信息安全实验报告（PKI实验）

PKI/CA实验

PKI/CA实验

实验地点 日期 2015.12.7 学号 20122712 姓名 魏仁斌

一、实验目的

掌握PKI/CA的基本原理，利用Windows CA组建一个CA系统，能够完成CA创建、证书请求生成、证书颁发、CA管理等功能。利用该CA颁发的证书实现基于SSL协议的安全WWW传输。

二、实验原理

参见“网络信息安全教学实验系统”实验二（练习3）之原理篇。

三、实验环境

1、网络信息安全教学实验平台。 2、Windows CA。

3、抓包工具（如wireshark-win32-1.4.9中文版）。

四、实验内容和任务

本实验每人一组，利用电脑的本机操作系统（如Windows7）和虚拟机内的操作系统（Windows 2003 Server），模拟CA、Web服务器和客户端的角色，分配如下。

实验角色 根CA Web服务器（或二级CA） 客户端 实验内容和任务包括： 1、Windows CA应用

（1）掌握Windows CA的安装及配置方法； （2）掌握用户进行证书申请和CA颁发证书的过程；

角色分配 虚拟机内的Windows 2003 Server 虚拟机内的Windows 2003 Server 本机操作系统（如Windows7） 第1页，共9页

PKI/CA实验

（3）掌握使用数字证书配置安全Web站点的方法；

（4）掌握使用数字证书发送签名邮件和加密邮件的方法（选作）。 2、利用Windows CA完成证书管理

（1）掌握CA通过自定义方式查看申请信息的方法； （2）掌握备份和还原CA的方法； （3）掌握吊销证书和发布CRL的方法。 3、信任模型

（1）了解PKI常见的信任模型；

（2）利用Windows CA实现一个信任模型。

五、实验步骤

5.1 安装虚拟机环境

在电脑上安装虚拟机系统VMWare 9.0，解压虚拟机镜像文件压缩包ExpNIS.Windows.rar。

启动VMWare 9.0，利用“File | Open”菜单打开虚拟机镜像文件ExpNIS.Windows.vmx（在解压后的Host6E子目录下）。打开后，可以利用VMWare的Power On功能启动虚拟机操作系统（该操作系统是Windows 2003 Server，登录口令为 jlcssadmin），也可以利用“VM | Snapshot | Snapshot 1”菜单恢复虚拟机操作系统（恢复操作系统无需登录过程）。

5.2 配置网络环境

修改虚拟机内操作系统的IP地址（该地址默认为192.168.1.1），使其和本机实际操作系统的IP地址处于同样的网段，并能相互Ping通。修改后，虚拟机操作系统的 IP地址是： 192.168.159.137 ，本机操作系统的IP地址是： 192.168.159.135 。

打开虚拟机中的“Internet信息服务（IIS）管理器”，查看其“默认网站”的状态是否为“正在运行”。在本机操作系统中启动浏览器，在地址栏中输入虚拟机IP地址，查看是否能打开虚拟机的“Web服务测试页”。

安装抓包工具（如wireshark），自学抓包工具的使用方法。利用抓包工具观察本机访问虚拟机Web服务时的TCP/IP报文和HTTP报文。

利用抓包工具捕获针对虚拟机的Web访问。Web服务器的IP地址是 192.168.159.137 、端口号是 80 。在捕获的结果中查看HTTP协议，其中HTTP协议的请求包（GET）的第一个“首部字段”的内容是 Accept: */*\\r\\n 第2页，共9页

PKI/CA实验

，HTTP协议的响应包（HTTP1.1）的第一个“首部字段”的内容是 Content-Length: 1193\\r\\n 。 5.3 Windows CA应用

1、安装Windows CA（即Windows 证书服务），其主要步骤是：

一、添加IIS组件; 二、添加\证书服务\组件：

1.安装独立CA，不需要安装活动目录; 2.选择\用自定义设置生成密钥对和CA证书\

3.选择密钥算法：选择默认即可，Microsoft Strong Cryptographic Provider，

散列算法：SHA-1，密钥长度：2048;

4.填写CA的公用名称，其他信息（如邮件、单位、部门等）可在‘可

分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，这里默认即可）;

2、启动“证书颁发机构”服务后，主机便拥有了CA的角色。启动该服务的菜单位置是 开始->管理工具->证书颁发机构 ；CA的名字是 ISCA ；CA的根证书信息是：颁发者 ISCA ；颁发给 tang-clicent ； 有效期 2015-11-14 到 2016-11-14 。

3、创建WWW服务器的证书申请，由CA颁发服务器证书 （1）服务器创建证书请求的主要步骤是：

1.安装好IIS，打开\默认网站\，右键点击\默认网站\属性->选择\目录安全性\选项卡：

2.发现\查看证书\为灰色不可用，说明还未为‘默认网站’配置数字证书。单击\服务器证书\

3.选择\新建证书\。如果以前配置过数字证书，并且数字证书仍然可用，则选择‘分配现有证书’即可;

第3页，共9页

5.允许使用ASP功能

PKI/CA实验

4.证书名称可以根据需要更改，不影响证书的使用。这里是\默认网站\5.填写真实的单位部门名称

6.填写公用名称，只能是该网站的DNS，如果尚未申请DNS则可以用IP地址代替。

7.将这些信息以Base64编码的形式保存在本地

8.打开证书申请网页->‘申请一个证书’-> 点击‘高级证书申请’->‘使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请’

9.打开刚才保存的certreq.txt 全选，并将其复制，粘贴到网页的文本框中，点击‘提交’

（2）通过Web服务向CA申请证书的主要步骤是： 1.在IE地址栏中输入证书服务系统的地址，进入服务主页 2.点击‘申请一个证书’进入申请页面： 3.点击申请‘Web浏览器证书’

4.申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填 5.建议勾选上‘启用强私钥保护’，点击‘提交’ 6.单击‘设置安全级别’并设置为高，单击下一步

7.输入口令，对证书进行加密，并记住密码，单击‘完成’：

8.现在假定CA管理员已经颁发了申请人的证书，点击‘查看挂起的证书申请状态’，点击‘安装此证书’

其中CA的超链接（URL）是： http://192.168.159.137/certsrv 。

（3）CA为服务器颁发证书的主要步骤是：

1.开始->管理工具->证书颁发机构

2.在‘挂起的申请’里已经存在申请挂起等待颁发的证书,右键点击挂起的证书->所有任务->颁发：

查看创建好的服务器证书，该证书的持有者是 192.168.159.137、颁发者是

第4页，共9页

PKI/CA实验

ISCA 、有效期为 2015-11-14 到 2016-11-14 。

4、在服务器上安装服务器证书的主要步骤是：

1.现在假设CA管理员审核证书信息后执行了颁发，再次打开CA的证书申请系统->点击‘查看挂起的证书申请的状态->点击‘下载证书’，将.cer文件保存到本地。（如果有需要也可以将‘证书链’也下载，证书链里包含CA服务器的数字证书）

2.返回默认网站->属性-> 目录安全性,单击‘服务器证书’进行数字证书的安装,选择好刚才保存的.cer证书文件

3.设置SSL的端口，默认是443 4.单击”完成”

5、在服务器上安装“CA根证书”的主要步骤是：

1.键入 192.168.159.137/certsrv/certcarc.asp 即可打开网页，\下载CA证书\2.开始->运行：运行打开mmc

3.文件->添加/删除管理单元,单击‘添加’,找到‘证书’的管理单元，单击‘添加’,选择‘计算机帐户’，单击‘下一步’,单击‘完成’,单击‘确定’ 4.我们已经将‘证书（本地计算机）’添加到控制台。,将其展开，展开‘受信任的根证书颁发机构’

5.导入证书颁发机构的数字证书。右键‘证书’导入证书,选择我们已经保存的CA证书，单击‘下一步’,单击‘完成’

安装完毕，在IE中点击“工具｜Internet选项｜内容｜证书”，在“受信任的根证书颁发机构”页中查看CA的根证书，其是否存在？_是__。

6、在服务器上，利用服务器证书启动SSL安全WEB（单向认证），主要步骤是：

1.打开\默认网站\，右键点击\默认网站\属性->选择\目录安全性\选项卡 2.点击\安全通信\部分的\编辑\勾选‘要求安全通道’和‘要求客户端证书’选项卡，单击确定

第5页，共9页

本文来源：https://www.bwwdw.com/article/1u4r.html