SSL安全演示实验证书服务.docVIP

SSL安全演示实验 在这一小节中，我们将通过实验来学习如何实现客户机和服务器之间的SSL安全通信。在具体实验之前，我们先对实验的整体思路做一个描述。实验中使用两台计算机，一台作为服务器，一台作为客户端，客户机通过IE浏览器访问服务器的Web站点。服务器通过向证书颁发机构（CA）申请并安装服务器证书，并要求客户机通过SSL安全通道连接，从而可以保证双方通信的保密性、完整性和服务器的用户身份认证。同时，可以通过在客户机上申请并安装客户端证书，实现客户机的用户身份认证。 这里说的证书指的就是数字证书，它是一种由证书颁发机构颁发并经证书颁发机构数字签名的、用于证明证书持有人身份的“网络身份证”，其中包括了证书持有人的公钥信息和证书颁发机构的数字签名，还可以包括用户的其他信息。数字证书的权威性取决于证书颁发机构的权威性。 【实验目的】 通过申请、安装数字证书，掌握使用SSL建立安全通信通道的方法。 【实验原理】 SSL协议的工作原理、数字证书的原理 【实验环境】 作为服务器的计算机预装Windows Server 2000/2003操作系统，作为客户端的计算机预装Windows 2000/XP/2003，两台计算机通过网络相连。 【实验内容】 ● 任务一：安装 “证书服务”Windows组件 由于我们在后面的实验过程中需要向证书颁发机构申请数字证书，因此必须先在作为服务器的计算机上安装“证书服务”组件，使之成为一个证书颁发机构。具体实现步骤如下： （1）默认情况下indows 2000/XP有安装证书服务，我们通过控制面板的添加/删除windows组件来安装证书服务在CA类型中选择，然后点继续在CA识别信息窗中为安装的CA起一个公用名称，可分辨名称后缀，有效期限保持默认5年即可。在证书数据库设置我们保持默认即可，因为只有保证默认目录系统才会根据证书类型自动分类和调用:\certreq.txt文件中。 图7-23 输入证书请求的文件名 （8）单击按钮，显示如图7-24所示的请求文件摘要对话框，显示了前面设置的所有信息。 图7-24 请求文件摘要 （9）单击按钮完成Web服务器证书向导，如图7-25所示。至此，创建了一个服务器证书请求，并保存在文件c:\certreq.txt中，如图7-26所示。 图7-25 完成创建Web服务器证书请求 图7-26 服务器证书请求文件内容 ● 任务三：申请并安装服务器证书请求 有了证书请求文件后，服务器就可以通过证书颁发机构组件CertSrv申请服务器证书。服务器提交证书申请后，证书颁发机构审核并颁发证书。颁发后的服务器证书从证书颁发机构导出后，可以在服务器上安装。这就完成了服务器证书的申请和安装工作，具体实现步骤如下： （1）在服务器上打开IE浏览器，输入46/CertSrv，这里“46”为服务器的地址。如果IIS工作正常，证书服务安装正确的话会出现Microsoft证书服务界面:\certreq.txt的内容（也即图7-26显示的文件内容）完整复制到“保存的申请”文本框中，并按按钮提交证书申请。 图7-28 提交证书申请界面 （3）当出现如图7-29所示的证书挂起界面时，说明证书申请已经被证书颁发机构收到，必须等待管理员颁发证书。 图7-29 证书挂起界面 （4）此时，在如图7-16所示的证书颁发机构对话框中，可以在“挂起的申请”文件夹中看到我们刚才提交的服务器证书申请（颁发的公用名是我们在前面设置的“win2003”）。这时，可以通过在该证书上右击弹出的快捷菜单中，依次选择“所有任务”→“颁发”以颁发此证书，如图7-30所示。 图7-30 证书颁发机构管理员颁发证书 （5）管理员颁发证书后，在“颁发的证书”文件夹中就能看到已经颁发了的证书，如图7-31所示。 图7-31 已经颁发的证书 （6）双击该证书，可以在弹出的对话框中查看证书的详细信息，如图7-32所示。在每个证书信息对话框中可以看到证书的作用（目的）、所有者、颁发者和有效期，这正是数字证书的几个要素。 从图中可以看到这个证书的目的是客户机用来保证远程计算机（服务器）的身份的。 （7）在图7-32所示的对话框中选择“详细信息”页面，单击按钮，将启动证书导出向导，用于将该证书导出成文件。在证书导出向导中，需要选择导出证书的格式，如图7-33所示。在这里，我们选择Base64编码X.509的文件格式。 图7-32 服务器证书信息 图7-33 选择证书导出文件格式 下面简单介绍一下可以用于证书导出和导入的几种文件格式。 DER编码二进制X.509：卓越编码规则（DER）X.509为证书和其他用于传输文件的编码定义了一种平台独立性的方法。也就是说，