PKI與證書服務應用

PKI與證書服務應用

一、實驗目的：

²理解PKI的相關理論

²理解證書的發放過程

²掌握證書服務的安裝

²掌握企業CA（證書頒發機構）的管理

²掌握在Web服務器上設置SSL

二、實驗準備：

                        i.準備2臺Windows Server 2003 VM，一臺爲DC/DNS服務器並且安裝了IIS（網卡爲VMnet2），另一臺爲客戶機（網卡爲VMnet2）。

                      ii.創建www.shen.com主機記錄，IP地址爲192.168.1.1。

                    iii.新建網站，主機頭www.shen.com，IP地址爲192.168.1.1。

                    iv.設置新建網站的身份驗證方式爲基本身份驗證。

                      v.客戶機能以http://www.shenzhi.com訪問網站。

三、完成標準：

在客戶機上使用https://www.shenzhi.com訪問啓用了SSL的網站。

四、實驗步驟及參考：

Step1、安裝證書服務

1)使用管理員administrator登陸到DC，單擊控制面板中的“添加或刪除程序”，在Windows組件嚮導中勾選“證書服務”複選框，單擊彈出對話框中的“是”按鈕，然後單擊“下一步”按鈕。

2)選擇CA類型爲“企業根CA”，選中下面的“用自定義設置生成密鑰對和CA證書”複選框，單擊“下一步”按鈕。

3)在出現的“公鑰/私鑰對”中保持默認值，單擊“下一步”按鈕。

4)在“CA識別信息”窗口中輸入CA的名稱“SHEN CA”，單擊“下一步”按鈕。

5)保持證書數據庫及其日誌信息的位置默認值，單擊“下一步”按鈕，在隨後出現的需要停止Internet信息服務的對話框中，單擊“是”按鈕。

6)接着系統將會配置CA服務，在出現的安裝完成窗口中單擊“完成”按鈕。

 

Step2、生成證書申請

1)打開“IIS管理器”，右擊shen網站，從彈出的快捷菜單中選擇“屬性”命令→“目錄安全性”，單擊“服務器證書”按鈕。

2)單擊Web服務器證書嚮導界面中的“下一步”按鈕。

3)選擇“新建證書”單選按鈕，單擊“下一步”按鈕。

4)選擇“現在準備證書請求，但稍後發送”單選按鈕，單擊“下一步”按鈕。

5)在“名稱”文本框中鍵入證書的描述性名稱“shenzhi網站”，單擊“下一步”按鈕。

6)輸入單位信息，單擊“下一步”按鈕。

7)輸入站點公用名稱www.shen.com，單擊“下一步”按鈕。

8)輸入地理信息，單擊“下一步”按鈕。

9)輸入證書請求文件名，單擊“下一步”按鈕。

10)顯示證書申請中否認概要信息，單擊“下一步”按鈕，最後單擊“完成”按鈕。

Step3、提交證書申請

1)使用記事本打開在前面的過程中生成的證書文件，將它的整個內容複製到剪貼板。

2)打開IE瀏覽器，導航到http://192.168.1.1/certsrv（有時會彈出對話框，提示輸入用戶名和密碼，此時可以輸入administrator和相應密碼）。

3)單擊“申請一個證書”，出現“證書服務”窗口，單擊“高級證書申請”超鏈接。

4)在“高級證書申請”頁中，選擇第二項，然後單擊“下一步”按鈕。

5)在“提交一個證書申請”頁中，單擊“Base64編碼的證書申請（CMC或PKCS#10或PKCS#7）”文本框，按住CTRL+V，黏貼先前複製到剪貼板上的證書申請。在“證書模板”下拉列表框中，選擇“Web服務器”，單擊“提交”按鈕，西安市“證書已頒發”的窗口。

Step4、下載證書

在“證書已頒發”的窗口中，選擇“Base64編碼”單選按鈕，單擊“下載證書”，將證書文件保存在本地計算機上。

 

Step5、在Web服務器上安裝證書

1)打開“IIS管理器”，右擊SHEN網站，從彈出的快捷菜單中選擇“屬性”→“目錄安全性”命令，單擊“服務器證書”按鈕。

2)單擊出現“Web服務器證書嚮導”對話框，單擊“下一步”按鈕，此時Web服務器狀態爲存在掛起的證書請求。

3)在掛起的證書請求中選擇“處理掛起的請求並安裝證書”，單擊“下一步”按鈕。

4)輸入包含CA相應的文件的路徑和文件名，單擊“下一步”按鈕。

5)輸入SSL端口爲443，單擊“下一步”按鈕。

6)顯示證書申請中的概要信息，單擊“下一步”按鈕，最後單擊“完成”按鈕。

 

Step6、針對網站設置SSL

打開“IIS管理器”，右擊SHEN網站，從彈出的快捷菜單中選擇“屬性”→“目錄安全性”命令，單擊“安全通信”的“編輯”按鈕，出現“安全通信”對話框，再次對話框猴子那個勾選“要求安全通道（SSL）”複選框，單擊“確定”按鈕。

Step7、使用HTTPS協議訪問網站

在客戶機上，打開IE瀏覽器，輸入路徑https://www.shen.com訪問網站。

五、注意事項與總結：

²***組成要素有：***客戶端、***服務端、隧道、***連接、隧道協議、傳輸互聯網絡等。

²RRAS是Windows Server 2003的默認安裝組件，其處於停用狀態，所以在配置RAS之前，必須將其激活。

²配置遠程訪問服務器主要配置：身份驗證方法、IP地址指派、端口、用戶賬戶撥入屬性。

²在客戶機上需要創建***網絡連接。

²遠程訪問策略是一組定義允許或拒絕連接的有序規則。

²遠程訪問策略由條件、遠程訪問權限和配置文件組成。

²遠程訪問策略的配置文件可以設置身份驗證和數據加密方式。