1、网络安全实验安装和配置证书服务实验五 安装和配置证书服务1、实验目的通过实验深入理解PKI、CA和数字证书的原理和应用。2、实验环境PC机、Windows Server 2003操作系统 。3、实验原理 独立根CA与企业 CA 不同,独立 CA 不需要使用 Active Directory 目录服务。独立 CA 最初是为了用作 CA 层次结构中的受信任的脱机根 CA,或者是为了在涉及 Extranet 和 Internet 时使用。 向独立 CA 提交证书申请时,证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型。(向企业 CA 提交证书申请时无需提供这些信息,
2、因为企业用户的信息已经在 Active Directory 中并且证书类型由证书模板说明)。 默认情况下,发送到独立 CA 的所有证书申请都被设置为挂起,一直到独立 CA 的管理员验证申请者的身份并批准申请。这完全是出于安全性的考虑,因为证书申请者的凭证还没有被独立 CA 验证。4、实验内容1、在Windows Server 2003 上安装/删除独立根证书。2、Web服务器和客户端向CA申请证书。3、CA颁发证书。5、实验步骤(1)在计算机上安装证书服务,创建一个独立存在的根CA。这一根CA将位于认证链的顶部。1、以管理员身份登录计算机。2、需要先安装IIS(证书服务安装过程中会在IIS的默
3、认网站中写入虚拟目录,如果没有IIS的话,无法通过web浏览器的方式申请证书)3、在“控制面板”上双击“添加/删除程序”图标,出现“添加删除程序”对话框。在这个对话框中单击“添加/删除windows组件”,启动windows组件安装向导。3、打开windows组件向导。在组件下,找到并单击证书服务。 单击下一步。4、在“Microsoft证书服务”对话框中,提示安装证书服务后,不能再重新命名计算机和加入域或从域中删除。5、点下一步选“独立根CA”6、输入一个公用名称。7、最后“下一步”完成即可!8、在命令窗口内输入certsrv.msc,确定后直接打开CA(2)用户请求一个计算机证书1、在客户
4、机上打开IE浏览器,并在地址栏“http:/127.0.0.1/certsrv”2、选“下载证书,证书链或CRL”,可以看到刚刚安装的根证书。安装CA证书链后,客户机上的登陆用户就会信任CA服务器(证书服务器)。3、选安装此CA证书链。弹出如下窗口。单击“是”4、向CA服务器申请web浏览器证书,先回证书服务首页,如图选“申请一个证书”。5、选“Web浏览器证书”6、填写个人信息。7、8、用证书服务器给用户颁发证书,我们回到证书服务器上,在挂起的申请上颁发证书.选择“颁发”9、回到客户机的首页,选择“查看挂起的证书申请的状态”选择你刚刚颁发的。可以发现证书的状态是已经颁发。10、接着点安装证书.11、证书查看及吊销在“开始”“运行”输入MMC打开控制台。12、在“文件”上选择“添加删除管理单元”对话框,单击添加按钮,出现“添加独立管理单元”对话框。找到“证书”单元,单击“添加”。13、选择“计算机账户”完成。14、在“证书-本地计算机”在个人证书可以看到安装的web邮件保护证书。双击查看证书。删除证书服务1、”控制面板”,点“添加/删除程序”,点“添加/删除WINDOWS组件”选项,选择“证书服务”,下一步,完成配置过程,证书被删除.