实验5-2 CA系统的应用.doc

实验5-2 CA系统的应用SSL的原理SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过3个元素来完成：握手协议：这个协议负责被子用于客户机和服务器之间会话的加密参数当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥记录协议：这个协议用于交换应用数据应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个MAC（消息认证代码），然后结果被加密并传输接受方接受数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议警告协议：这个协议用于表示在什么时候发生了错误或两个主机之间的会话在什么时候终止SSL协议通信的握手步骤如下：第1步，SSL客户机连接至SSL服务器，并要求服务器验证它自身的身份；第2步，服务器通过发送它的数字证书证明其身份这个交换还可以包括整个证书链，直到某个根证书颁发机构（CA）通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性第3步，服务器发出一个请求，对客户端的证书进行验证，但是由于缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。

第4步，协商用于加密的消息加密算法和用于完整性检查的哈希函数，通常由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法第5步，客户机和服务器通过以下步骤生成会话密钥：·客户机生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，以送到服务器上·服务器用更加随机的数据（客户机的密钥可用时则使用客户机密钥，否则以明文方式发送数据）响应·使用哈希函数从随机数据中生成密钥四、实验内容和步骤任务：配置基于Web的SSL连接主要步骤：1、创建一个web服务器站点2、为Web服务器申请证书：此过程创建一个新的证书申请，此申请可发送到证书颁发机构 (CA) 进行处理如果成功，CA 将给您发回一个包含生效证书的文件1. 启动 IISMicrosoft管理控制台 (MMC) 管理单元2. 展开Web服务器名，选择要安装证书的Web站点3. 右击该Web站点，然后单击“属性”4. 单击“目录安全性”选项卡5. 单击“安全通信”中的“服务器证书”按钮，启动Web服务器证书向导注意：如果“服务器证书”不可用，可能是因为您选择了虚拟目录、目录或文件返回第 2 步，选择Web站点5. 单击“下一步”跳过欢迎对话框。

6. 单击“创建一个新证书”，然后单击“下一步”7. 该对话框有以下两个选项：• “现在准备申请，但稍后发送”该选项总是可用的• “立即将申请发送到证书颁发机构”仅当Web服务器可以在配置为颁发Web服务器证书的Windows 2000 域中访问一个或多个Microsoft证书服务器时，该选项才可用在后面的申请过程中，您有机会从列表中选择将申请发送到的颁发机构单击“现在准备申请，但稍后发送”，然后单击“下一步”9. 在“组织”字段中键入组织名称（例如 Contoso），在“组织单位”字段中键入组织单位（例如“销售部”），然后单击“下一步”注意：这些信息将放在证书申请中，因此应确保它的正确性CA 将验证这些信息并将其放在证书中浏览您的Web站点的用户需要查看这些信息，以便决定他们是否接受证书10. 在“公用名”字段中，键入您的站点的公用名，然后单击“下一步”重要说明：公用名是证书最后的最重要信息之一它是Web站点的DNS名称（即用户在浏览您的站点时键入的名称）如果证书名称与站点名称不匹配，当用户浏览到您的站点时，将报告证书问题如果您的站点在Web上并且被命名为 ，这就是您应当指定的公用名。

如果您的站点是内部站点，并且用户是通过计算机名称浏览的，请输入计算机的NetBIOS或DNS名称11. 在“国家/地区、州/省和城市/县市”字段中输入适当的信息，然后单击“下一步”12. 输入证书申请的文件名13. 单击“下一步”该向导显示证书申请中包含的信息概要14. 单击“下一步”，然后单击“完成”完成申请过程3、提交Web服务器证书：1. 使用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板2. 启动InternetExplorer，导航到 http://hostname/CertSrv，其中hostname是运行Microsoft证书服务的计算机的名称3. 单击“申请证书”，然后单击“下一步”4. 在“选择申请类型”页中，单击“高级申请”，然后单击“下一步”5. 在“高级证书申请”页中，单击“使用 base64 编码的 PKCS#10 文件提交证书申请”，然后单击“下一步”6. 在“提交一个保存的申请”页中，单击“Base64 编码的证书申请（PKCS #10 或 #7）”文本框，按住 CTRL+V，粘贴先前复制到剪贴板上的证书申请7. 在“证书模板”组合框中，单击“Web 服务器”。

8. 单击“提交”9. 关闭InternetExplorer4、服务器证书的颁发和安装颁发证书1. 从“管理工具”程序组中启动“证书颁发机构”工具2. 展开您的证书颁发机构，然后选择“待定申请”文件夹3. 选择刚才提交的证书申请4. 在“操作”菜单中，指向“所有任务”，然后单击“颁发”5. 确认证书显示在“颁发的证书”文件夹中，然后双击查看它6. 在“详细信息”选项卡中，单击“复制到文件”，将证书保存为Base-64编码的X.509证书7. 关闭证书的属性窗口8. 关闭“证书颁发机构”工具四、在Web服务器上安装证书在Web服务器上安装证书此过程在Web服务器上安装在前面的过程中颁发的证书在Web服务器上安装证书1. 如果Internet信息服务尚未运行，则启动它2. 展开您的服务器名称，选择要安装证书的Web站点3. 右击该Web站点，然后单击“属性”4. 单击“目录安全性”选项卡5. 单击“服务器证书”启动Web服务器证书向导6. 单击“处理待定申请和安装证书”，然后单击“下一步”7. 输入包含CA响应的文件的路径和文件名，然后单击“下一步”8. 检查证书概述，单击“下一步”，然后单击“完成”。

证书现在安装在Web服务器上5、在服务器上配置SSL（参考书上53页）6、通过SSL访问测试网页。