信息安全实验报告(PKI实验)

PKI/CA实验

实验地点 日期 2015.12.7 学号 20122712 姓名 魏仁斌

一、实验目的

掌握PKI/CA的基本原理，利用Windows CA组建一个CA 系统，能够完成

CA 创建、证书请求生成、证书颁发、CA 管理等功能。利用该CA 颁发的证书实现基于SSL 协议的安全WWW 传输。

二、实验原理

参见“网络信息安全教学实验系统”实验二（练习3）之原理篇。

三、实验环境

1、网络信息安全教学实验平台。

2、Windows CA。

3、抓包工具（如wireshark-win32-1.4.9中文版）。

四、实验内容和任务

本实验每人一组，利用电脑的本机操作系统（如Windows7）和虚拟机内的

操作系统（Windows 2003 Server），模拟CA 、Web 服务器和客户端的角色，分配如下。

实验内容和任务包括：

1、Windows CA应用

（1）掌握Windows CA的安装及配置方法；

（2）掌握用户进行证书申请和CA 颁发证书的过程；

（3）掌握使用数字证书配置安全Web 站点的方法；

（4）掌握使用数字证书发送签名邮件和加密邮件的方法（选作）。

2、利用Windows CA完成证书管理

（1）掌握CA 通过自定义方式查看申请信息的方法；

（2）掌握备份和还原CA 的方法；

（3）掌握吊销证书和发布CRL 的方法。

3、信任模型

（1）了解PKI 常见的信任模型；

（2）利用Windows CA实现一个信任模型。

五、实验步骤

5.1 安装虚拟机环境

在电脑上安装虚拟机系统VMWare 9.0，解压虚拟机镜像文件压缩包

ExpNIS.Windows.rar 。

启动VMWare 9.0，利用“File | Open ”菜单打开虚拟机镜像文件

ExpNIS.Windows.vmx （在解压后的Host6E 子目录下）。打开后，可以利用VMWare 的Power On功能启动虚拟机操作系统（该操作系统是Windows 2003 Server，登录口令为 jlcssadmin ），也可以利用“VM | Snapshot | Snapshot 1”菜单恢复虚拟机操作系统（恢复操作系统无需登录过程）。

5.2 配置网络环境

修改虚拟机内操作系统的IP 地址（该地址默认为192.168.1.1），使其和本机

实际操作系统的IP 地址处于同样的网段，并能相互Ping 通。修改后，虚拟机操作系统的 IP ，本机操作系统的IP 地址是： 192.168.159.135 。

打开虚拟机中的“Internet 信息服务（IIS ）管理器”，查看其“默认网站”的

状态是否为“正在运行”。在本机操作系统中启动浏览器，在地址栏中输入虚拟机IP 地址，查看是否能打开虚拟机的“Web 服务测试页”。

安装抓包工具（如wireshark ），自学抓包工具的使用方法。利用抓包工具观

察本机访问虚拟机Web 服务时的TCP/IP报文和HTTP 报文。

利用抓包工具捕获针对虚拟机的Web 访问。Web 服务器的IP 地址是

HTTP 协议，其中HTTP 协议的请求包（GET ）的第一个“首部字段”的内容是

，HTTP 协议的响应包（HTTP1.1）的第一个“首部字段”的内容是 5.3 Windows CA应用

1、安装Windows CA（即Windows 证书服务），其主要步骤是：

一、添加IIS 组件;

二、添加" 证书服务" 组件：

1. 安装独立CA ，不需要安装活动目录; 2. 选择" 用自定义设置生成密钥对和CA 证书"; 3. 选择密钥算法：选择默认即可，Microsoft Strong Cryptographic Provider，散列算法：SHA-1，密钥长度：2048;

4. 填写CA 的公用名称，其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，这里默认即可）;

2、启动“证书颁发机构”服务后，主机便拥有了CA 的角色。启动该服务的

菜单位置是 开始->管理工具->证书颁发机构 ；CA 的名字是 ISCA ；CA 的根证书信息是：颁发者 ISCA ；颁发给 tang-clicent ；

有效期

3、创建WWW 服务器的证书申请，由CA 颁发服务器证书

（1）服务器创建证书请求的主要步骤是：

1. 安装好IIS ，打开" 默认网站" ，右键点击" 默认网站"->属性->选择" 目录安全性" 选项卡：

2. 发现" 查看证书" 为灰色不可用，说明还未为‘默认网站’配置数字证书。

单击" 服务器证书";

3. 选择" 新建证书" 。如果以前配置过数字证书，并且数字证书仍然可用，则

选择‘分配现有证书’即可;

5. 允许使用ASP 功能

4. 证书名称可以根据需要更改，不影响证书的使用。这里是" 默认网站";

5. 填写真实的单位部门名称

6. 填写公用名称，只能是该网站的DNS ，如果尚未申请DNS 则可以用IP 地

址代替。

7. 将这些信息以Base64编码的形式保存在本地

8. 打开证书申请网页->‘申请一个证书’-> 点击‘高级证书申请’->‘使用

base64编码的CMC 或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请’

9. 打开刚才保存的certreq.txt 全选，并将其复制，粘贴到网页的文本框中，

点击‘提交’

（2）通过Web 服务向CA 申请证书的主要步骤是：

1. 在IE 地址栏中输入证书服务系统的地址，进入服务主页

2. 点击‘申请一个证书’进入申请页面：

3. 点击申请‘Web 浏览器证书’

4. 申请‘Web 浏览器证书’，‘姓名’是必填项，其他项目可不填

5. 建议勾选上‘启用强私钥保护’，点击‘提交’

6. 单击‘设置安全级别’并设置为高，单击下一步

7. 输入口令，对证书进行加密，并记住密码，单击‘完成’：

8. 现在假定CA 管理员已经颁发了申请人的证书，点击‘查看挂起的证书申

请状态’，点击‘安装此证书’

其中CA 的超链接（URL ）是： http://192.168.159.137/certsrv 。

（3）CA 为服务器颁发证书的主要步骤是：

1. 开始->管理工具->证书颁发机构

2. 在‘挂起的申请’里已经存在申请挂起等待颁发的证书, 右键点击挂起的证书->所有任务->颁发：

查看创建好的服务器证书，该证书的持有者是 192.168.159.137、颁发者是

4、在服务器上安装服务器证书的主要步骤是：

1. 现在假设CA 管理员审核证书信息后执行了颁发，再次打开CA 的证书申请系统->点击‘查看挂起的证书申请的状态->点击‘下载证书’，将.cer 文件保存到本地。（如果有需要也可以将‘证书链’也下载，证书链里包含CA 服务器的数字证书）

2. 返回默认网站->属性-> 目录安全性, 单击‘服务器证书’进行数字证书的

安装, 选择好刚才保存的.cer 证书文件

3. 设置SSL 的端口，默认是443

4. 单击”完成”

5、在服务器上安装“CA 根证书”的主要步骤是：

1. 键入 192.168.159.137/certsrv/certcarc.asp 即可打开网页，" 下载CA 证书"

2. 开始->运行：运行打开mmc

3. 文件->添加/删除管理单元, 单击‘添加’, 找到‘证书’的管理单元，单击

‘添加’, 选择‘计算机帐户’，单击‘下一步’, 单击‘完成’, 单击‘确定’

4. 我们已经将‘证书（本地计算机）’添加到控制台。, 将其展开，展开‘受

信任的根证书颁发机构’

5. 导入证书颁发机构的数字证书。右键‘证书’导入证书, 选择我们已经保

存的CA 证书，单击‘下一步’, 单击‘完成’

安装完毕，在IE 中点击“工具｜Internet 选项｜内容｜证书”，在“受信任的根证书颁发机构”页中查看CA 的根证书，其是否存在？_是__。

6、在服务器上，利用服务器证书启动SSL 安全WEB （单向认证），主要步

骤是：

1. 打开" 默认网站" ，右键点击" 默认网站"->属性->选择" 目录安全性" 选项卡

2. 点击" 安全通信" 部分的" 编辑", 勾选‘要求安全通道’和‘要求客户端证书’选项卡，单击确定

SSL 安全Web 的默认端口是，客户端访问该安全Web 的URL 是

启动抓包工具，观察基于SSL 的安全Web 的通信报文。此时TCP 报头是明文还是密文： 密文 ，IP 报头是明文还是密文： 密文 ，TCP 载荷是明文还是密文： 密文 。

7、自己完成双向认证（服务器和客户端均需身份认证）的SSL 安全WEB 实验。

5.4 利用Windows CA完成证书管理

1、配置CA 自动颁发证书，主要步骤是：

1. “开始”->“程序”->“管理工具”, 打开“证书颁发机构”

2. 在左侧树状结构CA 的名称上右键单击，选择“属性”单击“策略模块”->“属性”。在“请求处理”页签中选择“如果可以的话，按照证书模板的设置。否则，将自动颁发证”。单击“应用”按钮，出现重启证书服务

2、客户端以高级方式申请证书，主要步骤是：

客户端浏览器访问http://192.168.159.137/certsrv/，依次点击“申请一个证书”->“高级证书申请”->“创建并向此CA 提交一个申请”, 进入证书申请页面。

1. 在“识别信息”中填入相关信息。

2. 在“需要的证书类型”中选择“客户端身份验证证书”。

3. 在“密钥选项”中选中“标记密钥为可导出”，其它项保持默认设置。

4. 单击“提交”按钮提交信息。

5. 假设CA 已经批准，此时页面显示“证书已颁发”，客户端单击”安

装此证书”。这时出现对话框“潜在的脚本冲突”，单击“是”，这时出现对话框“安全性警告”单击“是”。证书安装完成

你所填写的识别信息是，

使用的密钥大小是 1024 bits 。证书是否被自动颁发 是 。

3、备份CA 的主要步骤是：

在“证书颁发机构”的左侧树状结构中CA 名称上右键单击->“所有任务”->“备份CA ”，出现“证书颁发机构备份向导”，单击“下一步”。

1. 在“选择要备份的项目”中选中两个选项。

2. “备份到这个位置中”选择一个新建的空目录，单击“下一步”。

3. 输入密码并确认密码，单击“下一步”直到“完成”。

4、还原CA 的主要步骤是：

在“证书颁发机构”的左侧树状结构中右键单击“CA 的名称”->“所有任

务”->“还原CA ”，此时出现“证书颁发机构还原向导”提示要立即关闭证书服务，单击“确定”。出现“证书颁发机构还原向导”，单击“下一步”。

1. 在“选择要还原的项目”中选中两个选项。“从这个位置还原”选择

CA 备份的目录，单击“下一步”。

2. 输入密码，单击“下一步”直到“完成”。

3. “证书颁发机构还原向导”提示要启动证书服务，单击“是”启动证

书服务。

5、CA 吊销证书和发布CRL 的主要步骤是：

1. 在“颁发的证书”中找到需要吊销的证书证书。右键单击此证书“所有任

务”->“吊销证书”，选择任意“理由码”，单击“确定”，

2. 在左侧树状结构中右键单击“吊销的证书”->“所有任务”->“发布”，

出现对话框“发布CRL ”，单击“确定”。

利用SSL 安全Web ，来测试证书吊销之后的访问效果。

5.5 信任模型

1、安装“独立从属CA ”的主要步骤是（主要写和安装根CA 的区别）：

添加组件“证书服务”，进入向导

1. 选择CA 类型为“独立从属CA ”，单击“下一步”。

2. 在“CA 识别信息”中，给CA 取一个名字，单击“下一步”。

3. 在“证书数据库设置”中选择默认位置，单击“下一步”。

4. 在“CA 证书申请”中选择“将申请保存到一个文件”，单击“下一步”。

5. 此时提示要暂停Internet 信息服务，单击“是”，系统开始进行组件安装。

6. 出现信息“证书安装不完全... ”，则单击“确定”继续安装。

该从属CA 的名称是 IFCA ；在安装完毕后该CA 无法立刻启动，原因是： 证书服务还没有从根CA 处获得证书 。

2、自己完成根CA 为独立从属CA 颁发证书。独立从属CA 的证书的持有者是 IFCA 、颁发者是 ISCA 、有效期为2015-11-16 到 2016-11-16。

3、在独立从属CA 中安装证书的步骤是：

1. 独立从属CA 通过“证书服务主页”->“查看挂起的证书申请的状态”->“保存的申请证书”->“DER 编码”->“下载证书链”将以“.p7b ”结尾的文件下载到本地计算机的指定位置

2. 独立从属CA 在“CA 的名称”右键单击->“所有任务”->“安装CA 证书”，选择刚才下载的证书链，在“CA 的名称”上右键单击，“所有任务”->“启动服务”即可

在安装证书完毕后，该从属CA 能否正常启动 能 。

4、自己完成客户端向独立从属CA 申请证书的过程。

5、该实验中的信任模型叫个CA 和终端实体的名字，画出该信任模型的示意图：