实验报告实验名称:____________PKI实验___________学生姓名:_________________________专业:_______________班级:_____________________学号:_____________________指导教师:_________________________实验成绩:________________________________实验地点:_____________________实验时间:_____一、实验目的与实验要求1、实验目的证书服务的安装Web服务器的配置:单向认证和双向认证证书服务的管理独立从属CA的配置2、实验要求认真完成实验内容实验报告若发现抄袭,实验不合格二、实验设备及网络拓扑红亚安全教学系统三、实验内容与步骤一、CA安装证书服务独立根CA:独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是,因此它不需要AD,但是,如果存在AD用于发布证书和证书吊销列表,则会使用AD,由于独立根CA不需要AD,因此可以很容易地将它众网络上断开并置于安全的区域,这在创建安全的离线根CA时非常有用。环境准备:虚拟机PC1安装好WindowsServer20031.添加IIS组件:点击“开始”——“控制面板”——“添加/删除程序”——“添加/删除windows组件”――“Internet信息服务(IIS)”(如果没有这一项就安装“应用程序服务器”)。Web服务器Server2003证书服务器Server2003客户端WindowsXP2.点击‘确定’‘下一步’安装完成后,点击“开始”——“管理工具”——“IIS管理器”,查看IIS管理器,如下图:3.添加‘证书服务’组件:点击“开始”——“控制面板”——“添加/删除程序”——“添加/删除windows组件”――“证书服务”,勾选上。勾选之后出现如下提示,选择“是”,继续“下一步”:4.选择“独立根”,默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择。如图:5.Microsoft证书服务的默认CSP为:MicrosoftStrongCryptographicProvider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’6.填写CA的公用名称(以test为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。7.证书数据库设置,保持默认,点击“下一步”进行安装。提示要停止IIS服务,选择“是”:。出现下图,选择“是”,继续安装8.若出现“浏览”,则如下处理:然后点击“确定”:9.开始》》》管理工具》》》证书颁发机构,打开如下窗口:在启动“证书颁发机构”服务后,PC1便拥有了CA的角色。二、提交服务器证书申请环境准备:PC2作为Web服务器安装了WindowsServer2003,PC1中按照实验一中的步骤安装好证书服务,PC2与PC1网络互通。1.在开始->程序->管理工具中打开“Internet信息服务(IIS)管理器”,通过左侧树状结构中的Internet信息服务->计算机名(本地计算机)->网站->新建网站test,选中test网站后右键单击“属性”。2.在PC2中打开浏览器,输入http://PC1的IP/certsrv,打开如下页面:3.选择“申请一个证书”,选择“高级证书申请”。4.之后选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请”,将1中保存的证书请求C:\certreq.txt文本文件内的内容,粘贴到“保存的申请”然后“提交”。5.这时在PC1中,点击开始——程序——管理工具——证书颁发机构,可出现如下界面:在挂起的申请里可以看到刚才申请的证书ID为2的申请。6.选中证书鼠标右键,选择“所有任务”→“颁发”,进行证书颁发,如下图所示。7.证书颁发后将从“挂起的申请”文件夹转入到“颁发的证书”文件夹中,标识证书颁发完成,查看如下。8.证书的下载安装在申请证书的计算机上打开浏览器,在地址栏输入http://[PC1的ip地址]/certsrv,进入证书申请页面。刚才完成了“申请证书”,下面选择“查看挂起的证书申请的状态”,看看CA是否颁发了证书,如下图所示,点击下一步;在弹出的页面中选择已经提交的证书申请如下图所示。如果CA已经将证书颁发,则页面如下,选择“安装此证书”。下载证书和证书链保存到本地,其后缀分别为cer和p7b文件。9.在IIS信...
