实验九 CA认证中心的建立
实验时间: 同组人员: 实验目的
了解如何在Win2000下建立CA认证中心
实验内容
了解Win2000的安全机制并尝试在Win2000下建立一个CA认证中心 第一部分:Windows2000的安全机制 1.Windows2000中的验证协议
Windows2000中有两种验证协议,即Kerberos和公用密钥体制(Public Key Infrastructure,PKI)。Kerberos是对称密钥,而PKI是非对称密钥。用的较多的是公用密钥体制。
公用密钥基本体系是一个数字认证、证书授权和其他注册授权系统。使用公用密钥密码检验及检证电子商务中所涉及的每个机构的有效性。公用密钥基本体系的标准仍处于发展阶段,尽管它们作为电子商务的一个必要组成部分已得到广泛使用。
windows2000公钥基础结构的证书服务证书基本上是一个由权威发布的电子声明,其作用在于担保证书持有者的身份。证书将公用密码与持有相应私有密钥的个人、机器或服务的身份绑定在一起。证书由各种公用密钥安全服务和应用程序提供,为非安全网(如internet)提供数据验证、数据完整性和安全通讯。
2.Windows2000Server的证书服务器
Windows2000Server中有一个部件是证书服务器(CertificateServer),通过认证服务器,企业可以为用户颁发各种电子证书,比如用于网上购物的安全通道协议(SSL)使用的证书,用于加密本地文件的证书等等。认证服务
器还管理证书的失效,发布失效证书列表等。每个用户或计算机都有自己的一个证书管理器,其中既放置着自己从CA申请获得的证书,也有自己所信任的CA的根证书。
windows2000基于证书的过程所使用的标准证书格式是x.509v3,保证了与其他系统的互操作性。目前常用的是SSL(安全通道协议)的方式,即设置IIS就某些特定的文件或文件目录需要访问者提供客户端证书;除非拥有电子证书及相应的私钥,一个访问者的浏览器无法获得这些文件和文件目录。SSL的方式体现在浏览器的访问栏上,应该是https而不是普通的http。 windows2000server证书服务是windows2000中的组件,证书服务用于创建和管理证书颁发机构(CA)。证书颁发机构负责建立和担保证书持有者的身份。证书颁发机构还会在证书失效时,将其撤消并发布证书撤消列表,供证书检验机构使用。最简单的公用密钥基本体系只有一个证书颁发机构。事实上,大多数配置公用密钥基本体系的组织使用多个证书颁发机构,并将其有组织地形成证书分层结构。
windows2000的证书服务按证书颁发机构类型分为:①企业根CA,是企业中最受信任的证书颁发机构,应该在网络上的其它证书颁发机构之前安装,需要activedirectory.②企业从属CA,是标准证书颁发机构可以给企业中的任何用户或机器颁发证书,必须从企业中的另一个证书颁发机构获取证书颁发机构证书,需要activedirectory.③独立根CA,是证书颁发机构体系中最受信任的证书颁发机构,不需要activedirectory.④独立从属CA,是标准的证书颁发机构可以给任何用户或机器颁发证书;必须从另一个证书颁发机构获取证书颁发机构证书,不需要activedirectory。 智能卡支持
在windows2000中,微软为用户还提供了一套智能卡的结构。智能卡因其高安全性和轻便的可移动性,势必将发展成为类似鼠标/键盘一般的计算
机的标准外设。
当用户用internetexplorer向一个认证中心申请电子证书时,就会有一对公钥和私钥自动产生出来;私钥可以存储在智能卡中,公钥和其他身份信息(比如姓名、电子邮件地址等)发给认证中心。如果认证中心批准该申请,那么包含公钥的电子证书就会被返回来,存储在智能卡中。
智能卡存储私钥和电子证书的做法,给最终用户提供了对自己安全信息的最大的控制,可以方便地从一台机器携带到另一台机器使用;可以在任何一个地点使用。一般来说,智能卡还会用一个个人密码(pin)保护起来,在要求高安全性的场合,pin可以是一些生物信息,比如指纹等。
实验步骤
windows2000下建立CA中心的具体操作过程
证书服务的一个单独组件是证书颁发机构的web注册页。这些网页是在安装证书颁发机构时默认安装的,它允许证书请求者使用web浏览器提出证书请求。此外,证书颁发机构网页可以安装在未安装证书颁发机构的windows2000服务器上,在这种情况下,网页用于向不希望直接访问证书颁发机构的用户服务。如果选择为组织创建定制网页访问CA,则windows2000提供的网页可作为示例。现在我们以安装独立根证书为例,安装其它类型的相类似,只是选择其它证书的类型即可。要注意的是企业根CA和企业从属CA需要activedirectory。
1 安装独立的根证书颁发机构
①以管理员身份登录到系统。或者,如果您装有ActiveDirectory,则以域管理员身份登录到系统。
②单击“开始”,指向“设置”,然后单击“控制面板”。双击“添加/删除程序”并单击“添加/删除Windows组件”。
③在“Windows组件向导”中,选中“证书服务”复选框。屏幕上将出现一
个对话框,通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。单击“是”,然后单击“下一步”。
④单击“独立根CA”。
⑤(可选)选中“高级选项”的复选框以指定下面的选项。完成后请单击“下一步”。加密服务提供程序(CSP),默认是
MicrosoftBaseCryptographicProvider。证书服务支持第三方CSP,但您必须参考该CSP供应商的文档,以了解关于证书服务使用其CSP的信息。现有的密钥,如果选中此选项,则可以使用现有的公钥和私钥对而不用产生新的密钥对。如果您要重新定位或重新存储以前安装的证书颁发机构(CA),则该选项很有用。
⑥填入证书颁发机构的名称和其他必要信息。在CA设置完成后这些信息都不能改变。
⑦在“有效持续时间”中,指定根CA的有效持续时间。有关设置这个值时应考虑的事项,请参阅下面的注释。单击“下一步”。
⑧指定证书数据库、证书数据库日志和共享文件夹的存储位置。单击“下一步”。
⑨如果正在运行WWW发布服务,则您会遇到一条要求在安装之前停止此项服务的请求信息。单击“确定”。⑩如果出现提示,则键入证书服务安装文件的路径。
2 安装证书颁发机构的Web登记支持
①以管理员身份登录到系统。
②单击“开始”,指向“设置”,然后单击“控制面板”。双击“添加/删除程序”并单击“添加/删除Windows组件”。
③在“Windows组件向导”中,选中“证书服务”复选框。屏幕上将出现一个对话框,通知您计算机在安装证书服务之后不能更名且不能加入域或从域
中删除。单击“通讯”,然后单击“详细信息”。
④清除“证书服务CA”的复选框,确保选中“证书服务Web登记支持”复选框,再单击“确定”。单击“下一步”。
⑤在“计算机名称”中,键入安装证书颁发机构(CA)的计算机名称,此CA将使用Web登记页。此CA的名称将出现在列表中。单击“下一步”。
⑥如果正在运行WWW发布服务,系统将请求您在进行安装之前停止此项服务。单击“确定”。
⑦如果出现提示,则键入证书服务安装文件的路径。注意安装CAWeb登记页之前必须在服务器上安装Internet信息服务(IIS)。在已安装IIS的服务器上安装证书服务时会默认安装CAWeb登记页。只有在与安装CA的服务器不同的服务器上安装CAWeb登记页时,才需要执行此过程。如果您在证书服务安装期间更改了默认的选项且没有在CA服务器上安装CAWeb登记页,则您可以在CA的命令提示行运行“certutilvroot”命令以安装Web登记页。 3.设置安全性以访问证书颁发机构Web页
①以管理员身份登录到系统。
②单击“开始”,指向“程序”,指向“管理工具”,然后单击“Internet服务管理器”。
③在控制台树中,用右键单击“CertSrv”,再单击“属性”。 ④在“目录安全性”选项卡的“匿名访问和身份验证控制”下,单击“编辑”。
⑤清除除“集成的Windows身份验证”之外的其他所有复选框。 4.发布证书颁发机构Web页
①以管理员身份登录到系统。
②单击“开始”,指向“程序”,指向“管理工具”,然后单击“Internet服务管理器”。
③设置初始页面为default.asp,设置IP为您的本机IP。
④在web浏览器中填入http://您的IP/CertSrv,就可以看到发布的CA认证中心。