收藏
下载资源

证书服务---实验指导

上传人:wm****3 文档编号:41898822 上传时间:2018-05-31 格式:DOC 页数:4 大小:93.50KB
返回 下载 相关 举报
证书服务---实验指导_第1页
第1页 / 共4页
证书服务---实验指导_第2页
第2页 / 共4页
证书服务---实验指导_第3页
第3页 / 共4页
证书服务---实验指导_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《证书服务---实验指导》由会员分享,可在线阅读,更多相关《证书服务---实验指导(4页珍藏版)》请在金锄头文库上搜索。

1、实验指导实验一名称:证书应用 试验目的: 了解 PKI 体系; 了解用户进行证书申请和 CA 颁发证书过程; 掌握认证服务的安装及配置方法; 掌握使用数字证书配置安全站点的方法; 试验人数: 每组两人; 系统环境: windows2000 advance Server 网络环境: 交换式局域网 试验工具: sinffer pro,windows CA-windows 自带证书服务。 实验步骤: 2 个同学自由结组,确定好服务器端和客户端,在服务器端配置好 IIS,并发布一个网 站。 一、无认证(服务器和客户端均不需要身份认证) 通常在 Web 服务器端没有做任何加密设置的情况下,其与客户端的通

2、信是以明文方式 进行的。 1、客户端启动 sinffer 或者协议分析器,建立一个捕获窗口,然后开始捕获数据包; 客户端在 IE 浏览器地址栏中输入 http:/服务器 IP 地址,访问服务器 web 服务。成功访问 到服务器 web 主页面后,停止捕获数据包并显示,找到 http 的会话数据包,找到源端口或 者目的端口为 80 的会话,查看 decode 模式,通过解析 http 会话可以确定,在无认证模式 下,服务器与客户端的 web 通信过程是以明文实现的。 二、单向认证(仅服务器需要身份认证) 1、 CA 主机(同学 A 的主机,以下简称主机 A)安装证书服务 主机 A 依次选择“开始

3、”|“设置”|“控制面板”|“添加或删除程序”|“添加/删除 windows 组件” ,选中组件中的“证书服务” ,此时出现“Microsoft 证书服务”提示信息, 单击“是” ,然后单击“下一步” 。在接下来的安装过程中依次要确定如下信息: CA 类型(选择独立根 CA) CA 的公用名称 证书数据库设置(默认) 在确定上述信息后,系统会提示要暂停 Internet 信息服务,单击“是” 。系统开始进行 组件安装。安装过程中,在弹出的“所需文件”对话框中指定“文件复制来源”为 windows 2000 advance Server 安装盘下的 i386 文件夹即可, (若安装过程中出现提示

4、信息, 请忽略该提示继续安装) 。 注:若安装过程中出现“windows 文件保护”提示,单击“取消”按钮,选择 “是”继续;在证书服务安装过程中若网络中存在主机重名,则安装过程会提示错误;安 装证书服务后,计算机将不能再重新命名,不能加入到某个域或者从某个域中删除;要使 用证书服务的 web 组件,需要安装 IIS。 在启动“证书颁发机构”服务后,主机 A 便拥有了 CA 的角色。2、 服务器(同学 B 的主机,以下简称主机 B)证书申请 提交服务器证书申请 服务器在“开始”|“程序”|“管理工具”中打开“Internet 信息服务(IIS)管理器” , 通过“Internet 信息服务(I

5、IS)管理器”左侧树状结构中的“Internet 信息服务”|“计算机 名(本地计算机) ”|“网站”|“默认网站”打开默认网站,然后右键单击“默认网站” ,单 击“属性” 。 在“默认网站 属性”的“目录安全性”网签中单击“安全通信”中的“服务器证书” , 此时出现“Web 服务器证书向导” ,单击“下一步” 。 在“选择此网站使用的方法”中,选择“新建证书” ,单击“下一步” 。 选择“现在准备证书请求,但稍后发送” ,单击“下一步” 。 填入有关证书申请的相关信息,单击“下一步” 。 在“证书请求文件名”中,指定证书请求文件的文件名和存储的位置(默认 :certreq.txt) 。单击“

6、下一步”直到“完成” 。 通过 web 服务向 CA 申请证书 服务器在 IE 浏览器地址栏中输入 http:/CA 的 IP 地址/certsrv/并确认。 服务器依次单击“申请一个证书”|“高级证书申请”|“使用 base64 编码提交一个 申请”进入“提交一个证书申请或续订申请”页面。 打开证书请求文件 certreg.txt,将其内容全部复制粘贴到提交证书申请页面的“保存的 申请”文本框中,然后单击“提交” ,并通告 CA 已提交证书申请,等待 CA 颁发证书。 CA 为服务器颁发证书 在服务器提交了证书申请后,CA 在“管理工具”|“证书颁发机构”中单击左侧树状结 构中的“挂起的申请

7、”项,会看到服务器提交的证书申请。右键单击服务器提交的证书申 请,选择“所有任务”|“颁发” ,为服务器颁发证书(这时“挂起的申请”目录中的申请 立刻转移到“颁发的证书”目录中,双击查看为服务器颁发的证书) 。 告诉服务器查看证书。 3、服务器(主机 B)安装证书 服务器下载、安装由 CA 颁发的证书 通过 CA“证书服务主页”|“查看鼓起的证书申请状态”|“保存的申请证书” ,进入 “证书已颁发”页面,点击“下载证书”将证书文件下载到本地。 在“默认网站”|“属性”的“目录安全性”网签中单击“服务器证书”按钮,此时出 现“web 服务器证书向导” ,单击“下一步” 。 选择“处理挂起的请求并

8、安装证书” ,单击“下一步” 。 在“路径和文件名”中选择存储到本地计算机的证书文件,单击“下一步” 。 在“SSL 端口”文本框中填入“443” ,单击“下一步”直到“完成” 。 此时服务器证书已安装完毕,可以单击“目录安全性”页签中单击“查看证书”按钮, 查看证书的内容,回答下面问题。 证书信息描述: 颁发者: 打开 IE 浏览器点击“工具”|“Internet 选项”|“内容”|“证书” ,在“受信任的根证 书颁发机构”页签中查看刚才那个证书的颁发者(也就是 CA 的根证书) ,查看其是否存在。服务器下载、安装 CA 根证书 通过 CA“证书服务主页”|“查看挂起的证书申请的状态”|“保

9、存的申请证书” ,进入 “证书已颁发”页面,点击“下载证书链” (包括服务器颁发证书和 CA 根证书) ,将证书certnew.p7b 下载到本地。 右键单击 certnew.p7b 证书文件,在弹出菜单中选择“安装证书” ,进入“证书导入向 导”页面,单击“下一步”按钮,在“证书存储”中选择“将所有的证书放入下列存储” , 浏览选择“受信任的根证书颁发机构”|“本地计算机” ,单击“下一步”按钮,直到完成。再次查看服务器证书,回答下列问题: 证书信息描述: 颁发者: 再次通过 IE 浏览器点击“工具”|“Internet 选项”|“内容”|“证书” ,在“受信任的 根证书颁发机构”页签中查看

10、刚才那个证书的颁发者(也就是 CA 的根证书) ,查看其是否 存在。 4、web 通信 服务器在“默认网站”|“属性”的“目录安全性”页签中单击“编辑”按钮,选中 “要求安全通道 SSL” ,并且“忽略客户端证书” (不需要客户端身份认证) ,单击“确定” 按钮使设置生效。 客户端重启 IE 浏览器,在地址栏输入 http:/服务器 IP/并确认,此时访问的 web 页面出 现如下页面信息:客户端启动 sinffer pro 或者协议分析器,设置过滤条件:仅捕获客户端与服务器间的 会话通信,开始捕获数据。 客户端在 IE 浏览器地址栏中输入 http:/服务器的 IP/并确认,访问服务器 we

11、b 服务。此时会出现“安全警报”对话框提示“即将通过安全连接查看网页” ,单击“确定” ,又出现 “安全警报”对话框询问“是否继续?” ,单击“是” 。此时客户端即可以访问服务器 web 页面了。访问成功后,停止捕获,并在协议分析中找到含有客户端与服务器 IP 地址的会话, 可以看到服务器与客户端的 web 通信过程是密文实现的。 三、双向认证(服务器和客户端都需要身份认证) 1、服务器要求客户端身份认证 服务器在“默认网站”|“属性”的“目录安全性”页签中单击“编辑”按钮,选中 “要求安全通道 SSL” ,并且“要求客户端证书” ,单击“确定”按钮使设置生效。 2、客户端访问服务器 客户端在

12、 IE 浏览器地址栏中输入 http:/服务器 IP 地址访问服务器 web 服务。此时弹出 “安全警报”对话框,提示“即将通过安全连接查看页面” ,单击“确定” ,又弹出“安全 警报”对话框询问“是否继续?” ,单击“是” 。出现“选择数字证书”对话框,但是没有 数字证书可供选择。单击“确定” ,页面出现提示“该页面要求客户证书” 。 3、客户端主机证书申请 登录 CA 服务主页面 客户端在确认 CA 已经启动了“证书颁发机构”服务后,通过 IE 浏览器访问 http:/CA 的 IP 地址/certsrv/,可以看到 CA 证书服务的主页面。 客户端提交证书申请 在主页面“选择一个任务”中

13、单击“申请一个证书” ,进入下一个页面。 在证书类型页面中选择“web 浏览器证书” ,进入下一页面。 在“web 浏览器证书识别信息”页面中按信息项目填写自己的相关信息。信息填写 完毕后,单击“提交”按钮提交识别信息,当页面显示“证书挂起”信息时,说明 CA 已 经收到用户的证书申请,但是用户必须等待管理员颁发证书。 单击页面右上角的“主页”回到证书服务主页面。在“选择一个任务”中单击“查看 挂起的证书申请状态”进入下一页面,会看到“web 浏览器证书(提交申请时间) ” 。单击 自己的证书申请,这时会看到证书的状态依然是挂起状态。 接下来请 CA 为自己颁发证书。 CA 为客户端颁发证书

14、通告客户端查看证书。 客户端查看颁发证书 客户端重新访问 CA 证书服务主页面,单击“查看挂起的证书申请的状态” ,然后单击 自己的证书申请。此时页面显示“证书已颁发” 。单击“安装此证书” ,对于弹出的“安全 性警告”对话框选择“是” ,这时页面显示信息“您的新证书已经成功安装” 。 4、客户端下载、安装证书链 客户端单击 IE 浏览器的“工具”|“Internet 选项”|“内容”|“证书” ,会在“个人” 页签中看到 CA 主机颁发给自己的证书。 5、客户端再次通过 https 访问服务器 客户端重新运行 IE 浏览器并在地址栏中输入 https:/服务器的 IP 地址并确认,访问服 务器的 web 服务。此时出现“安全警报”对话框提示“即将通过安全连接查看网页” ,单 击“确定” ,又出现“安全警报”对话框询问“是否继续?” ,单击“是” 。出现“选择数字 证书”对话框,选择相应的数字证书,单击“确定” 。出现“安全信息”提示“是否显示不 安全的内容” ,单击“否” 。此时,客户端既可以访问服务器的 web 服务。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号