實驗六PKI技術(shù)之證書管理

1、精品文檔實驗六PKI技術(shù)之證書管理實驗日期：2012.11.15班級：10網(wǎng)絡(luò)安全(CIW)姓名：學(xué)號一、實驗?zāi)康?1) 掌握CA通過自定義方式查看申請信息的方法(2) 掌握備份和還原CA的方法(3) 掌握吊銷證書和發(fā)布CRL的方法二、實驗要求(1) 準(zhǔn)確完成實驗內(nèi)容，得出實驗結(jié)果(2) 寫出實驗步驟和實驗小結(jié)三、實驗步驟本練習(xí)主機(jī)A、B為一組，C、D為一組，E、F為一組。實驗角色說明如下:實驗主機(jī)實驗角色主機(jī)A、C、ECA(證書頒發(fā)機(jī)構(gòu))、服務(wù)器主機(jī)B、D、F客戶端下面以主機(jī)A、B為例，說明實驗步驟。首先使用“快照X”恢復(fù)Windows系統(tǒng)環(huán)境。(一)安裝證書服務(wù)主機(jī)A安裝證書服務(wù)，具體步驟

2、見實驗五|安全Web通信|單向認(rèn)證。在啟動“證書頒發(fā)機(jī)構(gòu)”服務(wù)后，主機(jī)A便擁有了CA的角色。(二)CA操作1.CA自動頒發(fā)證書(1)CA通過“開始”|“程序”|“管理工具”|“證書頒發(fā)機(jī)構(gòu)”打開“證書頒發(fā)機(jī)構(gòu)”。(2)在“證書頒發(fā)機(jī)構(gòu)”的左側(cè)樹狀結(jié)構(gòu)中右鍵單擊“CA的名稱”|“屬性”，打開“屬性”選項卡，單擊“策略模塊”|“屬性”。在“請求處理”頁簽中選擇“如果可以的話，按照證書模板的設(shè)置。否則，將自動頒發(fā)證書”。單擊“應(yīng)用”按鈕，出現(xiàn)重啟證書服務(wù)提示信息，單擊“確定”直到完成設(shè)置，重啟證書服務(wù)。如圖3-1、3-2所示：圖3-1策略模塊諾索處理|修洞西工默鬣略攫區(qū)控制此門在默認(rèn)恬況下如何處理位

3、書清在收卻正書請正時執(zhí)行下面力律作r將證書諸求優(yōu)態(tài)隹”拄起.昔理員購克?用瓊地/發(fā)證書卷人仃如卷可以的話，以照證書模芯中的設(shè)置.西則，將自動雌 證書®.精品文檔IEW|-eI取1"門丹觸-應(yīng)用®圖3-2選擇“請求處理”2.客戶端以高級方式申請證書注客戶端向CA進(jìn)行證書申請時，要確保在當(dāng)前時間CA已經(jīng)成功擁有了自身的角色。| “高級(1)客戶端通過IE瀏覽器訪問http:CA的IP/certsrv/,通過“申請一個證書”證書申請”|“創(chuàng)建并向此CA提交一個申請”進(jìn)入證書申請頁面。如圖3-3所示:圖3-3創(chuàng)建并向此CA提交一個申請在“識別信息”中填入相關(guān)信息。在“需要

4、的證書類型”中選擇“客戶端身份驗證證書”。m 9 g 現(xiàn):口扉9回工科?” 一吃土 .臼r世業(yè)百3三丁-二mK3 fl0* 3-4所示:在“密鑰選項”中選中“標(biāo)記密鑰為可導(dǎo)出”，其它項保持默認(rèn)設(shè)置。如圖圖3-4填入“識別信息”和選擇相關(guān)選項單擊“提交”按鈕提交信息。由于CA已經(jīng)設(shè)置“自動頒發(fā)證書”策略，所以申請被立刻批準(zhǔn)，此時頁面顯示“證書已頒發(fā)”，客戶端單擊”安裝此證書”，如圖3-5所示。這時出現(xiàn)對話框“潛在的腳本沖突”，單擊“是”。這時頁面出現(xiàn)對話框“安全性警告”單擊“是”這時頁面顯示信息“證書已安裝”。圖3-5客戶端安裝證書(2)CA查看“頒發(fā)的證書”，操作“添加/刪除列”。在“頒發(fā)的證

5、書”目錄中，雙擊信息條目即可以查看證書，如圖3-6所示:口Ff4mtuiaHki常田國的m下 -SiEWi.+MWJRMM*£耳 <j»rO1ft 0超邦日步1加骷5M Stel-ll IS圖3-6查看證書Mikfn_jmHZfs二J通*停懵如果要查看證書的單獨項，右鍵單擊“信息條目”，選擇“所有任務(wù)”|“導(dǎo)出二進(jìn)制數(shù)則應(yīng)該在“添據(jù)”，彈出“導(dǎo)出二進(jìn)制數(shù)據(jù)”對話框，在其中選擇相應(yīng)的項。如果不能顯示,加/刪除列”中選擇相應(yīng)的列，如圖3-7所示：您只能導(dǎo)出在下面的詳鈿內(nèi)容訪格中顯示的列的二進(jìn)制?|x|數(shù)據(jù).要礪加列到詳細(xì)內(nèi)容窗格，在“查看”菜單下單擊“添加/冊瞪列'

6、;：包含二進(jìn)制數(shù)據(jù)的列©：|頜發(fā)的二進(jìn)制名稱H導(dǎo)出選項：區(qū)查看格式化后的數(shù)據(jù)文本版本9r俁存二進(jìn)制數(shù)據(jù)到一個文件0)廣二,取消I1圖3-7導(dǎo)出二進(jìn)制數(shù)據(jù)在“證書頒發(fā)機(jī)構(gòu)”的左側(cè)樹狀結(jié)構(gòu)中右鍵單擊“頒發(fā)的證書”|“查看”|“添加/刪除列”來自定義要顯示的項目。其它幾個目錄如“掛起的申請”等也可以進(jìn)行這項操作，如圖3-8所示:_J ri'-rrt- I'._| 的木海蜘的電通<-MillIte .取清I圖3-8添加刪除列3.CA的備份和還原(1)CA在“證書頒發(fā)機(jī)構(gòu)”的左側(cè)樹狀結(jié)構(gòu)中右鍵單擊“CA的名稱”|“所有任務(wù)”|“備份CA”，此時出現(xiàn)“證書頒發(fā)機(jī)構(gòu)備份向?qū)А?/p>

7、，單擊“下一步”，如圖3-9所示：圖3-9證書頒發(fā)機(jī)構(gòu)備份向?qū)г凇斑x擇要備份的項目”中選中兩個選項。“備份到這個位置中”選擇一個新建的空目錄，單擊“下一步”，如圖3-10所示:證書盅龍祝物各航向身要看帶的有目更可以備份證需您發(fā)機(jī)恂物典的單個相件.選春要備懵的項目V私鑰和佻證書(£)打日書兼擔(dān)庫司證書融莊日惠番粉到電個位置口：1消口=愉9®二：1注也備憐目錄必軟展交的.士上一步下一生目圖3-9選擇要備份的項目和位置3-11所示:輸入密碼并確認(rèn)密碼，單擊“下一步”直到“完成”，如圖圖3-11選擇密碼在“頒發(fā)的證書”目錄中，選擇一個證書右鍵單擊此證書選擇“所有任務(wù)”|“吊銷證書”

8、。此時彈出對話框要求指定“理由碼”，選擇任意“理由碼”單擊確定，如圖3-12所示。此時選擇的證書已經(jīng)轉(zhuǎn)移到“吊銷的證書”目錄中，如圖3-13所示，右鍵單擊此證書選擇“所有任務(wù)”|“解除吊銷證書”，此時出現(xiàn)提示信息“取消吊銷命令失敗”，單擊“確定”。如圖3-14所示：當(dāng)Z-BEG啊匚6LD£d.20L2-11-1515.2(113-11-1516-習(xí)MasMClDuS.一一眥GIH匕.臺H鑿b2m1-B弓出2013-3J-IS16.圖3-12證書吊銷n正劃置fc苴-：事-i.1：，I-d!電i昨-l里F-1+山，忌&I二ft型書I-書事廄F電uiE口TgE2DIZ-3I-.KL

9、Z-IM5W.ttntizi證二OONC.亨電鳴*T_圖3-13吊銷的證書Microfiaft 證書 JEM園少取消吊銷命令失敗.艮有酮怔書待定而用節(jié)版證書才他取消吊帽.(g*I匚重二圖3-14提示信息(3)CA在“證書頒發(fā)機(jī)構(gòu)”的左側(cè)樹狀結(jié)構(gòu)中右鍵單擊“CA的名稱”|“所有任務(wù)”|“還原CA”，此時出現(xiàn)“證書頒發(fā)機(jī)構(gòu)還原向?qū)А碧崾疽⒓搓P(guān)閉證書服務(wù)，單擊“確定”。出現(xiàn)“證書頒發(fā)機(jī)構(gòu)還原向?qū)А保瑔螕簟跋乱徊健?，如圖3-15所示：圖3-15立即停止證書服務(wù)在“選擇要還原的項目”中選中兩個選項。“從這個位置還原”選擇CA備份的目錄,單擊“下一步”，如圖3-16所示：圖3-16設(shè)置要還原的項目輸入密

10、碼，單擊“下一步”直到“完成” ，如圖3-17所示:圖3-17提供密碼3-18“證書頒發(fā)機(jī)構(gòu)還原向?qū)А碧崾疽獑幼C書服務(wù)，單擊“是"啟動證書服務(wù)，如圖所示：圖3-18提示信息此時檢查剛才被吊銷的證書，已經(jīng)從“吊銷的證書”目錄中還原回“頒發(fā)的證書”目錄中，如圖3-19所示：圖3-19吊銷的證書已還原4.證書吊銷(1)主機(jī)A申請服務(wù)器證書。請根據(jù)練習(xí)一中服務(wù)器證書申請實驗步驟，為主機(jī)A生成服務(wù)器證書請求，并安裝服務(wù)器證書和證書鏈。(2)主機(jī)A在IIS中設(shè)置SSL,要求安全通道和客戶端證書，如圖3-20所示:圖3-20安全通信(3)客戶端訪問服務(wù)器?？蛻舳嗽贗E瀏覽器地址欄中輸入“http

11、s:服務(wù)器IP”并確認(rèn)。此時出現(xiàn)“安全警報”對話框提示“即將通過安全連接查看網(wǎng)頁”，單擊“確定”，如圖3-21所示。又出現(xiàn)“安全警報”對話框詢問“是否繼續(xù)？”，單擊“是"，如圖3-22所示。出現(xiàn)“選擇數(shù)字證書”對話框，選擇相應(yīng)的數(shù)字證書，單擊“確定”即可以訪問服務(wù)器的Web服務(wù)了，如圖3-23所示：安全警報即將通過安全連接查看網(wǎng)頁.該網(wǎng)站上的苴它任何人都無法看到您蜀設(shè)站點的交換信息.r以后不再顯示該警詈支)仁,定：！詳細(xì)信息城)|圖3-21安全警報(1)圖3-22安全警報（2）值正暴城客戶迎書SBiarirXITlKrMn'0小*裳用出如量*Eit于EF皿長工aBMuntn：

12、I1泰總MRHESiElTBW工口Era；方M*M.事£«PEfli-，xw&W方丁0嗎，T.k(st*叼克止iFpBriiFr夏Meh4*sflxlqmcKPc'AwalElEtAil.3MTTTUri+2M-B±OM：15S1"d也IV.-UTH*.UfeR4皿c加*！1*上0-b，HU山盧，置#IMlKUt-HIT-fi-«a-的4打串口口事宜,1日三口5rMUMijir：ii»?UEi力-便rE4*-ME-WIEW-ffllPE-H-H-*TaTCJWWi"事任-圖3-23訪問Web服務(wù)（4）CA將客

13、戶端證書吊銷，并發(fā)布CRL。CA在“頒發(fā)的證書”中找到客戶端使用的Web瀏覽器證書。右鍵單擊此證書“所有任務(wù)”|“吊銷證書”，選擇任意“理由碼”，單擊“確定”，此時證書即轉(zhuǎn)移到“吊銷的證書”目錄中。在左側(cè)樹狀結(jié)構(gòu)中右鍵單擊“吊銷的證書”|“所有任務(wù)”|“發(fā)布”，出現(xiàn)對話框“發(fā)布CRL”，單擊“確定”，如圖3-24所示。在左側(cè)樹狀結(jié)構(gòu)中右鍵單擊“吊銷的證書”|“屬性”彈出“吊銷的證書的屬性”對話框，單擊“查看CRL”頁簽，單擊“吊銷列表”按鈕，可以查看剛發(fā)布的CRL,如圖3-25所示：白證書施寬機(jī)杓1:聿地）E電uMr4D申洋|1吊招日唱百攻吊銷R明1吊洎原因園£SJ1J-LL.ZO£-1L-LS15.午指定吊銷的證唁次寺Cftl上4發(fā)布的證耳吊柏琬哀仁仁j如憤有就.正當(dāng)司：亂過期之前莒戶蜻不會蹌幡的CRU要發(fā)粕的CKL帶型.G巡:畫通龍和一個不空的口工，元包含此Ck的星斯為吊徜后Jg.廣邑嶺於匕61四要書CEL的葡北的羊，記只交官CF1.錄近一片笈布E的聲子人圖3-24發(fā)布CRL圖3-25吊銷的證書屬性(5)客戶端訪問服務(wù)器。重新訪問服務(wù)器的證書服務(wù)，此時發(fā)現(xiàn)不能訪問服務(wù)器，頁面顯示“該頁要求有效的SSL客戶證書