整理构建基于Windows的CA系统.docx
《整理构建基于Windows的CA系统.docx》由会员分享,可在线阅读,更多相关《整理构建基于Windows的CA系统.docx(12页珍藏版)》请在冰豆网上搜索。
整理构建基于Windows的CA系统
:
构建基于Windows2003的CA系统
实验环境如图-1所示。
PKI原理回顾:
PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。
PKI以数字证书为基础,使用户在虚拟的网络环境中能够验证相互之间的身份,并保证敏感信息传输的机密性、完整性和不可否认性,为电子商务交易的安全提供了基本保障。
CA系统是PKI的核心,因为它管理公钥的整个生命周期。
图1实验环境
Windows2003Server对PKI做了全面支持,在提供高强度安全性的同时,还与操作系统进行了紧密集成,并作为操作系统的一项基本服务而存在,避免了购买第三方PKI所带来的额外开销。
SSL(SecureSocketLayer,安全套接字层)是由Netscape公司开发的,被广泛应用于Internet上的身份认证及Web服务器和用户端浏览器之间的安全数据通信。
SSL协议在TCP/IP协议之上,在HTTP等应用层协议之下,对基于TCP/IP协议的应用服务是完全透明的。
利用CA颁发的证书,在服务器和客户端之间建立可靠的会话,从而保证两者之间通信的安全性。
通过此类功能,企业就可以为相关用户颁发证书,并利用它来控制只有获取证书的用户才可以进行基于安全通道协议(即对Web网站上加密文件的访问使用https,而非http方式)验证的访问。
图-2Windows组件向导图-3详细信息
实验过程如下:
1.安装证书服务器(CA服务器)
在218.198.18.93计算机上,创建IIS(Web服务器)和创建CA认证中心。
(1)创建IIS
依次选择选择【开始】/【控制面板】/【添加/删除程序】/【添加/删除Windows组件】,出现【Windows组件向导】对话框,如图-2所示,选择【应用程序服务器】。
单击【详细信息】按钮,选择如图-3所示的选项,单击【确定】按钮,回到图-2,单击【下一步】按钮,完成IIS的安装。
(2)创建CA认证中心
第1步:
在图-2中选择【证书服务】,出现【Microsoft证书服务】对话框,如图-4所示,单击【是】按钮,回到图-2,单击【详细信息】按钮,出现【证书服务】对话框,如图-5所示,选中其中的两项,单击【确定】按钮,开始安装。
图-4中国金融CA结构
图-5证书服务组件图-6CA类型
第2步:
在图-6中,选择证书颁发类型“独立根CA”。
选择证书颁发类型包括:
企业根CA、企业从属CA、独立根CA和独立从属CA。
企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构,可以独立地颁发证书。
企业根CA需要ActiveDirectory支持,而独立根CA不需要。
从属级的CA由于只能从另一个证书颁发机构获取证书,所以一般不选择。
在Windows2003Server中,企业根CA使用ActiveDirectory来确定申请人的身份,确定申请人是否具有申请他们所指定的证书类型的安全权限,并由此自动确定是否立即颁发证书或拒绝申请,这种策略设置不能被更改。
如果选择此选项一定要注意保护含有此服务的服务器,不能直接暴露在外。
独立根CA可以选择在收到申请时自动颁发证书或将申请保持为挂起状态,由管理员验证证书申请者的真实性及合法性,决定是否颁发证书。
第3步:
在图-6中,单击【下一步】按钮,如图-7所示,填写CA识别信息,单击【下一步】按钮,如图-8所示,出现【证书数据库设置】对话框,选择证书数据库及日志的位置。
第4步:
在图-8中,单击【下一步】按钮,出现如图-9所示对话框,询问是否停止IIS,单击【是】按钮,如图-10所示。
配置组件过程中,出现如图-11所示对话框,单击【是】按钮。
出现如图-12所示对话框,单击【完成】按钮,安装完成。
图-7CA识别信息图-8证书数据库设置
图-9是否停止IIS图-10配置组件
图-11
图-12安装完成
第5步:
设置证书服务管理。
依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】,如图-13所示。
右键单击【jsjCA】,选择【属性】/【策略模块】,如图-14所示。
单击【属性】按钮,如图-15所示,选择【将证书请求状态设置为挂起,管理员必须明确地颁发证书】,单击【确定】按钮,完成证书服务管理的设置。
图-13证书颁发机构图-14jsjCA属性
图-15请求处理图-16Internet信息服务(IIS)管理器
2.安装Web服务器(SSL网站)
在218.198.18.96计算机上,创建Web服务器。
第1步:
安装IIS,过程和在218.198.18.93计算机上一样。
图-17主目录图-18文档
第2步:
依次选择【开始】/【程序】/【管理工具】/【Internet信息服务(IIS)管理器】,如图-16所示,右键单击【ztg网站】,选择【属性】/【主目录】,如图-17所示;选择【文档】,如图-18所示;选择【目录安全性】,如图-19所示。
在c:
\inetpub\wwwroot下面创建index.htm主页文件,内容是“您正在访问ssl网站!
”。
图-19目录安全性图-20Web服务器证书向导
第3步:
在图-19中,单击【服务器证书】按钮,如图-20所示,单击【下一步】按钮,如图-21所示,选择【新建证书】。
后续过程如图-22—图-29所示。
在图-27中,要记住文件名的路径,后面申请证书时,要用到该文件的内容。
图-21服务器证书图-22延迟或立即请求
图-23名称和安全性设置图-24单位信息
图-25站点公用名称图-26地理信息
图-27证书请求文件名图-28请求文件摘要
图-29完成证书向导图-30安全通信
第4步:
在图-19中,单击【编辑】按钮,如图-30所示,选择【要求安全通道】和【要求客户端证书】,单击【确定】按钮。
第5步:
打开IE浏览器,在地址栏输入http:
//218.198.18.93/certsrv/,如图-31所示,单击“申请一个证书”,如图-32所示,单击“高级证书申请”,如图-33所示,单击“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请。
”,如图-35所示,将图-34所示的C:
\certreq.txt文本文件内的内容,粘贴到“保存的申请”。
图-31选择任务图-32证书类型
图-33高级证书申请图-34certreq.txt文件内容
图-35粘贴到“保存的申请”图-36RA结构
在图-35中,单击【提交】按钮,如图-36所示,申请的证书处于挂起状态。
第6步:
在证书服务器上(218.198.18.93计算机),依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】,如图-37所示。
单击左侧栏的【挂起的申请】,在右侧栏右键单击一个挂起的申请,依次选择【所有任务】/【颁发】。
第7步:
在218.198.18.93计算机上,在图-31中,单击“查看证书申请状态”,如图-38所示,单击“保存的申请证书”,如图-39所示,单击“下载证书链”,如图-40所示,单击【保存】按钮,将文件certnew.p7b保存在桌面。
图-37证书颁发机构
图-38查看证书申请状态图-39中国金融CA结构
图-40文件下载图-41证书向导
第8步:
在图-19中,单击【服务器证书】按钮,如图-41所示,单击【下一步】按钮。
后续过程如图-42—图-46所示,完成证书的安装。
图-42挂起的证书请求图-43处理挂起的请求
图-44SSL端口图-45证书摘要
(3)公众对规划实施所产生的环境影响的意见;
图-46证书安装完成图-47ztg网站属性
(三)环境影响评价的原则第9步:
在图-47中,单击【查看证书】按钮,如图-48所示,查看安装的证书。
单击【确定】按钮回到图-47,单击【确定】按钮,SSL网站创建完成。
1.筛选环境影响:
环境影响被筛选为三大类,一类是被剔除、不再作任何评价分析的影响,如内部的、小的以及能被控抑的影响;另一类是需要作定性说明的影响,如那些大的但可能很不确定的影响;最后一类才是那些需要并且能够量化和货币化的影响。
图-48证书内容图-49下载证书,证书链或CRL
3.配置客户端
第1步:
在客户端(218.198.18.91计算机),打开IE浏览器,在地址栏输入http:
//218.198.18.93/certsrv,出现类似图-31所示的页面,单击“下载一个证书,证书链或CRL”,出现如图-49所示的页面,单击“安装此CA证书链”,出现如图-50所示的对话框,单击【是】按钮添加证书,安装CA证书链后,客户机的登录用户就会信任此CA服务器(证书服务器)。
图-50潜在的脚本冲突
3)规划实施的经济效益、社会效益与环境效益之间以及当前利益与长远利益之间的关系。
图-51申请一个证书图-52用户信息
第2步:
向CA服务器申请Web浏览器证书,先回证书服务首页,类似图-31所示的页面,单击“申请一个证书”,出现如图-51所示的页面,单击“Web浏览器证书”,出现如图-52所示的页面,填写用户信息,单击【提交】按钮,出现如图-53所示的对话框,单击【是】按钮,出现如图-54所示的页面,表示申请的证书到达CA服务器,处于挂起状态。
(3)机会成本法图-53潜在脚本冲突图-54证书挂起状态
第3步:
在证书服务器上(218.198.18.93计算机),依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】,如图-55所示。
单击左侧栏的【挂起的申请】,在右侧栏右键单击一个挂起的申请,依次选择【所有任务】/【颁发】。
一、环境影响评价的发展与管理体系、相关法律法规体系和技术导则的应用
图-55证书颁发机构
第4步:
在客户端(218.198.18.91计算机),打开IE浏览器,在地址栏输入http:
//218.198.18.93/certsrv,出现类似图-31所示的页面,单击“查看挂起的证书申请的状态”,出现如图-56所示的页面,单击“Web浏览器证书”,出现如图-57所示的页面,得知申请的证书已经颁发,单击“安装此证书”,出现如图-58所示的对话框,单击【是】按钮。
出现如图-59所示的对话框,表明证书已经安装成功。
环境影响评价,是指对规划和建设项目实施后可能造成的环境影响进行分析、预测和评估,提出预防或者减轻不良环境影响的对策和措施,进行跟踪监测的方法和制度。
(三)安全评价的内容和分类图-56查看挂起证书申请的状态图-57证书已颁发
图-58潜在的脚本冲突
图-59证书安装成功图-60安全警报
第5步:
在客户端(218.198.18.91计算机),打开IE浏览器,在地址栏输入http:
//218.198.18.96/,出现图-60所示的对话框,单击【确定】按钮,接着出现图-61所示的对话框,单击【是】按钮,出现图-62所示的对话框,选择一个证书。
单击【确定】按钮,出现如图-63所示的页面,看到了SSL网站的内容。
[答疑编号502334050101]
图-61安全警报图-63选择证书
(3)建设项目对环境可能造成影响的分析、预测和评估。
图-64看到了SSL网站的内容
升级会员 