PKI证书服务的应用实验指导书.docx

1、PKI证书服务的应用实验指导书PKI证书服务的应用-安全WEB网站设计一、实验目标 配置CA并应用到web服务器和客户端。注意：1、虚拟机的IP地址你自行设定，凡实验指导书中的IP地址均要替换成你虚拟机的IP地址。2、CA服务器和WEB服务器名称为你名字缩写（由名字声母组成）。二、实验设备 在虚拟机上启动两台服务器，一台安装CA服务器，另一台自定义一个WEB站点。三、技术原理 由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成，管理密钥和证书的系统或平台。1一般CA的名称都采用计算机的名称。2申请证书的方式，通过IE：http:/ip地址/虚拟目录。3SSL（

2、secure sockets layer，安全套接字层）通信协议，在web服务器上使用以实现高安全性，SSL默认的端口是443。4服务器端用的是服务器的证书，客户端用的是用户证书。四、实验步骤1、在一台虚拟机上安装CA服务器开始-设置-控制面板-添加/删除程序-添加/删除windows组件。选择相应的证书服务，单击“下一步”。采用默认选项，单击“下一步”。注意：域环境下CA的类型有四种，在工作组环境下只有独立根可以建立。输入相应的ca的名称（一般与计算机名相同），单击“下一步”。保持默认的路径，单击“下一步”。现在已经开始安装了。CA已经成功的完成了。2、在另一台虚拟机上自建web服务器。开始

3、-程序-管理工具-Internet信息管理右击“网站”，选择“新建网站”。输入相应的web站点的描述，单击“下一步”。输入相应的站点的IP地址（应该填你虚拟机的IP地址）和端口号，单击“下一步”。输入相应的主目录的路径，单击“下一步”。设置相应的权限，单击“下一步”。单击“完成”。注意：新建站点别忘了设置“文档”选项卡设置启用默认文档。查看站点是否可以成功的访问。启动IE，输入http:/192.168.1.11 （此处的IP应该是安装web站点的虚拟机的IP），下图显示可以成功的访问。3、给web服务器申请证书右击web，选择“属性”。要web服务器上填写一个证书申请表。选择“目录安全性”，

4、单击“服务器证书”。单击“下一步”。选择“新建证书”，单击“下一步”。单击“下一步”。单击“下一步”。输入相应的单位和部门，单击“下一步”。单击“下一步”。输入相应的配置，单击“下一步”。选择证书申请表的目录，单击“下一步”。单击“完成”，这时证书申请表已经成功的填写完成了。4、给web服务器申请证书启动IE，在地址栏输入http:/192.168.1.11/certsrv。（CA服务器的IP地址）选择“申请证书”，单击“下一步”按钮。单击“高级申请”。选择第二项。将刚才填写的证书申请表certreq.txt文件中的内容填写到相应的位置单击“提交”按钮。单击“是”。5、批准证书申请启动安装CA

5、服务器的计算机，单击“开始”菜单中的“管理工具”的级联菜单“证书颁发机构”按钮，启动如下窗口： 在上图“待定申请”文件夹中批准刚提交的证书申请（右击“待定申请”，在弹出的快捷菜单中选择“所以任务”，再点击“颁发”按钮即可）。批注后该申请就转到“颁发的证书”文件夹中。6、Web应用相应的证书启动IE，在地址栏输入http:/192.168.1.11/certsrv。（CA服务器的IP地址）选择第三项“检查挂起的证书”，单击“下一步”按钮。选择所申请的证书，点击“下一步”按钮。点击“下载证书”按钮。单击“保存”。选择“证书的保存位置”，单击“保存”。证明已经成功的下载了证书。接下来安装证书。右击w

6、eb，选择“属性”。选择安全性选项卡，单击“服务器证书”。单击“下一步”。选择证书的正确位置，单击“下一步”。单击“下一步”。单击“完成”。选择“Web站点”选项卡，在SSL端口处填上端口号“443”。在本机启动IE，输入http:/192.168.1.11，自己访问自己。结果是能够成功的访问，这是因为还没有采用ssl服务。进入web的属性窗口的目录安全性选项卡。在“安全通讯”区单击“编辑”。选择“要求安全通道”，客户端证书选择忽略客户端证书，单击“确定”。到此服务器端的证书应用已经成功的完成了。自己再在本机上访问一下自己，会出现如下网页：7、在客户端验证启动IE，输入http:/192.168.1.11。不能成功。键入https:/192.168.1.11。单击“是”。已经成功的显示了。因为客户采用的是忽略客户端证书，所以客户端在访问web服务器的时候不提示下载证书。