93PKI实验一

第六章PKI证书服务的应用实验名称：在域环境下配置CA并应用到web服务器和客户端实验环境：实验步骤：1．安装IIS和CA。（因为安装CA时要向默认网站里新建相应的虚拟目录，用来申请证书时使用。）开始-设置-控制面板-添加/删除程序-添加/删除windows组件选择相应的服务，单击“下一步”。选择“企业根”，单击“下一步”。注意：域环境下CA的类型有四种，在工作组环境下只有独立根可以建立。输入相应的ca的名称（一般与计算机名相同），单击“下一步”。保持默认的路径，单击“下一步”。现在已经开始安装了。CA已经成功的完成了。2．配置web服务器。开始-程序-管理工具-Internet信息管理右击“网站”，选择“新建网站”。输入相应的web站点的描述，单击“下一步”。输入相应的站点的ip地址和端口号，单击“下一步”。输入相应的主目录的路径，单击“下一步”。设置相应的权限，单击“下一步”。单击“完成”。3．查看站点是否可以成功的访问。启动IE，输入可以成功的访问。4．给web服务器申请证书。因为CA被写入了默认网站的虚拟目录里，所以我们申请证书时要注意，将web先暂停一下，启用默认网站的配置。但是在那之前，先要web服务器上填写一个证书申请表。右击web，选择“属性”。选择“目录安全性”，单击“服务器证书”。单击“下一步”。选择“新建证书”，单击“下一步”。单击“下一步”。单击“下一步”。输入相应的单位和部门，单击“下一步”。单击“下一步”。输入相应的配置，单击“下一步”。选择证书申请表的目录，单击“下一步”。单击“完成”，这时证书申请表已经成功的填写完成了。5．给web服务器申请证书启动IE，在地址栏输入。输入相应的用户名和密码，单击“确定”。单击“添加”，添加相应的网站到相应的访问目录。单击“申请一个证书”。单击“高级证书申请”。选择第二项。将刚才填写的证书申请表填写到相应的位置，选择正确的证书模版，单击提交。单击“是”。单击“下载证书”。单击“保存”。选择“证书的保存位置”，单击“保存”。证明已经成功的下载了证书。6．Web应用相应的证书。右击web，选择“属性”。选择安全性选项卡，单击“服务器证书”。单击“下一步”。选择证书的正确位置，单击“下一步”。配置相应的端口号，单击“下一步”。单击“下一步”。单击“完成”。启动IE，输入。可以成功的访问，这是因为还没有采用ssl服务。进入web的属性窗口的目录安全性选项卡。单击“编辑”。选择“要求安全通道”，客户端证书选择忽略客户端证书，单击“确定”。到此服务器端的证书应用已经成功的完成了。7．在客户端验证。启动IE，输入。不能成功。键入。单击“是”。已经成功的显示了。因为客户采用的是忽略客户端证书，所以客户端在访问web服务器的时候不提示下载证书。改变客户端的证书模式。选择“要求客户端证书”，单击“确定”。在客户端验证。启动IE，输入。提示没有证书。8．客户端下载证书。启动IE，输入。输入相应的用户名和相应的密码，单击“确定”。将相应的网站添加到IE中。单击“申请一个证书”。单击“用户证书”。单击“提交”。单击“安装此证书”。此时证明证书已经成功。9．此时在验证。启动IE，输入。此时已经有了一个证书，单击“确定”。证明已经成功的采用证书。实验总结：1．PKI（publicKeyinfrastructure，公钥基础结构）是通过使用公钥技术和数字证书来确保系统信息安全并负责验证数字证书持有这身份的一种体系。2．PKI有公钥加密技术、数字证书、CA、RA等共同组成。3．PKI体系能够实现的功能有：身份验证、数据的完整性、数据的机密性、操作的不可否认性。4．公钥加密技术：公钥（publickey）和私钥（privatekey）：密钥是成对出现的，这两个密钥互不相同，两个密钥可以互相加密和解密；不能够根据一个密钥推算出另一密钥；公钥对外公开，私钥只有私人持有。5．数据加密：用接收方的公钥加密，接收用自己的私钥解密，实现了数据的机密性。6．数字签名：用发送发的私钥进行加密，用发送的公钥进行解密，实现了身份验证、数据的完整性、操作的不可否认性。7．CA（certificateauthority，证书颁发机构）是PKI公钥结构的核心部分。8．证书包含的信息：使用者的公钥值、使用者的表示信息、有效期、颁发者表示信息、颁发者的数字签名。9．CA的作用：处理证书的申请、鉴定证书申请者是否有资格接收证书、证书的颁发、证书的更新、接收最终用户数字证书的查询和撤销、产生和发布证书吊销列表、数字证书的归档、密钥的归档、历史数据的归档。10．证书的颁发过程：证书申请、RA确认用户、证书策略处理、RA提交用户申请信息到CA、CA为用户生成密钥对、CA将电子证书传给批准该用户的RA、RA将电子证书传送给用户、用户验证CA颁发的证书。11．安装证书服务前要注意：必须先安装好IIS服务，因为证书要向默认网站里写入一些虚拟目录，查看客户端和服务器端的时间是否一致，如果装好CA后，那么服务器的计算机名和ip地址都将不能改变。12．Windows的CA服务器一般用在企业的内部网站，互联网上的CA一般的都是unix系统下的，而且都要收费的。13．CA的类型：企业CA、企业从属CA、独立CA、独立从属CA。14．一般CA的名称都采用计算机的名称。15．申请证书的方式：通过mmc控制台和IE（地址/虚拟目录）。16．工作组下CA的特点：工作组下只能够安装独立CA、没有证书模版、mmc请求没有、手工颁发证书、没有身份验证、不能通过mmc在客户端申请证书。17．域环境下的CA的特点：既有独立ca也有企业CA、有证书模版、能够在mmc控制台申请证书、有身份验证（谁申请谁使用）、在域下证书是自动颁发的。18．SSL（securesocketslayer，安全套接字层）通信协议，在web服务器上使用以实现高安全性，SSL默认的端口是443。19．服务器端用的是服务器的证书，客户端用的是用户证书，在下载服务器端的证书时要注意证书的类型一定选择正确，客户端采用证书的方式可以配置为忽略、接收和要求。