1、PKI证书服务的应用实验指导书PKI证书服务的应用-安全WEB网站设计一、实验目标 配置CA并应用到web服务器和客户端。注意:1、虚拟机的IP地址你自行设定,凡实验指导书中的IP地址均要替换成你虚拟机的IP地址。2、CA服务器和WEB服务器名称为你名字缩写(由名字声母组成)。二、实验设备 在虚拟机上启动两台服务器,一台安装CA服务器,另一台自定义一个WEB站点。三、技术原理 由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。1一般CA的名称都采用计算机的名称。2申请证书的方式,通过IE:http:/ip地址/虚拟目录。3SSL(
2、secure sockets layer,安全套接字层)通信协议,在web服务器上使用以实现高安全性,SSL默认的端口是443。4服务器端用的是服务器的证书,客户端用的是用户证书。四、实验步骤1、在一台虚拟机上安装CA服务器开始-设置-控制面板-添加/删除程序-添加/删除windows组件。选择相应的证书服务,单击“下一步”。采用默认选项,单击“下一步”。注意:域环境下CA的类型有四种,在工作组环境下只有独立根可以建立。输入相应的ca的名称(一般与计算机名相同),单击“下一步”。保持默认的路径,单击“下一步”。现在已经开始安装了。CA已经成功的完成了。2、在另一台虚拟机上自建web服务器。开始
3、-程序-管理工具-Internet信息管理右击“网站”,选择“新建网站”。输入相应的web站点的描述,单击“下一步”。输入相应的站点的IP地址(应该填你虚拟机的IP地址)和端口号,单击“下一步”。输入相应的主目录的路径,单击“下一步”。设置相应的权限,单击“下一步”。单击“完成”。注意:新建站点别忘了设置“文档”选项卡设置启用默认文档。查看站点是否可以成功的访问。启动IE,输入http:/192.168.1.11 (此处的IP应该是安装web站点的虚拟机的IP),下图显示可以成功的访问。3、给web服务器申请证书右击web,选择“属性”。要web服务器上填写一个证书申请表。选择“目录安全性”,
4、单击“服务器证书”。单击“下一步”。选择“新建证书”,单击“下一步”。单击“下一步”。单击“下一步”。输入相应的单位和部门,单击“下一步”。单击“下一步”。输入相应的配置,单击“下一步”。选择证书申请表的目录,单击“下一步”。单击“完成”,这时证书申请表已经成功的填写完成了。4、给web服务器申请证书启动IE,在地址栏输入http:/192.168.1.11/certsrv。(CA服务器的IP地址)选择“申请证书”,单击“下一步”按钮。单击“高级申请”。选择第二项。将刚才填写的证书申请表certreq.txt文件中的内容填写到相应的位置单击“提交”按钮。单击“是”。5、批准证书申请启动安装CA
5、服务器的计算机,单击“开始”菜单中的“管理工具”的级联菜单“证书颁发机构”按钮,启动如下窗口: 在上图“待定申请”文件夹中批准刚提交的证书申请(右击“待定申请”,在弹出的快捷菜单中选择“所以任务”,再点击“颁发”按钮即可)。批注后该申请就转到“颁发的证书”文件夹中。6、Web应用相应的证书启动IE,在地址栏输入http:/192.168.1.11/certsrv。(CA服务器的IP地址)选择第三项“检查挂起的证书”,单击“下一步”按钮。选择所申请的证书,点击“下一步”按钮。点击“下载证书”按钮。单击“保存”。选择“证书的保存位置”,单击“保存”。证明已经成功的下载了证书。接下来安装证书。右击w
6、eb,选择“属性”。选择安全性选项卡,单击“服务器证书”。单击“下一步”。选择证书的正确位置,单击“下一步”。单击“下一步”。单击“完成”。选择“Web站点”选项卡,在SSL端口处填上端口号“443”。在本机启动IE,输入http:/192.168.1.11,自己访问自己。结果是能够成功的访问,这是因为还没有采用ssl服务。进入web的属性窗口的目录安全性选项卡。在“安全通讯”区单击“编辑”。选择“要求安全通道”,客户端证书选择忽略客户端证书,单击“确定”。到此服务器端的证书应用已经成功的完成了。自己再在本机上访问一下自己,会出现如下网页:7、在客户端验证启动IE,输入http:/192.168.1.11。不能成功。键入https:/192.168.1.11。单击“是”。已经成功的显示了。因为客户采用的是忽略客户端证书,所以客户端在访问web服务器的时候不提示下载证书。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1