实验六PKI技术之证书管理

1、精品文档实验六PKI技术之证书管理实验日期：2012.11.15班级：10网络安全(CIW)姓名：学号一、实验目的(1) 掌握CA通过自定义方式查看申请信息的方法(2) 掌握备份和还原CA的方法(3) 掌握吊销证书和发布CRL的方法二、实验要求(1) 准确完成实验内容，得出实验结果(2) 写出实验步骤和实验小结三、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下:实验主机实验角色主机A、C、ECA(证书颁发机构)、服务器主机B、D、F客户端下面以主机A、B为例，说明实验步骤。首先使用“快照X”恢复Windows系统环境。(一)安装证书服务主机A安装证书服务，具体步骤

2、见实验五|安全Web通信|单向认证。在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。(二)CA操作1.CA自动颁发证书(1)CA通过“开始”|“程序”|“管理工具”|“证书颁发机构”打开“证书颁发机构”。(2)在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“属性”，打开“属性”选项卡，单击“策略模块”|“属性”。在“请求处理”页签中选择“如果可以的话，按照证书模板的设置。否则，将自动颁发证书”。单击“应用”按钮，出现重启证书服务提示信息，单击“确定”直到完成设置，重启证书服务。如图3-1、3-2所示：图3-1策略模块诺索处理|修洞西工默鬣略攫区控制此门在默认恬况下如何处理位

3、书清在收却正书请正时执行下面力律作r将证书诸求优态隹”拄起.昔理员购克?用琼地/发证书卷人仃如卷可以的话，以照证书模芯中的设置.西则，将自动雌 证书®.精品文档IEW|-eI取1"门丹触-应用®图3-2选择“请求处理”2.客户端以高级方式申请证书注客户端向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。| “高级(1)客户端通过IE浏览器访问http:CA的IP/certsrv/,通过“申请一个证书”证书申请”|“创建并向此CA提交一个申请”进入证书申请页面。如图3-3所示:图3-3创建并向此CA提交一个申请在“识别信息”中填入相关信息。在“需要

4、的证书类型”中选择“客户端身份验证证书”。m 9 g 现:口扉9回工科?” 一吃土 .臼r世业百3三丁-二mK3 fl0* 3-4所示:在“密钥选项”中选中“标记密钥为可导出”，其它项保持默认设置。如图图3-4填入“识别信息”和选择相关选项单击“提交”按钮提交信息。由于CA已经设置“自动颁发证书”策略，所以申请被立刻批准，此时页面显示“证书已颁发”，客户端单击”安装此证书”，如图3-5所示。这时出现对话框“潜在的脚本冲突”，单击“是”。这时页面出现对话框“安全性警告”单击“是”这时页面显示信息“证书已安装”。图3-5客户端安装证书(2)CA查看“颁发的证书”，操作“添加/删除列”。在“颁发的证

5、书”目录中，双击信息条目即可以查看证书，如图3-6所示:口Ff4mtuiaHki常田国的m下 -SiEWi.+MWJRMM*£耳 <j»rO1ft 0超邦日步1加骷5M Stel-ll IS图3-6查看证书Mikfn_jmHZfs二J通*停懵如果要查看证书的单独项，右键单击“信息条目”，选择“所有任务”|“导出二进制数则应该在“添据”，弹出“导出二进制数据”对话框，在其中选择相应的项。如果不能显示,加/删除列”中选择相应的列，如图3-7所示：您只能导出在下面的详钿内容访格中显示的列的二进制?|x|数据.要砺加列到详细内容窗格，在“查看”菜单下单击“添加/册瞪列'

6、;：包含二进制数据的列©：|颌发的二进制名称H导出选项：区查看格式化后的数据文本版本9r俣存二进制数据到一个文件0)广二,取消I1图3-7导出二进制数据在“证书颁发机构”的左侧树状结构中右键单击“颁发的证书”|“查看”|“添加/删除列”来自定义要显示的项目。其它几个目录如“挂起的申请”等也可以进行这项操作，如图3-8所示:_J ri'-rrt- I'._| 的木海蜘的电通<-MillIte .取清I图3-8添加删除列3.CA的备份和还原(1)CA在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“备份CA”，此时出现“证书颁发机构备份向导”

7、，单击“下一步”，如图3-9所示：图3-9证书颁发机构备份向导在“选择要备份的项目”中选中两个选项。“备份到这个位置中”选择一个新建的空目录，单击“下一步”，如图3-10所示:证书盅龙祝物各航向身要看带的有目更可以备份证需您发机恂物典的单个相件.选春要备懵的项目V私钥和佻证书(£)打日书兼担库司证书融庄日惠番粉到电个位置口：1消口=愉9®二：1注也备怜目录必软展交的.士上一步下一生目图3-9选择要备份的项目和位置3-11所示:输入密码并确认密码，单击“下一步”直到“完成”，如图图3-11选择密码在“颁发的证书”目录中，选择一个证书右键单击此证书选择“所有任务”|“吊销证书”

8、。此时弹出对话框要求指定“理由码”，选择任意“理由码”单击确定，如图3-12所示。此时选择的证书已经转移到“吊销的证书”目录中，如图3-13所示，右键单击此证书选择“所有任务”|“解除吊销证书”，此时出现提示信息“取消吊销命令失败”，单击“确定”。如图3-14所示：当Z-BEG啊匚6LD£d.20L2-11-1515.2(113-11-1516-习MasMClDuS.一一眦GIH匕.台H凿b2m1-B弓出2013-3J-IS16.图3-12证书吊销n正划置fc苴-：事-i.1：，I-d!电i昨-l里F-1+山，忌&I二ft型书I-书事厩F电uiE口TgE2DIZ-3I-.KL

9、Z-IM5W.ttntizi证二OONC.亨电鸣*T_图3-13吊销的证书Microfiaft 证书 JEM园少取消吊销命令失败.艮有酮怔书待定而用节版证书才他取消吊帽.(g*I匚重二图3-14提示信息(3)CA在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“还原CA”，此时出现“证书颁发机构还原向导”提示要立即关闭证书服务，单击“确定”。出现“证书颁发机构还原向导”，单击“下一步”，如图3-15所示：图3-15立即停止证书服务在“选择要还原的项目”中选中两个选项。“从这个位置还原”选择CA备份的目录,单击“下一步”，如图3-16所示：图3-16设置要还原的项目输入密

10、码，单击“下一步”直到“完成” ，如图3-17所示:图3-17提供密码3-18“证书颁发机构还原向导”提示要启动证书服务，单击“是"启动证书服务，如图所示：图3-18提示信息此时检查刚才被吊销的证书，已经从“吊销的证书”目录中还原回“颁发的证书”目录中，如图3-19所示：图3-19吊销的证书已还原4.证书吊销(1)主机A申请服务器证书。请根据练习一中服务器证书申请实验步骤，为主机A生成服务器证书请求，并安装服务器证书和证书链。(2)主机A在IIS中设置SSL,要求安全通道和客户端证书，如图3-20所示:图3-20安全通信(3)客户端访问服务器。客户端在IE浏览器地址栏中输入“http

11、s:服务器IP”并确认。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，如图3-21所示。又出现“安全警报”对话框询问“是否继续？”，单击“是"，如图3-22所示。出现“选择数字证书”对话框，选择相应的数字证书，单击“确定”即可以访问服务器的Web服务了，如图3-23所示：安全警报即将通过安全连接查看网页.该网站上的苴它任何人都无法看到您蜀设站点的交换信息.r以后不再显示该警詈支)仁,定：！详细信息城)|图3-21安全警报(1)图3-22安全警报（2）值正暴城客户迎书SBiarirXITlKrMn'0小*裳用出如量*Eit于EF皿长工aBMuntn：

12、I1泰总MRHESiElTBW工口Era；方M*M.事£«PEfli-，xw&W方丁0吗，T.k(st*叼克止iFpBriiFr夏Meh4*sflxlqmcKPc'AwalElEtAil.3MTTTUri+2M-B±OM：15S1"d也IV.-UTH*.UfeR4皿c加*！1*上0-b，HU山卢，置#IMlKUt-HIT-fi-«a-的4打串口口事宜,1日三口5rMUMijir：ii»?UEi力-便rE4*-ME-WIEW-ffllPE-H-H-*TaTCJWWi"事任-图3-23访问Web服务（4）CA将客

13、户端证书吊销，并发布CRL。CA在“颁发的证书”中找到客户端使用的Web浏览器证书。右键单击此证书“所有任务”|“吊销证书”，选择任意“理由码”，单击“确定”，此时证书即转移到“吊销的证书”目录中。在左侧树状结构中右键单击“吊销的证书”|“所有任务”|“发布”，出现对话框“发布CRL”，单击“确定”，如图3-24所示。在左侧树状结构中右键单击“吊销的证书”|“属性”弹出“吊销的证书的属性”对话框，单击“查看CRL”页签，单击“吊销列表”按钮，可以查看刚发布的CRL,如图3-25所示：白证书施宽机杓1:聿地）E电uMr4D申洋|1吊招日唱百攻吊销R明1吊洎原因园£SJ1J-LL.ZO£-1L-LS15.午指定吊销的证唁次寺Cftl上4发布的证耳吊柏琬哀仁仁j如愤有就.正当司：乱过期之前莒户蜻不会跄幡的CRU要发粕的CKL带型.G巡:画通龙和一个不空的口工，元包含此Ck的星斯为吊徜后Jg.广邑岭於匕61四要书CEL的葡北的羊，记只交官CF1.录近一片笈布E的声子人图3-24发布CRL图3-25吊销的证书属性(5)客户端访问服务器。重新访问服务器的证书服务，此时发现不能访问服务器，页面显示“该页要求有效的SSL客户证书