天津商业大学信息安全实验五

任务一、证书服务的安装任务二服务器证书的申请与安装任务三、服务器身份认证任务四CA及证书的管理三、实验要求采用以学生自主训练为主的开放模式组织教学四、实验准备1.认证机构CA在电子商务交易的过程中，用户身份的认证成为一个重要的议题，随着加密技术的发展，尤其是非对称加密技术的产生，数字证书也就伴着电子商务的迫切需求而产生了。数字证书较好的解决了电子商务中用户身份的证明问题，但是数字证书是如何获取的呢？如何为所有的交易角色所信服呢？这就需要由官方组建一个权威的第三方认证机构来进行数字证书的管理工作，因此认证机构CA就此诞生了。2.数字证书数字证书作为电子商务交易身份的证明，其从无到有的过程大致如下：用户申请数字证书、认证机构CA颁发数字证书、用户下载安装数字证书，因此用户与认证机构CA协调配合的关系就此造成。3.身份认证用户的数字证书安装完毕，那么如何证明自己的身份呢？主要包含以下几个方面：要具有相同的根CA认证机构方能证明用户的身份、对服务器证书来说要具有确定的域名或主机名（局域网内）方能证明服务器的身份、已安装的数字证书要在证书颁发的有效期内方能证明自己的身份。4.证书管理CA的自动化证书颁发功能，某些情况下会方便证书的申请者与CA的管理者，但是在方便的同时也引入了一些不确定的因素，即缺少了审核这一关键步骤，这在有的时候会给证书本身提供的准确信息带来一定的影响，一般不建议使用。当用户或者各级CA因此某些原因致使自己的证书私密流失后，需要及时的通过CA或者CA自己将流失证书吊销，以避免恶劣影响的持续扩大，这可以在最大程度上保障各级用户的利益。作为数字证书的使用者，有责任也有义务保护好自己的数字证书不外泄，又需要防止因此数字证书的使用者的意识疏忽造成证书的损坏与丢失，因此使用者应该将获取的证书进行导出备份，以便意外发生时，可以将备份证书导入恢复。五、实验原理、方法和手段1、主机使用【快照】将虚拟机恢复到初始状态。2、任务一每1人1组，以主机A为例进行说明。各实验主机的系统时间应该统一，以保证系统时间不会在数字证书有效期的时间范围之外。3、任务二每2人1组，以主机A、主机B为例。主机A为CA认证机构，主机B为WEB服务器。4、任务三、四每3人1组，以主机A、主机B、主机C为例。主机A为CA认证机构，主机B为WEB服务器，主机C为WEB客户端。六、实验条件电子商务技术实验教学平台七、实验步骤任务一、证书服务的安装1.安装CA证书服务(1)主机A选择“开始->设置->控制面板->添加/删除程序”菜单项，在弹出“添加或删除程序”对话框中单击“添加/删除Windows组件”按钮，弹出“Windows组件向导”对话框。(2)主机A在“组件”列表框中选择“证书服务”，弹出“Microsoft证书服务”对话框。(3)主机A单击“是”按钮，单击“下一步”按钮，弹出“CA类型”对话框。(4)主机A选择“独立根CA”，单击“下一步”按钮，弹出“CA识别信息”对话框。(5)主机A在“此CA的公用名称”中输入“JLCSS”，单击“下一步”按钮，弹出“证书数据库设置”对话框。(6)主机A保持默认配置，单击“下一步”按钮，弹出“Microsoft证书服务”。(7)主机A单击“是”按钮，弹出“正在配置组件”对话框，显示证书服务的安装过程。(8)主机A随后弹出“完成Windows组件向导”，单击“完成”按钮，结束CA证书服务的安装。(9)主机A关闭“添加或删除程序”对话框。(10)

主机A判断证书服务是否安装成功。主机A选择“开始->控制面板->Internet选项”，弹出“Internet属性”对话框，并切换到“内容”页签，单击“证书”按钮，弹出“证书”对话框，切换到“受信任的根证书颁发机构”页签，双击颁发者为“JLCSS”的根证书，可以发现CA根证书没有任何问题，则说明主机A的证书服务安装成功。关闭两个“证书”对话框，关闭“Internet属性”对话框。2.备份/还原CA(1)主机A选择“开始->管理工具->证书颁发机构”菜单项，弹出“证书颁发机构”对话框。主机A在“JLCSS”上单击右键，在弹出的快捷菜单中选择“所有任务->备份CA”菜单项，弹出“欢迎使用证书颁发机构备份向导”对话框。主机A单击“下一步”按钮，弹出“要备份的项目”对话框，选择要备份的项目为“私钥和CA证书”及“证书数据库和证书数据库日志”，在“备份到这个位置”中输入“D:\backupCA”。主机A单击“下一步”按钮，弹出“选择密码”对话框。主机A输入“密码”与“确认密码”都为“123456”，单击“下一步”按钮，弹出“正在完成证书颁发机构备份向导”对话框。主机A单击“完成”按钮，则CA备份完毕。(2)

主机A假设该CA机构发生故障或者异常（如CA根证书损坏）。主机A选择“开始->控制面板->Internet选项”，弹出“Internet属性”对话框，并切换到“内容”页签，单击“证书”按钮，弹出“证书”对话框，切换到“受信任的根证书颁发机构”页签，选择颁发者为“JLCSS”的根证书，单击“删除”按钮，在弹出的“证书”对话框中单击“是”按钮，在弹出的“根证书存储”对话框中单击“是”按钮，关闭“证书”对话框，关闭“Internet属性”对话框。CA机构发生故障或者异常，需要恢复到最后备份时的CA机构状态，则需要进行CA机构的还原操作。(3)

主机A在“JLCSS”上单击右键，在弹出的快捷菜单中选择“所有任务->还原CA”菜单项，弹出要求停止证书服务的提示对话框。主机A单击“确定”按钮，弹出“欢迎使用证书颁发机构还原向导”对话框。主机A单击“下一步”按钮，弹出“要还原的项目”对话框。主机A选择要还原的项目为“私钥和CA证书”及“证书数据库和证书数据库日志”，在“从这个位置还原”中输入“D:\backupCA”，单击“下一步”按钮，弹出“提供密码”对话框。主机A输入“密码”为“123456”，单击“下一步”按钮，弹出“正在完成证书颁发机构还原向导”对话框。主机A单击“完成”按钮，弹出要求启动证书服务的提示对话框。主机A单击“是”按钮，则CA还原完毕。3.CA日志审核(1)主机A选择“开始->管理工具->事件查看器”菜单项，弹出“事件查看器”对话框。主机A在“应用程序”上单击右键，弹出快捷菜单，选择“清除所有事件”菜单项，弹出“是否保存应用程序事件”对话框。主机A单击“否”按钮，则所有应用程序事件记录清除完毕。(2)主机A在证书颁发机构的“JLCSS”上单击右键，弹出“所有任务”快捷菜单，选择“停止服务”菜单项。(3)主机A在“JLCSS”上单击右键，弹出“所有任务”快捷菜单，选择“启动服务”菜单项。(4)主机A查看事件管理器的“应用程序”中有关证书服务停止与启动的事件记录（注：需要在“事件查看器”中刷新才能看见新事件）。(5)主机A关闭事件查看器。4.用户权限分配(1)主机A在“JLCSS”上单击右键，在弹出的快捷菜单中选择“属性”菜单项，弹出“JLCSS属性”对话框，切换到“安全”页签。(2)主机A可以发现“Everyone”用户组的成员只具有“申请证书”的权限，而不具备也不应该具备其它的权限。单击“确定”按钮，完成Everyone用户组成员权限的查看。任务二服务器证书的申请与安装1.创建请求证书文件(1)主机B选择“开始->管理工具->Internet信息服务(IIS)管理器”，展开树形目录至“默认网站”。(2)主机B在“默认网站”单击右键，在弹出的快捷菜单上选择“属性”菜单项，弹出“默认网站属性”对话框，切换至“目录安全性”页签。(3)主机B单击“服务器证书”按钮，弹出“欢迎使用Web服务器证书向导”对话框。(4)主机B单击“下一步”按钮，弹出“服务器证书”对话框。(5)主机B选择“新建证书”，单击“下一步”按钮，弹出“延迟或立即请求”对话框。(6)主机B选择“现在准备证书请求，但稍后发送”，单击“下一步”，弹出“名称和安全性设置”对话框。(7)主机B在“名称”中输入“默认网站”，单击“下一步”，弹出“单位信息”对话框。(8)主机B输入“单位”为“JLCSS”，“部门”为“Development”，单击“下一步”按钮，弹出“站点公用名称”对话框。(9)主机B输入“公用名称”为“myserver”（该“公用名称”可以为WEB服务器的主机名、IP地址及域名，在此假设主机B的主机名为“myserver”，在以下的步骤中请将该名称换成主机B的实际主机名），单击“下一步”按钮，弹出“地理信息”对话框。(10)主机B选择“国家/地区”为“CN/中国”，输入“省/自治区”为“JiLin”，“市县”为“ChangChun”，单击“下一步”按钮，弹出“证书请求文件名”对话框。(11)主机B输入“文件名”为“c:\certreq.txt”，单击“下一步”按钮，弹出“请求文件摘要”对话框。(12)主机B单击“下一步”按钮，弹出“完成Web服务器证书向导”对话框。(13)主机B单击“完成”按钮，服务器证书请求文件创建完毕。2.申请服务器证书(1)主机B在IE中输入“http://同组主机A的IP地址/CertSrv”，进入“证书服务”页面。(2)主机B单击“申请一个证书”链接，进入“证书申请”页面。(3)主机B单击“高级证书申请”链接，进入“高级证书申请”页面。(4)主机B单击“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”链接，进入“提交一个证书申请或续订申请”页面。(5)主机B输入“Base-64编码的证书申请(CMC或PKCS#10或PKCS#7)”为“c:\certreq.txt”文件的内容，单击“提交”按钮，进入“证书挂起”页面。3.颁发服务器证书(1)主机A双击“JLCSS”展开树状目录，单击“挂起的申请”，在新申请的服务器证书上右键单击，在弹出快捷菜单中选择“所有任务->颁发”菜单项，则WEB服务器证书颁发成功。4.下载服务器证书(1)主机B在“证书服务”页面中单击“主页”链接，返回“证书服务”首页。(2)主机B在“证书服务”首页单击“查看挂起的证书申请的状态”链接，进入“查看挂起的证书申请的状态”页面。(3)主机B单击“保存的申请证书”链接，进入“证书已颁发”页面。(4)主机B单击“下载证书”链接，弹出“下载文件-安全警告”对话框。(5)主机B单击“保存”按钮，保存文件为“C:\DocumentsandSettings\Administrator\桌面\certnew.cer”，弹出“下载完毕”对话框。(6)主机B单击“关闭”按钮，则WEB服务器证书下载完毕。5.安装服务器证书(1)主机B在“默认网站属性”对话框的“目录安全性”页签中单击“服务器证书”按钮，弹出“欢迎使用Web服务器证书向导”对话框。(2)主机B单击“下一步”按钮，弹出“挂起的证书请求”对话框。(3)主机B选择“处理挂起的请求并安装证书”，单击“下一步”按钮，弹出“处理挂起的请求”对话框。(4)主机B输入“路径的文件名”为“C:\DocumentsandSettings\Administrator\桌面\certnew.cer”，单击“下一步”按钮，弹出“SSL端口”对话框。(5)主机B输入“此网站应该使用的SSL端口”为“443”，单击“下一步”按钮，弹出“证书摘要”对话框。(6)主机B单击“下一步”按钮，弹出“完成Web服务器证书向导”对话框。(7)主机B单击“完成”按钮，完成WEB服务器证书的安装。6.安装CA证书链(1)主机B在“证书服务”页面单击“首页”链接，进入“证书服务”首页。(2)主机B单击“下载一个CA证书、证书链或CRL”链接，进入“下载CA证书、证书链或CRL”页面。(3)主机B单击“安装此CA证书链”链接，弹出“安全性警告”对话框。(4)主机B单击“是”按钮，完成CA根证书的导入。(5)主机B判断CA根证书是否导入成功。主机B选择“开始->控制面板->Internet选项”，弹出“Internet属性”对话框，并切换到“内容”页签，单击“证书”按钮，弹出“证书”对话框，切换到“受信任的根证书颁发机构”页签，双击颁发者为“JLCSS”的根证书，可以发现导入的CA根证书没有任何问题，则说明主机B成功导入了CA根证书。关闭两个“证书”对话框，关闭“Internet属性”对话框。任务三、服务器身份认证1.WEB服务器身份认证（不受信任的根CA）(1)主机C在IE中输入“https://同组主机B的IP地址”采用安全通道的方式访问主机B的WEB服务器，弹出“安全警报”对话框。(2)主机C单击“确定”按钮，弹出“安全警报”对话框。主机C单击“是”按钮，弹出“安全警报”对话框。主机C查看图5-3-3所示的安全警告，说明主机C目前对由JLCSS颁发的证书不信任（WEB服务器与WEB客户端不具备相同的根CA），因此只需要导入JLCSS的根证书即可。主机C单击“否”按钮，关闭“安全警报”对话框。(5)主机C在IE输入“http://同组主机A的IP地址/certsrv”，进入“证书服务”页面。(6)主机C单击“下载一个CA证书、证书链或CRL”链接，进入“下载CA证书、证书链或CRL”页面。(7)主机C单击“安装此CA证书链”链接，弹出“安全性警告”对话框。主机C单击“是”按钮，完成CA根证书的导入。2.WEB服务器身份认证（安全证书名称与站点名称不匹配）(1)主机C在IE中输入“https://同组主机B的IP地址”，再次访问主机B的WEB服务器，弹出“安全警报”对话框。主机C单击“确定”按钮，弹出“安全警报”对话框。主机C从以上的提示可以看出安全证书上的名称与站点名称不匹配。(4)主机C单击“查看证书”，弹出“证书”对话框。主机C由此可以分析出该证书是由JLCSS颁发给myserver服务器（即实验中的主机B）的，也就是说在IE中应输入“https://主机B的主机名”，通过主机名的方式访问主机B的WEB服务器。主机C关闭“证书”与“安全警报”对话框。(6)主机C在IE中输入“https://主机B的主机名”访问主机B的WEB服务器。这次主机C成功访问了主机B的WEB服务器，因为CA只对主机B的主机名进行了安全性认证，而没有对主机B的IP地址进行安全认证，因此主机C只能使用主机B的主机名来访问WEB服务器。3.WEB服务器身份认证（安全证书过期）(1)主机C修改系统时间为2020年，在IE浏览器中输入“https://主机B的主机名”，弹出“安全警报”。主机C单击“确定”按钮，弹出“安全警报”对话框。主机C单击“是”按钮，弹出“安全警报”对话框。该安全警报说明WEB服务器的安全证书已到期或还未生效，单击“查看证书”按钮，弹出“证书”对话框。(5)该证书信息显示其有效期为“2009-4-17”至“2010-4-17”，而当前日期为2020年，因此该安全证书过期了，主机B的WEB服务器不能再证明自己的身份，因此需要其重新申请一个WEB服务器安全证书。(6)主机C关闭“证书”与“安全警报”对话框。(7)主机C恢复系统时间为正确时间。任务四CA及证书的管理1.CA自动颁发证书(1)配置CA自动颁发证书主机A在“证书颁发机构”对话框中右键单击“JLCSS”，在弹出的快捷菜单中选择“属性”菜单项，弹出“属性”对话框，并切换到“策略模块”页签。主机A单击“属性”按钮，弹出“请求处理”对话框。主机A在“请求处理”页签中选择“如果可以的话，按照证书模板的设置。否则，将自动颁发证书”，单击“应用”按钮，弹出“重启证书服务”对话框，主机A连续单击“确定”按钮后关闭“Windows默认”、“请求处理”与“JLCSS属性”对话框。主机A在证书颁发机构的“JLCSS”上单击右键，弹出“所有任务”快捷菜单，选择“停止服务”菜单项，则证书服务停止完毕。主机A在“JLCSS”上单击右键，弹出“所有任务”快捷菜单，选择“启动服务”菜单项，则证书服务启动完毕。(2)主机C申请一个个人数字证书主机C在IE中输入“http://同组主机A的IP地址/certsrv”，进入“证书服务”页面。主机C单击“申请一个证书”链接，进入“证书申请”页面。主机C单击“高级证书申请”链接，进入“高级证书申请”页面。主机C单击“创建并向此CA提交一个申请”链接，进入“高级证书申请识别信息”页面。主机C输入任意的证书识别信息，单击“提交”按钮提交信息，关闭弹出的“自动完成”对话框，进入“证书已颁发”页面。主机C发现刚申请的个人数字证书已经由CA自动颁发了。2.证书的导出(1)主机B在“默认网站属性”对话框的“目录安全性”页签上单击“服务器证书”按钮，弹出“欢迎使用Web服务器证书向导”对话框。主机B单击“下一步”按钮，弹出“修改当前证书分配”对话框。主机B选择“将当前证书导出到一个.pfx文件”，单击“下一步”按钮，弹出“导出证书”对话框。主机B保持默认配置，单击“下一步”按钮，弹出“证书密码”对话框。主机B输入“密码”与“确认密码”都为“123456”，单击“下一步”按钮，弹出“导出证书摘要”对话框。主机B单击“下一步”按钮，弹出“完成Web服务器证书向导”对话框。主机B单击“完成”按钮，完成服务器证书的备份导出。(8)主机B关闭“默认网站属性”对话框。3.证书的删除(1)主机B在“默认网站属性”对话框的“目录安全性”页签上单击“服务器证书”按钮，弹出“欢迎使用Web服务器证书向导”对话框。(2)主机B单击“下一步”按钮，弹出“修改当前证书分配”对话框。(3)主机B选择“删除当前证书”，单击“下一步”按钮，弹出“删除证书”对话框。主机B单击“下一步”按钮，弹出“完成Web服务器证书向导”对话框。主机B单击“完成”按钮，完成服务器证书的删除。主机C在IE中输入“https://主机B的主机名”访问主机B的WEB站点，发现主机B的WEB服务器因为证书的丢失已经无法打开。4.证书的导入(1)主机B在“默认网站属性”对话框的“目录安全性”页签中单击“服务器证书”按钮，弹出“欢迎使用Web服务器证书向导”对话框。主机B单击“下一步”按钮，弹出“服务器证书”对话框。(3)主机B选择“从.pfx文件导入证书”，单击“下一步”按钮，弹出“导入证书”对话框。(4)主机B保持默认配置，单击“下一步”按钮，弹出“导入证书密码”对话框。(5)主机B输入“密码”为“123456”，单击“下一步”按钮，弹出“SSL端口”对话框。(6)主机B保持默认配置，单击“下一步”按钮，弹出“导入证书摘要”对话框。(7)主机B单击“下一步”按钮，弹出“完成Web服务器证书向导”对话框。

(8)主机B单击“完成”按钮，完成服务器证书的恢复导入。(9)主机B关闭“默认网站”属性对话框。(10)主机C在IE中输入“https://主机B的主机名”访问主机B的WEB站点，发现主机B的WEB服务器在证书重新导入后又可以正常访问了。5.证书吊销(1)主机A吊销主机B的WEB服务器证书，并发布CRL。主机A在“颁发的证书”中选择主机B的WEB服务器证书，右键单击此证书，在弹出的快捷菜单中选择“所有任务->吊销证书”菜单项，弹出“证书吊销”对话框。主机A选择“理由码”为“未指定”，单击“是”按钮，此时证书即转移到“吊销的证书”目录中。主机A右键单击“吊销的证书”，在弹出的快捷菜单中选择“所有任务->发布”菜单项，弹出“发布CRL”对话框。主机A单击“确定”按钮，完成主机B的WEB服务器证书的吊销。(2)主机C访问主机B的服务器。主机C访问主机B的WEB服务器，发现在主机B的WEB服务器证书吊销后仍能访问。主机A选中证书管理器的“吊销的证书”列表项。单击菜单栏上的“操作->属性”菜单项，弹出“吊销的证书属性”对话框。主机A分析该内容可以发现，默认CA的CRL是每周自动发布一次（客户端的CRL缓冲有效期也为一周），下一次CRL的发布时间为2009年5月4日20点40分。主机C修改系统时间为2009年6月4日（只要比下一次发布时间大八天即可），以便获取最新的CRL。主机C访问主机B的WEB服务器，弹出“安全警报”对话框。说明此时主机B的WEB服务器证书已经被CA吊销，主机B的WEB服务器证书已经不再