'一、实验目的/n1. 了解 PKI 体系和用户进行证书申请和 CA 颁发证书过程。/n2. 掌握认证服务的安装及配置方法。/n3. 掌握使用数字证书配置安全站点的方法。/n/n'4.1 实验前准备/n如果对网络和服务器方面不是特别精通,那么建议最好使用两台 windows server/n2003 虚拟机当 CA 和服务端,客户端可以使用任意 windows 系列机器。不然会有超多的/n问题没法子解决。/n1. Windows server 2003 虚拟机安装/n参考如下:/n(107 条消息) 在虚拟机中安装 Windows server 2003 详细图文安装过程_ElisaBaby 的/n博客-CSDN 博客_虚拟机 2003 安装教程/n2. 客户端配置/n需要安装好 Ethereal+WinPcap (Windows 7)记得先装 WinPcap 再装 Ethereal/nWindow 10 使用 wireshark 抓包即可。/n(107 条消息) 如何为 Windows 安装 WinPcap?_cunjiu9486 的博客-CSDN 博客/nEthereal(抓包工具) v2021.0.99 电脑版_系统之家 (xitongtiandi.net)/n可以根据 packets 包数量确定我们在设置的时候 interface 选择哪一项。/n抓取规则设置最好直接写你的目标主机的 IP 地址,这样最准确。/n/n'4.2 无认证(服务器和客户端均不需要身份认证)/n通常在 Web 服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式/n进行的。/n(107 条消息) Ethereal 使用入门_kevinhg 的博客-CSDN 博客_ethereal 怎么用/n(1)客户端启动协议分析器,选择“文件”|“新建捕获窗口”,然后单击工具栏中/n的按钮开始捕获;/n客户端在 IE 浏览器地址栏中输入 http://服务器 IP,访问服务器 Web 服务。成功访问到/n服务器 Web 主页面后,单击协议分析器捕获窗口工具栏中的按钮刷新显示,在“会话/n分析”视图中依次展开“会话分类树”|“HTTP 会话”|“本机 IP 与同组主机 IP 地/n址间的会话”,在端口会话中选择源或目的端口为 80 的会话,在右侧会话视图中选择名/n为“GET”的单次会话,并切换至“协议解析”视图。/n过滤规则中:选择目的 IP 地址更好一点,80 端口无用包太多了/n开始监听并访问同网段的其他主机:/n结束监听,看到如下记录:/n通过协议分析器对 HTTP 会话的解析中可以确定,在无认证模式下,服务器与客户端的/nWeb 通信过程是以明文实现的。/n/n'4.3 单向认证(仅服务器需要身份认证)/n准备工作:/nCA 和服务端都需要完成 ISS 服务的配置,在此之前需要 3 台虚拟机相互 ping,检测网/n络连接是否有问题。/n如果主机相互 ping 不通,检查一下以下问题:/n1. 是否使用虚拟机都为 NAT 模式/n2. 所有虚拟机的防火墙是否都关闭,Windows server 2003 的防火墙默认关闭/n3. IP 地址是否为同一网段,网关是否相同,一般 vm 里都是正常的。/n检测完后,开始配置 IIS 服务,这步非常主要,是后面实验的基础,所谓 IIS 服务,可/n以简单理解为搭建一个网站,我们访问 CA 或者服务器,实际上访问的是 ISS 服务搭建/n的这个网站,如果遇到对方拒绝连接等问题,都是因为 ISS 服务没有安装好和开启,网/n站没有搭起来(实际上是那个默认网站,安装好自带,不需要我们再去搭建了)。下面/n的安装教程只用将 一、安装 IIS 服务 完成即可,记得 CA 和服务端都需要安装配置好/nIIS 服务。/n(107 条消息) Windows Server 2003 安装 IIS 服务并配置 WEB 站点_码农致富的/n博客-CSDN 博客_server2003 配置 iis/n(1)IIS 服务安装和配置全过程/n勾选组件/n查看应用程序服务器/n查看 internet 信息服务,将那四项全部勾选/n打开 ISS 服务器/n可以预览下 iisstar.htm 网页内容是不是就是我们在 windows 7 上面访问时,看到的那个/n网页。里面内容无所谓,这个实验能访问,连上服务器和 CA 就行。/nIP 地址一定要设置为自己主机的 IP 地址,这个后面其他主机访问该网站的网址。/n选择主目录、点击配置,该勾选的勾选上/n以下是一些个人习惯的设置,可以不看/n记录一个因为手欠导致后面网页不显示应该显示界面的问题/n我将文档中的 iisstart.htm 往下调了,而其他主机访问时的默认界面就是最上面位置的那/n个网页,最后访问的时候,显示的网页让我迷迷糊糊的,所以一定不要随意修改文档顺/n序。当然要是改了还能让它显示正常,那我只能为你喊 666./n接下来就是因为强迫症,看原始网页不舒服,去修改网页源代码,让访问时候的看着舒/n服一些,不是错误页面。在实际实验中可以不做。/n原网页信息如下/n删点东西看着不就舒服多了吗/n在此预览,可以看到网页已经发送变化/n(2)CA(主机 A)安装证书服务/n正式开始实验前,使用 window 客户端分别访问 CA 和服务器,确认他们的 iss 服务正常,/n网站都能正常访问。/n主机 A 依次选择“开始”“| 设置”|“控制面板”“| 添加或删除程序”“| 添加/删除 Windows/n组件”,选中组件中的“证书服务”,此时出现“Microsoft 证书服务”提示信息,单击/n“是”,然后单击“下一步”。在接下来的安装过程中依次要确定如下信息:/nCA 类型(选择独立根 CA)/nCA 的公用名称(userGXCA,其中 G 为组编号(1-32),X 为主机编号(A-F),如第 2/n组主机 D,其使用的用户名应为 user2D)/n证书数据库设置(默认)/n在确定上述信息后,系统会提示要暂停 Internet 信息服务,单击“是”,系统开始进行/n组件安装。安装过程中,在弹出的“所需文件”对话框中指定“文件复制来源”为/nD:/ExpNIC/CrypApp/Tools/WindowsCA/i386 即可(若安装过程中出现提示信息,请忽略/n该提示继续安装)。/n「注」 若安装过程中出现“Windows 文件保护”提示,单击“取消”按钮,选择“是”/n继续;在证书服务安装过程中若网络中存在主机重名,则安装过程会提示错误;安装证/n书服务之后,计算机将不能再重新命名,不能加入到某个域或从某个域中删除;要使用/n证书服务的 Web 组件,需要先安装 IIS(本系统中已安装 IIS)。/n点击下一步后选择完成即可,即可完成 CA 证书服务的安装。/n在启动“证书颁发机构”服务后,主机 A 便拥有了 CA 的角色。/n(3)服务器(主机 B)证书申请/n「注」 服务器向 CA 进行证书申请时,要确保在当前时间 CA 已经成功拥有了/n自身的角色。/n提交服务器证书申请/n服务器在“开始”|“程序”|“管理工具”中打开“Internet 信息服务(IIS)管理器”,/n通过“Internet 信息服务(IIS)管理器”左侧树状结构中的“Internet 信息服务”|“计算/n机名(本地计算机)”|“网站”|“默认网站”打开默认网站,然后右键单击“默认网/n站”,单击”属性”。/n在“默认网站 属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”,/n此时出现“Web 服务器证书向导”,单击“下一步”。/n在“选择此网站使用的方法”中,选择“新建证书”,单击“下一步”/n选择“现在准备证书请求,但稍后发送”,单击“下一步”。/n填入有关证书申请的相关信息,单击“下一步”。/n在“证书请求文件名”中,指定证书请求文件的文件名和存储的位置(默认 c://certreq.txt)。/n单击“下一步”直到“完成”。/n通过 Web 服务向 CA 申请证书/n服务器在 IE 浏览器地址栏中输入“http://CA 的 IP/certsrv/”并确认。服务器依次单击“申/n请一个证书”|“高级证书申请”|“使用 base64 编码...提交一个申请”进入“提交一个/n证书申请或续订申请”页面。/n打开证书请求文件 certreq.txt,将其内容全部复制粘贴到提交证书申请页面的“保存的/n申请”文本框中,然后单击“提交”。/n通告 CA 已提交证书申请,等待 CA 颁发证书。/nCA 为服务器颁发证书/n在服务器提交了证书申请后,CA 在“管理工具”|“证书颁发机构”中单击左侧树状/n结构中的“挂起的申请”项,会看到服务器提交的证书申请。右键单击服务器提交的证/n书申请,选择“所有任务”|“颁发”,为服务器颁发证书(这时“挂起的申请”目录/n中的申请立刻转移到“颁发的证书”目录中,双击查看为服务器颁发的证书)。/nCA 收到申请:/n为服务器颁发证书(3 号申请):/n通告服务器查看证书。/n(4)服务器(主机 B)安装证书/n服务器下载、安装由 CA 颁发的证书/n通过 CA“证书服务主页”|“查看挂起的证书申请的状态”|“保存的申请证书”,进入/n“证书已颁发”页面,分别点击“下载证书”和“下载证书链”,将证书和证书链文件/n下载到本地。/n(5)Web 通信/n/n'本次实验主要是学习了PKI体系和数字证书的相关知识,以及认证服务的安装和配置方法。通过实验,我了解到了数字证书在保障通信安全方面的重要性,以及CA颁发数字证书的过程。同时,通过配置安全站点的实验,我也掌握了使用数字证书进行身份认证的方法。/n/n在实验过程中,我遇到了一些问题,如虚拟机网络连接问题、IIS服务配置问题等,但通过耐心排查和查找资料,最终都得到了解决。这也让我意识到,在实践中遇到问题并不可怕,关键是要有耐心和能力去解决它们。/n/n总的来说,本次实验对我来说是一次很有收获的学习经历,通过实践学习,我不仅掌握了数字证书的相关知识和认证服务的配置方法,还提高了自己的实践能力和解决问题的能力。

PKI 体系与数字证书实验 - 认证服务安装配置及安全站点配置

原文地址: https://www.cveoy.top/t/topic/oo3l 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录