实验六 PKI技术之证书管理.docx
《实验六 PKI技术之证书管理.docx》由会员分享,可在线阅读,更多相关《实验六 PKI技术之证书管理.docx(12页珍藏版)》请在冰豆网上搜索。
实验六PKI技术之证书管理
实验六PKI技术之证书管理
实验日期:
2012.11.15班级:
10网络安全(CIW)姓名:
学号
一、实验目的
(1)掌握CA通过自定义方式查看申请信息的方法
(2)掌握备份和还原CA的方法
(3)掌握吊销证书和发布CRL的方法
二、实验要求
(1)准确完成实验内容,得出实验结果
(2)写出实验步骤和实验小结
三、实验步骤
本练习主机A、B为一组,C、D为一组,E、F为一组。
实验角色说明如下:
实验主机
实验角色
主机A、C、E
CA(证书颁发机构)、服务器
主机B、D、F
客户端
下面以主机A、B为例,说明实验步骤。
首先使用“快照X”恢复Windows系统环境。
(一)安装证书服务
主机A安装证书服务,具体步骤见实验五|安全Web通信|单向认证。
在启动“证书颁发机构”服务后,主机A便拥有了CA的角色。
(二)CA操作
1.CA自动颁发证书
(1)CA通过“开始”|“程序”|“管理工具”|“证书颁发机构”打开“证书颁发机构”。
(2)在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“属性”,打开“属性”选项卡,单击“策略模块”|“属性”。
在“请求处理”页签中选择“如果可以的话,按照证书模板的设置。
否则,将自动颁发证书”。
单击“应用”按钮,出现重启证书服务提示信息,单击“确定”直到完成设置,重启证书服务。
如图3-1、3-2所示:
图3-1策略模块
图3-2选择“请求处理”
2.客户端以高级方式申请证书
「注」客户端向CA进行证书申请时,要确保在当前时间CA已经成功拥有了自身的角色。
(1)客户端通过IE浏览器访问http:
//CA的IP/certsrv/,通过“申请一个证书”|“高级证书申请”|“创建并向此CA提交一个申请”进入证书申请页面。
如图3-3所示:
图3-3创建并向此CA提交一个申请
在“识别信息”中填入相关信息。
在“需要的证书类型”中选择“客户端身份验证证书”。
在“密钥选项”中选中“标记密钥为可导出”,其它项保持默认设置。
如图3-4所示:
图3-4填入“识别信息”和选择相关选项
单击“提交”按钮提交信息。
由于CA已经设置“自动颁发证书”策略,所以申请被立刻批准,此时页面显示“证书已颁发”,客户端单击”安装此证书”,如图3-5所示。
这时出现对话框“潜在的脚本冲突”,单击“是”。
这时页面出现对话框“安全性警告”单击“是”。
这时页面显示信息“证书已安装”。
图3-5客户端安装证书
(2)CA查看“颁发的证书”,操作“添加/删除列”。
在“颁发的证书”目录中,双击信息条目即可以查看证书,如图3-6所示:
图3-6查看证书
如果要查看证书的单独项,右键单击“信息条目”,选择“所有任务”|“导出二进制数据”,弹出“导出二进制数据”对话框,在其中选择相应的项。
如果不能显示,则应该在“添加/删除列”中选择相应的列,如图3-7所示:
图3-7导出二进制数据
在“证书颁发机构”的左侧树状结构中右键单击“颁发的证书”|“查看”|“添加/删除列”来自定义要显示的项目。
其它几个目录如“挂起的申请”等也可以进行这项操作,如图3-8所示:
图3-8添加\删除列
3.CA的备份和还原
(1)CA在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“备份CA”,此时出现“证书颁发机构备份向导”,单击“下一步”,如图3-9所示:
图3-9证书颁发机构备份向导
在“选择要备份的项目”中选中两个选项。
“备份到这个位置中”选择一个新建的空目录,单击“下一步”,如图3-10所示:
图3-9选择要备份的项目和位置
输入密码并确认密码,单击“下一步”直到“完成”,如图3-11所示:
图3-11选择密码
在“颁发的证书”目录中,选择一个证书右键单击此证书选择“所有任务”|“吊销证书”。
此时弹出对话框要求指定“理由码”,选择任意“理由码”单击确定,如图3-12所示。
此时选择的证书已经转移到“吊销的证书”目录中,如图3-13所示,右键单击此证书选择“所有任务”|“解除吊销证书”,此时出现提示信息“取消吊销命令失败…”,单击“确定”。
如图3-14所示:
图3-12证书吊销
图3-13吊销的证书
图3-14提示信息
(3)CA在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“还原CA”,此时出现“证书颁发机构还原向导”提示要立即关闭证书服务,单击“确定”。
出现“证书颁发机构还原向导”,单击“下一步”,如图3-15所示:
图3-15立即停止证书服务
在“选择要还原的项目”中选中两个选项。
“从这个位置还原”选择CA备份的目录,单击“下一步”,如图3-16所示:
图3-16设置要还原的项目
输入密码,单击“下一步”直到“完成”,如图3-17所示:
图3-17提供密码
“证书颁发机构还原向导”提示要启动证书服务,单击“是”启动证书服务,如图3-18所示:
图3-18提示信息
此时检查刚才被吊销的证书,已经从“吊销的证书”目录中还原回“颁发的证书”目录中,如图3-19所示:
图3-19吊销的证书已还原
4.证书吊销
(1)主机A申请服务器证书。
请根据练习一中服务器证书申请实验步骤,为主机A生成服务器证书请求,并安装服务器证书和证书链。
(2)主机A在IIS中设置SSL,要求安全通道和客户端证书,如图3-20所示:
图3-20安全通信
(3)客户端访问服务器。
客户端在IE浏览器地址栏中输入“https:
//服务器IP”并确认。
此时出现“安全警报”对话框提示“即将通过安全连接查看网页”,单击“确定”,如图3-21所示。
又出现“安全警报”对话框询问“是否继续?
”,单击“是”,如图3-22所示。
出现“选择数字证书”对话框,选择相应的数字证书,单击“确定”即可以访问服务器的Web服务了,如图3-23所示:
图3-21安全警报
(1)
图3-22安全警报
(2)
图3-23访问Web服务
(4)CA将客户端证书吊销,并发布CRL。
CA在“颁发的证书”中找到客户端使用的Web浏览器证书。
右键单击此证书“所有任务”|“吊销证书”,选择任意“理由码”,单击“确定”,此时证书即转移到“吊销的证书”目录中。
在左侧树状结构中右键单击“吊销的证书”|“所有任务”|“发布”,出现对话框“发布CRL”,单击“确定”,如图3-24所示。
在左侧树状结构中右键单击“吊销的证书”|“属性”弹出“吊销的证书的属性”对话框,单击“查看CRL”页签,单击“吊销列表”按钮,可以查看刚发布的CRL,如图3-25所示:
图3-24发布CRL
图3-25吊销的证书属性
(5)客户端访问服务器。
重新访问服务器的证书服务,此时发现不能访问服务器,页面显示“该页要求有效的SSL客户证书”。
说明此时客户端证书已经不被信任。
实验小结
通过本次实验,掌握了CA通过自定义方式查看申请信息的方法,如何备份和还原CA以及吊销证书和发布CRL的方法。
复习了上一节实验课有关安装证书和服务器证书申请等实验内容,并学习了有关CA的操作,如:
CA自动颁发证书、客户端申请证书、CA的备份和还原、证书吊销等操作。
同时,实验过程中遇到了一些问题,如:
CA根证书没有正确的申请和发布,没有选择指定需要进行吊销的证书吊销导致实验无法正确的完成等。