数字签名实验手册讲述.docxVIP

PKI实验 PKI原理回顾：PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础，使用户在虚拟的网络环境中能够验证相互之间的身份，并保证敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。CA系统是PKI的核心，因为它管理公钥的整个生命周期。 一、CA安装证书服务 独立根CA：独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。 环境准备：虚拟机PC1安装好Windows Server 2003 1. 添加IIS组件： 点击“开始”——“控制面板”——“添加/删除程序”——“添加/删除windows组件”――“Internet信息服务（IIS）”（如果没有这一项就安装“应用程序服务器”）。 2. 点击‘确定’‘下一步’安装完成后，点击“开始”——“管理工具”——“IIS管理器”，查看IIS管理器，如下图： 3. 添加‘证书服务’组件： 点击“开始”——“控制面板”——“添加/删除程序”——“添加/删除windows组件”――“证书服务”，勾选上。 勾选之后出现如下提示，选择“是”，继续“下一步”： 4. 选择“独立根”，默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择。如图： 5. Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’ 6. 填写CA的公用名称（以test为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。 7. 证书数据库设置，保持默认，点击“下一步”进行安装。 提示要停止IIS服务，选择“是”： 出现下图，选择“是”，继续安装。 8. 若出现“浏览”，则如下处理： 然后点击“确定”： 9. 开始 》》》 管理工具 》》》 证书颁发机构，打开如下窗口： 在启动“证书颁发机构”服务后，PC1便拥有了CA的角色。 二、提交服务器证书申请 环境准备：PC2作为Web服务器安装了Windows Server 2003，PC1中按照实验一中的步骤安装好证书服务，PC2与PC1网络互通。 1. 在开始-程序-管理工具中打开“Internet信息服务（IIS）管理器”，通过左侧树状结构中的Internet信息服务-计算机名（本地计算机）-网站-新建网站test，选中test网站后右键单击“属性”。 2. 在PC2中打开浏览器，输入http://PC1的IP/certsrv，打开如下页面： 3. 选择“申请一个证书”，选择“高级证书申请”。 4. 之后选择“使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请”，将1中保存的证书请求C:\ certreq.txt文本文件内的内容，粘贴到“保存的申请”然后“提交”。 5. 这时在PC1中，点击开始——程序——管理工具——证书颁发机构，可出现如下界面： 在挂起的申请里可以看到刚才申请的证书ID为2的申请。 6. 选中证书鼠标右键，选择“所有任务”→“颁发”，进行证书颁发，如下图所示。 7. 证书颁发后将从“挂起的申请”文件夹转入到“颁发的证书”文件夹中，标识证书颁发完成，查看如下。 8. 证书的下载安装 在申请证书的计算机上打开浏览器，在地址栏输入http://[PC1的ip地址]/certsrv，进入证书申请页面。刚才完成了“申请证书”，下面选择“查看挂起的证书申请的状态”，看看CA是否颁发了证书，如下图所示，点击下一步； 在弹出的页面中选择已经提交的证书申请如下图所示。 如果CA已经将证书颁发，则页面如下，选择“安装此证书”。 下载证书和证书链保存到本地，其后缀分别为cer和p7b文件。 9. 在IIS信息服务管理器-网站-test（我们建的测试网站），右键“属性”。选择“目录安全性”选项卡，单击“服务器证书”按钮，此时出现“Web服务器证书向导”，单击“下一步”。 选择“处理挂起的请求并安装证书”： 选择之前保存的证书文件路径： 在SSL端口文本框中填入443，单击“下一步”。完成整个安装过程。 此时服务器证书已经安装完毕，可以单