數(shù)字簽名實驗手冊

1、PKI實驗PKI原理回顧：PKI是一個用公鑰密碼學技術(shù)來實施和提供安全服務的安全基礎設施，它是創(chuàng)建、管理、存儲、分布和作廢證書的一系列軟件、硬件、人員、策略和過程的集合。PKI以數(shù)字證書為基礎，使用戶在虛擬的網(wǎng)絡環(huán)境中能夠驗證相互之間的身份，并保證敏感信息傳輸?shù)臋C密性、完整性和不可否認性，為電子商務交易的安全提供了基本保障。CA系統(tǒng)是PKI的核心，因為它管理公鑰的整個生命周期。一、CA安裝證書服務獨立根CA：獨立根CA是證書層次結(jié)構(gòu)中的最高級CA。獨立根CA既可以是域的成員也可以不是，因此它不需要AD，但是，如果存在AD用于發(fā)布證書和證書吊銷列表，則會使用AD，由于獨立根CA不需要AD，因此可

2、以很容易地將它眾網(wǎng)絡上斷開并置于安全的區(qū)域，這在創(chuàng)建安全的離線根CA時非常有用。環(huán)境準備：虛擬機PC1安裝好Windows Server 20031. 添加IIS組件：點擊“開始”“控制面板”“添加/刪除程序”“添加/刪除windows組件”“Internet信息服務（IIS）”（如果沒有這一項就安裝“應用程序服務器”）。2. 點擊確定下一步安裝完成后，點擊“開始”“管理工具”“IIS管理器”，查看IIS管理器，如下圖：3. 添加證書服務組件：點擊“開始”“控制面板”“添加/刪除程序”“添加/刪除windows組件”“證書服務”，勾選上。勾選之后出現(xiàn)如下提示，選擇“是”，繼續(xù)“下一步”：4.

3、選擇“獨立根”，默認情況下，用自定義設置生成密鑰對和CA證書沒有勾選，我們勾選之后點擊下一步可以進行密鑰算法的選擇。如圖：5. Microsoft 證書服務的默認CSP為：Microsoft Strong Cryptographic Provider，默認散列算法：SHA-1，密鑰長度：2048您可以根據(jù)需要做相應的選擇，這里我們使用默認。點擊下一步6. 填寫CA的公用名稱（以test為例），其他信息（如郵件、單位、部門等）可在可分辨名稱后綴中添加，有效期限默認為5年（可根據(jù)需要作相應改動，此處默認）。7. 證書數(shù)據(jù)庫設置，保持默認，點擊“下一步”進行安裝。提示要停止IIS服務，選擇“是”：出

4、現(xiàn)下圖，選擇“是”，繼續(xù)安裝。8. 若出現(xiàn)“瀏覽”，則如下處理：然后點擊“確定”：9. 開始 管理工具 證書頒發(fā)機構(gòu)，打開如下窗口：在啟動“證書頒發(fā)機構(gòu)”服務后，PC1便擁有了CA的角色。二、提交服務器證書申請環(huán)境準備：PC2作為Web服務器安裝了Windows Server 2003，PC1中按照實驗一中的步驟安裝好證書服務，PC2與PC1網(wǎng)絡互通。1. 在開始->程序->管理工具中打開“Internet信息服務（IIS）管理器”，通過左側(cè)樹狀結(jié)構(gòu)中的Internet信息服務->計算機名（本地計算機）->網(wǎng)站->新建網(wǎng)站test，選中test網(wǎng)站后右鍵單擊“屬性

5、”。2. 在PC2中打開瀏覽器，輸入http:/PC1的IP/certsrv，打開如下頁面：3. 選擇“申請一個證書”，選擇“高級證書申請”。4. 之后選擇“使用 base64 編碼的 CMC 或 PKCS #10 文件提交一個證書申請，或使用 base64 編碼的 PKCS #7 文件續(xù)訂證書申請”，將1中保存的證書請求C: certreq.txt文本文件內(nèi)的內(nèi)容，粘貼到“保存的申請”然后“提交”。5. 這時在PC1中，點擊開始程序管理工具證書頒發(fā)機構(gòu)，可出現(xiàn)如下界面：在掛起的申請里可以看到剛才申請的證書ID為2的申請。6. 選中證書鼠標右鍵，選擇“所有任務”“頒發(fā)”，進行證書頒發(fā)，如下圖所

6、示。7. 證書頒發(fā)后將從“掛起的申請”文件夾轉(zhuǎn)入到“頒發(fā)的證書”文件夾中，標識證書頒發(fā)完成，查看如下。8. 證書的下載安裝在申請證書的計算機上打開瀏覽器，在地址欄輸入http:/PC1的ip地址/certsrv，進入證書申請頁面。剛才完成了“申請證書”，下面選擇“查看掛起的證書申請的狀態(tài)”，看看CA是否頒發(fā)了證書，如下圖所示，點擊下一步；在彈出的頁面中選擇已經(jīng)提交的證書申請如下圖所示。如果CA已經(jīng)將證書頒發(fā)，則頁面如下，選擇“安裝此證書”。下載證書和證書鏈保存到本地，其后綴分別為cer和p7b文件。9. 在IIS信息服務管理器->網(wǎng)站->test（我們建的測試網(wǎng)站），右鍵“屬性”。

7、選擇“目錄安全性”選項卡，單擊“服務器證書”按鈕，此時出現(xiàn)“Web服務器證書向?qū)А?，單擊“下一步”。選擇“處理掛起的請求并安裝證書”：選擇之前保存的證書文件路徑：在SSL端口文本框中填入443，單擊“下一步”。完成整個安裝過程。此時服務器證書已經(jīng)安裝完畢，可以單擊“目錄安全性”選項卡中“查看證書”按鈕查看證書內(nèi)容。10. 安裝CA根證書右鍵單擊certnew.p7b證書文件，在彈出菜單中選擇“安裝證書”，進入“證書導入向?qū)А表撁?，單擊“下一步”?1. 單向認證（僅服務器需要身份認證）在IIS信息服務管理器->網(wǎng)站->test->屬性的“目錄安全性”頁簽“安全通信”中單擊“編

8、輯按鈕”，選中“要求安全通道SSL”，并且“忽略客戶端證書”（不需要客戶端身份認證），單擊“確定”。客戶端啟動IE瀏覽器，輸入http:/服務器PC2的IP:100/index.html并確認，此時頁面如下：客戶端在IE中輸入https:/服務器PC2的IP/index.html，此時會出現(xiàn)“安全警報”對話框提示，確定后出現(xiàn)如下界面：12. 雙向認證（服務器和客戶端均需身份認證）服務器端PC2在IIS信息服務管理器中，網(wǎng)站->test->屬性，打開“目錄安全性”->“編輯”，選中“要求安全通道SSL”，并且“要求客戶端證書”，單擊確定。客戶端IE訪問地址欄上輸入https:/

9、服務器IP/index.html訪問，此時彈出“安全警報”對話框，提示即將通過安全連接查看網(wǎng)頁，確定后彈出“是否繼續(xù)”，確定后出現(xiàn)“選擇數(shù)字證書”對話框，但是沒有數(shù)字證書可供選擇，單擊確定，頁面出現(xiàn)提示“該頁要求客戶證書”?？蛻舳讼駽A申請證書：登錄http:/CA的IP/certsrv，在主頁面選擇“申請一個證書”，然后選擇“Web瀏覽器證書”，在出現(xiàn)的頁面填寫相關(guān)信息后“提交”申請。接下來請CA為客戶端頒發(fā)證書?？蛻舳税惭b證書：客戶端通過IE瀏覽器，工具->Internet選項->內(nèi)容->證書，會在“個人”選項卡中看到主機CA給自己頒發(fā)的證書。然后訪問https:/服務器

10、IP/index.html查看網(wǎng)站。三、證書服務管理1.停止/啟動證書服務進入“證書頒發(fā)機構(gòu)”菜單，右擊剛建立的CA節(jié)點，在“所有任務”中選擇“停止服務”，即可停止服務，CA節(jié)點圖標此時變成紅叉；同樣，單擊“啟動服務”，則可啟動證書。2.CA備份/還原右擊CA節(jié)點，在“所有任務”中選擇“備份CA”，即進入“證書頒發(fā)機構(gòu)備份向?qū)А?，單擊“下一步”按鈕，選擇要備份的項目和要備份的文件夾，單擊“下一步”按鈕。為了保護私鑰的安全性，接著要輸入保護私鑰和證書文件的秘密，如下圖所示。然后點擊下一步，即可選擇完成操作。CA的還原操作需要先停止CA服務，然后右擊“CA公共名稱節(jié)點”，在“所有服務”中選擇“還原

11、CA”，即進入“證書頒發(fā)機構(gòu)還原向?qū)А?，單擊“下一步”按鈕，彈出如圖所示的對話框，選擇要還原的項目和證書文件所在的文件夾，單擊“下一步”按鈕。在出現(xiàn)的對話框中輸入保護私鑰和證書文件的密碼，單擊“下一步”按鈕，單擊“完成”，即完成CA的還原，如下圖所示。3.證書廢除右擊“頒發(fā)的證書”中需要廢除的證書，在彈出的菜單中選擇“所有任務”中的“吊銷證書”菜單項，如下圖所示。在彈出的“證書吊銷”對話框中選擇吊銷的理由，單擊“是”按鈕，這個被廢除的證書就轉(zhuǎn)移到了“吊銷的證書”文件夾。為了把吊銷的證書對外發(fā)布，下面創(chuàng)建一個證書吊銷列表，以供客戶端下載查詢。右擊“吊銷的證書”文件夾，在“所有任務”中單擊“發(fā)行”

12、，單擊“是”，即可完成證書的吊銷列表的創(chuàng)建和發(fā)布，如下所示。如果要查看創(chuàng)建的證書吊銷列表，右擊“吊銷的證書”文件夾，單擊彈出菜單中的“屬性”，彈出“吊銷的證書屬性”窗口，單擊“查看當前CRL”按鈕，中顯示了吊銷的證書信息。四、獨立從屬CA配置環(huán)境：兩臺Windows Server 2003，分別為PC1作為獨立根CA，PC2作為從屬CA，一臺Windows xp作為客戶端1. 首先在PC1上配置獨立根CA服務，如實驗一所示。2. 打開PC2配置為獨立從屬CA服務。選擇獨立從屬CA。如果父CA在線可用,則選中"將申請直接發(fā)送給網(wǎng)絡上的CA".在文本框中輸入父CA的計算機名,和

13、父CA的名稱.如果父CA不在線可用,則選中"將申請保存到一個文件",并在申請文件文本框中輸入將存儲申請的文件的路徑和文件名,然后使用此證書申請文件手工向父CA提交申請.驗證安裝：查看從屬CA，可以看服務（“開始”“管理工具”“服務”），有圖中的服務便安裝成功。該主機已經(jīng)擁有了獨立從屬CA的角色。3. 如果第2步中選擇的是“將申請保存到一個文件”，則需要使用此證書申請文件手工向父CA提交申請，首先打開瀏覽器訪問http:/PC1的IP/certsrv，然后“申請一個證書”->“高級證書申請”->“使用Base64編碼的”，打開如下頁面。在Base-64文本框中粘貼入第2步中保存的req文件，然后提交申請。4. 在獨立根CA服務器PC1上，點擊“開始”“管理工具”“證書頒發(fā)機構(gòu)”。然后點擊“掛起的證書”會看到從屬CA的申請證書，然后可以頒發(fā)證書。5. 獨立從屬CA通過“證書頁主頁”->查看掛起的證書申請的狀態(tài)->保存的申請證書->下載證書鏈，將以.p7