数字签名实验手册

1、PKI实验PKI原理回顾：PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础，使用户在虚拟的网络环境中能够验证相互之间的身份，并保证敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。CA系统是PKI的核心，因为它管理公钥的整个生命周期。一、CA安装证书服务独立根CA：独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可

2、以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。环境准备：虚拟机PC1安装好Windows Server 20031. 添加IIS组件：点击“开始”“控制面板”“添加/删除程序”“添加/删除windows组件”“Internet信息服务（IIS）”（如果没有这一项就安装“应用程序服务器”）。2. 点击确定下一步安装完成后，点击“开始”“管理工具”“IIS管理器”，查看IIS管理器，如下图：3. 添加证书服务组件：点击“开始”“控制面板”“添加/删除程序”“添加/删除windows组件”“证书服务”，勾选上。勾选之后出现如下提示，选择“是”，继续“下一步”：4.

3、选择“独立根”，默认情况下，用自定义设置生成密钥对和CA证书没有勾选，我们勾选之后点击下一步可以进行密钥算法的选择。如图：5. Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048您可以根据需要做相应的选择，这里我们使用默认。点击下一步6. 填写CA的公用名称（以test为例），其他信息（如邮件、单位、部门等）可在可分辨名称后缀中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。7. 证书数据库设置，保持默认，点击“下一步”进行安装。提示要停止IIS服务，选择“是”：出

4、现下图，选择“是”，继续安装。8. 若出现“浏览”，则如下处理：然后点击“确定”：9. 开始 管理工具 证书颁发机构，打开如下窗口：在启动“证书颁发机构”服务后，PC1便拥有了CA的角色。二、提交服务器证书申请环境准备：PC2作为Web服务器安装了Windows Server 2003，PC1中按照实验一中的步骤安装好证书服务，PC2与PC1网络互通。1. 在开始->程序->管理工具中打开“Internet信息服务（IIS）管理器”，通过左侧树状结构中的Internet信息服务->计算机名（本地计算机）->网站->新建网站test，选中test网站后右键单击“属性

5、”。2. 在PC2中打开浏览器，输入http:/PC1的IP/certsrv，打开如下页面：3. 选择“申请一个证书”，选择“高级证书申请”。4. 之后选择“使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请”，将1中保存的证书请求C: certreq.txt文本文件内的内容，粘贴到“保存的申请”然后“提交”。5. 这时在PC1中，点击开始程序管理工具证书颁发机构，可出现如下界面：在挂起的申请里可以看到刚才申请的证书ID为2的申请。6. 选中证书鼠标右键，选择“所有任务”“颁发”，进行证书颁发，如下图所

6、示。7. 证书颁发后将从“挂起的申请”文件夹转入到“颁发的证书”文件夹中，标识证书颁发完成，查看如下。8. 证书的下载安装在申请证书的计算机上打开浏览器，在地址栏输入http:/PC1的ip地址/certsrv，进入证书申请页面。刚才完成了“申请证书”，下面选择“查看挂起的证书申请的状态”，看看CA是否颁发了证书，如下图所示，点击下一步；在弹出的页面中选择已经提交的证书申请如下图所示。如果CA已经将证书颁发，则页面如下，选择“安装此证书”。下载证书和证书链保存到本地，其后缀分别为cer和p7b文件。9. 在IIS信息服务管理器->网站->test（我们建的测试网站），右键“属性”。

7、选择“目录安全性”选项卡，单击“服务器证书”按钮，此时出现“Web服务器证书向导”，单击“下一步”。选择“处理挂起的请求并安装证书”：选择之前保存的证书文件路径：在SSL端口文本框中填入443，单击“下一步”。完成整个安装过程。此时服务器证书已经安装完毕，可以单击“目录安全性”选项卡中“查看证书”按钮查看证书内容。10. 安装CA根证书右键单击certnew.p7b证书文件，在弹出菜单中选择“安装证书”，进入“证书导入向导”页面，单击“下一步”。11. 单向认证（仅服务器需要身份认证）在IIS信息服务管理器->网站->test->属性的“目录安全性”页签“安全通信”中单击“编

8、辑按钮”，选中“要求安全通道SSL”，并且“忽略客户端证书”（不需要客户端身份认证），单击“确定”。客户端启动IE浏览器，输入http:/服务器PC2的IP:100/index.html并确认，此时页面如下：客户端在IE中输入https:/服务器PC2的IP/index.html，此时会出现“安全警报”对话框提示，确定后出现如下界面：12. 双向认证（服务器和客户端均需身份认证）服务器端PC2在IIS信息服务管理器中，网站->test->属性，打开“目录安全性”->“编辑”，选中“要求安全通道SSL”，并且“要求客户端证书”，单击确定。客户端IE访问地址栏上输入https:/

9、服务器IP/index.html访问，此时弹出“安全警报”对话框，提示即将通过安全连接查看网页，确定后弹出“是否继续”，确定后出现“选择数字证书”对话框，但是没有数字证书可供选择，单击确定，页面出现提示“该页要求客户证书”。客户端向CA申请证书：登录http:/CA的IP/certsrv，在主页面选择“申请一个证书”，然后选择“Web浏览器证书”，在出现的页面填写相关信息后“提交”申请。接下来请CA为客户端颁发证书。客户端安装证书：客户端通过IE浏览器，工具->Internet选项->内容->证书，会在“个人”选项卡中看到主机CA给自己颁发的证书。然后访问https:/服务器

10、IP/index.html查看网站。三、证书服务管理1.停止/启动证书服务进入“证书颁发机构”菜单，右击刚建立的CA节点，在“所有任务”中选择“停止服务”，即可停止服务，CA节点图标此时变成红叉；同样，单击“启动服务”，则可启动证书。2.CA备份/还原右击CA节点，在“所有任务”中选择“备份CA”，即进入“证书颁发机构备份向导”，单击“下一步”按钮，选择要备份的项目和要备份的文件夹，单击“下一步”按钮。为了保护私钥的安全性，接着要输入保护私钥和证书文件的秘密，如下图所示。然后点击下一步，即可选择完成操作。CA的还原操作需要先停止CA服务，然后右击“CA公共名称节点”，在“所有服务”中选择“还原

11、CA”，即进入“证书颁发机构还原向导”，单击“下一步”按钮，弹出如图所示的对话框，选择要还原的项目和证书文件所在的文件夹，单击“下一步”按钮。在出现的对话框中输入保护私钥和证书文件的密码，单击“下一步”按钮，单击“完成”，即完成CA的还原，如下图所示。3.证书废除右击“颁发的证书”中需要废除的证书，在弹出的菜单中选择“所有任务”中的“吊销证书”菜单项，如下图所示。在弹出的“证书吊销”对话框中选择吊销的理由，单击“是”按钮，这个被废除的证书就转移到了“吊销的证书”文件夹。为了把吊销的证书对外发布，下面创建一个证书吊销列表，以供客户端下载查询。右击“吊销的证书”文件夹，在“所有任务”中单击“发行”

12、，单击“是”，即可完成证书的吊销列表的创建和发布，如下所示。如果要查看创建的证书吊销列表，右击“吊销的证书”文件夹，单击弹出菜单中的“属性”，弹出“吊销的证书属性”窗口，单击“查看当前CRL”按钮，中显示了吊销的证书信息。四、独立从属CA配置环境：两台Windows Server 2003，分别为PC1作为独立根CA，PC2作为从属CA，一台Windows xp作为客户端1. 首先在PC1上配置独立根CA服务，如实验一所示。2. 打开PC2配置为独立从属CA服务。选择独立从属CA。如果父CA在线可用,则选中"将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和

13、父CA的名称.如果父CA不在线可用,则选中"将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.验证安装：查看从属CA，可以看服务（“开始”“管理工具”“服务”），有图中的服务便安装成功。该主机已经拥有了独立从属CA的角色。3. 如果第2步中选择的是“将申请保存到一个文件”，则需要使用此证书申请文件手工向父CA提交申请，首先打开浏览器访问http:/PC1的IP/certsrv，然后“申请一个证书”->“高级证书申请”->“使用Base64编码的”，打开如下页面。在Base-64文本框中粘贴入第2步中保存的req文件，然后提交申请。4. 在独立根CA服务器PC1上，点击“开始”“管理工具”“证书颁发机构”。然后点击“挂起的证书”会看到从属CA的申请证书，然后可以颁发证书。5. 独立从属CA通过“证书页主页”->查看挂起的证书申请的状态->保存的申请证书->下载证书链，将以.p7