实验2：基于CA的安全Web访问(4学时).docVIP

天津理工大学实验报告 学院(系)名称:计算机与通信工程学院 姓名 吕帅霖 学号专业 网络工程 班级 1班 实验题目 实验2：基于CA的安全Web访问 课程名称 网络安全 课程代码 实验时间 2015 实验地点 7-219 批改意见 成绩 教师签字: 一、实验目的 1．掌握证书服务的安装，理解证书的发放过程 2．掌握在Web服务器上配置SSL，使用HTTPS协议访问网站以验证结果 二、实验环境 三台PC 一台交换机 三、操作步骤 （1）安装 \o 证书服务CA 输入 \o CA识别信息，此处可随意取名。 保证 \o 证书数据库及日志信息的位置默认值： 开始安装： 在开始—管理工具中单击 \o 证书颁发机构，打开 \o 证书颁发机构： 使用IIS管理器，观察默认 \o 网站下有certsrv等虚拟目录。在虚拟目录certsrv属性-目录安全性-身份验证和访问控制-启用匿名访问，以便允许Internet来宾账户通过访问此站点提交证书申请。 （2）在Web服务器上配置WWW服务（真实机里已有IIS），如下图所示： 安装完成后，打开并设置来宾用户的访问权限： 配置网站，可通过客户端IE浏览网站。 （3）接下来为web网站申请证书，打开 \o web服务器，属性—目录安全性，选择服务器 \o 证书： 选择新建 \o 证书： 接着选择下一步 输入名称： 输入地理信息，单击下一步： 按提示完成certreq.txt证书申请文件。 （4） \o web方式提交 \o 证书申请： 打开IE浏览器， 1/certsrv(这是运行 \o 证书服务的计算机的IP地址) 选择申请一个 \o 证书，下一步： 选择高级 \o 证书申请： 在这里选择的是用base64编码： 复制certreq.txt文件内容到下拉列表框，提交。 出现如下图所示， \o 证书挂起： （5）手工颁发 \o 证书： 打开 \o 证书颁发机构，可以查看到挂起的 \o 证书，右击所有任务—颁发 \o 证书： 可以看到已经颁发了的 \o 证书： （6）下载 \o 证书： 打开IE浏览器， 1/certsrv(这是运行 \o 证书服务的计算机的IP地址)，选择查看挂起的 \o 证书申请的状况： 选择保存的申请 \o 证书，选择下载 \o 证书： 下载 \o 证书到本地： （7）为WEB服务器安装 \o 证书，打开 \o web服务器，属性-选择目录安全—服务器 \o 证书： 选择处理挂起的请求并安装 \o 证书： 浏览到刚才下载到本地的 \o 证书： 保持默认端口443： 查看 \o 证书： （8）下载 \o ca \o 证书到本地添加到信任的 \o 证书机构： 打开IE浏览器， 1/certsrv(这是运行 \o 证书服务的计算机的IP地址) 在这里选择下载一个 \o ca \o 证书， \o 证书链或CRL 接下来下载 \o ca \o 证书到本地 在运行里输入 mmc打开管理控制台： 选择添加/删除管理单元—选择添加—选择 \o 证书： 选择计算机帐户： 保持默认，完成 展开管理控制台，选择 \o 证书，右击出现所有任务选择导入：如下图： 导入刚下载 \o ca的 \o 证书，如下图： 查看刚才打红叉的 \o 证书，现在正常了，如下图： （9）在web服务器上启用安全通道，如图选择编辑： 勾选“要求安全通道（SSL）”。若此时客户端证书选择“忽略客户端证书”，此时web客户机可以通过 Https://web服务器IP地址访问网站 客户端访问： 无法访问原因：客户端没有申请 \o 证书： 客户端申请 \o 证书： 打开IE浏览器， 1/certsrv(这是运行 \o 证书服务的计算机的IP地址) 选择申请 \o 证书，通过浏览器：填写相关内容，提交 给客户机颁发 \o 证书： 客户机下载 \o 证书并安装： \o 证书安装完成： 客户机访问： 总结： 1. \o ca建好之后，时间和计算机名都不可修改。 2. 给 \o web服务器申请 \o 证书时，必须下载 \o ca的 \o 证书并且导入到受信任的根 \o 证书颁发机构。这样web服务器才能信任此CA颁发的证书。 3. 在给 \o web服务器应用 \o 证书时注意一定要勾选“要求安全通道（SSL）”，再勾选“要求客户端 \o 证书”。 4. 在工作组模式下 \o 证书颁发需要手工颁发，但在加入域环境