证书服务器的配置与应用

1．实验目的

（1）理解数字证书、基于CA的PKI的基本概念

（2）掌握Windows Server配置、管理的相关知识

（3）学会在Windows Server中创建一个独立存在的CA，包括安装/删除证书服务、安装一个独立/从属存在的CA、从某个CA申请证书和发放证书

（4）了解SSL的工作原理，并掌握Windows Server环境下CA系统和SSL连接的配置和使用方法

（5）给IIS配置SSL，给指定Web站点利用SSL加密HTTP通道

2．实验内容

（1）基于Windows平台安装证书服务器和Web服务器；

（2）创建独立根CA；

（3）创建独立存在的从属CA，由根CA为其发放证书，其他证书由从属CA发放；

（4）为Web服务器、客户机浏览器申请证书；

（5）为Web服务器开放的网站进行安全通道设置，并利用Wireshark对使用和不使用安全通道（及不同配置情况）下的通信协议流程进行分析；

（6）*使用OpenSSL完成证书的制作、申请、发放任务。

3．实验原理

（1）CA认证：

????CA认证，即电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。
????证书颁发机构（CA, Certificate Authority）即颁发数字证书的机构。是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。
????CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。
????CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。
????如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。
????如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。
????为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证，并负责管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

（2）独立根CA与独立从属CA

????独立根CA是证书层次结构中的最高级CA，既可以是域的成员，也可以不是，因此它不需专要Active Directory，但是如果存属在Active Directory用于发布证书和证书吊销列表，则会使用Active Directory。由于独立根CA不需要Active Directory，因此可以很容易的将它从网络上断开，并设置于安全的区域，这在创建安全的离线根CA时，非常有用。
????独立从属CA必须从另外一CA（父CA）上获取它的证书，其可以是域的成员，也可以不是，如果存在Active Directory用于发布证书和吊销证书时，则会使用Active Directory

（3）HTTPS和SSL

????HTTPS（Hypertext Transfer Protocol Secure）安全超文本传输协议它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443）SSL使用40 位关键字作为RC4流加密算法。HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层。
????SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

4．实验记录

环境：

• 根CA win 2003 计算机名：xxx-974d321facd 192.168.16.136
• 从属CA win 2003 计算机名：xxx222 192.168.16.131
• Client win 2003 计算机名：client 192.168.16.134

（1）CA证书服务器配置

1）在计算机信息序xxx-974d321facd上创建一个独立存在的根CA，添加IIS组件：

图1.1-1 添加IIS组件

图1.1-2 查看安装IIS组件成功

图1.1-3 添加 证书服务 组件

图1.1-4 选择独立根CA

图1.1-5 设置CA的公用名称

图1.1-6 完成安装

图1.1-7 在开始—管理工具—证书颁发机构可查看

2）在计算机xxx222上创建一个独立存在的从属CA，由该CA为其他用户发放证书。

增加xxx-974d321facd上根CA为信任的根CA，点击 开始—运行，打开‘运行’对话框，输入http://192.168.16.136/certsrv

图1.2-1 成功访问

图1.2-2 点击‘下载CA证书、证书链或CRL’，并选择‘安装此CA证书链’

图1.2-3 成功安装CA证书链

图1.2-4 安装证书组件，选择‘独立从属CA’

图1.2-5 设置CA名称

图1.2-6 将申请发送至根CA

图1.2-7 完成安装

3）独立根CA给从属CA发放证书

在计算机xxx-974d321facd上，查看申请的证书

图1.3-1 颁发证书

4）为从属CA安装一个证书

在计算机xxx222上启动，选择‘开始’—‘管理工具’—‘证书颁发机构’—‘右键’—‘所有任务’—‘启动服务’

图1.4-1 启动服务，但是没有安装证书，所以会要求安装证书

图1.4-2 通过网络连接获得证书

5）为xxx222请求一个计算机证书

点击‘开始’--‘运行’，打开‘运行’对话框，在对话框中输入 http://192.168.16.131/certsrv 在申请证书向导中单击‘申请一个证书’在‘选择申请类型’--‘高级证书申请’--‘使用表格向这个 CA 提交一个证书申请’--‘高级证书申请’页面的‘识别信息’文本框中，输入相关信息。在‘需要的证书类型’中选择‘IPSec 证书’。在‘密钥选项’中选择‘将证书保存在本地计算机存储中’。然后点击‘提交’。当出现‘证书挂起’页面时，证书申请完成。

图1.5-1 申请一个证书

图1.5-2 高级证书申请

图1.5-3 创建并向此CA提交一个申请

图1.5-4 提交

图1.5-5 证书申请完成

6）颁发IPSec证书

在xxx222中选择‘开始‘--‘管理工具’--‘证书颁发机构’在‘证书颁发机构’窗口左边栏中，选择‘挂起的申请’，在右边栏中显示‘所有待颁发的证书申请。选择待请求的证书并单击右键，在弹出的快捷菜单中选择‘所有任务’--‘颁发’

图1.6-1 颁发证书

图1.6-2 颁发成功

7）安装证书

点击‘开始’--‘运行’，打开‘运行’对话框，在对话框中输入 http://192.168.16.131/certsrv 在证书服务向
导中单击‘查看挂起的证书申请的状态’点击该证书, 当进入‘证书已安装’页面时，证书安装已完成。

图1.7-1 查看挂起的证书申请状态

图1.7-2 证书已颁发

图1.7-3 证书已安装

8）查看证书

选择‘开始’--‘运行’，在‘运行’对话框的‘打开’文本框中输入 mmc，单击‘确定’。在‘控制台根节点’窗口中，选择‘文件’--‘添加/删除管理单元’，打开‘添加/删除管理单元’对话框。然后点击‘添加’，打开‘添加独立单元管理’对话框。在‘独立单元管理’对话框中，在‘可用的独立管理单元’中，选择‘证书’，单击‘添加’，打开‘证书管理单元’对话框。

图1.8-1 添加‘证书‘

图1.8-2 选择‘计算机账户’

图1.8-3 选择‘本地计算机’

图1.8-4 查看证书

图1.8-5 证书信息

（2）基于Web的SSL应用

1）为客户机client申请Web浏览器证书

在 client 中点击‘开始’--‘运行’，打开‘运行’对话框，在对话框中输 http://192.168.16.131/certsrv 点击‘申请一个证书’进入申请页面

图2.1-1 申请一个证书

图2.1-2 申请Web浏览器证书

图2.1-3 填写申请信息

图2.1-4 设置安全级别

图2.1-5 设置密码

图2.1-6 设置完成

图2.1-7 证书挂起

2）下层CA颁发证书

在xxx222中点击‘开始’--管理工具--证书颁发机构：在‘挂起的申请’里已经存在申请挂起等待颁发的证书。右键点击挂起的证书--所有任务--颁发，刚才的挂起证书已经存入‘颁发的证书’存储区。

图2.2-1 证书颁发

图2.2-2 成功颁发

计算机client再次登录证书申请系统，并查看挂起，就可以获取相应的证书。

图2.2-3 查看挂起的证书申请的状态

图2.2-4 成功挂起

图2.2-5 证书已颁发

图2.2-6 证书已安装

如果要查看安装的数字证书，单击浏览器上的：工具--Internet 选项--内容--证书，弹出如下窗口：

图2.2-7 查看安装证书

图2.2-8 查看证书信息

3）web服务器证书申请

a）填写服务器证书信息

在xxx222中安装好 IIS，并将其打开（这里用‘默认网站’为例）右键点击‘默认网站’--属性--‘目录安全性’选项卡：

图2.3-1 打开目录安全性

图2.3-2 单击‘服务器证书’

图2.3-3 填入信息

图2.3-4 填入公用名称

图2.3-5 填入地区

图2.3-6 保存路径

图2.3-7 完成

b）向下层CA的证书申请系统申请服务器验证证书

图2.3-8 申请证书

图2.3-9 打开certreq.txt文件

图2.3-10 将certreq.txt文件中内容复制到文本框内

图2.3-11 证书已挂起

图2.3-12 接受到的申请

图2.3-13 证书已颁发

图2.3-14 下载证书

c）默认网站证书安装

返回默认网站--属性--目录安全性：

图2.3-15 进行安装服务器证书

图2.3-16 开始安装服务器证书

图2.3-17 处理挂起的请求并安装证书

图2.3-18 选择刚才保持存在桌面的.cer文件

图2.3-19 SSL端口

图2.3-20 证书信息

图2.3-21 完成安装

4）网站安全通道设置

在 IIS 中右键点击‘属性’--‘目录安全性’，点击‘查看证书’

图2.4-1 查看证书

图2.4-2 证书信息

图2.4-3 编辑

图2.4-4 配置

5）客户端client安全访问Web服务

打开浏览器输入Web地址

图2.5-1 打开网页

因为Web配置了SSL通道，所以访问时需要将http协议更改为https协议

图2.5-2 修改后再次打开

图2.5-3 输入密码

图2.5-4 正常访问Web服务

证书服务器的配置与应用

原文：https://www.cnblogs.com/fumengHK/p/13993851.html