计算机网络技术实验

计算机网络技术实验计算机网络技术实验指导书丁美荣第一部分：实验大纲一、学时学分总学时：36—54课时二、实验的地位、作用和目的实验课是计算机网络的重要实践环节。通过实验，使学生加深理解、验证、巩固课堂教学内容，加深对网络原理的理解，获得对网络的工作原理与操作方法，并在此基础上，用正确的理论指导实践活动，强化学生的知识实践意识、提高其实际动手能力，发挥学生的想象力和创新能力。三、实验对象本实验开设对象为我院计算机系“计算机应用专业”、“计算机信息管理专业”、“计算机软件技术专业”、“计算机网络工程专业”的专科学生，本实验为必修课程。四、基本原理及课程简介《计算机网络技术》是一门培养学生深入认识和使用计算机网络，并利用计算机网络知识处理和解决实际问题能力的技术基础课程。在各计算机专业的教学计划中，它是一门专业主干课，本课程在教学内容方面特点是涉及面广，既有计算机网络基本理论，又有计算机网络实际使用的基本方法和技巧。在培养实践能力方面着重网络工程设计构思和设计技能的基本训练，熟练的上机操作能力和分析能力。本实验课程共开设11个实验项目五、实验方式与基本要求1、由任课教师选择实验项目，领取实验贵重仪器，并向学生讲清实验的基本原理、方法及要求2、学生在实验前必须制定好上机步骤，弄清实验目的；3、实验分小组进行，每次均为2—3课时；4、要求学生掌握各实验所需知识、操作方法或步骤，记录并讨论解决实验中所遇到的问题，写出详细的实验报告。六、实验考核1、任课教师对每次每组实验结果检查和记录，并认真审阅每组的实验报告；2、任课教师根据实验完成情况对每组给出相应成绩；3、课程总成绩应为理论考核与实验成绩的综合；其中实验成绩占20%-30%，理论课成绩占70%-80%。实验一双绞线线缆的制作1、实验目的了解双绞线的特性与应用场合，掌握双绞线的制作方法。2、实验环境RJ－45头若干、双绞线若干米、RJ－45压线钳一把、测试仪一套。3、相关理论（1）非屏蔽双绞线的六种类型类别 应用 Cat1 可转送语音，不用于传输数据，常见于早期电话线路 电信系统Cat2 可转输语音和数据，常见于ISDN和T1线路 Cat3 带宽16MHz，用于10BASE-T，制作质量严格的3类线也可用于100BASE-T 计算机网络Cat4 带宽20MHz，用于10BASE-T或100BASE-T Cat5 带宽100MHz，用于10BASE-T或100BASE-T，制作质量严格的5类线也可用于1000BASE-T Cat6 带宽高达200MHz，可稳定运行于1000BASE-T 实验使用双绞线是5类线。由8根线组成，颜色分别为：【橙白，橙】，【绿白，绿】，【蓝白，蓝】，【棕白，棕】（2）RJ-45连接器和双绞线线序RJ45水晶头由金属片和塑料构成,特别需要注意的是引脚序号,当金属片面对我们的时候从左至右引脚序号是1-8,这序号做网络联线时非常重要,不能搞错。工程中使用比较多的是T568B打线方法，线序如下：直通线：（机器与集线器连）12345678A端：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕；B端：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕。交叉线：（机器直连、集线器普通端口级联）12345678A端：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕；B端：绿白，绿，橙白，蓝，蓝白，橙，棕白，棕。4、实验内容1．一般双绞线的制作2．交叉双绞线的制作3．测试一般双绞线的导通性5、实验步骤1．仔细阅读实验文档，决定实验环境中需要制作的网线的类型和需要使用的线序。2．按以下步骤制作网线（两人合作制作一根网线）：（1）抽出一小段线，然后先把外皮剥除一段（2）将双绞线反向缠绕开（3）根据标准排线（注意这里非常重要）（4）铰齐线头（注意线头长度）（5）插入插头（6）用打线钳夹紧二、实验环境：Windows98或Windows2000、局域网三、相关理论对等网络是指网络上每个计算机都把其它计算机看作是平等的或者是对等的。没有特定的计算机作为服务器。在对等网络中的每一个计算机，当要使用网络中的某种资源时它就是客户机，当它为网络的其它用户提供某种资源时，就成为了服务器，所以在对等网络中的计算机既可作为服务器也可作为客户机。四、实验内容（1）参看所在机器的主机名称和网络参数，了解网络基本配置中包含的协议、服务和基本参数。（2）网络组件的安装和卸载方法（3）设置和停止共享目录（4）安装网络打印机五、实验步骤（1） 打开本机“网络”属性查看机器的主机名和相关网络参数（2） 网络组件的安装和卸载方法：开始|设置|系统面板|添加/删除程序，选择添加/删除Windows组件，选择相应的组件，并点击详细信息，选择需要的组件，按照提示操作即可。（3） 设置和停止共享目录：①设置共享目录；②在另一台机器上建立到①所建目录的逻辑驱动器映射（打开我的电脑|工具|映射网络驱动器，选择网络驱动器名称和文件夹，你可以单击浏览来在网络上寻找你要映射的文件夹）③使用②创建的逻辑驱动器将共享目录内的部分文件拷贝到本地硬盘上。④删除映射逻辑驱动器（找到映射的网络驱动器，右击，点击断开，确定即可。）⑤取消①所建共享目录的共享属性⑥共享管理我的电脑右键|管理|共享文件夹或控制面板|管理工具|计算机管理|共享文件夹（4）安装网络打印机：将教师机上的打印机安装到本地我的电脑|控制面板|打印机|添加打印机|网络打印机|下一步，在网上寻找你要添加的打印机。实验五安装与配置ActiveDirectory1、实验目的：让学生掌握目录服务知识。2、实验环境多台装有Windows2000Server的计算机。3、相关理论活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使用网络信息。活动目录的应用起源于WindowsNT4.0，在Windows2000Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。活动目录的优点：1)基于策略的管理2)扩展性3)可调整性4)信息复制5)与DNS的集成6)灵活的查询7)信息安全性4、实验内容（1）在安装ActiveDirectory前首先确定DNS服务正常工作，下面来安装在根域为JSJ.com的第一台域控制器。（2）运行ActiveDirectory安装向导将Windows2000Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。5、实验步骤（1）利用配置服务器启动位于%Systemroot%\System32中的ActiveDirectory安装向导程序DCPromo.exe。单击［下一步］。（2）由于所建立的是域中的第一台域控制器，所以选择［新域的域控制器］单击［下一步］。（3）选择［创建一个新域的域目录树］，单击［下一步］。（4）选择［创建一个新域的域目录林］，单击［下一步］。（5）在［新域DNS全名］中输入要创建的域名JSJ1.net，单击［下一步］。（6）安装向导自动将域名控制器的NetBIOS名设置为“JSJ1”，单击［下一步］。（7）显示数据库、目录文件及Sysvol文件的保存位置，一般不必做做修改，单击［下一步］。（8）配置DNS服务器，单击［下一步］；如果在安装ActiveDirectory之前未配置DNS服务器可以在此让安装向导配置DNS，推荐使用这种方法。（9）为用户和组选择默认权限；单击［下一步］（10）输入以目录恢复模式下的管理员密码，单击［下一步］。（11）安装向导显示摘要信息，单击［下一步］。（12）安装完成，重新启动计算机。（13）检查ActiveDirectory安装是否正确，在安装过程中一项最重要的工作就是在DNS数据库中添加服务记录（SRV记录），下面介绍一下如何检查安装是否正确：①检查DNS文件的SRV记录用文本编辑器打开%Systemroot%／System32／config／中的Netlogon.dns文件，查看LDAP服务记录，在本例中为_ldap._tcp.JSJ.com.6000INSRV0100389n2k_server.JSJ.com。②验证SRV记录在NSLOOKUP命令工具中运行是否正确。在命令提示行下，输入NSLOOUP；输入settype=srv；输入_ladp._tcp.JSJ.com。如果返回了服务器名和IP地址，说明SRV记录工作正常。在安装完成后，可以通过以下方法检验。（14）添加用户帐户：①首先启动ActiveDirectory用户和计算机管理器，单击User容器会看到在安装ActiveDirectory时自动建立的用户帐户；②单击［操作］选择［新建］，然后单击［用户］，在［创建新对象］对话框中输入用户的姓名、登录名、其中的下层登录名是指当用户从运行WindowsNT／98等以前版本的操作系统的计算机登录网络所使用的用户名，然后，单击［下一步］；③在密码对话框中输入密码或不填写密码并选择［用户下次登录时需要更改密码］选项，以便让用户在第一次登录时修改密码；④在［完成］对话框会显示以上设置的信息，单击［完成］。（15）添加组：①打开［ActiveDirectory用户和计算机］对话框；②在控制台树中，双击［域节点］；③右键单击要添加的文件夹，指向［新建］，然后单击［组］；④键入新组的名称，在默认情况下，输入的名称还将作为组的Windows2000以前版本的名称。⑤单击所需要的［组作用域］再单击所需的［组类型］。⑥完成好以后，点［确定］，用户所创建的组就完成了。实验六安装与设置DNS服务器1、实验目的：让学生掌握DNS服务知识。2、实验环境多台装有Windows2000Server的计算机。3、相关理论DNS是一个在TCP/IP网络上用来将计算机名称转换成IP地址的服务系统，无论在INTRANET或INTERNET上都可以使用DNS来解析计算机名称以及找出计算机的所在位置。使用计算机名称除了比较容易记忆之外，也不怕有IP地址更动的问题。DNS根据一套层次式的命名策略替代用IP地址来记忆主机地址。这一套层次式的命名策略称之为DOMAINNAMESPACE，是由根域、最高阶域、次阶域、子域、主机名称所群组成。4、实验内容安装与设置DNS服务器5、实验步骤●安装DNS服务器：（1）启动[添加／删除程序]，之后出现［添加／删除程序］对话框；（2）单击［添加／删除Windows组件］，出现［Windows组件向导］对话框，从列表中选择［网络服务］；（3）单击［详细信息］，从列表中选取［域名服务系统（DNS）］，单击［确定］按钮；（4）单击［下一步］，输入到Windows2000Server的安装源文件的路径，单击［确定］开始安装DNS服务；（5）单击［完成］按钮回到［添加／删除程序］对话框后，单击［关闭］按钮；（6）关闭［添加／删除程序］窗口。●DNS服务器的设置：（7）打开DNS控制台：选“开始菜单→程序→管理工具→DNS”。（8）建立域名“”映射IP地址“0”①建立“com”区域：选“DNS→WY（你的服务器名）→正向搜索区域→右键→新建区域”，然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图1：②建立“abc”域：选“com→右键→新建域”，在“键入新域名”处输入“abc”。③建立“admin”主机。选“abc→右键→新建主机”，“名称”处为“admin”，“IP地址”处输入“0”，再按“添加主机”图1(9)建立域名“”映射IP地址“8”的主机记录。

①由于域名“”和域名“”均位于同一个“区域”和“域”中，均在上步已建立好，因此应直接使用，只需再在“域”中添加相应“主机名”即可。②建立“www”主机：选“abc→右键→新建主机”，在“名称”处输入“www”，“IP地址”处输入“8”，最后再“添加主机”(10)建立域名“”映射IP地址“9”(11)建立域名“”映射IP地址“8”的主机记录方法也和必须保持“名称”一项为空！建立好后它的“名称”处将显示“与父文件夹相同”。建立好的DNS控制台如下图所示：(12)建立更多的主机记录或其他各种记录方法类似。更多的建立后如下图所示：DNS设置后的验证：

为了测试所进行的设置是否成功，通常采用2K自带的“ping”命令来完成。

格式如“ping”。成功的测试如下图所示：实验七安装与设置DHCP服务器1、实验目的：使学生掌握安装DHCP服务器，并且掌握对DHCP服务器的设置。2、实验环境：多台装有Windows2000Server的计算机。3、相关理论：DHCP服务器对TCP/IP子网和IP地址进行集中管理，即子网中的所有IP地址有其相关配置参数都存储在DHCP服务器的数据库中。DHCP服务器对TCP/IP子网的地址进行动态分配和配置4、实验内容：安装与设置DHCP服务器5、实验步骤：安装前要注意，DHCP服务器本身必须采用固定的IP地址和规划DHCP服务器的可用IP地址。在这里我们做实验可以自己定义一个虚拟的静态的IP地址。●安装DHCP服务：①选用“开始”中的“控制面板”里边的“添加／删除程序”，选择“添加／删除Windows组件”。②选择“网络服务”，单击“详细信息”按钮。③选择“动态主机配置协议（DHCP）”后，单击“确定”按钮。④回到前一个画面时，单击“下一步”按钮。●DHCP的设置：(1)打开DHCP管理器。选“开始菜单→程序→管理工具→DHCP”，默认的，里面已经有了你的服务器的FQDN（FullyQualifiedDomainName，完全合格域名），比如“”。如下图：(2)选“DHCP→右键→添加服务器”，选“此服务器”，再按“浏览”选择（或直接输入）服务器名“wy”（即你的服务器的名字）。(3)打开作用域的设置窗口。先选中FQDN名字，再按“右键→新建作用域”。(4)设置作用域名。此地的“名称”项只是作提示用，可填任意内容。如下图：(5)设置可分配的IP地址范围：比如可分配“0～44”“起始IP地址”项填写“0”，“结束IP地址”项填写““子网掩码”项为“”(6)如果有必要，可在下面的选项中输入欲保留的IP地址或IP地址范围；否则直接单击“下一步”。如下图：

(7)下面的“租约期限”可设定DHCP服务器所分配的IP地址的有效期，比如设一年（即365天）。如下图：(8)选“是，我想配置这些选项”以继续配置分配给工作站的默认的网关、默认的DNS服务地址、默认的WINS服务器，在所有有IP地址的栏目均输入并“添加”服务器的IP地址“8”后再根据提示选“是，我想激活作用域”再点击“完成”图所示：•

DHCP设置后的验证将任何一台本网内的工作站的网络属性中设置成“自动获得IP地址”，并让DNS服务器设为“禁用”，网关栏保持为空（即无内容），重新启动成功后，运行“winincfg”（win98中）即可看到各项已分配成功(5)设置可分配的IP地址范围：比如可分配“0～44”“起始IP地址”项填写“0”，“结束IP地址”项填写““子网掩码”项为“”(6)如果有必要，可在下面的选项中输入欲保留的IP地址或IP地址范围；否则直接单击“下一步”。如下图：

(7)下面的“租约期限”可设定DHCP服务器所分配的IP地址的有效期，比如设一年（即365天）。如下图：(8)选“是，我想配置这些选项”以继续配置分配给工作站的默认的网关、默认的DNS服务地址、默认的WINS服务器，在所有有IP地址的栏目均输入并“添加”服务器的IP地址“8”后再根据提示选“是，我想激活作用域”再点击“完成”图所示：•

DHCP设置后的验证将任何一台本网内的工作站的网络属性中设置成“自动获得IP地址”，并让DNS服务器设为“禁用”，网关栏保持为空（即无内容），重新启动成功后，运行“winincfg”（win98中）即可看到各项已分配成功实验八网络Web服务器的建立、管理和使用1、实验目的：让学生掌握Web知识2、实验环境：多台装有Windows2000Server的计算机。3、相关理论：IIS是Internet信息服务（InternetInfomationServer）的缩写。主要包括WWW服务器、FTP服务器等。它使得在Intranet（局域网）或Internet（因特网）上发布信息成了一件很容易的事。4、实验内容：⑴在DNS中将域名“”指向了IP地址“8”入此域名就能调出“D:\Myweb”目录下的网页文件。⑵在DNS中将域名“”指向了IP地址“1”入此域名就能调出“E:\website\wantong”目录下的网页文件。⑶在DNS中将域名“”指向了IP地址“0”输入此域名就能通过浏览器远程进行IIS管理。5、实验步骤：•

“”的设置：•

开IIS管理器：选“开始菜单→程序→管理工具→Internet信息服务”。如下图：(2)设置“默认Web站点”项：“默认Web站点”一般用于对应向所有人开放的WWW站点，比如本文的“”，本网中的任何用户都可以无限制地通过浏览器来查看它。①打开“默认Web站点”的属性设置窗口：选“默认Web站点→右键→属性”即可。②设置“Web站点”：“IP地址”一栏选“8”；“TPC端口”“80”不变。③设置“主目录”：在“本地路径”通过“浏览”按钮来选择你的网页文件所在的目录，本文是“D:\Myweb”。如下图：④设置“文档”：确保“启用默认文档”一项已选中，再增加需要的默认文档名并相应调整搜索顺序即可。此项作用是，当在浏览器中只输入域名（或IP地址）后，系统会自动在“主目录”中按“次序”（由上到下）寻找列表中指定的文件名，如能找到第一个则调用第一个；否则再寻找并调用第二个、第三个……如果“主目录”中没有此列表中的任何一个文件名存在，则显示找不到文件的出错信息。如下图：⑤其它项目均可不用修改，直接按“确定”即可，这时会出现一些“继承覆盖”等对话框，一般选“全选”之后再“确定”即最终完成“默认Web站点”的属性设置。如下图：⑥如果需要，可再增加虚拟目录：比如，有“/news”之类的地址，“news”可以是“主目录”的下一级目录（姑且称之为“实际目录”），也可以在其它任何目录下，也即所谓的“虚拟目录”。要在“默认Web站点”下建立虚拟目录，选“默认Web站点→右键→新建→虚拟目录”，然后在“别名”处输入“news”，在“目录”处选择它的实际路径即可（比如“C:\Newweb”）。建好后如下图所示：⑦“”的测试在服务器或任何一台工作站上打开浏览器，在地址栏输入“”再回车，如果设置正确，应就可以直接调出你需要的页面。如下图：•

“”的设置：(1)新建一个Web站点：选“wy→右键→Web站点”，“名称”处输入任意内容（比如“这是我添加的站点”），再按提示选择其对应的IP地址“1”及其对应的目录“:\website\wantong”等项即可；如果要赋予此站点CGI等执行权利，还需依提示选相应项目。(2)修改其属性：方法请参见本文上篇“”的设置一(3)验证方法亦同本文上篇“”的验证一步。•

“”的设置：“管理Web站点”一般用于对应仅向IIS管理员开放的WWW站点，比如本文的“”，它允许IIS管理员通过浏览器来远程实现对IIS的管理和控制。•

打开“管理Web站点”的属性设置窗口：选“管理Web站点→右键→属性”即可。•

设置“Web站点”：“IP地址”一栏选“0”；“TCP端口”维持原来的“4884”(3)“主目录”项请不要修改，保持原路径“\WINNT\System32\inetsrv\iisadmin”不变，因为这是管理文件所存在的目录。(4)设置“目录安全性”：一般只需改“IP地址及域名限制”一项，选“编辑”即打开“IP地址及域名限制”设置窗口。默认的，除了IP地址“”运行“管理Web站点”（如下图）；实际上作了前面的设置后，此时，任何地址均不能访问它了，而需要选中“授权访问”。•

项目可不用再设置了。现在打开浏览器，输入“:4884”来进行验证：①首先会弹出一个窗口，在“用户名”处输入“administrator”，“密码”处输入相应密码，②所调用的管理界面如下图所示：实验九网络FTP服务器建立、管理和使用1、实验目的：让学生掌握FTP服务的知识2、实验环境：多台装有Windows2000Server的计算机。3、相关理论：IIS是Internet信息服务（InternetInfomationServer）的缩写。主要包括WWW服务器、FTP服务器等。它使得在Intranet（局域网）或Internet（因特网）上发布信息成了一件很容易的事。4、实验内容：在DNS中将域名“”指向IP地址“9”，要求输入相应格式的域名（或IP地址）就可登录到“D:\Myweb”5、实验步骤：•

“”的设置：(1)打开“默认FTP站点”属性窗口：选“默认FTP站点→右键→属性”即可。(2)设置“FTP站点”：在“IP地址”处选“9”，端口号保持默认值“21(3)设置“消息”：在“欢迎”框中输入登录成功后的欢迎信息，“退出”中为退出信息。如下图：(4)设置“主目录”：在“本地路径”中按“浏览”按钮选择目标目录“E:\myweb”。如下图：(5)设置“安全帐号”：默认的，匿名用户（Anonymous）被允许登录，如果有必要，此处可选拒绝其登录以增加安全性；或增加其他用于管理此FTP服务器的用户名（默认的为“Administator”）。(6)设置“目录安全性”：此处可以设置只被允许或只被拒绝登录此FTP服务器的的计算机的IP地址。(7)如需要，也可在“默认FTP站点”处单击右键选“新建”来新建FTP的虚拟目录。

“”的测试(1)在浏览器中登录：格式为“”或“ftp://用户名@”。如果匿名用户被允许登录，则第一种格式就会使用匿名登录的方式；如果匿名不被允许，则会弹出选项窗口，供输入用户名和密码。第二种格式可以直接指定用某个用户名进行登录。(2)DOS下登录：格式为“ftp”。如下图所示：(3)用FTP客户端软件登录：如下图为在CuteFTP中的设置：(5)设置“安全帐号”：默认的，匿名用户（Anonymous）被允许登录，如果有必要，此处可选拒绝其登录以增加安全性；或增加其他用于管理此FTP服务器的用户名（默认的为“Administator”）。(6)设置“目录安全性”：此处可以设置只被允许或只被拒绝登录此FTP服务器的的计算机的IP地址。(7)如需要，也可在“默认FTP站点”处单击右键选“新建”来新建FTP的虚拟目录。•

“”的测试(1)在浏览器中登录：格式为“”或“ftp://用户名@”。如果匿名用户被允许登录，则第一种格式就会使用匿名登录的方式；如果匿名不被允许，则会弹出选项窗口，供输入用户名和密码。第二种格式可以直接指定用某个用户名进行登录。(2)DOS下登录：格式为“ftp”。如下图所示：(3)用FTP客户端软件登录：如下图为在CuteFTP中的设置：实验十WINDOWS的INTERNET连接共享设置1、实验目的：让学生掌握中小型企业网接入INTERNET的组建与软件配置方法和环节2、实验环境：有ISDN、ADSL等配套设施，WINDOWS98，WINDOWSME/2000，局域网3、相关理论：（1）现在各地的电信部门和ISP所提供的入网方式大体分为以下几种：通过调制解调器拨号上网；ISDNADSL千兆以太网CABLEMODEM；通过分组网上网方式通过帧中继上网通过DDN专线上网；通过微波无线上网；（2）ADSL接入类型：A、专线入网方式：用户拥有固定的静态IP地址，24小时在线。B、虚拟拨号入网方式：并非是真正的电话拨号，而是用户输入帐号、密码，通过身份验证，获得一个动态的IP地址，可以掌握上网的主动性。4、实验内容：利用“INTERNET共享”的方法，将一个局域网内的计算机通过ADSL接入INTERNET5、实验步骤：安装好网络硬件（1）首先在服务器上先安装一块网卡为1#，设定糨和局域网相连；（2）安装“INTERNET共享”组件（3）安装第二块网卡2#，设其与ADSL-MODEM连接（4）安装“虚拟拨号程序”（5）配置“虚拟拨号程序”（输入ADSL连接名称；用户名，密码；选择ADSL连接网卡（6）配置客户机：IP地址，子网掩码，网关，DNS注：安装“Internet连接共享”组件进入“我的电脑→控制面板→添加/删除程序→Windows安装程序”中，双击“Internet工具”。在出现窗口中的“Inter-net连接共享”前打上勾，然后“确定”安装这个组件，系统会自动要求安装所选程序，完成后将重新启动电脑实验十二在Windows2000的IIS中实现SSL1、实验目的：（1）完成证书的申请和安装过程；（2）通过配置WEB服务器的SSL功能进行安全的数据据通信2、实验环境：一个局域网上相互配合的3台主机协作完成。其中一台主机扮演证书颁发机构角色；另一台运行WEB服务；最后一台主机充当WEB浏览器。计算机上都装有WINDOWS2000SERVER系统。3、相关理论：浏览器请求与服务器建立安全对话。WEB服务器将自己的公钥发给浏览器。WEB服务器身份鉴别及WEB服务器用自己的私钥解密。WEB服务器和浏览器用会话密钥加密和解密，服务器证实客户的身份。实现加密传输。4、实验内容：在服务器Sca上安装证书颁发机构CA；Web服务器Sweb向Sca的CA提交证书请求，CA颁发证书给Sweb；在Sweb上安装数字证书，配置安全通信；使客户C1的浏览器信任Sca上的认证中心CA。5、实验步骤（1）搭建实验网络实验分组进行，每组可参考图2所示的结构连接网络，其中Sca，Sweb，Sdns的操作系统为Windows2000Server，C1和C2的操作系统为Windows2000Professional或Windows98。在各计算机上设置好IP地址、子网掩码等，连通网络。（2）服务器Sca上的操作－安装证书颁发机构在服务器Sca上，可以先安装配置好IIS，因为证书颁发机构安装完成后，会在默认的WEB站点下生成一个名为CertSrv的虚拟目录，网上的用户（这里就是Web服务器Sweb）通过这个虚拟目录向此证书颁发机构申请数字证书，URL是“http://Sca的域名或IP地址或计算机名/CertSrv”。当然也可在安装证书颁发机构之后再安装IIS，新建一个主目录指向Certsrv的Web站点。安装证书颁发机构的操作步骤如下:

1）单击“开始”->“设置”->“控制面板”->“添加/删除程序”->“添加/删除Windows组件”，启动“Windows组件向导”。2）选中“证书服务”组件，系统提示“安装证书服务后，不能重命名计算机，并且计算机不能加入域或从域中删除。要继续吗？”，按“是”，并按“下一步”继续。3）在“证书颁发机构类型”页面选择“独立根CA”。有四种类型的CA我们可以选择：企业根CA、企业下级CA、独立根CA和独立下级CA。企业根CA与独立根CA的区别在于，前者需要ActiveDirectory的支持而后者不需。独立根CA与企业根CA一样，都是CA体系中最受信任的CA。按“下一步”继续。4）在“CA标识信息”页面，填写CA标识信息，这些信息将在以后的操作中标识该CA。实验中我们随意把CA命名为“Sca”填写一些项目。按“下一步”继续。如图3所示。图3CA标识信息5）在“数据存储位置”页面，使用默认的证书数据库和证书数据库日志位置，即X:\WINNT\System32\CertLog，X代表Windows2000系统所在的盘符。按“下一步”继续。6）系统将提示从Windows2000安装光盘上复制文件，重新配置相关组件，最后建立一个独立的根证书颁发机构Sca。现在来查看我们刚才安装的证书分发机构Sca。单击“开始”菜单->“控制面板”->“管理工具”->“证书颁发机构”，我们可以看到Sca已经在运行。如图4所示。图4证书颁发机构界面（3）Web服务器上的操作－申请数字证书现在，Web服务器Sweb即可向CA服务器Sca提出申请，由CA颁发数字证书了。操作步骤如下：（1）“创建一个新的证书”申请此证书申请包含此Web服务器的标识信息，提交给CA，CA签名颁发后才能成为正式的证书。1）启动Internet服务管理器，打开我们在Sweb上建立的Web站点（可制作一简单的Web页面，或者就用默认的Web站点）：选择站点属性里的“目录安全性”，然后点击“服务器证书”，如图5所示。图5申请服务器证书2）因为我们是第一次申请证书，所以在随后出现的界面中选择“创建一个新的证书”，然后点击下一步。3）在随后出现的“命名和安全设置”界面输入证书的名称和密钥的位长，使用默认的名称（默认为Web站点的名称Sweb）和加密位长（默认为512）就可以了。3）继续点击”下一步”，填写相关信息，经过三个界面的信息填写后，出现如图6所示的保存证书请求的界面。保存的文件名使用默认的certqeq.txt即可。图6请注意，图6中的这个文件”certqeq.txt”就是Web服务器要提交给CA的证书申请，我们这里是暂时保存在本Web服务器上的。在后面的操作中会把它提交给CA的证书颁发机构。点击“下一步”后，出现“请求文件摘要”界面，是我们前几步填写的证书申请的信息汇总。(2)把申请提交给Sca上的证书颁发机构1）在Sweb的浏览器的地址栏输入“http://Sca的域名或IP地址或计算机名称/CertSrv”，出现如图7所示的界面。选择“申请证书”，点击“下一步”。图7访问证书颁发机构2）在随后出现界面上选择选择“高级申请”，然后点击“下一步”。3）在接着出现的界面上选择使用base64编码方式来提交证书申请，然后点击“下一步”，出现如图8所示的界面。4）在“提交一个保存的申请”栏目下，把我们刚刚生成的certreq.txt文本文件的内容复制到“base64编码证书申请”框里，然后选择“提交”。图8申请文件的提交提交成功以后，会返回一个界面告诉我们证书申请已经收到，现在被挂起等待CA来颁发。（4）在Sca上的操作－颁发数字证书现在我们在Sca上来颁发数字证书。1)在Sca的管理工具里打开“证书颁发机构”，在“待定申请”中找到我们刚刚的申请条目，点击鼠标右键选择“颁发”，如图9所示。图9颁发证书2)在“颁发的证书”里找到刚才颁发的证书，双击其属性栏目，然后在“详细信息”里点击“复制到文件”按钮，出现“证书导出向导”界面。3）把证书导出到一个文件。这里我们把证书导出到CA服务器的某共享文件夹如d:\certconfig，任意命名为sql.cer，如图10所示。这个文件也就是CA对证书请求的答复文件。图10把证书导出到文件3.5Sweb上的操作－安装数字证书，配置安全的web服务器1）回到服务器Sweb的Web属性管理界面里重新选择证书申请，这时出来的是“挂起的证书请求”界面。点击“下一步”，出现“处理挂起的证书请求”界面，如图11所示。2）在此界面的“路径和文件名”下面点击“浏览”，从网上邻居找到Sca服务器上共享文件夹下刚才导出的CA的答复文件sql.cer，点击“下一步”。图11找到证书颁发机构的答复文件3）确定如图12所示的证书详细信息正确以后，继续点击“下一步”，完成服务器证书的安装。图12证书的详细信息4）配置安全的Web服务器在图13所示界面的“安全通信”栏选择“申请安全通道”，在“客户证书”栏选择“忽略客户证书”。图13安全通信参数选取现在可以看到SSL端口已经激活，我们输入保留的端口号443。如图14所示。图14激活的SSL端口自此，在Web服务器上的有关SSL的安装配置全部完成，接下来可以在客户C1上进行访问SSL安全站点Sweb的相关操作了。3.6C1上的操作－信任Sca上的证书颁发机构我们自己在Sca上建立的CA（Sca）是不在浏览器默认的受信任的根目录证书发行机构列表内的，故在浏览器与Web服务器建立SSL连接时会报警提示该站点的安全证书有问题，实验时我们可以先不做信任操作来验证这一点。然后在浏览器上进行信任这个证书颁发机构的操作：下载Sca的根证书并安装为受信任的根目录证书发行机构（注意这里只是把该CA导入到浏览器的受信任的CA列表中，不是安装客户证书）。操作步骤如下：1)打开C1的IE浏览器，输入“http://Sca/certsrv”进入认证中心CA服务器的证书申请页面。2)在此页面，选择“检索CA证书或证书吊销列表”任务，按“下一步