PKI与证书服务应用
一、实验目的:
²理解PKI的相关理论
²理解证书的发放过程
²掌握证书服务的安装
²掌握企业CA(证书颁发机构)的管理
²掌握在Web服务器上设置SSL
二、实验准备:
                        i.准备2Windows Server 2003 VM,一台为DC/DNS服务器并且安装了IIS(网卡为VMnet2),另一台为客户机(网卡为VMnet2)。
                      ii.创建www.shen.com主机记录,IP地址为192.168.1.1
                    iii.新建网站,主机头www.shen.comIP地址为192.168.1.1
                    iv.设置新建网站的身份验证方式为基本身份验证。
                      v.客户机能以http://www.shenzhi.com访问网站。
三、完成标准:
在客户机上使用https://www.shenzhi.com访问启用了SSL的网站。
四、实验步骤及参考:
Step1、安装证书服务
1)使用管理员administrator登陆到DC,单击控制面板中的“添加或删除程序”,在Windows组件向导中勾选“证书服务”复选框,单击弹出对话框中的“是”按钮,然后单击“下一步”按钮。
PKI与证书服务应用_CA
2)选择CA类型为“企业根CA”,选中下面的“用自定义设置生成密钥对和CA证书”复选框,单击“下一步”按钮。
PKI与证书服务应用_证书服务_02
3)在出现的“公钥/私钥对”中保持默认值,单击“下一步”按钮。
PKI与证书服务应用_CA_03
4)在“CA识别信息”窗口中输入CA的名称“SHEN CA”,单击“下一步”按钮。
PKI与证书服务应用_CA_04
PKI与证书服务应用_休闲_05
5)保持证书数据库及其日志信息的位置默认值,单击“下一步”按钮,在随后出现的需要停止Internet信息服务的对话框中,单击“是”按钮。
PKI与证书服务应用_CA_06
6)接着系统将会配置CA服务,在出现的安装完成窗口中单击“完成”按钮。
PKI与证书服务应用_证书服务_07
 
PKI与证书服务应用_证书服务_08PKI与证书服务应用_PKI_09
Step2、生成证书申请
1)打开“IIS管理器”,右击shen网站,从弹出的快捷菜单中选择“属性”命令→“目录安全性”,单击“服务器证书”按钮。
PKI与证书服务应用_PKI_10
PKI与证书服务应用_休闲_11
2)单击Web服务器证书向导界面中的“下一步”按钮。
PKI与证书服务应用_PKI_12
3)选择“新建证书”单选按钮,单击“下一步”按钮。
PKI与证书服务应用_CA_13
4)选择“现在准备证书请求,但稍后发送”单选按钮,单击“下一步”按钮。
PKI与证书服务应用_职场_14
5)在“名称”文本框中键入证书的描述性名称“shenzhi网站”,单击“下一步”按钮。
PKI与证书服务应用_休闲_15
6)输入单位信息,单击“下一步”按钮。
PKI与证书服务应用_证书服务_16
7)输入站点公用名称www.shen.com,单击“下一步”按钮。
PKI与证书服务应用_PKI_17
8)输入地理信息,单击“下一步”按钮。
PKI与证书服务应用_CA_18
9)输入证书请求文件名,单击“下一步”按钮。
PKI与证书服务应用_PKI_19
10)显示证书申请中否认概要信息,单击“下一步”按钮,最后单击“完成”按钮。
PKI与证书服务应用_CA_20
PKI与证书服务应用_CA_21
Step3、提交证书申请
1)使用记事本打开在前面的过程中生成的证书文件,将它的整个内容复制到剪贴板。
PKI与证书服务应用_休闲_22
2)打开IE浏览器,导航到http://192.168.1.1/certsrv(有时会弹出对话框,提示输入用户名和密码,此时可以输入administrator和相应密码)。
PKI与证书服务应用_职场_23
3)单击“申请一个证书”,出现“证书服务”窗口,单击“高级证书申请”超链接。
PKI与证书服务应用_职场_24
4)在“高级证书申请”页中,选择第二项,然后单击“下一步”按钮。
PKI与证书服务应用_CA_25
5)在“提交一个证书申请”页中,单击“Base64编码的证书申请(CMCPKCS#10PKCS#7)”文本框,按住CTRL+V,黏贴先前复制到剪贴板上的证书申请。在“证书模板”下拉列表框中,选择“Web服务器”,单击“提交”按钮,西安市“证书已颁发”的窗口。
PKI与证书服务应用_证书服务_26
PKI与证书服务应用_职场_27
Step4、下载证书
在“证书已颁发”的窗口中,选择“Base64编码”单选按钮,单击“下载证书”,将证书文件保存在本地计算机上。
PKI与证书服务应用_证书服务_28
 
Step5、在Web服务器上安装证书
1)打开“IIS管理器”,右击SHEN网站,从弹出的快捷菜单中选择“属性”→“目录安全性”命令,单击“服务器证书”按钮。
2)单击出现“Web服务器证书向导”对话框,单击“下一步”按钮,此时Web服务器状态为存在挂起的证书请求。
PKI与证书服务应用_CA_29
3)在挂起的证书请求中选择“处理挂起的请求并安装证书”,单击“下一步”按钮。
PKI与证书服务应用_休闲_30
4)输入包含CA相应的文件的路径和文件名,单击“下一步”按钮。
PKI与证书服务应用_证书服务_31
5)输入SSL端口为443,单击“下一步”按钮。
PKI与证书服务应用_证书服务_32
6)显示证书申请中的概要信息,单击“下一步”按钮,最后单击“完成”按钮。
PKI与证书服务应用_CA_33
 
PKI与证书服务应用_PKI_34Step6、针对网站设置SSL
打开“IIS管理器”,右击SHEN网站,从弹出的快捷菜单中选择“属性”→“目录安全性”命令,单击“安全通信”的“编辑”按钮,出现“安全通信”对话框,再次对话框猴子那个勾选“要求安全通道(SSL)”复选框,单击“确定”按钮。
PKI与证书服务应用_职场_35
PKI与证书服务应用_证书服务_36
Step7、使用HTTPS协议访问网站
在客户机上,打开IE浏览器,输入路径https://www.shen.com访问网站。
PKI与证书服务应用_职场_37
PKI与证书服务应用_职场_38
五、注意事项与总结:
²×××组成要素有:×××客户端、×××服务端、隧道、×××连接、隧道协议、传输互联网络等。
²RRASWindows Server 2003的默认安装组件,其处于停用状态,所以在配置RAS之前,必须将其激活。
²配置远程访问服务器主要配置:身份验证方法、IP地址指派、端口、用户账户拨入属性。
²在客户机上需要创建×××网络连接。
²远程访问策略是一组定义允许或拒绝连接的有序规则。
²远程访问策略由条件、远程访问权限和配置文件组成。
²远程访问策略的配置文件可以设置身份验证和数据加密方式。