實驗四 Windows中使用證書與SSL.doc

實驗四 Windows中使用證書和SSL一、實驗?zāi)康耐瓿杀緦嶒?，?yīng)能夠：1列舉瀏覽器所配置的受信任的證書頒發(fā)機(jī)構(gòu)。2安裝并配置證書頒發(fā)機(jī)構(gòu)服務(wù)器。3創(chuàng)建證書請求。4頒發(fā)/簽署證書。5用SSL安全化Web站點。6描述當(dāng)以SSL連接時Web頁面使用的過程。二、實驗時數(shù)：2小時三、實驗環(huán)境Windows 2000（/Advanced）/2003 Server（要求配置了默認(rèn)Web服務(wù)器，IP可根據(jù)具體情況來設(shè)置，如：0，Windows 2000（/Advanced）/2003 Server安裝盤備用）1臺；Windows XP Professional（與服務(wù)器能相互訪問）1臺。四、實驗步驟（一）查看受信任的根證書頒發(fā)機(jī)構(gòu)Web瀏覽器通常配置了許多來自證書頒發(fā)機(jī)構(gòu)的證書，先來看一下。在Windows XP Professional PC機(jī)：1. 打開Internet Explorer；2. 單擊工具-Internet選項；3. 選中內(nèi)容選項卡，并在內(nèi)容窗口中單擊證書；4. 在打開的證書窗口中選擇受信任的根證書頒發(fā)機(jī)構(gòu)，出現(xiàn)圖1。圖1 瀏覽器中受信任的根證書5. 在打開的證書窗口中任意雙擊一個證書，查看該證書的有效期和作用。（二）安裝并配置證書頒發(fā)機(jī)構(gòu)服務(wù)器將Windows Server配置成證書頒發(fā)機(jī)構(gòu)服務(wù)器。1. 在控制面板里選擇添加/刪除程序，再選擇安裝/刪除Windows組件。2. 在組件對話框中選擇“證書服務(wù)”選項，打開Windows組件安裝向?qū)ч_始安裝證書。3. 在證書頒發(fā)機(jī)構(gòu)類型窗口中選中獨立根 CA(S) ，如圖2，單擊“下一步”繼續(xù)。 圖 2 證書頒發(fā)機(jī)構(gòu)類型4. 在CA標(biāo)識信息窗口，參照圖3進(jìn)行CA名稱、組織、部門、城市、省份、國家、郵件等信息的填寫。5. 在數(shù)據(jù)存儲路徑窗口，保持默認(rèn)選項，單擊“下一步” ，繼續(xù)。6. 指定數(shù)據(jù)存儲位置之后，會出現(xiàn)警告窗口，提示你將停止Internet信息服務(wù)，選擇“確定”，繼續(xù)安裝證書。1. 插入系統(tǒng)盤或選擇ISO文件路徑，完成證書服務(wù)的安裝。（三）創(chuàng)建證書請求Web服務(wù)器需要為證書創(chuàng)建一個請求。在這個過程中，Web服務(wù)器將創(chuàng)建自己的密鑰對，其中的公鑰將是證書請求的一部分。 圖 3 CA標(biāo)識信息1. 在控制面板內(nèi)打開“管理工具”，選擇“Internet服務(wù)管理器” 。2. 在樹型窗格中，右擊“默認(rèn)Web站點”并選中屬性。3. 單擊“目錄安全性”選項卡，單擊“服務(wù)器證書” ，打開Web服務(wù)器證書向?qū)У臍g迎界面并單擊“下一步”繼續(xù)。4. 在服務(wù)器證書界面，選中“創(chuàng)建一個新證書”選項，繼續(xù)。5. 在稍后或立即請求界面，選中“現(xiàn)在準(zhǔn)備請求，但稍后發(fā)送”選項，繼續(xù)。6. 在命名和安全設(shè)置界面，參照圖4：a) 名稱：默認(rèn)Web站點b) 位長：1024c) 單擊下一步，繼續(xù)7. 在組織信息界面，參照圖5：d) 對于組織，鍵入hnsofte) 對于部門，鍵入wlabf) 單擊下一步，繼續(xù)8. 在證書請求文件名界面，接受默認(rèn)的C:certreq.txt，繼續(xù)。這個文件將是用來從證書服務(wù)器請求證書的文件。9. 默認(rèn)繼續(xù)，完成創(chuàng)建證書請求。圖4 命名和安全設(shè)置圖5 組織信息（四）提交證書請求此步驟將要從Web服務(wù)器把證書請求提交到證書服務(wù)器。1. 在桌面上雙擊Internet Explorer圖標(biāo)打開瀏覽器，在地址欄中輸入0/certsrv/ 并回車確認(rèn)。2. 在打開的證書服務(wù)歡迎頁面上，選擇“申請證書” ，如圖6，繼續(xù)。圖6 申請證書3. 在選擇申請類型頁面上，選擇“高級申請” ，繼續(xù)。4. 在高級證書申請頁面上，選中“使用base64編碼的更新證書申請” ，單擊“下一步”繼續(xù)。5. 打開C:/certreq.txt，復(fù)制其中的內(nèi)容。6. 將剛復(fù)制的內(nèi)容，粘貼到提交一個保存的申請頁面的文本框中，如圖 7所示，單擊“提交”。7. 這個時候大家可以看到證書被掛起的頁面，如圖8所示，這是因為申請證書需要通過證書服務(wù)器驗證身份。（五）頒發(fā)證書服務(wù)器在申請證書之后，需通過證書服務(wù)器的驗證，本步驟將告訴大家如何頒發(fā)證書。1. 單擊“開始”、“程序”、“管理工具”、“證書頒發(fā)機(jī)構(gòu)”打開證書控制臺。圖7 提交保存的申請圖8 證書被掛起2. 在控制臺樹型窗格中，展開Server.Root CA并選中“待定申請”文件夾。3. 在詳細(xì)信息窗格中，右擊未決的證書請求，選中“所有任務(wù)”并單擊頒發(fā)。如圖9所示。圖 9 頒發(fā)證書4. 這個時候你可以在“頒發(fā)的證書”文件夾中看到剛才頒發(fā)的證書。（六）下載證書1. 在瀏覽器的地址欄中，輸入0/certsrv/ 回車。2. 在Microsoft證書服務(wù)頁面，選中“檢查掛起的證書”，“下一步”繼續(xù)。3. 在檢查掛起的證書頁面，選中證書并單擊“下一步”繼續(xù)。4. 在證書已頒發(fā)頁面上，選中Base64編碼并單擊“下載CA證書”鏈接，如圖11所示。5. 以后步驟均默認(rèn)繼續(xù)，以完成證書的下載。（七）配置Web站點來使用SSL證書1. 在Internet服務(wù)管理器控制臺上，右擊默認(rèn)Web站點并選中屬性。2. 單擊“目錄安全性”，在該窗口單擊“服務(wù)器證書”，打開IIS證書向?qū)У臍g迎界面。圖 10 下載CA證書3. 服務(wù)器證書界面，選中“處理掛起的請求并安裝證書” ，“下一步”繼續(xù)。4. 在處理掛起請求頁面，鍵入C:/certnew.cer，“下一步”繼續(xù)。5. 以后步驟默認(rèn)完成。（八）配置Web站點來使用SSL1. 在Internet服務(wù)管理器控制臺上，右擊默認(rèn)Web站點并選中屬性。2. 單擊“目錄安全性”，在“安全通信”部分中，單擊“編輯” 。3. 在安全通信界面，選中“申請安全通道（SSL）”并單擊確定，如圖11所示。4. 單擊應(yīng)用，然后在繼承覆蓋窗口中單擊確定。（九）測試Web站點是否有了SSL在Windows XP 機(jī)器上:1. 在瀏覽器中，鍵入0/ 并回車。a) 得到什么錯誤消息？2. 在瀏覽器中，鍵入0/ 并回車。a) 可以看到什么提示？能否看到頁面？ 圖11 申請安全通道SSL五、實驗報告內(nèi)容要求1簡要的實驗操作步驟；2實驗完成情況說明；3實驗過程中存在的問題；4實驗結(jié)論。六、補充與參考 超文本傳輸協(xié)議（HTTP）以明文傳輸信息，這樣很容易造成信息泄漏或遭受攻擊，特別是在電子商務(wù)領(lǐng)域，使用HTTP更是危險致極。為安全個人或金融信息的傳輸，Netscape開發(fā)了安全套接字層（SSL）協(xié)議來管理信息的加密。它在電子商務(wù)中已經(jīng)無處不在，并且流行的瀏覽器和服務(wù)器都支持它。 當(dāng)使用SSL連接到Web服務(wù)器時，地址欄中的URL將顯示https。SSL在傳輸層使用TCP端口443。證書頒發(fā)機(jī)構(gòu)是受信任的機(jī)構(gòu)，它通過為實體創(chuàng)建一個電子文檔（稱為數(shù)字證書）來證明實體的身份，該數(shù)字證書將身份與公鑰之間建立一種關(guān)聯(lián)。證書頒發(fā)機(jī)構(gòu)有公共證書機(jī)構(gòu)和內(nèi)部證書機(jī)構(gòu)，其中：公共證書頒發(fā)機(jī)構(gòu)是在世界范圍內(nèi)頗具權(quán)威的組織，它負(fù)責(zé)驗證實體的身份并為其創(chuàng)建和維護(hù)證書。公共CA的一些組織如VeriSign、Entrust和Baltimore。內(nèi)部證書頒發(fā)機(jī)構(gòu)由實體自行執(zhí)行、