數字簽名實驗報告

1、實驗報告實驗名稱：PKI實驗學生姓名：專業(yè)：班級：學號：指導教師：實驗成績：實驗地點：實驗時間：一、實驗目的與實驗要求1、實驗目的證書效勞的安裝Web效勞器的配置：單向認證和雙向認證證書效勞的治理獨立附屬CA的配置2、實驗要求認真完成實驗內容實驗報告假設發(fā)現抄襲,實驗不合格二、實驗設備及網絡拓撲紅亞平安教學系統(tǒng)三、實驗內容與步驟一、CA安裝證書效勞獨立根CA:獨立根CA是證書層次結構中的最高級CA.獨立根CA既可以是域的成員也可以不是,因此它不需要AD,但是,如果存在AD用于發(fā)布證書和證書撤消列表,那么會使用AD,由于獨立根CA不需要AD,因此可以很容易地將它眾網絡上斷開并置于平安的區(qū)域,這在

2、創(chuàng)建平安的離線根CA時非常有用.環(huán)境準備：虛擬機PC1安裝好WindowsServer20031 .添加IIS組件：點擊“開始一一“限制面板一一“添加/刪除程序一一“添加/刪除windows組件一一“Internet信息效勞IIS如果沒有這一項就安裝“應用程序效勞器.Web效勞器Server2003證書效勞器Server2003客尸端WindowsXP要k您的皮用混JT阪器1kftl3*V%計白瓊/旦X位31竹監(jiān)TihUffl沮怦徨妻市加里用等茍十妃七,現用性X*男翔anrtir*o：花色喳走于只含安裝讀目士的一事田|二籍4翊除得印JflJCeart也占哥fflaLlSaHicrosjjHia

3、rcs>±U制已丁42f§VsTiSyk-囚I田或珈3司IYiilIuyiYlH?C4p箜q.歸心國IMHfL安川主網嗚t-J跳莒理JI且碣沖tr甌%赭Fmo6n:9“剪IntHgt后自軀笠tng】"180謠,套上1用對送EMEH00/國肥用印盟7CE同ooir=："工商靚到G.SKW唯理用睚件爬電器控*1U0.LILJ視：,七許此計首機運亡歸F.m立用后本."I擋上蹄器空h7T用磷邕空間丈小4的冊益Tin4w叁村同鼻IU2 .點擊確定下一步安裝完成后,點擊“開始一一“治理工具一一“IIS治理器,查看IIS治理器,如以下圖：Adn)mis

4、tr.torIntarul信息效勞"IS)首理器治理您的暇務案TindoTS資海言理黑命令提示符記事本MicrosoftOfficeWard2X3所有程序(I)卜,J我的電麻0*限制面板?)管邂工具一打印機和傳直Microsoft.NETFramework1.1配置MicrosoftNBTFrwnwork1.1向導本煙安金策筆分布式文件系統(tǒng)效勞,搜索)口運行酒加或刪除程序口方代.門|治理悠的服用耨亶計算機治理算路由和遠程訪問3配置您的效勞器向學調群集治理器H事件查看器電授權置數據源CODEC)唐阿靖負我平衡苜理轄陶性慳0遠程桌面爰)證書頒發(fā)機構甘察端效勞治理器S線端效勞配置唇蜴端效勞

5、需授權羚狙件效勞3 .添加證書效勞組件：點擊“開始一一“限制面板一一“添加/刪除程序一一“添加/刪除windows組件一一“證書效勞,勾選上.勾選之后出現如下提示,選擇“是,繼續(xù)“下一步：4 .選擇“獨立根,默認情況下,用自定義設置生成密鑰對和CA證書沒有勾選,我們勾選之后點擊下一步可以進行密鑰算法的選擇.如圖:5 .Microsoft證書效勞的默認CSP為：MicrosoftStrongCryptographicProvider,默認散列算法：SHA-1,密鑰長度：2048您可以根據需要做相應的選擇,這里我們使用默認.點擊,下一步,6 .填寫CA的公用名稱以test為例,其他信息如郵件、單位

6、、部門等可在可分辨名稱后綴中添加,有效期限默認為5年可根據需要作相應改動,此處默認進行安裝7.證書數據庫設置,保持默認,點擊“下步提示要停止IIS效勞,選擇“是：出現以下圖,選擇“是",繼續(xù)安裝8,假設出現“瀏覽,那么如下處理:然后點擊“確定9.開始?治理工具?證書頒發(fā)機構,翻開如下窗口:在啟動“證書頒發(fā)機構效勞后,PC1便擁有了CA的角色.二、提交效勞器證書申請環(huán)境準備：PC2作為Web效勞器安裝了WindowsServer2003PC1中根據實驗一中的步驟安裝好證書效勞,PC2與PC1網絡互通.1.在開始-程序-治理工具中翻開“Internet信息效勞IIS治理器,通過左側樹狀結

7、構中的Internet信息效勞-計算機名本地計算機-網站-新建網站test,選中test網站后右鍵單擊“屬性.IIS證書向導ITS證書向導詰求文件蒙要已選擇生成請求文件.請求包合不列信息,文件名-c；certrsqtxt單擊“下一步依鈕生成以下請或*區(qū)地名鼐書狎家欄縣位門訐中國省市單部dcD.-otuQKla/n2potestCH-如打ustbconputer2d單擊“完成按鈕關閉向導.HS證書向導完成«eb效勞器證書向導已成功完成“叱效勞器證節(jié)向導.創(chuàng)立了一個證書請求并已保存到以下文件中bet*將此文件以電子郵件或其他方式發(fā)送到證書潼發(fā)理制證書萌發(fā)機構將發(fā)送回一個包含新吸輯吊應文件

8、.重君后動此商等j將麻讀書照上電|匚二弟或二口取|2.在PC2中翻開瀏覽器,輸入:/PC1的IP/certsrv,翻開如下頁面:仲icKQBorftit書辭著一KlcrazoftIn,心：rtiErtEzplorcr支理g編造由SftV收顯iLJ.TRlTl帝國加.回其心Q冷噴"興仁臺,匕國二1,htt?J/l7TIB1.33/vtsrfl/l*%轉胤硼？r果HdMa/t11=樂易一test上貢度陛使用此同站為您的H曲潮J器,電子郵件客戶端或其他程產申請一個證書.通也使用江書r柜可以向逋過收小通佶的人需認爆的身嶗,要署并加密郵件.并且,根據您申請的記書的類型.機行其他麥金在棄.住世m(xù)

9、以使用上網站下載工書曲友機構DO證書,證書提,或證七科包別表口工,或查看掛起的申請的狀.小,卡關記旌艮務的訃生位息,晴舂慢二M瞪工嗎.選擇一個仕多：申請-范書查看跆拉的江中申請伙世在F載一個C后可,書耕或C3 .選擇“申請一個證書,選擇“高級證書申請3licTiOsorft證IS就考,“西小十IMernMErplorftr二號|X文畔戀城瑞不疊音由建31MlTJ荊勒M00田向公戶眈力通程90.9回一歲城甘履KMaGjTZ1+1韓八二工nWxrtrws"P*IH科一臨一申請一個證書選擇一個怔書類型：匕巴:泡克者證書電子臚片樂護證號變者,苛及一中自空衽子年諾.JLtEaxQ4 .之后選擇

10、“使用base64編碼的CMC或PKCS#10文件提交一個證書申請,或使用base64編碼的PKCS#7文件續(xù)訂證書申請",將1中保存的證書請求C:certreq.txt文主近本文件內的內容,粘貼到“保存的申請然后“提交.紀交一個征書甲轉城續(xù)口甲節(jié)兵聚交一個憬存的申請我網在,保存的申請劉惦中拈貼一個由外韻倬性口4比掂引器)生成的hgET4狗碼尚GVC或PKCS的.立書申請或PKCS冒柒訂申清.保存的申審:n4據再的證書中語(CMC或pres#to或pres#7):d一節(jié)書一上,空-r利加國性：想的£請rd為工請在一天或蔭天內返回此網站4住索名的位書.藝,純周就Veb初覽案I

11、to天內遺回幡累您的證書5 .這時在PC1中,點擊開始一一程序一一治理工具一一證書頒發(fā)機構,可出現如下界面：在掛起的申請里可以看到剛剛申請的證書ID為2的申請6.選中證書鼠標右鍵,選擇“所有任務一“頒發(fā),進行證書頒發(fā),如以下圖所小.7.證書頒發(fā)后將從“掛起的申請文件夾轉入到“頒發(fā)的證書文件夾中,標識證書頒發(fā)完成,查看如下8.證書的下載安裝在申請證書的計算機上翻開瀏覽器,在地址欄輸入:/PC1的ip地址/certsrv,進入證書申請頁面.剛剛完成了“申請證書,下面選擇“查看掛起的證書申請的狀態(tài),看看CA是否頒發(fā)了證書,如以下圖所示,點擊下一步;國同區(qū)多Izce迪口ftIE書“多-Bicrnsof

12、t工oi口metEfiplar&i:支仲仔信輛舊ssm收百3ihtnffitiu)事.施*©西曲小,措唉曲辰跑00回L¥他就01圜ht*"1TW.L&I"fds/*目玨到骷牌mWew仃正拗曲七的土克與迎任用此網站為加的Ab洌覽翟,電子郵件存戶端或其他性序申請一個證書.通過使免證書.強可以向通過拆b遇梏的人碉認理的身曲.鑒警并加密由砰K井旦相七事爺的證書府典.執(zhí)行其他平安任曷,您也可A使用此同站下載證書期及楣構k,A)證書,證書槌.或一讓書吊鐺劑表依KLL或查看桂超的申請的吠態(tài)口k3關證書朋宅'M呈纖信息,谷到廿偲量立措趨擇一個住務

13、二一請一個扉書三寺掛起的證T目請儲狀引高二T"十訐書,訐書褥戰(zhàn)CRL在彈出的頁面中選擇已經提交的證書申請如以下圖所示Wi上¥證也抬登“1051"i!oct上5r舍者忤起的阱書申請空還請選擇好要查看的證弓甲請：恁京煦生情證節(jié)德沫na盤艮E謂益顯fe如果CA已經將證書頒發(fā),那么頁面如下,選擇“安裝此證書iiE包旅發(fā)您申請和證書已前發(fā)給您.<='ITR編碼或JF三證手V或正聿恬下載證書和證書鏈保存到本地,其后綴分別為cer和p7b文件.9 .在IIS信息效勞治理器,網站->test我們建的測試網站,右鍵“屬性.選擇“目錄平安性選項卡,單擊“效勞器證書

14、按鈕,此時出現“Web效勞器證書向導,單擊“下一步.選擇處理掛起的請求并安裝證書：選擇之前保存的證書文件路徑:在SSL端口文本框中填入443,單擊“下一步.完成整個安裝過程.此時效勞器證書已經安裝完畢,可以單擊“目錄平安性選項卡中“查看證書按鈕查看證書內容.答復下面問題：證書信息描述：.頒發(fā)者：.翻開IE瀏覽器點擊“工具|"Internet選項|“內容|“證書,在“受信任的根證書頒發(fā)機構頁簽中查看名為test的頒發(fā)者也就是CA的根證書,查看其是否存在010 .安裝CA根證書,進入“證書右鍵單擊certnew.p7b證書文件,在彈出菜單中選擇“安裝證書導入向導頁面,單擊“下一步證書導入

15、向導歡送使用狂書導入向導這個向導幫助您格證將一證書信任列表和證莒撤消列表從整盤復制到證書存儲掣證總存發(fā)來保用<書有儲狂臺存由烹N證件.文息富Si1U-M幅全.是安域書普證建筑取消I再次查看效勞器證書,答復以下問題：證書信息描述：.頒發(fā)者：.再次通過IE瀏覽器查看“受信任的根證書頒發(fā)機構,查看名為test的頒發(fā)者也就是CA的根證書,查看其是否存在11 .單向認證僅效勞器需要身份認證在IIS信息效勞治理器,網站->test->JS性的“目錄平安性頁簽“平安通信中單擊“編輯按鈕,選中“要求平安通道SSL,并且“忽略客戶端證書不需要客戶端身份認證,單擊“確定.客戶端啟動IE瀏覽器,輸

16、入:/效勞器PC2的IP:100/index.html并確認,此時頁面如下:口逢臭招安過支至謔話卷著liCrIInLeriiettuplviei交件CEJ!S5SEj旦假設9峋/工且D早亡10UIQ后遢.回國卷|制事心靠蔻平甘醇體空目&畫,口&切:上如|£/Al?J»1三|Q酊到帚宣課頁必須通過平安通道三看需求國訪問節(jié)瓦勺由平安工底字0口許行出戶.i償i4以T費祚： 儂費訪司的曲上打能£、ML"/,并按EL3.J_.:-ALT?倍溫4LL4-禁諭司：霽更使中呆式也韶.幽覆“Tnwrmt電旦小名QES5設力:信耳C豺林K支符人品花陣I 轉到

17、,門r.tl=/可即送并控旅隹"HTir和飛曲叩怔至. 翻開"KI簾勖t可藉ITS篙印書?Hri.fr中由向'善后瑞天而抵!中F于安至L"安會黑手層5口"加"關于自危攵錯式消息的主窟客戶端在IE中輸入s:/效勞器PC2的IP/index.html,此時會出現“平安警報對話框提示,確定后出現如下界面：12.雙向認證效勞器和客戶端均需身份認證效勞器端PC2在IIS信息效勞治理器中,網站->test->JS性,翻開“目錄平安性->“編輯,選中“要求平安通道SSL,并且“要求客戶端證書,單擊確定.客戶端IE訪問地址欄上輸入s:

18、/效勞器IP/index.html訪問,此時彈出“平安警報對話框,提示即將通過平安連接查看網頁,確定后彈出“是否繼續(xù),確定后出現“選擇數字證書對話框,但是沒有數字證書可供選擇,單擊確定,頁面出現提示“該頁要求客戶證書c客戶端向CA申請證書：登錄:/CA的IP/certsrv,在主頁面選擇“申請一個證書,然后選擇“Web瀏覽器證書,在出現的頁面填寫相關信息后“提交申請.3liCTiOSiffeftif越原務icrflsof+Ifer口1rm文群？魂端力有音帆的旗工具優(yōu)制安“目癱福林抵XK£kttf；LTCIfr1韓八3工nWHftr："Plj.cros.tfl證日后群H申請一

19、個址書選擇一個怔書類獨一加刷密器證書電子山“牛阮M證號塞考,苛我一手自魄肝子甲洋JLt七hmQ接下來請CA為客戶端頒發(fā)證書.客戶端安裝證書:三11口工口8口£1iZ.書廢暑Ki.C£LlttuftIelIIfLELbflExpluzeK文件茹楫M查看陽晚疵的二具cn幫購的,搜索收箱其"W,!Hi圃btijk/LTS.16.LJT/«Mrlcrv/a«rldcpc.4qp上京9icasoft仃、缶器-ta查看以的讓甘電請峋棧志-/£j|,JIT-pt-A?i彼選擇延瞿查看的怔書申請二Wub瀏覽罌證書1彈10月工日墾期三%;瞅1.目回區(qū)3

20、licEosDft.BE書瞿品MicrcisoftEntcmet舊E口1_.工日,立件我1晦潮®®SMLfltGWIHinfftilliJQra-q-yQ©戶皿杳e融-口./lT2,Lf.L37/e*mt-v/wifttzh.wp*0B到繇牌Jicrffj-fl/t證書服令一亡總營力,：ltk書目張發(fā)憋日請打證7三苗發(fā)給統(tǒng)身安羔此證書冤法Intiusiei客戶端通過IE瀏覽器,工具->Internet選項->內容->證書,會在“個人選項卡中看到主機CA給自己頒發(fā)的證書.然后訪問s:/效勞器IP/index.html查看網站.三、證書效勞治理1 .

21、停止/啟動證書效勞進入“證書頒發(fā)機構菜單,右擊剛建立的CA節(jié)點,在“所有任務中選擇“停止效勞,即可停止效勞,CA節(jié)點圖標此時變成紅叉；同樣,單擊“啟動效勞,那么可啟動證書.廚修公靠機構當作f£)秀看吧)野助國田囹因回國卜2 .CA備份/復原右擊CA節(jié)點,在“所有任務中選擇“備份CA,即進入“證書頒發(fā)機構備份向導,單擊“下一步按鈕,選擇要備份的工程和要備份的文件夾,單擊“下一步按鈕為了保護私鑰的平安性,接著要輸入保護私鑰和證書文件的秘密,如以下圖所示然后點擊下步,即可選擇完成操作CA的復原操作需要先停止CA效勞,然后右擊“CA公共名稱節(jié)點,在“所有效勞中選擇“復原CA,即進入“證書頒發(fā)

22、機構復原向導,單擊“下一步按鈕,彈出如圖所示的對話框,選擇要復原的工程和證書文件所在的文件夾,單擊“下一步按鈕.在出現的對話框中輸入保護私鑰和證書文件的密碼,單擊“下一步按鈕,單擊“完成,即完成CA的復原,如以下圖所示.3 .證書廢除右擊頒發(fā)的證書中需要廢除的證書,在彈出的菜單中選擇“所有任務中的“撤消證書菜單項,如以下圖所示.在彈出的“證書撤消對話框中選擇撤消的理由,單擊“是按鈕,這個被廢除的證書就轉移到了“撤消的證書文件夾.為了把撤消的證書對外發(fā)布,下面創(chuàng)立一個證書撤消列表,以供客戶端下載查詢.右擊“吊銷的證書文件夾,在“所有任務中單擊“發(fā)行,單擊“是,即可完成證書的撤消列表的創(chuàng)立和發(fā)布,

23、如下所示.文件注麋作直看必相助®g*回函各團喝|僅或證書領發(fā)機構建地Li35tast.撤消申話工工I吊咕日期有效撤消日期2021-10.3016-10-12.,知發(fā)的,掛起的,失敗的如果要查看創(chuàng)立的證書撤消列表,右擊“撤消的證書文件夾,單擊彈出菜單中的“屬性,彈出“撤消的證書屬性窗口,單擊“查看當前CRL按鈕,中顯示了撤消的證書信息.海證書傲發(fā)旗構文件也)睇作®查看9幫助QD因函I圖畫園國申證書的宦機構陣地jtest吊吊申請工!)|吊梢E呼2021-1斯有任務查看5刷新9導出列表©一屋性®幫助QD四、獨立附屬CA配置環(huán)境：兩臺WindowsServer2

24、003,分別為PC1作為獨立根CA,PC2作為從屬CA,一臺Windowsxp作為客戶端1 .首先在PC1上配置獨立根CA效勞,如實驗一所示.2 .翻開PC2配置為獨立附屬CA效勞.選擇獨立附屬CA如果父CA在線可用,那么選中將申請直接發(fā)送給網絡上的CA".在文本框中輸入父CA的計算機名,和父CA的名稱.如果父CA不在線可用,那么選中“將申請保存到一個文件",并在申請文件文本框中輸入將存儲申請的文件的路徑和文件名,然后使用此證書申請文件手工向父CA提交申請.icripiSAft證書,翱證書服冬的安轉不完全口要完成安裝,諳使用自諳丈件"Wicn-otnoK1fim3

25、p5CertConfigden-tuoxiam3p5test-sub.req從父CA獲取iltTn然后用任書的加機構營理隼H來索要狂書.要這樣作,詰右型單由具白痂的節(jié)點,然后單擊.安裝匚山粗茗.驗證安裝：查看附屬CA,可以看效勞“開始一一“治理工具一一“效勞,有圖中的效勞便安裝成功.該主機已經擁有了獨立附屬CA的角色.-|n|X女件燈操隹查看富幫助的,始旨圖國圖CertificateServices名解啟動此效勞描送為S/MHE和SSL之類的應用程序創(chuàng)器管3g和微除£509證書,如果此效勞停止,格不會創(chuàng)立證書.如果此效勞破案用,所咱明確儂賴的效勞都將無法啟動.遍為為為從CtntarK

26、«lp«r保,為檄ClipBook啟.一DOM+EventSystem支巴官劫COM+SystentAppJLicallol昔.一ComputerBrowser維一己S動yptographicServices樨一已言動%DHCFClient為已自韻DistributtdFil#Systsn將.,已啟動施中Ti；.A.；lx.JT；.ILT-.1.；annjAlerttrApplicfttionL*ytrGale?.嗨App工icationManageneintASP.NETStateServiceomatcUpdatesjBackgr.5dIntelligent-,在學展K

27、W73 .如果第2步中選擇的是“將申請保存到一個文件,那么需要使用此證書申請文件手工向父CA提交申請,首先翻開瀏覽器訪問:/PC1的IP/certsrv,然后“申請一個證書->“高級證書申請->“使用Base64編碼的,翻開如下頁面.主直提文一個IIIS串稿或續(xù)訂申請美提交一個冰存的申請到CA,a保存的也請"欄中粘貼一個日見部滸加Cieb服符罌生成的hase-E4瑪的口C或FKCS¥10證書串請或F附347皴訂申青.席珈耳性:UJ提交>在Base-64文本框中粘貼入第2步中保存的req文件,然后提交申請.4 .在獨立根CA效勞器PC1上,點擊“開始一一“治理工具一一“證書頒發(fā)機構.然后點擊掛起的