求界面，选中“现在准备请求，但稍后发送”选项，继续。 在命名和安全设置界面，参照图1－5： 名称：默认Web站点 位长：1024 单击下一步，继续 在组织信息界面，参照图1－6