数字签名实验报告

1、实验报告实验名称：PKI实验学生姓名：专业：班级：学号：指导教师：实验成绩：实验地点：实验时间：一、实验目的与实验要求1、实验目的证书效劳的安装Web效劳器的配置：单向认证和双向认证证书效劳的治理独立附属CA的配置2、实验要求认真完成实验内容实验报告假设发现抄袭,实验不合格二、实验设备及网络拓扑红亚平安教学系统三、实验内容与步骤一、CA安装证书效劳独立根CA:独立根CA是证书层次结构中的最高级CA.独立根CA既可以是域的成员也可以不是,因此它不需要AD,但是,如果存在AD用于发布证书和证书撤消列表,那么会使用AD,由于独立根CA不需要AD,因此可以很容易地将它众网络上断开并置于平安的区域,这在

2、创建平安的离线根CA时非常有用.环境准备：虚拟机PC1安装好WindowsServer20031 .添加IIS组件：点击“开始一一“限制面板一一“添加/删除程序一一“添加/删除windows组件一一“Internet信息效劳IIS如果没有这一项就安装“应用程序效劳器.Web效劳器Server2003证书效劳器Server2003客尸端WindowsXP要k您的皮用混JT阪器1kftl3*V%计白琼/旦X位31竹监TihUffl沮怦徨妻市加里用等苟十妃七,现用性X*男翔anrtir*o：花色喳走于只含安装读目士的一事田|二籍4翊除得印JflJCeart也占哥fflaLlSaHicrosjjHia

3、rcs>±U制已丁42f§VsTiSyk-囚I田或珈3司IYiilIuyiYlH?C4p箜q.归心国IMHfL安川主网呜t-J跳莒理JI且碣冲tr瓯%赭Fmo6n:9“剪IntHgt后自躯笠tng】"180谣,套上1用对送EMEH00/国肥用印盟7CE同ooir=："工商靓到G.SKW唯理用睚件爬电器控*1U0.LILJ视：,七许此计首机运亡归F.m立用后本."I挡上蹄器空h7T用磷邕空间丈小4的册益Tin4w叁村同鼻IU2 .点击确定下一步安装完成后,点击“开始一一“治理工具一一“IIS治理器,查看IIS治理器,如以下图：Adn)mis

4、tr.torIntarul信息效劳"IS)首理器治理您的暇务案TindoTS资海言理黑命令提示符记事本MicrosoftOfficeWard2X3所有程序(I)卜,J我的电麻0*限制面板?)管邂工具一打印机和传直Microsoft.NETFramework1.1配置MicrosoftNBTFrwnwork1.1向导本烟安金策笔分布式文件系统效劳,搜索)口运行酒加或删除程序口方代.门|治理悠的服用耨亶计算机治理算路由和远程访问3配置您的效劳器向学调群集治理器H事件查看器电授权置数据源CODEC)唐阿靖负我平衡苜理辖陶性悭0远程桌面爰)证书颁发机构甘察端效劳治理器S线端效劳配置唇蜴端效劳

5、需授权羚狙件效劳3 .添加证书效劳组件：点击“开始一一“限制面板一一“添加/删除程序一一“添加/删除windows组件一一“证书效劳,勾选上.勾选之后出现如下提示,选择“是,继续“下一步：4 .选择“独立根,默认情况下,用自定义设置生成密钥对和CA证书没有勾选,我们勾选之后点击下一步可以进行密钥算法的选择.如图:5 .Microsoft证书效劳的默认CSP为：MicrosoftStrongCryptographicProvider,默认散列算法：SHA-1,密钥长度：2048您可以根据需要做相应的选择,这里我们使用默认.点击,下一步,6 .填写CA的公用名称以test为例,其他信息如邮件、单位

6、、部门等可在可分辨名称后缀中添加,有效期限默认为5年可根据需要作相应改动,此处默认进行安装7.证书数据库设置,保持默认,点击“下步提示要停止IIS效劳,选择“是：出现以下图,选择“是",继续安装8,假设出现“浏览,那么如下处理:然后点击“确定9.开始?治理工具?证书颁发机构,翻开如下窗口:在启动“证书颁发机构效劳后,PC1便拥有了CA的角色.二、提交效劳器证书申请环境准备：PC2作为Web效劳器安装了WindowsServer2003PC1中根据实验一中的步骤安装好证书效劳,PC2与PC1网络互通.1.在开始-程序-治理工具中翻开“Internet信息效劳IIS治理器,通过左侧树状结

7、构中的Internet信息效劳-计算机名本地计算机-网站-新建网站test,选中test网站后右键单击“属性.IIS证书向导ITS证书向导诘求文件蒙要已选择生成请求文件.请求包合不列信息,文件名-c；certrsqtxt单击“下一步依钮生成以下请或*区地名鼐书狎家栏县位门讦中国省市单部dcD.-otuQKla/n2potestCH-如打ustbconputer2d单击“完成按钮关闭向导.HS证书向导完成«eb效劳器证书向导已成功完成“叱效劳器证节向导.创立了一个证书请求并已保存到以下文件中bet*将此文件以电子邮件或其他方式发送到证书潼发理制证书萌发机构将发送回一个包含新吸辑吊应文件

8、.重君后动此商等j将麻读书照上电|匚二弟或二口取|2.在PC2中翻开浏览器,输入:/PC1的IP/certsrv,翻开如下页面:仲icKQBorftit书辞著一KlcrazoftIn,心：rtiErtEzplorcr支理g编造由SftV收显iLJ.TRlTl帝国加.回其心Q冷喷"兴仁台,匕国二1,htt?J/l7TIB1.33/vtsrfl/l*%转胤硼？r果HdMa/t11=乐易一test上贡度陛使用此同站为您的H曲潮J器,电子邮件客户端或其他程产申请一个证书.通也使用江书r柜可以向逋过收小通佶的人需认爆的身崂,要署并加密邮件.并且,根据您申请的记书的类型.机行其他麦金在弃.住世m

9、以使用上网站下载工书曲友机构DO证书,证书提,或证七科包别表口工,或查看挂起的申请的状.小,卡关记旌艮务的讣生位息,晴舂慢二M瞪工吗.选择一个仕多：申请-范书查看跆拉的江中申请伙世在F载一个C后可,书耕或C3 .选择“申请一个证书,选择“高级证书申请3licTiOsorft证IS就考,“西小十IMernMErplorftr二号|X文畔恋城瑞不叠音由建31MlTJ荆勒M00田向公户眈力通程90.9回一岁城甘履KMaGjTZ1+1韩八二工nWxrtrws"P*IH科一临一申请一个证书选择一个怔书类型：匕巴:泡克者证书电子胪片乐护证号变者,苛及一中自空衽子年诺.JLtEaxQ4 .之后选择

10、“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请",将1中保存的证书请求C:certreq.txt文主近本文件内的内容,粘贴到“保存的申请然后“提交.纪交一个征书甲转城续口甲节兵聚交一个憬存的申请我网在,保存的申请刘惦中拈贴一个由外韵倬性口4比掂引器)生成的hgET4狗码尚GVC或PKCS的.立书申请或PKCS冒柒订申清.保存的申审:n4据再的证书中语(CMC或pres#to或pres#7):d一节书一上,空-r利加国性：想的£请rd为工请在一天或荫天内返回此网站4住索名的位书.艺,纯周就Veb初览案I

11、to天内遗回幡累您的证书5 .这时在PC1中,点击开始一一程序一一治理工具一一证书颁发机构,可出现如下界面：在挂起的申请里可以看到刚刚申请的证书ID为2的申请6.选中证书鼠标右键,选择“所有任务一“颁发,进行证书颁发,如以下图所小.7.证书颁发后将从“挂起的申请文件夹转入到“颁发的证书文件夹中,标识证书颁发完成,查看如下8.证书的下载安装在申请证书的计算机上翻开浏览器,在地址栏输入:/PC1的ip地址/certsrv,进入证书申请页面.刚刚完成了“申请证书,下面选择“查看挂起的证书申请的状态,看看CA是否颁发了证书,如以下图所示,点击下一步;国同区多Izce迪口ftIE书“多-Bicrnsof

12、t工oi口metEfiplar&i:支仲仔信辆旧ssm收百3ihtnffitiu)事.施*©西曲小,措唉曲辰跑00回L¥他就01圜ht*"1TW.L&I"fds/*目珏到骷牌mWew仃正拗曲七的土克与迎任用此网站为加的Ab洌览翟,电子邮件存户端或其他性序申请一个证书.通过使免证书.强可以向通过拆b遇梏的人碉认理的身曲.鉴警并加密由砰K井旦相七事爷的证书府典.执行其他平安任曷,您也可A使用此同站下载证书期及楣构k,A)证书,证书槌.或一让书吊铛剂表依KLL或查看桂超的申请的吠态口k3关证书朋宅'M呈纤信息,谷到廿偲量立措趋择一个住务

13、二一请一个扉书三寺挂起的证T目请储状引高二T"十讦书,讦书褥战CRL在弹出的页面中选择已经提交的证书申请如以下图所示Wi上¥证也抬登“1051"i!oct上5r舍者忤起的阱书申请空还请选择好要查看的证弓甲请：恁京煦生情证节德沫na盘艮E谓益显fe如果CA已经将证书颁发,那么页面如下,选择“安装此证书iiE包旅发您申请和证书已前发给您.<='ITR编码或JF三证手V或正聿恬下载证书和证书链保存到本地,其后缀分别为cer和p7b文件.9 .在IIS信息效劳治理器,网站->test我们建的测试网站,右键“属性.选择“目录平安性选项卡,单击“效劳器证书

14、按钮,此时出现“Web效劳器证书向导,单击“下一步.选择处理挂起的请求并安装证书：选择之前保存的证书文件路径:在SSL端口文本框中填入443,单击“下一步.完成整个安装过程.此时效劳器证书已经安装完毕,可以单击“目录平安性选项卡中“查看证书按钮查看证书内容.答复下面问题：证书信息描述：.颁发者：.翻开IE浏览器点击“工具|"Internet选项|“内容|“证书,在“受信任的根证书颁发机构页签中查看名为test的颁发者也就是CA的根证书,查看其是否存在010 .安装CA根证书,进入“证书右键单击certnew.p7b证书文件,在弹出菜单中选择“安装证书导入向导页面,单击“下一步证书导入

15、向导欢送使用狂书导入向导这个向导帮助您格证将一证书信任列表和证莒撤消列表从整盘复制到证书存储掣证总存发来保用<书有储狂台存由烹N证件.文息富Si1U-M幅全.是安域书普证建筑取消I再次查看效劳器证书,答复以下问题：证书信息描述：.颁发者：.再次通过IE浏览器查看“受信任的根证书颁发机构,查看名为test的颁发者也就是CA的根证书,查看其是否存在11 .单向认证仅效劳器需要身份认证在IIS信息效劳治理器,网站->test->JS性的“目录平安性页签“平安通信中单击“编辑按钮,选中“要求平安通道SSL,并且“忽略客户端证书不需要客户端身份认证,单击“确定.客户端启动IE浏览器,输

16、入:/效劳器PC2的IP:100/index.html并确认,此时页面如下:口逢臭招安过支至谑话卷着liCrIInLeriiettuplviei交件CEJ!S5SEj旦假设9峋/工且D早亡10UIQ后遢.回国卷|制事心靠蔻平甘醇体空目&画,口&切:上如|£/Al?J»1三|Q酊到帚宣课页必须通过平安通道三看需求国访问节瓦勺由平安工底字0口许行出户.i偿i4以T费祚： 侬费访司的曲上打能£、ML"/,并按EL3.J_.:-ALT?倍温4LL4-禁谕司：霁更使中呆式也韶.幽覆“Tnwrmt电旦小名QES5设力:信耳C豺林K支符人品花阵I 转到

17、,门r.tl=/可即送并控旅隹"HTir和飞曲叩怔至. 翻开"KI帘勖t可藉ITS篙印书?Hri.fr中由向'善后瑞天而抵!中F于安至L"安会黑手层5口"加"关于自危攵错式消息的主窟客户端在IE中输入s:/效劳器PC2的IP/index.html,此时会出现“平安警报对话框提示,确定后出现如下界面：12.双向认证效劳器和客户端均需身份认证效劳器端PC2在IIS信息效劳治理器中,网站->test->JS性,翻开“目录平安性->“编辑,选中“要求平安通道SSL,并且“要求客户端证书,单击确定.客户端IE访问地址栏上输入s:

18、/效劳器IP/index.html访问,此时弹出“平安警报对话框,提示即将通过平安连接查看网页,确定后弹出“是否继续,确定后出现“选择数字证书对话框,但是没有数字证书可供选择,单击确定,页面出现提示“该页要求客户证书c客户端向CA申请证书：登录:/CA的IP/certsrv,在主页面选择“申请一个证书,然后选择“Web浏览器证书,在出现的页面填写相关信息后“提交申请.3liCTiOSiffeftif越原务icrflsof+Ifer口1rm文群？魂端力有音帆的旗工具优制安“目瘫福林抵XK£kttf；LTCIfr1韩八3工nWHftr："Plj.cros.tfl证日后群H申请一

19、个址书选择一个怔书类独一加刷密器证书电子山“牛阮M证号塞考,苛我一手自魄肝子甲洋JLt七hmQ接下来请CA为客户端颁发证书.客户端安装证书:三11口工口8口£1iZ.书废暑Ki.C£LlttuftIelIIfLELbflExpluzeK文件茹楫M查看阳晚疵的二具cn帮购的,搜索收箱其"W,!Hi圃btijk/LTS.16.LJT/«Mrlcrv/a«rldcpc.4qp上京9icasoft仃、缶器-ta查看以的让甘电请峋栈志-/£j|,JIT-pt-A?i彼选择延瞿查看的怔书申请二Wub浏览罂证书1弹10月工日垦期三%;瞅1.目回区3

20、licEosDft.BE书瞿品MicrcisoftEntcmet旧E口1_.工日,立件我1晦潮®®SMLfltGWIHinfftilliJQra-q-yQ©户皿杳e融-口./lT2,Lf.L37/e*mt-v/wifttzh.wp*0B到繇牌Jicrffj-fl/t证书服令一亡总营力,：ltk书目张发憋日请打证7三苗发给统身安羔此证书冤法Intiusiei客户端通过IE浏览器,工具->Internet选项->内容->证书,会在“个人选项卡中看到主机CA给自己颁发的证书.然后访问s:/效劳器IP/index.html查看网站.三、证书效劳治理1 .

21、停止/启动证书效劳进入“证书颁发机构菜单,右击刚建立的CA节点,在“所有任务中选择“停止效劳,即可停止效劳,CA节点图标此时变成红叉；同样,单击“启动效劳,那么可启动证书.厨修公靠机构当作f£)秀看吧)野助国田囹因回国卜2 .CA备份/复原右击CA节点,在“所有任务中选择“备份CA,即进入“证书颁发机构备份向导,单击“下一步按钮,选择要备份的工程和要备份的文件夹,单击“下一步按钮为了保护私钥的平安性,接着要输入保护私钥和证书文件的秘密,如以下图所示然后点击下步,即可选择完成操作CA的复原操作需要先停止CA效劳,然后右击“CA公共名称节点,在“所有效劳中选择“复原CA,即进入“证书颁发

22、机构复原向导,单击“下一步按钮,弹出如图所示的对话框,选择要复原的工程和证书文件所在的文件夹,单击“下一步按钮.在出现的对话框中输入保护私钥和证书文件的密码,单击“下一步按钮,单击“完成,即完成CA的复原,如以下图所示.3 .证书废除右击颁发的证书中需要废除的证书,在弹出的菜单中选择“所有任务中的“撤消证书菜单项,如以下图所示.在弹出的“证书撤消对话框中选择撤消的理由,单击“是按钮,这个被废除的证书就转移到了“撤消的证书文件夹.为了把撤消的证书对外发布,下面创立一个证书撤消列表,以供客户端下载查询.右击“吊销的证书文件夹,在“所有任务中单击“发行,单击“是,即可完成证书的撤消列表的创立和发布,

23、如下所示.文件注麋作直看必相助®g*回函各团喝|仅或证书领发机构建地Li35tast.撤消申话工工I吊咕日期有效撤消日期2021-10.3016-10-12.,知发的,挂起的,失败的如果要查看创立的证书撤消列表,右击“撤消的证书文件夹,单击弹出菜单中的“属性,弹出“撤消的证书属性窗口,单击“查看当前CRL按钮,中显示了撤消的证书信息.海证书傲发旗构文件也)睇作®查看9帮助QD因函I图画园国申证书的宦机构阵地jtest吊吊申请工!)|吊梢E呼2021-1斯有任务查看5刷新9导出列表©一屋性®帮助QD四、独立附属CA配置环境：两台WindowsServer2

24、003,分别为PC1作为独立根CA,PC2作为从属CA,一台Windowsxp作为客户端1 .首先在PC1上配置独立根CA效劳,如实验一所示.2 .翻开PC2配置为独立附属CA效劳.选择独立附属CA如果父CA在线可用,那么选中将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和父CA的名称.如果父CA不在线可用,那么选中“将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.icripiSAft证书,翱证书服冬的安转不完全口要完成安装,谙使用自谙丈件"Wicn-otnoK1fim3

25、p5CertConfigden-tuoxiam3p5test-sub.req从父CA获取iltTn然后用任书的加机构营理隼H来索要狂书.要这样作,诘右型单由具白痂的节点,然后单击.安装匚山粗茗.验证安装：查看附属CA,可以看效劳“开始一一“治理工具一一“效劳,有图中的效劳便安装成功.该主机已经拥有了独立附属CA的角色.-|n|X女件灯操隹查看富帮助的,始旨图国图CertificateServices名解启动此效劳描送为S/MHE和SSL之类的应用程序创器管3g和微除£509证书,如果此效劳停止,格不会创立证书.如果此效劳破案用,所咱明确侬赖的效劳都将无法启动.遍为为为从CtntarK

26、«lp«r保,为檄ClipBook启.一DOM+EventSystem支巴官劫COM+SystentAppJLicallol昔.一ComputerBrowser维一己S动yptographicServices樨一已言动%DHCFClient为已自韵DistributtdFil#Systsn将.,已启动施中Ti；.A.；lx.JT；.ILT-.1.；annjAlerttrApplicfttionL*ytrGale?.嗨App工icationManageneintASP.NETStateServiceomatcUpdatesjBackgr.5dIntelligent-,在学展K

27、W73 .如果第2步中选择的是“将申请保存到一个文件,那么需要使用此证书申请文件手工向父CA提交申请,首先翻开浏览器访问:/PC1的IP/certsrv,然后“申请一个证书->“高级证书申请->“使用Base64编码的,翻开如下页面.主直提文一个IIIS串稿或续订申请美提交一个冰存的申请到CA,a保存的也请"栏中粘贴一个日见部浒加Cieb服符罂生成的hase-E4玛的口C或FKCS¥10证书串请或F附347皴订申青.席珈耳性:UJ提交>在Base-64文本框中粘贴入第2步中保存的req文件,然后提交申请.4 .在独立根CA效劳器PC1上,点击“开始一一“治理工具一一“证书颁发机构.然后点击挂起的