PKI网站SSL试验.doc

PKI 网站SSL试验 PKI 公钥基础设施 SSL 安全套接字层协议 试验目的：掌握企业CA的架设、如何建设安全的WEB站点。 试验步骤： 试验拓扑图： 我们在前面试验平台的基础上，做本试验。需要注意的地方是：AD担当CA的角色，PC1作为WEB服务器，而PC2呢作为客户端安全的访问WEB站点。 配置CA IP 192.168.1.1 DNS： 192.168.1.1 1、架设CA 2、安装IIS 3、安装证书服务器 4、建立2个帐户PC1 PC2 5、将PC1 PC2将如到域中。这里PC的DNS要指向域控制器。 二、我们在PC1上建立网站。 1、安装IIS。 2、网站架设好了，都可以访问。 为该网站选择申请一个证书，目录安全性-----服务器证书 接下来打开CA的证书申请web页面。这里需要输入域管理员帐户。Administrator 当然我们这里是这个。 选择申请一个证书 高级证书申请 使用base64编码 复制刚才的certreq.txt 证书模板选择用户，选择WEB服务器。 下载证书并保存刚才为WEB服务器申请的证书。 然后打开WEB ，目录安全性处理挂起的请求。选择我们刚才下载的证书。证书安装成功，后便全部是黑色显示。可以看到我们ROOT为红色显示，表示没有安装成功，这里需要先为WEB服务器申请CA的跟证书，建立WEB和CA的信任关系。 OK，安装成功。包括证书路径，ROOT 6）给PC申请证书。用我们刚才AD建立的域帐户。PC2 同样，现为PC申请CA的root证书。成功，这样已经建立信任关系。 7）为PC申请WEB的证书。提示证书安装成功。 右边显示ROOT颁发证书给PC2成功。证书申请完毕，我们下来要做的就是，设置我们的SSL安全的网站。 三、设置网站SSL 1）。设置WEB服务器。编辑----要求安全通道SSL，这里我们选择忽略客户端证书。也就意味这给予客户端的提示，而还是可以访问网站，我们来测试。提示加S，表示安全的网站，在客户端与服务器之间建立了加密连接。这样可以防止非法访问和攻击。 我们在选择要求客户端证书。呵呵，还是可以访问，因为我们当前我们客户端有证书。 好，我们将证书删掉。看是否可以访问。 删除ROOT颁发的证书后，我们选择要求客户端证书，这里不再能访问。 所以像类似的电子商务网站他要求客户由合法的证书才能访问网站，也能确定用户的身份，而用户在交易时还可能使用智能卡。等设备。 我们重新申请证书测试一下。 如果看不到证书，我们在证书服务器将以前的证书吊销，然后重新申请就可以了，这里我们就不操作了，大家可以练习。 好了，结束。