PKI與證書服務應用
²理解PKI的相關理論
²理解證書的發放過程
²掌握證書服務的安裝
²掌握企業CA(證書頒發機構)的管理
²掌握在Web服務器上設置SSL
i.準備2臺Windows Server 2003 VM,一臺爲DC/DNS服務器並且安裝了IIS(網卡爲VMnet2),另一臺爲客戶機(網卡爲VMnet2)。
ii.創建www.shen.com主機記錄,IP地址爲192.168.1.1。
iii.新建網站,主機頭www.shen.com,IP地址爲192.168.1.1。
iv.設置新建網站的身份驗證方式爲基本身份驗證。
v.客戶機能以http://www.shenzhi.com訪問網站。
在客戶機上使用https://www.shenzhi.com訪問啓用了SSL的網站。
Step1、安裝證書服務
1)使用管理員administrator登陸到DC,單擊控制面板中的“添加或刪除程序”,在Windows組件嚮導中勾選“證書服務”複選框,單擊彈出對話框中的“是”按鈕,然後單擊“下一步”按鈕。
2)選擇CA類型爲“企業根CA”,選中下面的“用自定義設置生成密鑰對和CA證書”複選框,單擊“下一步”按鈕。
3)在出現的“公鑰/私鑰對”中保持默認值,單擊“下一步”按鈕。
4)在“CA識別信息”窗口中輸入CA的名稱“SHEN CA”,單擊“下一步”按鈕。
5)保持證書數據庫及其日誌信息的位置默認值,單擊“下一步”按鈕,在隨後出現的需要停止Internet信息服務的對話框中,單擊“是”按鈕。
6)接着系統將會配置CA服務,在出現的安裝完成窗口中單擊“完成”按鈕。
Step2、生成證書申請
1)打開“IIS管理器”,右擊shen網站,從彈出的快捷菜單中選擇“屬性”命令→“目錄安全性”,單擊“服務器證書”按鈕。
2)單擊Web服務器證書嚮導界面中的“下一步”按鈕。
3)選擇“新建證書”單選按鈕,單擊“下一步”按鈕。
4)選擇“現在準備證書請求,但稍後發送”單選按鈕,單擊“下一步”按鈕。
5)在“名稱”文本框中鍵入證書的描述性名稱“shenzhi網站”,單擊“下一步”按鈕。
6)輸入單位信息,單擊“下一步”按鈕。
7)輸入站點公用名稱www.shen.com,單擊“下一步”按鈕。
8)輸入地理信息,單擊“下一步”按鈕。
9)輸入證書請求文件名,單擊“下一步”按鈕。
10)顯示證書申請中否認概要信息,單擊“下一步”按鈕,最後單擊“完成”按鈕。
Step3、提交證書申請
1)使用記事本打開在前面的過程中生成的證書文件,將它的整個內容複製到剪貼板。
2)打開IE瀏覽器,導航到http://192.168.1.1/certsrv(有時會彈出對話框,提示輸入用戶名和密碼,此時可以輸入administrator和相應密碼)。
3)單擊“申請一個證書”,出現“證書服務”窗口,單擊“高級證書申請”超鏈接。
4)在“高級證書申請”頁中,選擇第二項,然後單擊“下一步”按鈕。
5)在“提交一個證書申請”頁中,單擊“Base64編碼的證書申請(CMC或PKCS#10或PKCS#7)”文本框,按住CTRL+V,黏貼先前複製到剪貼板上的證書申請。在“證書模板”下拉列表框中,選擇“Web服務器”,單擊“提交”按鈕,西安市“證書已頒發”的窗口。
Step4、下載證書
在“證書已頒發”的窗口中,選擇“Base64編碼”單選按鈕,單擊“下載證書”,將證書文件保存在本地計算機上。
Step5、在Web服務器上安裝證書
1)打開“IIS管理器”,右擊SHEN網站,從彈出的快捷菜單中選擇“屬性”→“目錄安全性”命令,單擊“服務器證書”按鈕。
2)單擊出現“Web服務器證書嚮導”對話框,單擊“下一步”按鈕,此時Web服務器狀態爲存在掛起的證書請求。
3)在掛起的證書請求中選擇“處理掛起的請求並安裝證書”,單擊“下一步”按鈕。
4)輸入包含CA相應的文件的路徑和文件名,單擊“下一步”按鈕。
5)輸入SSL端口爲443,單擊“下一步”按鈕。
6)顯示證書申請中的概要信息,單擊“下一步”按鈕,最後單擊“完成”按鈕。
Step6、針對網站設置SSL
打開“IIS管理器”,右擊SHEN網站,從彈出的快捷菜單中選擇“屬性”→“目錄安全性”命令,單擊“安全通信”的“編輯”按鈕,出現“安全通信”對話框,再次對話框猴子那個勾選“要求安全通道(SSL)”複選框,單擊“確定”按鈕。
Step7、使用HTTPS協議訪問網站
在客戶機上,打開IE瀏覽器,輸入路徑https://www.shen.com訪問網站。
²***組成要素有:***客戶端、***服務端、隧道、***連接、隧道協議、傳輸互聯網絡等。
²RRAS是Windows Server 2003的默認安裝組件,其處於停用狀態,所以在配置RAS之前,必須將其激活。
²配置遠程訪問服務器主要配置:身份驗證方法、IP地址指派、端口、用戶賬戶撥入屬性。
²在客戶機上需要創建***網絡連接。
²遠程訪問策略是一組定義允許或拒絕連接的有序規則。
²遠程訪問策略由條件、遠程訪問權限和配置文件組成。
²遠程訪問策略的配置文件可以設置身份驗證和數據加密方式。