数字证书配置实验.docVIP

数字证书配置实验 一、目的 通过上机练习，掌握独立CA的安装、数字证书的申请颁发和安装、SSL配置 二、实验环境 1个Windows Server 2003虚拟机。 三、实验任务 搭建独立CA，为网站和客户端颁发数字证书以实现SSL安全通信。 四、实验步骤 1、安装独立CA 分两步：先安装IIS，然后安装证书服务。 （1）管理您的服务器-》添加/删除服务器角色-》应用程序服务器，依次点击下一步直至完成。 新建网站nwtraders，要输入网站的主机头值www.nwtraders.msft，如图： 设置首页：右击网站nwtraders-》属性-》文档-》添加首页名称index.html并将其上移至顶部。 （2）开始-》控制面板-》添加或删除程序-》添加/删除Windows组件-》证书服务，弹出警告，点击“是”，如图： 点击下一步-》选择“独立根CA”，如图： 下一步-》输入CA的公用名称：MYCA（不分大小写），如图： 默认有效期为5年，2015-11-17截止，该CA所颁发的证书截止时间不会超过这个时间。 下一步，选择证书库的存放位置，如图： 下一步，弹出警告，要求停止IIS，点击“是”，开始安装。 安装过程会弹出警告框，要求启用ASP，点击“是”，如图： 安装完成后，IIS的默认网站就会添加证书服务的相关内容，如图： 2、配置DNS和网站的主机头值 为了方便访问，为默认网站（CA）和要保护的网站配置DNS区域和名称，默认网站的区域名称为，要保护网站的区域名称为nwtraders.msft，分别添加主机记录（A），主机名www，ip为服务器的ip。 默认网站-》属性-》网站-》高级，编辑主机头值，如图： 设置tcp/ip属性，将首选DNS服务器ip设为本服务器的ip。 3、申请服务器证书 （1）生成证书申请文件 右击网站nwtraders-》属性-》目录安全性-》服务器证书 -》弹出向导，点击下一步-》选择“新建证书”，如图： 下一步，选择“现在准备证书请求，但稍后发送”，如图： 下一步，输入证书名称和密钥长度，如图： 下一步，输入单位信息，如图： 下一步，输入网站的公用名称，www.nwtraders.msft，注意阅读向导提示，如图： 下一步，输入国家和地区信息，如图： 下一步，选择申请文件的存放路径，如图： 下一步确认，点击下一步完成。点击确定，关闭网站属性对话框。 （2）将申请文件提交给CA 打开IE浏览器-》Internet选项-》安全-》自定义级别，调为“中”，如图： 登录/certsrv/，弹出阻止对话框，点击“添加”，再点击“添加”，将网站加入信任列表，在页面中选择“申请一个证书”，如图： -》选择“高级证书申请”，如图： -》 -》把刚才生成的申请文件打开，全选-》复制，然后粘贴到如下图所示的地方 -》点击提交-》CA提示证书挂起，如图： 此时申请已经提交给CA了，接下来就等CA审核、颁发证书了。 4、颁发服务器证书 开始-》管理工具-》证书颁发机构-》展开服务器-》点击“挂起的申请”-》右击右边侧栏的申请-》所有任务-》颁发。 5、安装服务器证书 登录/certsrv/，如图： 点击“查看挂起的证书申请的状态”-》 点击“保存的申请证书”-》 点击“下载证书”。 回到IIS，右击网站nwtraders-》属性-》目录安全性-》服务器证书-》下一步-》处理挂起的请求并按照证书-》选中下载的证书-》设置SSL端口号443（最好不要修改）-》确认-》完成，点击“确定”关闭网站属性对话框。 此时，要访问网站nwtraders，就不能使用http://www.nwtraders.msft了，得使用https://www.nwtraders.msft。 6、设置SSL 为了验证客户端身份，保护客户端和服务器之间的通信，可以调整设置，使得客户端在访问网站时必须提供自己的证书。 右击网站nwtraders-》属性-》目录安全性-》在“安全通信”一栏里点击“编辑” 勾选“要求安全通道（SSL）”，选择要求客户端证书 -》确定-》确定。 此时，访问https://www.nwtraders.msft会被拒绝，因为客户端不能提供证书。 7、申请客户端浏览器证书 登录/certsrv/，弹出阻止对话框，点击“添加”，再点击“添加”，将网站加入信任列表，在页面中选择“申请一个证书”，如图： -》选择Web浏览器证书 -》输入识别信息 -》弹出警告框，点击“是” -》CA提示证书挂起。 8、颁发客户端浏览器证书 开始-》管理工具-》证书颁发机构-》展开服务器-》点击“挂起的申请”-》右击右边侧栏的申请-》所有任务-》颁发。 9、安装浏览器证书 登录/certsrv/，如图： 点击“查看挂起的证书申请的状态”-》 -》 -》弹出警告