独立跟CA的创建和证书申请.doc

PKI实验一：PKI系统原理

【1】实验目的

通过实验进一步理解PKI系统的工作原理，了解数字证书和CA系统的重要功能和作用。

【2】实验原理

PKI基础

PKI是一个用公钥密码学技术来实行和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。

PKI系统可认为用户生成并颁发数字证书，用户运用数字证书可以在网络环境下验证互相之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供基本保障。

数字证书

数字证书就是标志网络用户身份信息的一系列数据，用来在网络通信中辨认通信各方的身份，即要在网络上解决“我是谁”的问题。数字证书可以看作用户的“网络身份证”。

CA

假如将数字证书比方为“身份证”，那么CA就好比颁发“身份证”的公安局，它能通过数字证书证明证书持有者的身份。

CA是数字证书的核心部分，用于创建数字证书。CA系统一方面获取用户的申请证书请求，CA将根据用户的请求信息产生证书，证书中涉及用户的公钥，最后CA用自己的私钥对证书进行署名。

Windows中的CA系统

Windows2023/2023的Server版本或Enterprise版本，将PKI功能作为操作系统的一项基本服务，避免了购买第三方PKI所带来的额外开销。Windows2023/2023中支持两种类型的CA：公司CA和独立CA。

公司CA一般用于为一个组织机构内部并且属于同一个域的用户和计算机颁发证书。假如给Windows2023/2023域之外的独立用户颁发证书，一般安装独立CA。

【3】实验环境

安装Windows2023/2023Server操作系统的一台计算机以及与其联网的一台windows计算机。

【4】实验内容和环节

独立根CA的安装

单击“开始”，选择“设立”—“控制面板”—“添加和删除程序”，在弹出的窗口中选择“添加和删除Windows组件”。

在弹出的窗口中，选择“证书服务”。（假如单击“具体信息”，这里面可以看到Windows所提供的CA和RA两个基本功能模块）。单击“下一步”按钮开始安装。

在弹出的配置窗口中，选择“独立根CA”，单击“下一步”按钮。

在出现的对话框中，按规定一次填入CA的名称、单位、部门、城市、电子邮件、描述、有效期限，单击“下一步”按钮。（可分辨名称处不填）

在弹出的对话框中填入数据的存放位置，单击“下一步”按钮。

下面会停止本机的IIS服务，并启动CA的服务，之后IIS信息服务会自动启动，并通过IIS的证书服务网页完毕证书的操作。

安装完毕后，单击“开始”按钮，选择选择“设立”—“控制面板”—“管理工具”，此时可在该菜单中找到“证书颁发机构”，说明CA的安装已经完毕。

通过Web页面申请证书

在局域网的另一台计算机中打开IE，在地址栏中输入http://安装根CA的主机IP地址/certsrv，正常情况下会出现RA的证书申请页面。下面先申请一个证书。

选中“申请证书”，并单击“下一步”按钮。

在弹出的页面中选择“用户证书申请”中的某一个用途的证书，例如“Web浏览器证书”。

在弹出的窗口中填写用户的身份信息，完毕后单击“提交”按钮。这种情况下，IE浏览器采用默认的加密算法生成公私钥对，私钥保存在本地计算机中，公钥和用户身份信息按照标准的格式发给CA服务器，然后出现提醒窗口，单击“是”按钮，申请证书。

CA服务器响应后，出现证书挂起页面，标记CA服务器已经收到证书申请，需要进行解决后才干反馈。

证书发布

在根CA所在的计算机上，单击“开始”按钮，选择“设立”—“控制面板”—“管理工具”—“证书颁发机构”。在弹出的窗口左侧的菜单目录中选择“待定申请”，上一步中申请的证书“test出现在窗口左侧。

打开下拉框，点击“挂起的申请”。

选中右边框中证书申请，单击鼠标右键，选择“所有任务”—“颁发”，进行证书颁发。

证书颁发后将从“挂起的申请”文献夹转入到“颁发的证书”文献夹中，标记证书颁发完毕。

在CA服务器中完毕证书颁发后，下面转到证书申请者的计算机中，查看申请的证书是否颁发下来。

证书的下载安装

在申请证书的计算机上打开IE浏览器，在地址栏中输入http://安装根CA的主机IP地址/certsrv，进入证书申请页面。刚才完毕了“申请证书”，下面选择“检查挂起的证书”，看看CA是否颁发了证书，单击“下一步”按钮。

在弹出的页面中选择已经提交的证书申请，单击“下一步”按钮。

假如CA已经将证书颁发，将弹出证书已颁发页面。

单击“安装此证书”，弹出系统提醒，这是由于没有下载安装CA系统的根证书，在下面会安装CA的根证书。在这里先单击“是”按钮，完毕证书的安装。

由于没有下载安装CA系统的根证书，所以无法验证