构建基于Windows 2003的CA系统实例
CA证书系统是通过证书在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证,用户与主机之间的认证可以基于如下一个或几个因素:用户所知道的东西:例如口令、密码等,用户拥有的东西,例如印章、智能卡(如信用卡等);用户所具有的生物特征:例如指纹、声音、视网膜、签字、笔迹等。
操作方法
- 01
实验环境如图3-113所示。 PKI原理回顾:PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础,使用户在虚拟的网络环境中能够验证相互之间的身份,并保证敏感信息传输的机密性、完整性和不可否认性,为电子商务交易的安全提供了基本保障。CA系统是PKI的核心,因为它管理公钥的整个生命周期。
- 02
Windows 2003 Server对PKI做了全面支持,在提供高强度安全性的同时,还与操作系统进行了紧密集成,并作为操作系统的一项基本服务而存在,避免了购买第三方PKI所带来的额外开销。 SSL(Secure Socket Layer,安全套接字层)是由Netscape公司开发的,被广泛应用于Internet上的身份认证及Web服务器和用户端浏览器之间的安全数据通信。SSL协议在TCP/IP协议之上,在HTTP等应用层协议之下,对基于T CP/IP协议的应用服务是完全透明的。利用CA颁发的证书,在服务器和客户端之间建立可靠的会话,从而保证两者之间通信的安全性。通过此类功能,企业就可以为相关用户颁发证书,并利用它来控制只有获取证书的用户才可以进行基于安全通道协议(即对Web网站上加密文件的访问使用https,而非http方式)验证的访问。
- 03
实验过程如下: 1.安装证书服务器(CA服务器) 在218.198.18.93计算机上,创建IIS(Web服务器)和创建CA认证中心。 (1)创建IIS 依次选择选择【开始】/【控制面板】/【添加/删除程序】 /【添加/删除Windows组件】,出现【Windows组件向导】对话框,如图3-114所示,选择【应用程序服务器】。单击【详细信息】按钮,选择如图3-115所示的选项,单击【确定】按钮,回到图3-114,单击【下一步】按钮,完成IIS的安装。 (2)创建CA认证中心 第1步:在图3-114中选择【证书服务】,出现【Microsoft证书服务】对话框,如图3-116所示,单击【是】按钮,回到图3-114,单击【详细信息】按钮,出现【证书服务】对话框,如图3-117所示,选中其中的两项,单击【确定】按钮,开始安装。
- 04
第2步:在图3-118中,选择证书颁发类型“独立根CA”。 选择证书颁发类型包括:企业根CA、企业从属CA、独立根CA和独立从属CA。 企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构,可以独立地颁发证书。企业根CA需要Active Directory支持,而独立根CA不需要。 从属级的CA由于只能从另一个证书颁发机构获取证书,所以一般不选择。 在Windows2003 Server中,企业根CA使用Active Directory来确定申请人的身份,确定申请人是否具有申请他们所指定的证书类型的安全权限,并由此自动确定是否立即颁发证书或拒绝申请,这种策略设置不能被更改。如果选择此选项一定要注意保护含有此服务的服务器,不能直接暴露在外。 独立根CA可以选择在收到申请时自动颁发证书或将申请保持为挂起状态,由管理员验证证书申请者的真实性及合法性,决定是否颁发证书。 第3步:在图3-118中,单击【下一步】按钮,如图3-119所示,填写CA识别信息,单击【下一步】按钮,如图3-120所示,出现【证书数据库设置】对话框,选择证书数据库及日志的位置。 第4步:在图3-120中,单击【下一步】按钮,出现如图3-121所示对话框,询问是否停止IIS,单击【是】按钮,如图3-122所示。配置组件过程中,出现如图3-123所示对话框,单击【是】按钮。出现如图3-124所示对话框,单击【完成】按钮,安装完成。
- 05
第5步:设置证书服务管理。依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】,如图3-125所示。右键单击【jsjCA】,选择【属性】/【策略模块】,如图3-126所示。单击【属性】按钮,如图3-127所示,选择【将证书请求状态设置为挂起,管理员必须明确地颁发证书】,单击【确定】按钮,完成证书服务管理的设置
- 06
2.安装Web服务器(SSL网站) 在218.198.18.96计算机上,创建Web服务器。 第1步:安装IIS,过程和在218.198.18.93计算机上一样。
- 07
第2步:依次选择【开始】/【程序】/【管理工具】/【Internet信息服务(IIS)管理器】,如图3-128所示,右键单击【ztg网站】,选择【属性】/【主目录】,如图3-129所示;选择【文档】,如图3-130所示;选择【目录安全性】,如图3-131所示。 在c:\inetpub\wwwroot下面创建index.htm主页文件,内容是“您正在访问ssl网站!”。
- 08
第3步:在图3-131中,单击【服务器证书】按钮,如图3-132所示,单击【下一步】按钮,如图3-133所示,选择【新建证书】。后续过程如图3-134—图3-141所示。在图3-139中,要记住文件名的路径,后面申请证书时,要用到该文件的内容。
- 09
第4步:在图3-131中,单击【编辑】按钮,如图3-142所示,选择【要求安全通道】和【要求客户端证书】,单击【确定】按钮。 第5步:打开IE浏览器,在地址栏输入http://218.198.18.93/certsrv/,如图3-143所示,单击“申请一个证书”,如图3-144所示,单击“高级证书申请”,如图3-145所示,单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。”,如图3-147所示,将图3-146所示的C:\ certreq.txt文本文件内的内容,粘贴到“保存的申请”。
- 10
在图3-147中,单击【提交】按钮,如图3-148所示,申请的证书处于挂起状态。 第6步:在证书服务器上(218.198.18.93计算机),依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】,如图3-149所示。单击左侧栏的【挂起的申请】,在右侧栏右键单击一个挂起的申请,依次选择【所有任务】/【颁发】。 第7步:在218.198.18.93计算机上,在图3-143中,单击“查看证书申请状态”,如图3-150所示,单击“保存的申请证书”,如图3-151所示,单击“下载证书链”,如图3-152所示,单击【保存】按钮,将文件certnew.p7b保存在桌面。
- 11
第8步:在图3-131中,单击【服务器证书】按钮,如图3-153所示,单击【下一步】按钮。后续过程如图3-154—图3-158所示,完成证书的安装。
- 12
第9步:在图3-159中,单击【查看证书】按钮,如图3-160所示,查看安装的证书。单击【确定】按钮回到图3-159,单击【确定】按钮,SSL网站创建完成。
- 13
3.配置客户端 第1步:在客户端(218.198.18.91计算机),打开IE浏览器,在地址栏输入http://218.198.18.93/certsrv,出现类似图3-143所示的页面,单击“下载一个证书,证书链或CRL”,出现如图3-161所示的页面,单击“安装此CA证书链”,出现如图3-162所示的对话框,单击【是】按钮添加证书,安装CA证书链后,客户机的登录用户就会信任此CA服务器(证书服务器)。
- 14
第2步:向CA服务器申请Web浏览器证书,先回证书服务首页,类似图3-143所示的页面,单击“申请一个证书”,出现如图3-163所示的页面,单击“Web浏览器证书”,出现如图3-164所示的页面,填写用户信息,单击【提交】按钮,出现如图3-165所示的对话框,单击【是】按钮,出现如图3-166所示的页面,表示申请的证书到达CA服务器,处于挂起状态。
- 15
第3步:在证书服务器上(218.198.18.93计算机),依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】,如图3-167所示。单击左侧栏的【挂起的申请】,在右侧栏右键单击一个挂起的申请,依次选择【所有任务】/【颁发】。
- 16
第4步:在客户端(218.198.18.91计算机),打开IE浏览器,在地址栏输入http://218.198.18.93/certsrv,出现类似图3-143所示的页面,单击“查看挂起的证书申请的状态”,出现如图3-168所示的页面,单击“Web浏览器证书”,出现如图3-169所示的页面,得知申请的证书已经颁发,单击“安装此证书”,出现如图3-170所示的对话框,单击【是】按钮。出现如图3-171所示的对话框,表明证书已经安装成功。
- 17
第5步:在客户端(218.198.18.91计算机),打开IE浏览器,在地址栏输入http://218.198.18.96/,出现图3-172所示的对话框,单击【确定】按钮,接着出现图3-173所示的对话框,单击【是】按钮,出现图3-174所示的对话框,选择一个证书。单击【确定】按钮,出现如图3-175所示的页面,看到了SSL网站的内容。