实训15-证书服务配置与管理(共10页)

1、计算机网络与应用 实验指导书 徐炳文 工程师实验十五 证书服务配置与管理一、实训目的：1. 掌握证书服务配置与管理的技能；2. 能够使用SSL访问服务器。二、实训设备：1. 计算机2. 5类双绞线若干三、实训任务：任务1：证书服务配置与管理；任务2：使用SSL访问服务器。四、实训步骤：一、CA证书服务器安装1安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“

2、独立根CA”；4然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二、客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http:/证书服务器IP/CertSrv/default.asp”。证书申请页面，输入相应的申请信息，然后点击申请一个证书。接下来选择"Web浏览器证书"填写相关信息

3、60; 2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。建议最好记下申请ID（本例为4）三、客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击->"颁发"四、客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http:/证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性->目录安全性-

4、>服务器证书2.按IIS证书向导 一步步 提交服务器证书申请六、服务器证书的颁发1.先打开"证书颁发机构"，提交刚才的申请选择刚才的c:certreq.txt按提示一步步完成2.颁发证书在挂起的申请里，可以看到刚才的申请(本例ID为5)，右击->颁发3.导出证书在颁发的证书里，可以看到多了个证书，在新颁发的服务器证书上右击->打开切换到"详细信息"，单击"复制到文件"，将该证书导出为cer文件七、IIS中服务器证书/SSL的设置、还是先打开网站属性，切换到"目录安全性"，点击"服务器证书

5、"2、安装服务器证书选择刚才导出的cer文件然后一路下一步，直到完成.3、设置SSL有了服务器证书后，IIS的相关站点，可以改用https:/来访问，还是打开网站属性->目录安全性->安全通信->编辑把"要求安全通知(SSL)"选中，确定即可这里，如果我们再访问,会提示以下错误：这里必须把http:/换成https:/来访问，即,如果是IE7，会提示证书错误，如下图:先不管这个错误(马上会说到如何处理)，点击"继续浏览网站(不推荐)"即可正常访问最后来分析一下，为什么会有这个证书错误，强行浏览这个页面后，会发现地址栏是红色的，

6、我们点击地址栏右侧的"证书错误"->“查看证书"观察一下会发现，刚才我们申请的服务器证书，在颁发证书时，默认是颁发给计算机名，本例中也就是jimmycntvs这台计算机的，而我们现在用localhost来访问，服务器会认为localhost与jimmycntvs不是同一台机器，因此觉得不安全！既然知道原因了，也就能解决了，我们把访问地址换成 (即把localhost换成jimmycntvs)，这回IE就认为访问地址与证书中的信息对上号了，也就没有提示了，呵呵五、实训思考题：1、什么是数字证书？它包括哪能些组成部分？2、安装了数字证书服务就一定安全吗