实验名称:CA(认证中心)的搭建和应用

实验目标:使用windows 2003 server 搭建证书服务器(CA)

          使用windows 2003 server 搭建WEB服务器

          使用证书对web服务器进行ssl加密

实验拓扑:

wps_clip_p_w_picpath-24419

什么是CA

CA—认证中心

CA为电子政务、电子商务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易检验和管理证书

CA对数字证书的签名使得第三者不能伪造和篡改证书

它是电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构

PKI是用来发放公开密钥的一种渠道

SSL协议概述:

1、 数据保密:连接时保密安全的,在初始化握手协议协商加密密钥之后传输的消息均为加密消息,加密算法为私钥加密算法如DES、RC4、IDEA等

2、 身份认证:通过双方的身份是可以通过公钥加密算法如RSA、DSS、等签名来验证,杜绝假冒

3、 数据完整性:HASH函数例如SHA、MD5等被用来产生消息摘要MAC,所传输的消息均包含数字签名,以保证消息的完整性,这保证连接时可靠的

实验环境:虚拟机windows 2003 server 一台,xp客户机一台

          在windows 2003上要搭建DNS服务器、WEB服务器、CA认证中心服务器

X p   ip:192.168.15.3    dns:192.168.15.1

Windows 2003 server 有两个ip

          192.168.15.1 为CA服务器ip

          192.168.15.2 为web服务器ip

根据实验配置好实验环境

配置好实验环境后

第一步:安装dns服务器,创建正向区域 www.xapc.com,安装ASP.NET服务www.xapc.com即为web服务器的域名

wps_clip_p_w_picpath-9584

然后新建一个网站,

wps_clip_p_w_picpath-17770wps_clip_p_w_picpath-26301

还需要在权限里面添加everyone

最后用客户端访问www.xapc.com

wps_clip_p_w_picpath-7017

可以访问

第二步:在windows 2003 server上搭建CA认证中心服务器

wps_clip_p_w_picpath-1898

wps_clip_p_w_picpath-27019wps_clip_p_w_picpath-17446wps_clip_p_w_picpath-5900wps_clip_p_w_picpath-1317wps_clip_p_w_picpath-6571

wps_clip_p_w_picpath-17948

已经搭建成功

然后为www.xapc.com   web服务器申请证书

wps_clip_p_w_picpath-12141wps_clip_p_w_picpath-24953wps_clip_p_w_picpath-5001wps_clip_p_w_picpath-11822wps_clip_p_w_picpath-28527wps_clip_p_w_picpath-19723wps_clip_p_w_picpath-4427wps_clip_p_w_picpath-10686

然后把桌面的这个文档打开复制里面的内容

wps_clip_p_w_picpath-31612

然后打开CA的申请证书网站申请证书

wps_clip_p_w_picpath-5356

wps_clip_p_w_picpath-15566wps_clip_p_w_picpath-18437wps_clip_p_w_picpath-16250wps_clip_p_w_picpath-26814

申请完成

然后再CA服务器上查看

wps_clip_p_w_picpath-27963

颁发后在浏览器上继续查看 ,

wps_clip_p_w_picpath-4440

点击下载证书

wps_clip_p_w_picpath-14586

wps_clip_p_w_picpath-19481

安装后回到web服务器的管理页面,

wps_clip_p_w_picpath-25307

wps_clip_p_w_picpath-9129

wps_clip_p_w_picpath-12722

wps_clip_p_w_picpath-14125

完成后然后查看CA颁发的证书

wps_clip_p_w_picpath-29996

随后就可以设置要求客户端出示证书

wps_clip_p_w_picpath-30800wps_clip_p_w_picpath-32301

重启IIS,ssl服务已经启动

注意:

l 如果您在需要安全通道(SSL)前打上勾,则以后客户端浏览器仅可以通过HTTPS访问您的WEB服务器;

l 如果您在需要128位加密前打上勾,则以后客户端浏览器只有具备128位加密强度之后才可以访问您的WEB服务器;有关浏览器的加密强度请咨询相关软件开发商;

l 客户端证书选项分三种:

i. 忽略客户端证书:客户端访问WEB服务器的时候不需要提供客户端自己证书

ii. 接收客户端证书:客户端访问WEB服务器的时候弹出客户端验证窗口,允许客户端选择自己的证书,进行身份验证,然后访问WEB服务器,这时,如果客户端没有自己的证书,访问仍旧可以照常进行

iii. 需要客户端证书:这里仅当客户端拥有自己的证书,并通过验证之后,访问才可以进行下去

l 允许客户端证书映射,这项功能是将您的WEB服务器上的资源和WINDOWS帐号下的用户通过证书捆绑,有关详细操作,请参考《活动目录中的证书使用》。

l 允许证书信任列表:打开这项功能之后,只有由列表中您添加的信任的根证书签发的客户端证书,才可以授权访问您的WEB服务器。

现在用xp访问www.xapc.com是不可以访问的,因为xp没有证书

wps_clip_p_w_picpath-10920

通过https也是访问不了的

wps_clip_p_w_picpath-26420

再客户端申请web浏览器证书和个人证书

wps_clip_p_w_picpath-14092

wps_clip_p_w_picpath-5313 wps_clip_p_w_picpath-15066

wps_clip_p_w_picpath-22037

去CA服务器颁发证书

最后安装

wps_clip_p_w_picpath-14916

在浏览器上查看证书

wps_clip_p_w_picpath-4290

继续申请个人证书

wps_clip_p_w_picpath-22038wps_clip_p_w_picpath-30178

wps_clip_p_w_picpath-10387

最后提交

随后在CA服务器上颁发证书

然后安装

wps_clip_p_w_picpath-30197

查看客户证书

wps_clip_p_w_picpath-19036

随后在客户机浏览器上访问

因为web服务器已通过ssl加密,所以用http是不能访问的 还必须在后面添加s。即https.www.xapc.com

wps_clip_p_w_picpath-4273

wps_clip_p_w_picpath-18308

里面的两个证书随便选一个都可以进去

wps_clip_p_w_picpath-18503

通过证书可以访问