实验10 CA部署及Web服务器证书申请.docx

实验10 CA部署及Web服务器证书申请.docx

《实验10 CA部署及Web服务器证书申请.docx》由会员分享，可在线阅读，更多相关《实验10 CA部署及Web服务器证书申请.docx（27页珍藏版）》请在冰豆网上搜索。

实验10CA部署及Web服务器证书申请

实验10CA的部署及Web服务器证书申请

一、实验目的

1．掌握证书服务的安装，理解证书的发放过程

2．掌握在Web服务器上配置SSL，使用HTTPS协议访问网站以验证结果

二、实验环境

1.XX公司有一个web站点，域名为,启用的身份验证方式是基本身份方式。

由于该网站有公司敏感数据，因此公司希望用户访问时，保证用户密码和访问的数据在传输时的安全性（信息不能被协议分析工具破解出来）。

2.拓扑图：

三、操作步骤

（1）安装证书服务CA：

（注意证书服务必须是建立在安装IIS服务的基础上的。

）

两个服务一起安装，如下图：

选择安装IIS（虚拟机内已经安装过了），然后选择安装证书服务：

注意：

在这里是工作组模式，所以不出现上面两项（域环境会出现上面两项），如下图：

输入CA识别信息，此处可随意取名。

保证证书数据库及日志信息的位置默认值：

开始安装：

在开始—管理工具中单击证书颁发机构，打开证书颁发机构：

使用IIS管理器，观察默认网站下有certsrv等虚拟目录。

在虚拟目录certsrv属性-目录安全性-身份验证和访问控制-启用匿名访问，以便允许Internet来宾账户通过访问此站点提交证书申请。

（2）在Web服务器上配置WWW服务（真实机里已有IIS），如下图所示：

安装完成后，打开并设置来宾用户的访问权限：

配置网站，可通过客户端IE浏览网站。

（3）接下来为web网站申请证书，打开web服务器，属性—目录安全性，选择服务器证书：

选择新建证书：

接着选择下一步

输入名称：

输入站点名称，注意这里不要输入错误了。

输入地理信息，单击下一步：

按提示完成certreq.txt证书申请文件。

（4）web方式提交证书申请：

打开IE浏览器，http:

//192.168.10.11/certsrv（这是运行证书服务的计算机的IP地址）

选择申请一个证书，下一步：

选择高级证书申请：

在这里选择的是用base64编码：

复制certreq.txt文件内容到下拉列表框，提交。

出现如下图所示，证书挂起：

（注意如果是在域环境，则直接就会颁发，在这里就需要手工颁发了）.

（5）手工颁发证书：

打开证书颁发机构，可以查看到挂起的证书，右击所有任务—颁发证书：

可以看到已经颁发了的证书：

（6）下载证书：

打开IE浏览器，http:

//192.168.10.11/certsrv（这是运行证书服务的计算机的IP地址），选择查看挂起的证书申请的状况：

选择保存的申请证书，选择下载证书：

下载证书到本地：

（7）为WEB服务器安装证书，打开web服务器，属性-选择目录安全—服务器证书：

选择处理挂起的请求并安装证书：

浏览到刚才下载到本地的证书：

保持默认端口443：

查看证书：

发现证书有一个红叉（分析原因：

没有添加CA的证书到受信任的根证书颁发机构，接着添加！

）,注：

如果是在域环境下，则不会出现红叉。

（8）下载ca证书到本地添加到信任的证书机构：

打开IE浏览器，http:

//192.168.10.11/certsrv（这是运行证书服务的计算机的IP地址）

在这里选择下载一个ca证书，证书链或CRL

接下来下载ca证书到本地

在运行里输入mmc打开管理控制台：

选择添加/删除管理单元—选择添加—选择证书：

选择计算机帐户：

保持默认，完成

展开管理控制台，选择证书，右击出现所有任务选择导入：

如下图：

导入刚下载ca的证书，如下图：

查看刚才打红叉的证书，现在正常了，如下图：

（9）在web服务器上启用安全通道，如图选择编辑：

勾选“要求安全通道（SSL）”。

若此时客户端证书选择“忽略客户端证书”，此时web客户机可以通过Https:

//web服务器IP地址访问网站

注意以下可选做：

若勾选了要求客户端证书，则需要给客户端申请证书。

客户端访问：

无法访问原因：

客户端没有申请证书：

客户端申请证书：

打开IE浏览器，http:

//192.168.10.11/certsrv（这是运行证书服务的计算机的IP地址）

选择申请证书，通过浏览器：

填写相关内容，提交

给客户机颁发证书：

客户机下载证书并安装：

证书安装完成：

客户机访问：

总结：

1.ca建好之后，时间和计算机名都不可修改。

2.给web服务器申请证书时，必须下载ca的证书并且导入到受信任的根证书颁发机构。

这样web服务器才能信任此CA颁发的证书。

3.在给web服务器应用证书时注意一定要勾选“要求安全通道（SSL）”，再勾选“要求客户端证书”。

4.在工作组模式下证书颁发需要手工颁发，但在加入域环境下证书是自动颁发的（如果ca是域控，则颁发证书时一定要有域管理员权限的用户才可以申请证书）。