數(shù)字簽名實(shí)驗(yàn)手冊(cè)

1、PKI實(shí)驗(yàn)PKI原理回顧：PKI是一個(gè)用公鑰密碼學(xué)技術(shù)來(lái)實(shí)施和提供安全服務(wù)的安全基礎(chǔ)設(shè)施，它是創(chuàng)建、管理、存儲(chǔ)、分布和作廢證書的一系列軟件、硬件、人員、策略和過(guò)程的集合。PKI以數(shù)字證書為基礎(chǔ)，使用戶在虛擬的網(wǎng)絡(luò)環(huán)境中能夠驗(yàn)證相互之間的身份，并保證敏感信息傳輸?shù)臋C(jī)密性、完整性和不可否認(rèn)性，為電子商務(wù)交易的安全提供了基本保障。CA系統(tǒng)是PKI的核心，因?yàn)樗芾砉€的整個(gè)生命周期。一、CA安裝證書服務(wù)獨(dú)立根CA：獨(dú)立根CA是證書層次結(jié)構(gòu)中的最高級(jí)CA。獨(dú)立根CA既可以是域的成員也可以不是，因此它不需要AD，但是，如果存在AD用于發(fā)布證書和證書吊銷列表，則會(huì)使用AD，由于獨(dú)立根CA不需要AD，因此可

2、以很容易地將它眾網(wǎng)絡(luò)上斷開(kāi)并置于安全的區(qū)域，這在創(chuàng)建安全的離線根CA時(shí)非常有用。環(huán)境準(zhǔn)備：虛擬機(jī)PC1安裝好Windows Server 20031. 添加IIS組件：點(diǎn)擊“開(kāi)始”“控制面板”“添加/刪除程序”“添加/刪除windows組件”“Internet信息服務(wù)（IIS）”（如果沒(méi)有這一項(xiàng)就安裝“應(yīng)用程序服務(wù)器”）。2. 點(diǎn)擊確定下一步安裝完成后，點(diǎn)擊“開(kāi)始”“管理工具”“IIS管理器”，查看IIS管理器，如下圖：3. 添加證書服務(wù)組件：點(diǎn)擊“開(kāi)始”“控制面板”“添加/刪除程序”“添加/刪除windows組件”“證書服務(wù)”，勾選上。勾選之后出現(xiàn)如下提示，選擇“是”，繼續(xù)“下一步”：4.

3、選擇“獨(dú)立根”，默認(rèn)情況下，用自定義設(shè)置生成密鑰對(duì)和CA證書沒(méi)有勾選，我們勾選之后點(diǎn)擊下一步可以進(jìn)行密鑰算法的選擇。如圖：5. Microsoft 證書服務(wù)的默認(rèn)CSP為：Microsoft Strong Cryptographic Provider，默認(rèn)散列算法：SHA-1，密鑰長(zhǎng)度：2048您可以根據(jù)需要做相應(yīng)的選擇，這里我們使用默認(rèn)。點(diǎn)擊下一步6. 填寫CA的公用名稱（以test為例），其他信息（如郵件、單位、部門等）可在可分辨名稱后綴中添加，有效期限默認(rèn)為5年（可根據(jù)需要作相應(yīng)改動(dòng)，此處默認(rèn)）。7. 證書數(shù)據(jù)庫(kù)設(shè)置，保持默認(rèn)，點(diǎn)擊“下一步”進(jìn)行安裝。提示要停止IIS服務(wù)，選擇“是”：出

4、現(xiàn)下圖，選擇“是”，繼續(xù)安裝。8. 若出現(xiàn)“瀏覽”，則如下處理：然后點(diǎn)擊“確定”：9. 開(kāi)始 管理工具 證書頒發(fā)機(jī)構(gòu)，打開(kāi)如下窗口：在啟動(dòng)“證書頒發(fā)機(jī)構(gòu)”服務(wù)后，PC1便擁有了CA的角色。二、提交服務(wù)器證書申請(qǐng)環(huán)境準(zhǔn)備：PC2作為Web服務(wù)器安裝了Windows Server 2003，PC1中按照實(shí)驗(yàn)一中的步驟安裝好證書服務(wù)，PC2與PC1網(wǎng)絡(luò)互通。1. 在開(kāi)始->程序->管理工具中打開(kāi)“Internet信息服務(wù)（IIS）管理器”，通過(guò)左側(cè)樹(shù)狀結(jié)構(gòu)中的Internet信息服務(wù)->計(jì)算機(jī)名（本地計(jì)算機(jī)）->網(wǎng)站->新建網(wǎng)站test，選中test網(wǎng)站后右鍵單擊“屬性

5、”。2. 在PC2中打開(kāi)瀏覽器，輸入http:/PC1的IP/certsrv，打開(kāi)如下頁(yè)面：3. 選擇“申請(qǐng)一個(gè)證書”，選擇“高級(jí)證書申請(qǐng)”。4. 之后選擇“使用 base64 編碼的 CMC 或 PKCS #10 文件提交一個(gè)證書申請(qǐng)，或使用 base64 編碼的 PKCS #7 文件續(xù)訂證書申請(qǐng)”，將1中保存的證書請(qǐng)求C: certreq.txt文本文件內(nèi)的內(nèi)容，粘貼到“保存的申請(qǐng)”然后“提交”。5. 這時(shí)在PC1中，點(diǎn)擊開(kāi)始程序管理工具證書頒發(fā)機(jī)構(gòu)，可出現(xiàn)如下界面：在掛起的申請(qǐng)里可以看到剛才申請(qǐng)的證書ID為2的申請(qǐng)。6. 選中證書鼠標(biāo)右鍵，選擇“所有任務(wù)”“頒發(fā)”，進(jìn)行證書頒發(fā)，如下圖所

6、示。7. 證書頒發(fā)后將從“掛起的申請(qǐng)”文件夾轉(zhuǎn)入到“頒發(fā)的證書”文件夾中，標(biāo)識(shí)證書頒發(fā)完成，查看如下。8. 證書的下載安裝在申請(qǐng)證書的計(jì)算機(jī)上打開(kāi)瀏覽器，在地址欄輸入http:/PC1的ip地址/certsrv，進(jìn)入證書申請(qǐng)頁(yè)面。剛才完成了“申請(qǐng)證書”，下面選擇“查看掛起的證書申請(qǐng)的狀態(tài)”，看看CA是否頒發(fā)了證書，如下圖所示，點(diǎn)擊下一步；在彈出的頁(yè)面中選擇已經(jīng)提交的證書申請(qǐng)如下圖所示。如果CA已經(jīng)將證書頒發(fā)，則頁(yè)面如下，選擇“安裝此證書”。下載證書和證書鏈保存到本地，其后綴分別為cer和p7b文件。9. 在IIS信息服務(wù)管理器->網(wǎng)站->test（我們建的測(cè)試網(wǎng)站），右鍵“屬性”。

7、選擇“目錄安全性”選項(xiàng)卡，單擊“服務(wù)器證書”按鈕，此時(shí)出現(xiàn)“Web服務(wù)器證書向?qū)А?，單擊“下一步”。選擇“處理掛起的請(qǐng)求并安裝證書”：選擇之前保存的證書文件路徑：在SSL端口文本框中填入443，單擊“下一步”。完成整個(gè)安裝過(guò)程。此時(shí)服務(wù)器證書已經(jīng)安裝完畢，可以單擊“目錄安全性”選項(xiàng)卡中“查看證書”按鈕查看證書內(nèi)容。10. 安裝CA根證書右鍵單擊certnew.p7b證書文件，在彈出菜單中選擇“安裝證書”，進(jìn)入“證書導(dǎo)入向?qū)А表?yè)面，單擊“下一步”。11. 單向認(rèn)證（僅服務(wù)器需要身份認(rèn)證）在IIS信息服務(wù)管理器->網(wǎng)站->test->屬性的“目錄安全性”頁(yè)簽“安全通信”中單擊“編

8、輯按鈕”，選中“要求安全通道SSL”，并且“忽略客戶端證書”（不需要客戶端身份認(rèn)證），單擊“確定”?？蛻舳藛?dòng)IE瀏覽器，輸入http:/服務(wù)器PC2的IP:100/index.html并確認(rèn)，此時(shí)頁(yè)面如下：客戶端在IE中輸入https:/服務(wù)器PC2的IP/index.html，此時(shí)會(huì)出現(xiàn)“安全警報(bào)”對(duì)話框提示，確定后出現(xiàn)如下界面：12. 雙向認(rèn)證（服務(wù)器和客戶端均需身份認(rèn)證）服務(wù)器端PC2在IIS信息服務(wù)管理器中，網(wǎng)站->test->屬性，打開(kāi)“目錄安全性”->“編輯”，選中“要求安全通道SSL”，并且“要求客戶端證書”，單擊確定。客戶端IE訪問(wèn)地址欄上輸入https:/

9、服務(wù)器IP/index.html訪問(wèn)，此時(shí)彈出“安全警報(bào)”對(duì)話框，提示即將通過(guò)安全連接查看網(wǎng)頁(yè)，確定后彈出“是否繼續(xù)”，確定后出現(xiàn)“選擇數(shù)字證書”對(duì)話框，但是沒(méi)有數(shù)字證書可供選擇，單擊確定，頁(yè)面出現(xiàn)提示“該頁(yè)要求客戶證書”。客戶端向CA申請(qǐng)證書：登錄http:/CA的IP/certsrv，在主頁(yè)面選擇“申請(qǐng)一個(gè)證書”，然后選擇“Web瀏覽器證書”，在出現(xiàn)的頁(yè)面填寫相關(guān)信息后“提交”申請(qǐng)。接下來(lái)請(qǐng)CA為客戶端頒發(fā)證書?？蛻舳税惭b證書：客戶端通過(guò)IE瀏覽器，工具->Internet選項(xiàng)->內(nèi)容->證書，會(huì)在“個(gè)人”選項(xiàng)卡中看到主機(jī)CA給自己頒發(fā)的證書。然后訪問(wèn)https:/服務(wù)器

10、IP/index.html查看網(wǎng)站。三、證書服務(wù)管理1.停止/啟動(dòng)證書服務(wù)進(jìn)入“證書頒發(fā)機(jī)構(gòu)”菜單，右擊剛建立的CA節(jié)點(diǎn)，在“所有任務(wù)”中選擇“停止服務(wù)”，即可停止服務(wù)，CA節(jié)點(diǎn)圖標(biāo)此時(shí)變成紅叉；同樣，單擊“啟動(dòng)服務(wù)”，則可啟動(dòng)證書。2.CA備份/還原右擊CA節(jié)點(diǎn)，在“所有任務(wù)”中選擇“備份CA”，即進(jìn)入“證書頒發(fā)機(jī)構(gòu)備份向?qū)А?，單擊“下一步”按鈕，選擇要備份的項(xiàng)目和要備份的文件夾，單擊“下一步”按鈕。為了保護(hù)私鑰的安全性，接著要輸入保護(hù)私鑰和證書文件的秘密，如下圖所示。然后點(diǎn)擊下一步，即可選擇完成操作。CA的還原操作需要先停止CA服務(wù)，然后右擊“CA公共名稱節(jié)點(diǎn)”，在“所有服務(wù)”中選擇“還原

11、CA”，即進(jìn)入“證書頒發(fā)機(jī)構(gòu)還原向?qū)А?，單擊“下一步”按鈕，彈出如圖所示的對(duì)話框，選擇要還原的項(xiàng)目和證書文件所在的文件夾，單擊“下一步”按鈕。在出現(xiàn)的對(duì)話框中輸入保護(hù)私鑰和證書文件的密碼，單擊“下一步”按鈕，單擊“完成”，即完成CA的還原，如下圖所示。3.證書廢除右擊“頒發(fā)的證書”中需要廢除的證書，在彈出的菜單中選擇“所有任務(wù)”中的“吊銷證書”菜單項(xiàng)，如下圖所示。在彈出的“證書吊銷”對(duì)話框中選擇吊銷的理由，單擊“是”按鈕，這個(gè)被廢除的證書就轉(zhuǎn)移到了“吊銷的證書”文件夾。為了把吊銷的證書對(duì)外發(fā)布，下面創(chuàng)建一個(gè)證書吊銷列表，以供客戶端下載查詢。右擊“吊銷的證書”文件夾，在“所有任務(wù)”中單擊“發(fā)行”

12、，單擊“是”，即可完成證書的吊銷列表的創(chuàng)建和發(fā)布，如下所示。如果要查看創(chuàng)建的證書吊銷列表，右擊“吊銷的證書”文件夾，單擊彈出菜單中的“屬性”，彈出“吊銷的證書屬性”窗口，單擊“查看當(dāng)前CRL”按鈕，中顯示了吊銷的證書信息。四、獨(dú)立從屬CA配置環(huán)境：兩臺(tái)Windows Server 2003，分別為PC1作為獨(dú)立根CA，PC2作為從屬CA，一臺(tái)Windows xp作為客戶端1. 首先在PC1上配置獨(dú)立根CA服務(wù)，如實(shí)驗(yàn)一所示。2. 打開(kāi)PC2配置為獨(dú)立從屬CA服務(wù)。選擇獨(dú)立從屬CA。如果父CA在線可用,則選中"將申請(qǐng)直接發(fā)送給網(wǎng)絡(luò)上的CA".在文本框中輸入父CA的計(jì)算機(jī)名,和

13、父CA的名稱.如果父CA不在線可用,則選中"將申請(qǐng)保存到一個(gè)文件",并在申請(qǐng)文件文本框中輸入將存儲(chǔ)申請(qǐng)的文件的路徑和文件名,然后使用此證書申請(qǐng)文件手工向父CA提交申請(qǐng).驗(yàn)證安裝：查看從屬CA，可以看服務(wù)（“開(kāi)始”“管理工具”“服務(wù)”），有圖中的服務(wù)便安裝成功。該主機(jī)已經(jīng)擁有了獨(dú)立從屬CA的角色。3. 如果第2步中選擇的是“將申請(qǐng)保存到一個(gè)文件”，則需要使用此證書申請(qǐng)文件手工向父CA提交申請(qǐng)，首先打開(kāi)瀏覽器訪問(wèn)http:/PC1的IP/certsrv，然后“申請(qǐng)一個(gè)證書”->“高級(jí)證書申請(qǐng)”->“使用Base64編碼的”，打開(kāi)如下頁(yè)面。在Base-64文本框中粘貼入第2步中保存的req文件，然后提交申請(qǐng)。4. 在獨(dú)立根CA服務(wù)器PC1上，點(diǎn)擊“開(kāi)始”“管理工具”“證書頒發(fā)機(jī)構(gòu)”。然后點(diǎn)擊“掛起的證書”會(huì)看到從屬CA的申請(qǐng)證書，然后可以頒發(fā)證書。5. 獨(dú)立從屬CA通過(guò)“證書頁(yè)主頁(yè)”->查看掛起的證書申請(qǐng)的狀態(tài)->保存的申請(qǐng)證書->下載證書鏈，將以.p7