Windows2003下CA的安装和使用.doc

Windows2003 下CA的安装和使用 实验目的 利用Windows2003提供的“证书服务”组件，建立“独立根CA”并为用户颁发浏览器数字证书。通过实际操作部署，了解在Windows2003平台下如何设置CA、管理证书，用户端如何申请证书、下载证书等，加深对PKI理论的理解。 实验环境 虚拟机中Windows2003操作系统平台 实验内容与步骤 做此实验之前先要确保电脑中装有DNS和IIS,为此我们打开控制面板——添加删除windows组件： 安装过程中会要求放入windows2003光盘，记住在虚拟光驱中放入镜像文件， 安装完成后会提示 这时候我们给机器配置一个IP地址即可 现在我们要保证我们的用户是在一个域环境下，所以我们利用活动目录来建立域： 首先点击开始——运行： 开始安装了 安装完成了 重启完成后，可以看到我们的计算机已经在一个域中了 现在我们开始CA证书的安装 现在开始web网站的建立 注意，在此之前我在C盘中建立了一个html文件，方便后面的访问使用，打开IE,输入 HYPERLINK 23 23 可以看到如下页面： 下面我们开始填写一个证书申请表 完成后，开始给web服务器申请一个证书 点击“申请一个证书” 插入刚才申请表中的内容 在此，我们要点“是” 完成后，记得启动web服务，然后打开IE,输入 HYPERLINK 23 23 可以成功的访问，这是因为还没有采用ssl服务。 进入web的属性窗口的目录安全性选项卡. 选择“要求安全通道”，客户端证书选择忽略客户端证书，单击“确定”。 单击“是”后，发现已经成功的显示了。因为客户采用的是忽略客户端证书，所以客户端在访问web服务器的时候不提示下载证书。 再次修改，使得我们需要客户端证书才能访问： 可以发现此时没有证书已经无法正常访问了，现在停止web服务，再次打开IE,输入 23/cerstrv 经过一系列的操作后，我们发现证书已经顺利安装好了，现在测试下是否能浏览网页 网页浏览成功，实验顺利完成。 实验心得 PKI（public Key infrastructure，公钥基础结构）是通过使用公钥技术和数字证书来确保系统信息安全并负责验证数字证书持有这身份的一种体系。 PKI有公钥加密技术、数字证书、CA、RA等共同组成。 PKI体系能够实现的功能有：身份验证、数据的完整性、数据的机密性、操作的不可否认性。 公钥加密技术：公钥（public key）和私钥（private key）：密钥是成对出现的，这两个密钥互不相同，两个密钥可以互相加密和解密；不能够根据一个密钥推算出另一密钥；公钥对外公开，私钥只有私人持有。 数据加密：用接收方的公钥加密，接收用自己的私钥解密，实现了数据的机密性。 数字签名：用发送发的私钥进行加密，用发送的公钥进行解密，实现了身份验证、数据的完整性、操作的不可否认性。 CA（certificate authority，证书颁发机构）是PKI公钥结构的核心部分。 证书包含的信息：使用者的公钥值、使用者的表示信息、有效期、颁发者表示信息、颁发者的数字签名。 CA的作用：处理证书的申请、鉴定证书申请者是否有资格接收证书、证书的颁发、证书的更新、接收最终用户数字证书的查询和撤销、产生和发布证书吊销列表、数字证书的归档、密钥的归档、历史数据的归档。 证书的颁发过程：证书申请、RA确认用户、证书策略处理、RA提交用户申请信息到CA、CA为用户生成密钥对、CA将电子证书传给批准该用户的RA、RA将电子证书传送给用户、用户验证CA颁发的证书。 安装证书服务前要注意：必须先安装好IIS服务，因为证书要向默认网站里写入一些虚拟目录，查看客户端和服务器端的时间是否一致，如果装好CA后，那么服务器的计算机名和ip地址都将不能改变。 Windows的CA服务器一般用在企业的内部网站，互联网上的CA一般的都是unix系统下的，而且都要收费的。 CA的类型：企业CA、企业从属CA、独立CA、独立从属CA。 一般CA的名称都采用计算机的名称。 申请证书的方式：通过mmc控制台和IE（ HYPERLINK http://ip地址/ http://ip地址/虚拟目录）。 工作组下CA的特点：工作组下只能够安装独立CA、没有证书模版、mmc请求没有、手工颁发证书、没有身份验证、不能通过mmc在客户端申请证书。 域环境下的CA的特点：既有独立ca也有企业CA、有证书模版、能够在mmc控制台申请证书、有身份验证（谁申请谁使用）、在域下证书是自动颁发的。 SSL（secure sockets layer，安全套接字层）通信协议，在web服务器上使用以实现高安全性，SSL默认的端口是443。 服务器端用的是服务器的证书，客户端用的是用户证书，在下载服务器端的证书时要注意