构建基于Windows 的CA系统.doc

参考文献：/view/fbb1930d4a7302768e993943.html 1.7 实例：构建基于Windows 2003的CA系统 实验环境如图-113所示。 PKI原理回顾：PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础，使用户在虚拟的网络环境中能够验证相互之间的身份，并保证敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。CA系统是PKI的核心，因为它管理公钥的整个生命周期。 实验环境 Windows 2003 Server对PKI做了全面支持，在提供高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。 SSL（Secure Socket Layer，安全套接字层）是由Netscape公司开发的，被广泛应用于Internet上的身份认证及Web服务器和用户端浏览器之间的安全数据通信。SSL协议在TCP/IP协议之上，在HTTP等应用层协议之下，对基于TCP/IP协议的应用服务是完全透明的。利用CA颁发的证书，在服务器和客户端之间建立可靠的会话，从而保证两者之间通信的安全性。通过此类功能，企业就可以为相关用户颁发证书，并利用它来控制只有获取证书的用户才可以进行基于安全通道协议（即对Web网站上加密文件的访问使用https，而非http方式）验证的访问。 图-114 Windows组件向导 图-115 详细信息 实验过程如下： 1．安装证书服务器（CA服务器） 在3计算机上，创建IIS（Web服务器）和创建CA认证中心。 （1）创建IIS 依次选择选择【开始】/【控制面板】/【添加/删除程序】 /【添加/删除Windows组件】，出现【Windows组件向导】对话框，如图-114所示，选择【应用程序服务器】。单击【详细信息】按钮，选择如图-115所示的选项，单击【确定】按钮，回到图-114，单击【下一步】按钮，完成IIS的安装。 （2）创建CA认证中心 第1步：在图-114中选择【证书服务】，出现【Microsoft证书服务】对话框，如图-116所示，单击【是】按钮，回到图-114，单击【详细信息】按钮，出现【证书服务】对话框，如图-117所示，选中其中的两项，单击【确定】按钮，开始安装。 图-116 中国金融CA结构c:\inetpub\wwwroot下面创建index.htm主页文件，内容是“您正在访问ssl网站！”。 图-131 目录安全性 图-132 Web服务器证书向导 第3步：在图-131中，单击【服务器证书】按钮，如图-132所示，单击【下一步】按钮，如图-133所示，选择【新建证书】。后续过程如图-134—图-141所示。在图-139中，要记住文件名的路径，后面申请证书时，要用到该文件的内容。 图-133 服务器证书 图-134 延迟或立即请求 图-135 名称和安全性设置 图-136 单位信息 图-137 站点公用名称 图-138 地理信息 图-139 证书请求文件名 图-140 请求文件摘要 图-141 完成证书向导 图-142 安全通信 第4步：在图-131中，单击【编辑】按钮，如图-142所示，选择【要求安全通道】和【要求客户端证书】，单击【确定】按钮。 第5步：打开IE浏览器，在地址栏输入3/certsrv/，如图-143所示，单击“申请一个证书”， 如图-144所示，单击“高级证书申请”，如图-145所示，单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”，如图-147所示， 将图-146所示的C:\ certreq.txt文本文件内的内容，粘贴到“保存的申请”。 图-143 选择任务 图-144 证书类型 图-145 高级证书申请 图-146 certreq.txt文件内容 图-147 粘贴到“保存的申请” 图-148 RA结构certnew.p7b保存在桌面。 图-149 证书颁发机构 图-150 查看证书申请状态 图-151 中国金融CA结构安装此CA证书链”，出现如图-163所示的页面，单击“Web浏览器证书”，出现如