【CA的安装与使用实验】(独立根）胎教

实验目的

（1）利用Windows server提供的“证书服务”组件为用户颁发证书。
（2）通过用户申请数字证书及服务器端签发证书，加深对PKI理论（重点是CA的功能）的理解。

实验环境

• Windows server 2003
• 百度网盘：Windows server 2003 iso（提取码：u037）

实验原理

• PKI基础
  PKI( Pubic Key Infrastructure)E个用公钥密码学技术来实施和提供安全服务的安全基础设施。它是创建、管理存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性并为电子商务交易的安全提供了基本保障。
  一个典型的PK系统应包括如下组件：
  1.安全策略
  安全策略建立和定义了组织或企业信息安全方面的指导方针口同时也定义了密码系统使用的处理方法和原则。
  2.证书操作阐述CPS（Certifcate Practice Statement）
  一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务,所以需要提供CPS给其使用者参考,以供其了解详细的运作机理。CPS是一些操作过程的详细文档，一般包括CA是如何建立和运作、证书是如何发行、接收和废除的、密钥是如何产生注册和认证的等内容。
  3.证书认证机构CA（Certificate Authorityl）
  CA系统是PK的核心部分，因为它管理公钥的整个生命周期。CA的作用主要包括如下几个方面：
  发放证书、用数字签名绑定用户或系统的识别号和公钥
  规定证书的有效期。
  通过发布证书废除列表CR确保必要时可以废除证书。
  4.注册机构Ra （Registration Authoritv）
  RA是CA的组成部分，是用户向CA申请服务的注册机构，它负责接收用户的证书
  申请、审核用户的身份并为用户向CA提出证书请求，最后将申请的证书发放给用户
  5.证书分发系统CDS（Certificate Distribution System）
  证书通过证书分发系统对外公开发布，用户可在此获取其它用户的证书。证书的发布
  可以有多种途径，比如用户可以自己发布或是通过目录服务器向外发布。
  6.基于PKI的应用接口
  PKI是一个安全框架，它的价值在于使用户能够方便地使用加密、数字签名等安全服
  务，为此一个完整的PK必须提供良好的应用接口□可以在此基础上提供多种安全应用服务。

• 数字证书
  数字证书相当于我们平常使用的身份证，身份证用于标明使用者的身份。数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明在电子交易的各个环节交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。
  数字证书是经证书认证机构数字签名的，包含用户身份信息、用户公开密钥信息的一个文件。由于证书是由证书认证机构颁发的，有证书认证机构的数字签名，所以证书的拥有者是被证书认证机构所信任的。如果可以信任证书认证机构，则完全可以信任证书的拥有者。所以通过证书可以使证书的拥有者向系统中的其它实体证明自己的身份。数字证书的存储格式标准有多种，X.509是最基本的证书存储标准格式。

• CA系统
  如果将数字证书比喻为出差时能证明我们身份的“介绍信”，那么CA就好比开出“介绍信”的工作单位它能证明证书持有者的身份。在互联网上CA定义为一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。证书认证机构CA是PK的核心部分□用于创建和发放数字证书。创建证书的时候，CA系统首先获取用户的请求信息。其中包括用户公钥，公钥一般可由用户端产生如电子邮件程序或浏览器等等。CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。证书在使用过程中，其他用户、应用程序或实体需下载安装CA根证书，使用CA根证书中的公钥对CA颁发的证书进行验证如果对证书中CA的数字签名验证通过，则证明这个证书是CA签发的。进一步来说，如果一个CA系统是可信的，则此证书的拥有者也是可信的。
  CA系统的结构：一个典型的CA系统包括安全服务器、登录中心RA服务器、CA服务器、LDAP目录服务器和数据服务器等。
  CA系统的主要功能：CA系统的主要功能是对证书进行管理，包括颁发证书、废除证书、更新证书、验证证书、管理密钥等。

实验内容

• 利用Windows server提供的“证书服务”组件，建立“独立根CA”并为用户颁发浏览器数字证书。

实验步骤

• 在开启一台 Windows server 2003 前在虚拟机设置中检查CD/DVD是否使用ISO映像文件并且勾选启动时连接（这一步很重要，不勾选后续会有文件缺失错误）
  

• 在开始中找到控制面板 - - 添加或删除程序 - - 选择添加/删除Windows组件
  

• 勾选应用程序服务器进行下一步
  
  
  

• 返回添加界面添加证书服务
  

• 勾选【独立根】及【自定义设置】后全部选择默认进行下一步
  
  

• 自定义编辑
  

• 选择默认进行下一步
  
  
  
  
  

• 在管理工具中找到证书颁发机构
  
  

• 打开命令行输入ipconfig查询本机IP
  

• 打开浏览器输入 http://192.168.110.129/certsrv/ 打开证书申请网页，完成添加网页操作后关闭其余窗口（中间IP为本机IP）
  
  

• 申请证书（这里我们选择Web浏览器证书）
  

• 自由填写以下信息（注意这里国家填写CN代表中国）
  
  
  

• 申请成功
  

• 回到证书颁发机构，选择挂失的申请
  

• 找到ID为申请ID的申请，右键选择所有任务 - - 颁发
  
  

• 重新访问证书申请网页或后退
  
  
  
  
  

• 成功安装证书