构建基于Windows 2003的CA系统实例

操作方法

• 01

  实验环境如图3-113所示。 PKI原理回顾：PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础，使用户在虚拟的网络环境中能够验证相互之间的身份，并保证敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。CA系统是PKI的核心，因为它管理公钥的整个生命周期。

  

• 02

  Windows 2003 Server对PKI做了全面支持，在提供高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。 SSL（Secure Socket Layer，安全套接字层）是由Netscape公司开发的，被广泛应用于Internet上的身份认证及Web服务器和用户端浏览器之间的安全数据通信。SSL协议在TCP/IP协议之上，在HTTP等应用层协议之下，对基于T CP/IP协议的应用服务是完全透明的。利用CA颁发的证书，在服务器和客户端之间建立可靠的会话，从而保证两者之间通信的安全性。通过此类功能，企业就可以为相关用户颁发证书，并利用它来控制只有获取证书的用户才可以进行基于安全通道协议（即对Web网站上加密文件的访问使用https，而非http方式）验证的访问。

  

• 03

  实验过程如下： 1．安装证书服务器（CA服务器） 在218.198.18.93计算机上，创建IIS（Web服务器）和创建CA认证中心。 （1）创建IIS 依次选择选择【开始】/【控制面板】/【添加/删除程序】 /【添加/删除Windows组件】，出现【Windows组件向导】对话框，如图3-114所示，选择【应用程序服务器】。单击【详细信息】按钮，选择如图3-115所示的选项，单击【确定】按钮，回到图3-114，单击【下一步】按钮，完成IIS的安装。 （2）创建CA认证中心 第1步：在图3-114中选择【证书服务】，出现【Microsoft证书服务】对话框，如图3-116所示，单击【是】按钮，回到图3-114，单击【详细信息】按钮，出现【证书服务】对话框，如图3-117所示，选中其中的两项，单击【确定】按钮，开始安装。

  

• 04

  第2步：在图3-118中，选择证书颁发类型“独立根CA”。 选择证书颁发类型包括：企业根CA、企业从属CA、独立根CA和独立从属CA。 企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要Active Directory支持，而独立根CA不需要。 从属级的CA由于只能从另一个证书颁发机构获取证书，所以一般不选择。 在Windows2003 Server中，企业根CA使用Active Directory来确定申请人的身份，确定申请人是否具有申请他们所指定的证书类型的安全权限，并由此自动确定是否立即颁发证书或拒绝申请，这种策略设置不能被更改。如果选择此选项一定要注意保护含有此服务的服务器，不能直接暴露在外。 独立根CA可以选择在收到申请时自动颁发证书或将申请保持为挂起状态，由管理员验证证书申请者的真实性及合法性，决定是否颁发证书。 第3步：在图3-118中，单击【下一步】按钮，如图3-119所示，填写CA识别信息，单击【下一步】按钮，如图3-120所示，出现【证书数据库设置】对话框，选择证书数据库及日志的位置。 第4步：在图3-120中，单击【下一步】按钮，出现如图3-121所示对话框，询问是否停止IIS，单击【是】按钮，如图3-122所示。配置组件过程中，出现如图3-123所示对话框，单击【是】按钮。出现如图3-124所示对话框，单击【完成】按钮，安装完成。

  

• 05

  第5步：设置证书服务管理。依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】，如图3-125所示。右键单击【jsjCA】，选择【属性】/【策略模块】，如图3-126所示。单击【属性】按钮，如图3-127所示，选择【将证书请求状态设置为挂起，管理员必须明确地颁发证书】，单击【确定】按钮，完成证书服务管理的设置

  

• 06

  2．安装Web服务器（SSL网站） 在218.198.18.96计算机上，创建Web服务器。 第1步：安装IIS，过程和在218.198.18.93计算机上一样。

  

• 07

  第2步：依次选择【开始】/【程序】/【管理工具】/【Internet信息服务（IIS）管理器】，如图3-128所示，右键单击【ztg网站】，选择【属性】/【主目录】，如图3-129所示；选择【文档】，如图3-130所示；选择【目录安全性】，如图3-131所示。 在c:\inetpub\wwwroot下面创建index.htm主页文件，内容是“您正在访问ssl网站！”。

  

• 08

  第3步：在图3-131中，单击【服务器证书】按钮，如图3-132所示，单击【下一步】按钮，如图3-133所示，选择【新建证书】。后续过程如图3-134—图3-141所示。在图3-139中，要记住文件名的路径，后面申请证书时，要用到该文件的内容。

  

• 09

  第4步：在图3-131中，单击【编辑】按钮，如图3-142所示，选择【要求安全通道】和【要求客户端证书】，单击【确定】按钮。 第5步：打开IE浏览器，在地址栏输入http://218.198.18.93/certsrv/，如图3-143所示，单击“申请一个证书”，如图3-144所示，单击“高级证书申请”，如图3-145所示，单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”，如图3-147所示，将图3-146所示的C:\ certreq.txt文本文件内的内容，粘贴到“保存的申请”。

  

• 10

  在图3-147中，单击【提交】按钮，如图3-148所示，申请的证书处于挂起状态。 第6步：在证书服务器上（218.198.18.93计算机），依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】，如图3-149所示。单击左侧栏的【挂起的申请】，在右侧栏右键单击一个挂起的申请，依次选择【所有任务】/【颁发】。 第7步：在218.198.18.93计算机上，在图3-143中，单击“查看证书申请状态”，如图3-150所示，单击“保存的申请证书”，如图3-151所示，单击“下载证书链”，如图3-152所示，单击【保存】按钮，将文件certnew.p7b保存在桌面。

  

• 11

  第8步：在图3-131中，单击【服务器证书】按钮，如图3-153所示，单击【下一步】按钮。后续过程如图3-154—图3-158所示，完成证书的安装。

  

• 12

  第9步：在图3-159中，单击【查看证书】按钮，如图3-160所示，查看安装的证书。单击【确定】按钮回到图3-159，单击【确定】按钮，SSL网站创建完成。

  

• 13

  3．配置客户端 第1步：在客户端（218.198.18.91计算机），打开IE浏览器，在地址栏输入http://218.198.18.93/certsrv，出现类似图3-143所示的页面，单击“下载一个证书，证书链或CRL”，出现如图3-161所示的页面，单击“安装此CA证书链”，出现如图3-162所示的对话框，单击【是】按钮添加证书，安装CA证书链后，客户机的登录用户就会信任此CA服务器（证书服务器）。

  

• 14

  第2步：向CA服务器申请Web浏览器证书，先回证书服务首页，类似图3-143所示的页面，单击“申请一个证书”，出现如图3-163所示的页面，单击“Web浏览器证书”，出现如图3-164所示的页面，填写用户信息，单击【提交】按钮，出现如图3-165所示的对话框，单击【是】按钮，出现如图3-166所示的页面，表示申请的证书到达CA服务器，处于挂起状态。

  

• 15

  第3步：在证书服务器上（218.198.18.93计算机），依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】，如图3-167所示。单击左侧栏的【挂起的申请】，在右侧栏右键单击一个挂起的申请，依次选择【所有任务】/【颁发】。

  

• 16

  第4步：在客户端（218.198.18.91计算机），打开IE浏览器，在地址栏输入http://218.198.18.93/certsrv，出现类似图3-143所示的页面，单击“查看挂起的证书申请的状态”，出现如图3-168所示的页面，单击“Web浏览器证书”，出现如图3-169所示的页面，得知申请的证书已经颁发，单击“安装此证书”，出现如图3-170所示的对话框，单击【是】按钮。出现如图3-171所示的对话框，表明证书已经安装成功。

  

• 17

  第5步：在客户端（218.198.18.91计算机），打开IE浏览器，在地址栏输入http://218.198.18.96/，出现图3-172所示的对话框，单击【确定】按钮，接着出现图3-173所示的对话框，单击【是】按钮，出现图3-174所示的对话框，选择一个证书。单击【确定】按钮，出现如图3-175所示的页面，看到了SSL网站的内容。