PKI与证书服务应用

一、实验内容：

          Benet 公司有一个 web 站点，域名为 www.benet.com, 启用的身份验证方式是基本身份验证方式，随着业务的发展，公司想将该网站发展网上交易平台，因此在用户访问时，需要保证用户密码和访问的数据在传输时的安全性。如何实现该功能？

 

二、涉及实验的相关情况介绍：

Ø  安装 CA 证书服务

Ø  在 web 服务器上生成 web 证书申请

Ø  通过 IE 浏览器，提交证书申请

Ø  证书申请批准后，下载 web 服务器证书

Ø  为 web 服务器安装证书

Ø  在 web 服务器上配置 SSL

Ø  使用 HTTPS 协议访问网站以验证结果

 

三、 实验结果（含详细操作步骤：）

  Step1 在 DC 上安装证书服务

（1） 使用管理员 administrator 登录到 DC

（2） 从“管理工具”中打开“服务器管理器”“角色”“添加角色”，打开“添加角色向导”

（3） 进入“选择服务器角色”窗口，选择“ active directory 证书服务”

 

（4） 在服务简介窗口单击“下一步”，在“选择角色服务”中选择“证书颁发机构”和“证书颁发机构 web 注册”添加必须的角色服务

（5） 在指定安装类型窗口选择“企业”

（6） 在指定 CA 类型窗口选择“根 CA ”

（7） 在设置私钥窗口选择“新建私钥”

（8） 按照默认配置完成证书服务的安装

Step2 生成证书申请

（1） 在 web 服务器上从“管理工具”中打开“ Internet 信息服务器管理“，在左侧窗格选择服务器，双击中间窗格的“服务器证书”

（2） 单击右侧窗格的“创建证书申请”

（3） 在“可分辨名称属性”中输入证书的必须信息

（4） 在“加密服务提供程序属性”窗口，使用默认的加密程序和密钥长度

（5） 在“文件名”窗口，为证书指定一个文件名和保存位置，单击“完成”完成创建证书申请

Step3 提交证书申请

（1） 使用记事本打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板

（2） 打开 IE 浏览器，导航到 certsrc 虚拟目录

（3） 单击“申请证书”，出现“证书服务”窗口，单击“高级证书申请”超链接

（4） 使用“ base64 编码”提交证书申请

Step4 下载证书安装

（1） 使用“ base 64 编码”下载证书，将证书文件保存在本地计算机上

（2） 在 web 服务器上从“管理工具”中打开“ Internet 信息服务管理器”，在左侧窗格选择服务器，双击中间窗格的“服务器证书”

 

（3） 单击右侧窗格“完成证书申请”

（4） 在“指定证书颁发机构相应”窗口，输入 CA 响应文件的路径和文件名，并给该文件起个别名，单击“确定”完成证书申请

Step5 为 web 站点配置 SSL

（1） 展开“ Internet 信息服务管理器”左侧窗格的节点树，选择需要使用该证书的站点，单击右侧操作窗格中的“绑定”

（2） 在“网站绑定”窗格单击“添加”

（3） 在“添加网站绑定”窗口，选择类型为“ HTTPS ”，选择 SSL 证书为先前安装的证书，使用默认 443 端口，单击“确定”

（4） 返回站点的 web 窗格，双击“ SSL 设置”，进入 SSL 设置页面

 

 

 

 

（5） 选择“要求 SSL ”和“忽略”，强制用户只能使用 HTTPS 连接站点，但是忽略客户端证书

step6 使用 HTTPS 协议访问网站

在客户机上，打开 IE 浏览器，输入路径 https://www.benet.com 访问网站