CA系统配置及SSL的应用(信息06).docVIP

CA系统配置及SSL的应用 实验目的 通过实验深入理解PKI系统和SSL的工作原理，熟练掌握windows 2000 Sever环境下CA系统和SSL连接配置和使用办法。 实验原理 PKI基础。Pki是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。它基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。 数字证书。数字证书相当于我们平常使用的身份证，它用于确定各个实体在网络上的身份。它是经证书认证机构数字签名的，包含用户身份信息、用户公开密钥信息的一个文件。 CA系统。证书认证机构CA是PKI的核心部分，用于创建和发放数字证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包含用户公钥等。CA根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。证书使用过程中，其它用户和实体需要下载并安装CA根证书，使用CA根证书中的公钥对CA颁发的证书进行验证，如果通过验证，则证明这个证书是CA签发的。进一步来说，如果一个CA系统是可信的，则此证书的拥有者也是可信的。 关于SSL。SSL( Secure socket layer )称为安全套接层协议，是一种被广泛应用于互联网上的身份认证及web 服务器和用户端浏览器之间的安全数据通信。它在TCP/IP协议之上，在HTTP等应用层协议之下，对基于tcp/ip协议的应用服务是完全透明的。它提供的安全服务有客户和服务器双向身份验证，数据加密保护和数据完整性保护共三种安全性服务。它保护客户端和服务器端的通信不被窃听，对服务器认证，对用户进行选择性的认证。 实验内容和步骤 任务一：安装 windows 2000 sever 操作系统 任务二：独立根CA的安装和使用 独立根CA的安装 从控制面板进入【添加和删除windows组件】，在弹出的对话框中选择【证书服务】，单击下一步。 在弹出的对话框中选择【独立根CA】，并单击下一步，在弹出的对话框中按照提示填写相关信息，完成后单击下一步 在弹出的对话框中选择数据的存放位置，单击下一步。 打开【管理工具】，如果能找到【证书颁发机构】这个菜单，说明CA的安装已经完成。 通过web页面申请证书 在局域网的另一台计算机中打开ie，并输入 刚才安装CA的计算机的 ip地址/certsrv ,打开一个web页面。 选择申请证书，单击下一步。 在弹出的对话框中选中【用户证书申请】中的【web浏览器证书】，单击下一步。 在打开的页面中填写用户信息，完成后单击提交，弹出对话框后选择是。 CA服务器响应后，页面提示【您的证书申请已经收到。。。】说明证书申请已经完成，等待根CA颁发证书。 证书发布 在创建根CA的计算机上打开管理工具，找到证书颁发机构，在弹出的窗口中选择待定申请，单击右键，在所有任务中选择颁发。 在颁发的文件夹中可以看到刚才颁发的证书，说明证书已经颁发成功。 证书的下载和安装 在申请证书的计算机上打开ie，输入 CA的 ip/certsrv ,进入证书的申请页面。选择挂起的证书，单击下一步。 在弹出的页面中选择检查挂起的证书，再在弹出的页面中选择web浏览器证书，单击下一步。 在弹出的页面中如果出现【安装此证书】的按钮，则说明证书已经颁发了。 单击【安装此证书】，系统提示没有下载安装CA系统的根证书，单击是。 由于没有下载安装CA系统的根证书，所以无法验证此CA系统颁发的证书是否可信任。为此安装CA系统的根证书。输入 ip/certsrv 进入证书的申请页面。选择检索CA证书或证书吊销列表，在弹出的窗口中单击下载CA证书，选择适当的路径保存在本地。 下载完毕后，打开此证书，单击安装证书按钮，采用默认安装即可。 任务三：配置基于web的SSL连接 为web服务器申请证书。 打开internet服务管理器，右键单击默认web站点，选择属性。 在弹出的窗口中选择目录安全性菜单单击安全通信中的服务器证书。 在弹出的窗口中单击选择创建一个新证书，单击下一步。 在弹出的窗口中输入证书名称，单击下一步。按照提示输入相关信息 在输入完证书的存放路径后单击完成 提交web服务器证书 在服务器所在的计算机上打开ie，输入根CA的 ip/certsrv，选择申请证书，并单击下一步 在弹出的窗口中出现高级申请，单击下一步 选择base64编码方式，单击下一步按钮。 单击浏览，找到证书请求文件，并把它插入到证书申请的框里，单击提交。 弹出窗口提示证书申请已经提交成功。 服务器证书的颁发和安装（同任务二） 客户端证书的申请、颁发和安装（同任务二） 为配置SSL的普通web链接 在配置SSL设置