信息安全技术PKI蒋智超.docx

1、信息安全技术PKI蒋智超实验五 PKI技术之证书应用一、实验目的（1） 掌握CA通过自定义方式查看申请信息的方法（2） 掌握备份和还原CA的方法（3） 掌握吊销证书和发布CRL的方法二、实验要求（1） 准确完成实验内容,得出实验结果（2） 写出实验步骤和实验小结三、实验步骤本练习主机A、B、C为一组，D、E、F为一组。实验角色说明如下：实验主机实验角色主机A、DCA（证书颁发机构）主机B、E服务器主机C、F客户端下面以主机A、B、C为例，说明实验步骤。首先使用“快照X”恢复Windows系统环境。(一) 安全Web通信 1 无认证（服务器和客户端均不需要身份认证）通常在Web服务器端没有做任何

2、加密设置的情况下，其与客户端的通信是以明文方式进行的。（1）客户端启动协议分析器，选择“文件”“新建捕获窗口”，然后单击工具栏中的按钮开始捕获；客户端在IE浏览器地址栏中输入http:/服务器IP，访问服务器Web服务。成功访问到服务器Web主页面后，单击协议分析器捕获窗口工具栏中的按钮刷新显示，在“会话分析”视图中依次展开“会话分类树”“HTTP会话”“本机IP与同组主机IP地址间的会话”,如图5-1所示，在端口会话中选择源或目的端口为80的会话，在右侧会话视图中选择名为“GET”的单次会话，并切换至“协议解析”视图。 图5-1 HTTP明文会话通过协议分析器对HTTP会话的解析中可以确定，

3、在无认证模式下，服务器与客户端的Web通信过程是以明文实现的。2 单向认证（仅服务器需要身份认证）（1）CA（主机A）安装证书服务主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，如图5-2所示，然后单击“下一步”。图5-2提示信息在接下来的安装过程中依次要确定如下信息： CA类型（选择独立根CA）如图5-3所示：图5-3 选择“独立根” CA的公用名称（userGXCA，其中G为组编号（1-32），X为主机编号(A-F)，如第2组主机D，其使用的用户名应

4、为user2D）如图5-4所示：图5-4 输入CA识别信息 证书数据库设置（默认）在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为C:ExpNISEncrypt-LabToolsWindowsCAi386即可（若安装过程中出现提示信息，请忽略该提示继续安装）。如图5-5所示：图5-5 选择文件复制来源注 若安装过程中出现“Windows文件保护”提示，单击“取消”按钮，选择“是”继续；在证书服务安装过程中若网络中存在主机重名，则安装过程会提示错误；安装证书服务之后，计算机将不能再重新命名

5、，不能加入到某个域或从某个域中删除；要使用证书服务的Web组件，需要先安装IIS（本系统中已安装IIS）。 在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。（2）服务器（主机B）证书申请注 服务器向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。 提交服务器证书申请服务器在“开始”|“程序”“管理工具”中打开“Internet信息服务（IIS）管理器”，通过“Internet信息服务（IIS）管理器”左侧树状结构中的“Internet信息服务”|“计算机名（本地计算机）”|“网站”|“默认网站”打开默认网站，然后右键单击“默认网站”，单击”属性”。在“默认网站 属性”

6、的“目录安全性”页签中单击“安全通信”中的“服务器证书”，此时出现“Web服务器证书向导”，单击“下一步”。如图5-6所示：图5-6 “默认网站”属性在“选择此网站使用的方法”中，选择“新建证书”，单击“下一步”。如图5-7所示：图5-7 选择“新建证书”选择“现在准备证书请求，但稍后发送”，单击“下一步”。如图5-8所示：图5-8 选择“现在准备证书，但稍后发送（P）”填入有关证书申请的相关信息，如图5-95-12所示，单击“下一步”。图5-9 名称和安全性设置图5-10 单位信息图5-11 站点公用名称图5-12 地理信息在“证书请求文件名”中，指定证书请求文件的文件名和存储的位置（默认c

7、:certreq.txt）。单击“下一步”直到“完成”。如图5-13所示：图5-13 输入文件名 通过Web服务向CA申请证书服务器在IE浏览器地址栏中输入“http:/CA的IP/certsrv/”并确认。服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码.提交一个申请”进入“提交一个证书申请或续订申请”页面。如图5-145-15所示：图5-14 证书服务主页图5-15 点击“高级证书申请”打开证书请求文件certreq.txt，将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中，然后单击“提交”，并通告CA已提交证书申请，等待CA颁发证书。如图5-16所示

8、：图5-16 提交证书申请然后显示证书已经挂起，如图5-17所示：图5-17 证书挂起 CA为服务器颁发证书在服务器提交了证书申请后，CA在“管理工具”“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项，会看到服务器提交的证书申请。右键单击服务器提交的证书申请，选择“所有任务”“颁发”，为服务器颁发证书（这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中，双击查看为服务器颁发的证书）。通告服务器查看证书。如图5-18所示：图5-18 查看颁发的证书（3）服务器（主机B）安装证书 服务器下载、安装由CA颁发的证书通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“保存的申请证

9、书”，进入“证书已颁发”页面，分别点击“下载证书”和“下载证书链”，将证书和证书链文件下载到本地。如图5-19、5-20所示：图5-19 下载证书图5-20 下载证书链在“默认网站”“属性”的“目录安全性”页签中单击“服务器证书”按钮，此时出现“Web服务器证书向导”，如图5-21所示。单击“下一步”。图5-21 Web服务器证书向导选择“处理挂起的请求并安装证书”，单击“下一步”。如图5-22所示：图5-22 选择“处理挂起的请求并安装证书”在“路径和文件名”中选择存储到本地计算机的证书文件，单击“下一步”。如图5-23所示：图5-23路径和文件名在“SSL端口”文本框中填入“443”，单击

10、“下一步”直到“完成”。如图5-24所示：图5-24 输入端口号此时服务器证书已安装完毕，可以单击“目录安全性”页签中单击“查看证书”按钮，查看证书的内容，如图5-25所示，回答下面问题。图5-25查看证书的内容证书信息描述：_保证远程计算机的身份_。颁发者：_user4D 。打开IE浏览器点击“工具”“Internet选项”“内容”“证书”，在“受信任的根证书颁发机构”页签中查看名为userGX的颁发者（也就是CA的根证书），查看其是否存在_存在_。 服务器下载、安装CA根证书右键单击certnew.p7b证书文件，在弹出菜单中选择“安装证书”，进入“证书导入向导”页面，单击“下一步”按钮，

11、在“证书存储”中选择“将所有的证书放入下列存储”，浏览选择“受信任的根证书颁发机构”“本地计算机”如图5-26所示：图5-26 CA根证书存储单击“下一步”按钮，直到完成，如图5-27所示：图5-27 完成证书导入再次查看服务器证书，如图5-28所示，回答下列问题：图5-28 再次查看服务器证书证书信息描述：_保证远程计算机的身份_。颁发者：_ user4D_。再次通过IE浏览器查看“受信任的根证书颁发机构”，查看名为userGX的颁发者（也就是CA的根证书），查看其是否存在_存在_。如图2-29所示：图5-29查看“受信任的根证书颁发机构”（4）Web通信服务器在“默认网站”“属性”的“目录

12、安全性”页签“安全通信”中单击“编辑”按钮,选中“要求安全通道SSL”，并且“忽略客户端证书”（不需要客户端身份认证），单击“确定”按钮使设置生效。如图5-30所示：图5-30 安全通信设置客户端重启IE浏览器，在地址栏输入http:/服务器IP/并确认，此时访问的Web页面出现信息如图5-31所示：图5-31 页面信息客户端启动协议分析器，设置过滤条件：仅捕获客户端与服务器间的会话通信，并开始捕获数据。客户端在IE浏览器地址栏中输入“https:/服务器IP/”并确认，访问服务器Web服务。此时会出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，又出现“安全警报”对话框询

13、问“是否继续？”，单击“是”。此时客户端即可以访问服务器Web页面了。访问成功后，停止协议分析器捕获，并在会话分类树中找到含有客户端与服务器IP地址的会话。在协议解析页面可观察到，服务器与客户端的Web通信过程是以密文实现的，如图5-32所示：图5-32 客户端与服务器间信息加密通信3 双向认证（服务器和客户端均需身份认证）（1）服务器要求客户端身份认证服务器在“默认网站”“属性”的“目录安全性”页签中单击“编辑”按钮，选中“要求安全通道SSL”，并且“要求客户端证书”，单击“确定”按钮使设置生效。如图5-33所示：图5-33 安全通信设置（2）客户端访问服务器客户端在IE浏览器地址栏中输入“

14、https:/服务器IP”访问服务器Web服务。此时弹出“安全警报”对话框，提示“即将通过安全连接查看网页”，如图5-34所示，单击“确定”，又弹出“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，但是没有数字证书可供选择。如图5-35所示，单击“确定”，页面出现提示“该页要求客户证书”。如图5-36所示：图5-34 安全警报图5-35 选择数字证书图5-36 页面提示信息（3）客户端（主机C）证书申请注 客户端向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。 登录CA服务主页面客户端在确认CA已经启动了“证书颁发机构”服务后，通过IE浏览器访问

15、http:/CA的IP/certsrv/，可以看到CA证书服务的主页面。 客户端提交证书申请在主页面“选择一个任务”中单击“申请一个证书”，进入下一页面。在证书类型页面中选择“Web浏览器证书”，进入下一页面。在“Web浏览器证书 - 识别信息”页面中按信息项目填写自己的相关信息，信息填写完毕后，单击“提交”按钮提交识别信息，当页面显示“证书挂起”信息时，说明CA已经收到用户的证书申请，但是用户必须等待管理员颁发证书。如图5-37所示：图5-37 证书挂起，等待管理员颁发单击页面右上角的“主页”回到证书服务主页面。在“选择一个任务”中单击“查看挂起的证书申请的状态”进入下一页面，会看到“Web

16、浏览器证书(提交申请时间)”。单击自己的证书申请，这时会看到证书的状态依然是挂起状态。如图5-38所示：图5-38 查看证书状态接下来请CA为客户端颁发证书。 CA为客户端颁发证书通告客户端查看证书。 客户端下载、安装证书链客户端重新访问CA证书服务主页面，单击“查看挂起的证书申请的状态”，然后单击自己的证书申请。此时页面显示“证书已颁发”。如图5-39所示。单击“安装此证书”，对于弹出的“安全性警告”对话框选择“是”，这时页面显示信息“您的新证书已经成功安装”。如图5-40所示：图5-39 证书已经颁发图5-40 证书已经安装成功（4）客户端查看颁发证书客户端单击IE浏览器的“工具”“Int

17、ernet选项”“内容”“证书”，会在“个人”页签中看到同组主机CA颁发给自己的证书。（5）客户端再次通过https访问服务器客户端重新运行IE浏览器并在地址栏中输入“https:/服务器IP/bbs”并确认，访问服务器的Web服务。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，又出现“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，选择相应的数字证书，单击“确定”。出现“安全信息”提示“是否显示不安全的内容”，单击“否”。此时，客户端即可以访问服务器的Web服务。如图5-41所示：图5-41 访问服务器的Web服务(二) 安全电子邮件实

18、验角色说明如下：实验主机实验角色主机A、DCA（证书颁发机构）主机B、E邮件用户1主机C、F邮件用户21 主机B、C创建邮件账户具体创建方法参照附录AOutlook Express配置方法。 通过单击“发送和接收”按钮或Ctrl+M快捷键，测试邮件账户是否创建成功。2 邮件用户（主机B、C）申请电子邮件保护证书（1）邮件用户在IE浏览器地址栏中输入“http:/CA的IP/certsrv/”并确认，访问CA的证书申请页面。（2）邮件用户通过“申请一个证书”|“高级证书申请”|“创建并向此CA提交一个申请”，申请一张电子邮件保护证书。在“识别信息”中填入相关信息。在填写识别信息时，姓名填写use

19、rGX，其中其中G表示所属实验组号（1-32），X表示主机编号（A-F），如第2组主机D姓名为user2D；电子邮件地址必须是本机Outlook Express使用的邮件地址userGXCServer.Netlab。在“需要的证书类型”中选择“电子邮件保护证书”。在“密钥选项”中选中“标记密钥为可导出”，其它选项保持默认设置，然后提交信息。（3）CA为邮件用户颁发电子邮件保护证书。（4）邮件用户通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“安装证书”将数字证书安装好。3 邮件用户设置Outlook Express依次单击“开始”“程序”“Outlook Express”，通过Out

20、look Express“工具”|“帐户”|“邮件”|“属性”，打开“属性”选项卡，单击“安全”页签，在“签署证书”中单击“选择”按钮，出现“选择默认帐户数字ID”对话框，选择安装好的数字证书，单击“确定”|“确定”|“关闭”使设置生效。4 发送签名电子邮件（未加密）（1）邮件用户创建新邮件单击Outlook Express中的“创建邮件”，在“收件人”栏写入对方（另外一个邮件用户）的邮件地址，主题和内容任意，先不要发送。（2）使用数字证书为邮件签名单击新邮件的“工具”|“数字签名”为邮件签名，此时会在收件人后面出现一个签名的小标志。（3）发送邮件单击新邮件的“发送”按钮将邮件发出。（4）邮件

21、用户接收到对方（另外一个邮件用户）的邮件并查看签名单击Outlook Express的“发送/接收”按钮，接收对方发来的邮件。当打开对方发来的邮件时，可看到邮件有数字签名的标识和提示信息。单击“继续”按钮即可阅读到邮件的内容。5 发送加密电子邮件（1）邮件用户使用包含对方数字签名的邮件获得对方的数字证书邮件用户打开收到的有对方签名的电子邮件。单击此邮件的“文件”|“属性”|“安全”，单击“查看证书”按钮将数字标识添加到通讯簿中，此时对方的数字证书即被添加到自己的通讯簿中。打开IE浏览器，在“工具”|“Internet选项”|“内容”|“证书”|“其他人”中，查看刚添加的数字证书（确定证书存在）

22、。（2）邮件用户创建新邮件并加密邮件用户单击Outlook Express中的“创建邮件”按钮，在“收件人”栏中写入对方的邮件地址，主题和内容任意。单击新邮件的“工具”|“加密”为邮件加密，此时会在收件人后面出现一个加密的小标志。单击“发送”按钮发送邮件。（3）接收对方的加密邮件并阅读该邮件单击Outlook Express的“发送/接收”按钮，接收对方发来的邮件。打开收到的加密邮件时，会看到“安全警告”的提示信息，单击“继续”即可阅读到此邮件的内容。6 邮件用户验证邮件的加密作用（1）导出证书邮件用户单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”，确认在“个人”页签中

23、存在CA颁发给自己的证书。在“个人”页签中选中CA颁发给自己的证书，单击“导出”，此时出现“证书导出向导”，单击“下一步”。在“导出私钥”中选择“是，导出私钥”，单击“下一步”。“导出文件格式”选择默认设置，单击“下一步”。输入密码并确认密码，单击“下一步”。在“要导出的文件”中为导出的证书指定文件名和路径，单击“下一步”直到“完成”，此时“证书导出向导”提示“导出成功”，单击“确定”。此时可以在指定的位置上看到指定文件名的.pfx格式的证书备份文件。（2）删除证书后查看加密邮件主机B、主机C向对方发送加密邮件。主机B、主机C单击Outlook Express的“发送/接收”确认接收到对方的加

24、密邮件后，不打开邮件阅读。在IE浏览器的“工具”|“Internet选项”|“内容”|“证书”选项卡的“个人”页签中选中刚备份的证书，单击“删除”出现提示信息“不能解密用证书加密的数据，要删除证书吗？”，单击“是”将此证书删除。主机B、主机C到Outlook Express中阅读对方发来的加密邮件，会看到信息“对邮件加密时出错”而无法阅读邮件。（3）导入证书后查看加密邮件。邮件用户到指定位置找到证书的备份文件，双击备份文件出现“证书导入向导”，单击“下一步”。在“要导入的文件”中指定要导入的备份文件，单击“下一步”。输入密码，单击“下一步”。在“证书存储”中，选择“将所有证书放入下列存储”，单击“浏览”，选择“个人”，单击“确定”|“下一步”直到“完成”。“证书导入向导”提示“导入成功”，此时又可以在IE浏览器的“工具”|“Internet选项”|“内容”|“证书”会在“个人”页签中看到CA颁发给自己的证书。主机B、主机C到Outlook Express中阅读刚才无法阅读的加密邮件，当打开加密邮件时，会看到“安全警告”的提示信息，单击“继续”后，即可阅读到此邮件的内容。四、实验总结本次实验中了解了PK的体系结构，用户进行证书申请和CA颁发证书的过程和相关注意点；掌握了认证服务的安装及配置方法、数字证书配置安全站点的方法以及使用数字证书发送签名邮件和加密邮件的方法。