安装和配置证书服务-精

1、信息学院实验报告学号：姓名：班级：课程名称：网络安全与管理实验名称：实验六安装和配置证书服务实验性质：综合性实验设计性实验验证性实验实验时间：2016年5月27日实验地点：睿智4栋309实验室本实验所用设备：硬件：电脑1台；软件：VMware? Workstation 12 Pro ， Windows Server 2003 操作系统、Windows7操作系统实验报告：（包括：目的、内容、结果或实验小结等。）实验目的1. 通过实验深入理解PKI、CA和数字证书的原理和应用。2. 掌握向CA申请证书的过程：3. 为客户机浏览器IE申请证书。4. 掌握证书的管理功能：挂起、颁发、吊销、失效实验内容

2、及步骤：实验内容：1、在 Windows Server 2003上安装/删除独立根证书。2、Web服务器和客户端向CA申请证书。3、CA颁发证书。实验步骤：（一）在计算机上安装证书服务，创建一个独立存在的根 CA这一根CA将位于认证链的顶部。 1、以管理员身份登录计算机/服务器。2 、需要先安装IIS （证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS 的话，无法通过web浏览器的方式申请证书）3、在“控制面板”上双击“添加/删除程序”图标，出现“添加删除程序”对话框。在这个对 话框中单击“添加/删除windows组件”，启动windows组件安装向导。图1 windows

3、组件安装向导否取消描逑.冕装证茶備发机构 饥）以硬磁 证朽用于梵胡安全程序详细信启（&）.上一歩下一步如：取消F1円.亠上 丿37955.5 HF上一歩逼）|下一步佗）：|6、点下一步选“独立根CA疏企业CA ffS Aciiv. Dir=Ury,您必纵同时空业管理丘粗的成厂用自定文设置生成窸钥对和CA证书軀消|帮助I上1歩】|下一步:|图4创建独立根CA7、输入一个公用名称。所需谢盘空间 可用磁盘空间.所篙腿務 可用磁盘空可5.2 MB36170.3 MBCA类型选挥您想设置的CA类型.Vi ndows 麵件可凶丽加或册除WindowE的组件口卿竝掘蚤启计Jt机名砂战员期过毎J hLL:-1

4、. jca洁息.| -峯 疑菇輸歸隘麗琴昶謡鬻银 總繼 蟲 号 1 cro&oft GF耦寥阳m恥齟件自导r仝业根ca（1）广金业丛雇CA忡痙很直r SzaS鶴CK类型的描谨UA层次结构中摄爰信任的CAn图2证书服务5、在“ Microsoft证书服务”对话框中，提示安装证书服务后，不能再重新命名计算机和加 入域或从域中删除。图3 Microsoft 证书服务单击下一步。4、打开win dows组件向导。在组件下，找到并单击证书服务。7韵网路服务2.B MBJ* *3应用程序服茗器諷4 MSn必诵程存皓4.1 MB E证莓服务1.4 MBli 1丿绛端闍各黑0.D MB组件-Tindovs鄭件

5、向导输入识别该CA的信息.XIE CA的臂用名称:可分辨名龄后缀如:可分辨名称的预览（I:CHCandy育效期限世）： |3WKESi止日期2016-8-27 15:45上1歩下一歩閣”取洎 |帮助 |图5 CA公用名称及有效期限iadaws.粗评口导证书数毎阵设巻输入证书数据库避据库日志和配置套息的位置证韦数皓库日吉6：浏宽迦|C： WflHrOiSVsysttmSSVCertLogF 惚己置蓿見弃骼正厂亨立件夹中 共享文件灭咖：浏宽|ICACAConfi?v上一歩他）|下一歩迢）了帮朋 |2S1图6证书数据库设置8 最后下一步”完成。-j i召制健.左SS理序正H配fl（益何阳花时1可臬3

6、?于ift是稠件.尖态正在里帝攻件图7配置组件9、在命令窗口内输入 certsrv.msc,确定后直接打开 CA证书?J X预期目的g:个人证书的预期目的删除|高级内容|连接I程序I局级I常规I安全|隐利苴他人导入（D 导出图8证书颁发机构10、在浏览器中，In ternet属性-证书中-查看、验证已配置的证书。厂分刼审査分饭墓统可帮肋燈控制在适计套机上看到的InternetL億攪署1鶴止日期1好逗的名称|LJCandyii ! -ii an mi ii I ! - nil! !iim milCandy rrrmiiiii- TmBTrmTrrmnn m iiiwidT2015-5-3C中臥证

7、书预炭机构|畫信任的根证书頒发机构丨受信任的发行者| aL卜key20G1-5-6crosoft Wind.Mi crosot Root A.2002-1.圄Boot ApencyRost jAgency2CK0-1-1VeriSigzi CUss .Cl&ss1 Public F .2008-5-13VeriSign Class.Class2 Public P .2004-1-7www. verisign. c,，Cls3 Public F.2001-1-3t E t t- t t 爼35SS俎图9 In ternet属性中的证书设置（二）用户请求一个计算机证书1、在服务器上打开IE浏览器，

8、并在地址栏“/certsrv”或指定CA服务器IP地址为：3，使用客户机（win7）访问该CA服务器，打开IE浏览器，并在地址栏“ http:/ 3/certsrv”地址 01)http：/127. 0. 0. 1/ctrtirv/Sicrasoft 证书嚴务一Candy主豆欢迎使用此网站为您的Web浏览器，电子邮件客户端或其他程序申请一个证书.通过使用 证书，您可以问通过Web通信的人确认您的身份，签署并加密邮件，并且*根据您申 请的证书的类型，执行其他安全任务。您也可以使用此网站下载证书颁发机构（叫）证书，证书链，或

9、证书吊销列表（CRL）,或 查看挂起的申请的状态。有关证书服务的详細信息，请参阅证书服务文档.选择一个任务： 申请一个证书 査看捷起的证书申请的状态1T栽一小 厂& :H二ti痒卅 LPT图10 IE浏览器中打开CA2、选“下载证书，证书链或CRL，可以看到刚刚安装的根证书。安装 CA证书链后，客户机上的登陆用户就会信任CA服务器（证书服务器）Bit | 舀 http ：/127. QJO. l/Gflrtsrv/Gr1.ic,ftTG asp73 Q.軽| giui书Jte箝 一 Candy主贝0下载CK证书.证书链或CRL要信任从这个证书獗发发的证书，安装此证书犍亠 妾下载一午CA证书、证

10、书链或CRL,选择证书和騙码方法* CA证书：当前|C前旳编码方法;DERBase 64下裁CA讣申图11下载证书、证书链或 CRL3、选安装此CA证书链。弹出如下窗口。单击“是”此阿站正在将一亍或書于证书希加到此计篡机上.允许不信任亠的证书，这可能会允许塚不信任的程序在此计篡机上运行箱 取对储的数据的谊问.宦想it此程序现在沥抑涟书吗T如果您信任此网站请单击“o否则，诸单击“否”-匚査二图12安装此证书链地址）|总1 http ：/127. 0L 0. 1 /certsrv/certrmpn. asp耳E转到Microsoft 证书服务 - Candy主页CA证书安装CA证书链己成功安辕图1

11、3按证书链安装成功4、向CA服务器申请web浏览器证书，先回证书服务首页，如图选“申请一个证书”也址 1卫.1: /fl2T .0.0. 1/ c ertsrv/3斟I Jtr rro-Fflt 证书服务 一 Candy使用此陌站为您的恥b浏览器.电子邮件客户端或其他程序甲请一牛证45*逋过便用 迁书，悠可以向通过Neb通信的人确认短的身粉，签署幷加密邮件，并且.根据您申 请的证书的类型.执行其也安全任纵您也可以使用此岡站下载证书颁发机构広姑证书，证书铸或证书吊鞘列CCRL或 查看挂起的中请的状态.有关证书胆务的車田信息.请参阅证书張务文档.选择一个任务：申请一牛证书鱼看挂起的证书申请的状态下

12、载一个CA证书.证书铸或CRL图14申请一个证书5、选“ Web浏览器证书”地址迦圃 http ； 127- 0. 0. l/certsrv/certrQUE. asp主页Microsoft证书月艮务 一 Candy申请-个选择一个证书类型：Web浏览器证书电子邮件保护证书或者，提交一个高级证书申请簣图15 Web浏览器证书6、填写个人信息。地址 1 1 j http；/127,0, 0. 1 /certgrv/certrq,bi. apTtypM)三| E3转到瞪XirosQft 证书服务 - CandyiM|Web浏克器证书-识别信息要完成您的证书，在下面的框中输入要求的信息。堆名：xia

13、oxiao电子那件：|E ICCP部门：in市/县;： 国寡（地区）;更爹选项图16填写个人信息图17允许申请证书址 Q1.1 d http：/1ZT. D. 0.1/ctrtsTv/eartfnsJi spXic-iasaft 证书服勞一Candy主页证15挂起您的证书甲请已经收到。但是.您必须等特管理员颂发您甲请的证书鱼的申请Id为2.请在一天或两天内返回此翩站以栓盍悠的证书。汶虑：您端頁用此釧览擁 10天内谑目以.抡卑煞的订申图18证书挂起7、用证书服务器给用户颁发证书，我们回到证书服务器上，在挂起的申请上颁发证书?l xl口黔驚豎瞬打巒的名图19打开证书服务器

14、打开辺:选择“颁发”8 、回到客户机的首页，选择图20颁发证书“查看挂起的证书申请的状态”地址|魯http ：/12T. 0- D. 1 /certsrWcertckpn. asp3 E转到Microsoft 证书服务一 Candy主页查看挂起的证书申请的伏态请选择您要查看的证书申请：W吐浏览器证书ggi6年5月右日15:克必0)图21查看挂起的证书申请的状态选择刚刚颁发的。可以发现证书的状态是已经颁发。地址）httP:/127 0 0 1/certsrv/cerasp主贡Xicrosoft 证书服务 - Candy证书己颁发您申请的证书己颁发给您。舄安装此证书图22证书已颁发9、接着点安装证

15、书.地址http: /127. 0- 0. 1 /cert：srv/certrmpri. aspQJFjr crosoft 证书服务 - Candy41 贡证书己安裝您的新证书己经成功安装。图23安装此证书10、证书查看及吊销在“开始”-“运行”输入 MM打开控制台。图24打开控制台MMC图25控制台112、在“文件”上选择“添加删除管理单元”对话框，单击添加按钮，出现“添加独立管理单 元”对话框。找到“证书”单元，单击“添加”。图26添加独立管理单元13、选择“计算机账户图27证书管理单元 选择“本地计算机用户”-“完成”图28选择计算机14、在“证书-本地计算机”在个人证书可以看到安装的 web邮件保护证书7；控制台i立件匹I操作I更若 收議夹a 窗口血 助叫4 * I商I釦用囲图29证书（本地计算机）双击查看证书。图30查看证书信息删除证书服