第11章网络安全 案例:安装证书 在互联网上,CA(certification authority)安全认证中心 是公开密钥的管理机构,它通过签发证书(certificate)的方式 来分发公司密钥。证书包含了证书拥有者的基本信息和公开密钥, 并且经过CA中心数字签名,因此,如果用户需要发送加密的信息 给对方,首先需要向对方索取证书以获得它的公开密钥。 本次实验将学习证书的申请、安装过程,并通过$SL来实现 安全通信
在互联网上,CA(certification authority)安全认证中心 是公开密钥的管理机构,它通过签发证书(certificate)的方式 来分发公司密钥。证书包含了证书拥有者的基本信息和公开密钥, 并且经过CA中心数字签名,因此,如果用户需要发送加密的信息 给对方,首先需要向对方索取证书以获得它的公开密钥。 本次实验将学习证书的申请、安装过程,并通过SSL来实现 安全通信。 案例:安装证书 第11章 网络安全
1.安装证书管理软件和服务 证书颁发机构管理软件是证书的处理软件,CA认证中心利用该软 件管理和签发证书。在Windows2000 Server.上安装证书颁发机构 管理软件的步骤如下: (1)启动Windows2000 Server网络操作系统,通过桌面上的“开 始” “设置” →“控制面板”→“添加/删除程序”→“添加/删 Windows 组件”进入“Windows:组件向导”对话框; (2)在“Windows组件向导”的组件列表中,选中“证书服务”, 单 击“下一步”,系统进入证书服务安装状态 (3)在选择证书颁发机构类型界面中选择“独立根CA”,然后执行 “下一步”命令; (4)在出现的CA标志信息对话框中,键入CA名称、单位、部门、 有效期等有关信息,然后单击“下一步” (5)当进入指定CA数据存储位置对话框后,输入证书数据库、证 书数据库日志在磁盘上的存储位置。执行“下一步”命令,系统将开 始安装证书服务。由于证书服务的安装需要复制Windows2000 Server安装盘上的某些文件,因此,当系统提示插入安装盘时请将 Vindows2000 Server安装盘装入指定的光驱(或指定Vindows 2000 Server安装文件所在的位置)。 安装完毕,就可以利用安装有证书颁发机构管理软件的主机进行证 书的管理和签发
证书颁发机构管理软件是证书的处理软件,CA认证中心利用该软 件管理和签发证书。在Windows 2000 Server上安装证书颁发机构 管理软件的步骤如下: (1)启动Windows 2000 Server网络操作系统,通过桌面上的“开 始”→“设置”→“控制面板”→“添加/删除程序”→“添加/删 Windows 组件”进入“Windows组件向导”对话框; (2)在 “Windows组件向导”的组件列表中,选中“证书服务”, 单 击“下一步”,系统进入证书服务安装状态; (3)在选择证书颁发机构类型界面中选择“独立根CA”,然后执行 “下一步”命令; (4)在出现的CA标志信息对话框中,键入CA名称、单位、部门、 有效期等有关信息,然后单击“下一步”; (5)当进入指定CA数据存储位置对话框后,输入证书数据库、证 书数据库日志在磁盘上的存储位置。执行“下一步”命令,系统将开 始安装证书服务。由于证书服务的安装需要复制Windows 2000 Server安装盘上的某些文件,因此,当系统提示插入安装盘时请将 Windows 2000 Server安装盘装入指定的光驱(或指定Windows 2000 Server安装文件所在的位置)。 安装完毕,就可以利用安装有证书颁发机构管理软件的主机进行证 书的管理和签发。 1.安装证书管理软件和服务
2.为WWW服务器申请和安装证书 支持SSL协议的WWW服务器需要申请和安装自已的证书,以便在 合时的时候将自已的公开密钥传送给浏览器。在WWW服务器上配置 SSL协议需要经过证书的申请、证书的下载、证书的安装和WWW服 务器的配置等过程。与此同时,当安装有证书服务的主机接收到一个证 书申请后,需要对申请者的信息进行审查,决定是否将证书 颁发给申请人。 (1)准备一个证书请求信息 在为一个WW服务器申请证书之前,首先需要准备证书的请求信 息。其过程如下所示。 a.在Windows2000 Server_上启动Internet服务管理器,选中并右击需 要支精餐SL胸eb站点(如“款认Web站点”),在弹出的豪单中执行 任将命令,在出现的站点属性对话框中选择“月录安全性”远项卡,系统 给出的界面
支持SSL协议的WWW服务器需要申请和安装自己的证书,以便在 合时的时候将自己的公开密钥传送给浏览器。在WWW服务器上配置 SSL协议需要经过证书的申请、证书的下载、证书的安装和WWW服 务器的配置等过程。与此同时,当安装有证书服务的主机接收到一个证 书申请后,需要对申请者的信息进行审查,决定是否将证书 颁发给申请人。 (1)准备一个证书请求信息 在为一个WWW服务器申请证书之前,首先需要准备证书的请求信 息。其过程如下所示。 a.在Windows 2000 Server上启动Internet服务管理器,选中并右击需 要支持SSL的Web站点(如“默认Web站点”),在弹出的菜单中执行 “属 性”命令,在出现的站点属性对话框中选择“目录安全性”选项卡,系统 将 给出的界面。 2.为WWW服务器申请和安装证书
2.为WWW服务器申请和安装证书 b.单击“服务器证书”按钮,屏幕出现Web服务器证 书向导对话框。利用该证书向导,首先创建一个新证 书。 c.在中选择“创建一个新证书”,执行“下一步”命 令,系统进入“稍候或立即请求”界面。该对话框有以下 两个选 项:“现在准备申请,但稍后发送” 该选项总是可用的。将请求的数据首先保存在文件 中,然后再将该文件提交给安装有证书服务的主机。 “立即将申请发送到在线证书颁发机构
b.单击 “服务器证书”按钮,屏幕出现Web服务器证 书向导对话框。利用该证书向导,首先创建一个新证 书。 c.在中选择“创建一个新证书”,执行“下一步”命 令,系统进入“稍候或立即请求”界面。该对话框有以下 两个选 项:“现在准备申请,但稍后发送” 该选项总是可用的。将请求的数据首先保存在文件 中,然后再将该文件提交给安装有证书服务的主机。 “立即将申请发送到在线证书颁发机构” 2.为WWW服务器申请和安装证书
2.为WWW服务器申请和安装证书 仅当Web服务器可以在配置为颁发Web服务器证书 的Windows2000域中访问一个或多个Microsofti证书服务 器时,该选项才可用。在后面的申请过程中,您有机会 从列表中选择将申请发送到的颁发机构。 单击“现在准备申请,但稍后发送”,然后单击“下一 步”,系统开始收集申请证书所需要的各种信息 d.申请证书需要很多信息,其中包括证书的名字、 密钥的长度、所在的组织与部门等等。按照S证书向导 的要求键入这些信息,系统将把它们保存在你指定的文件中 S证书向导形成的证书请求文件可以使用文本编辑器(如记 事本程序)打开,其中的请求信息已经进行了编码,其基本 形式如图1所示
仅当Web服务器可以在配置为颁发Web服务器证书 的Windows2000域中访问一个或多个Microsoft证书服务 器时,该选项才可用。在后面的申请过程中,您有机会 从列表中选择将申请发送到的颁发机构。 单击“现在准备申请,但稍后发送”,然后单击“下一 步”,系统开始收集申请证书所需要的各种信息。 d.申请证书需要很多信息,其中包括证书的名字、 密钥的长度、所在的组织与部门等等。按照IIS证书向导 的要求键入这些信息,系统将把它们保存在你指定的文件中。 IIS证书向导形成的证书请求文件可以使用文本编辑器(如记 事本程序)打开,其中的请求信息已经进行了编码,其基本 形式如图1所示。 2.为WWW服务器申请和安装证书
cert.ba 名式。 帮助( “名称”(“名称”字段中键入证书的描述性名称)→“位 长”(“位长”字段中键入密钥的位长)→“组织”(“组织” 字段中键入组织名称)一“组织单位”(“组织单位”字段中 键入组织单位)→“公用名”(“公用名”字段中键入你的站 点的公用名)→“国家地区、州省和城市县市”(在“国家 地区、州省和城市县市”字段中输入适当的信息)→输入证 书申请的文件名→请求证书摘要→完成
2.为WWW服务器 申请和安装证书 “名称”(“名称”字段中键入证书的描述性名称)→ “位 长”(“位长”字段中键入密钥的位长)→“组织”(“组织” 字段中键入组织名称)→“组织单位”(“组织单位”字段中 键入组织单位)→“公用名”(“公用名”字段中键入你的站 点的公用名)→“国家/地区、州/省和城市/县市”(在“国家/ 地区、州/省和城市/县市”字段中输入适当的信息)→ 输入证 书申请的文件名→请求证书摘要→完成
2.为WWW服务器申请和安装证书 注意:这些信息将放在证书申请中,因此应确保它的正确 性。CA将验证这些信息并将其放在证书中。浏览你的Web站 点的用户需要查看这些信息,以便决定他们是否接受证书。 重要说明:公用名是证书最后的最重要信息之一。它是 Web站点的DNS名称(即用户在浏览你的站点时键入的名 称)。如果证书名称与站点名称不匹配,当用户浏览到你的 站点时,将报告证书问题。 如果你的站点在Web上并且被命名为www.contoso.com, 这就是你应当指定的公用名。 如果你的站点是内部站点,并且用户是通过计算机名称浏 览的,请输入计算机的NetBIOS或DNS名称
注意:这些信息将放在证书申请中,因此应确保它的正确 性。CA将验证这些信息并将其放在证书中。浏览你的Web站 点的用户需要查看这些信息,以便决定他们是否接受证书。 重要说明:公用名是证书最后的最重要信息之一。它是 Web站点的DNS名称(即用户在浏览你的站点时键入的名 称)。如果证书名称与站点名称不匹配,当用户浏览到你的 站点时,将报告证书问题。 如果你的站点在Web上并且被命名为www.contoso.com, 这就是你应当指定的公用名。 如果你的站点是内部站点,并且用户是通过计算机名称浏 览的,请输入计算机的NetBIOS或DNS名称。 2.为WWW服务器申请和安装证书
(2)提交申请证书 准备好证书请求信息之后,需要将该文件提交给证书颁发机构, 以便管理机构为申请者签发和颁发证书。证书申请的提交工作可 以通过浏览器完成,具体步骤如下所示(假设主机192.168.0.66 安装有证书颁发机构管理软件)。 a.使用“记事本”打开在前面的过程中生成的证书文件,将 它的整个内容复制到剪贴板。 b.启动1E浏览器,导航到http:I192.168.0.66/certsrv,其中 192.168.0.66是安装有证书颁发机构管理软件的计算机的名称。 安装有证书服务的主机192.168.0.66将返回任务选择页面
准备好证书请求信息之后,需要将该文件提交给证书颁发机构, 以便管理机构为申请者签发和颁发证书。证书申请的提交工作可 以通过浏览器完成,具体步骤如下所示(假设主机192.168.0.66 安装有证书颁发机构管理软件)。 a.使用“记事本”打开在前面的过程中生成的证书文件,将 它的整个内容复制到剪贴板。 b.启动IE浏览器,导航到http://192.168.0.66/certsrv ,其中 192.168.0.66是安装有证书颁发机构管理软件的计算机的名称。 安装有证书服务的主机192.168.0.66将返回任务选择页面。 (2)提交申请证书
提交申请证书 单击“申请证书”,然后单击“下一步”。 由于要为WWW服务器申请证书,既不是Web浏览器证 书也不是电子邮件保护证书,因此需要使用高级申请。 在“选择申请类型”页中,单击“高级申请”,然后单击“下 一步” 在“高级证书申请”页中,单击“使用base64编码的 PKCS#10文件提交证书申请”,然后单击“下一步”。在 “提交一个保存的申请”页中,单击“Base64编码的证书 申请(PKCS#10或#7)”文本框,按住CTRL+V,粘贴先前复制到 剪贴板上的证书申请。 在“证书模板”组合框中,单击“Web服务器”。单击 “提交” 关闭Internet Explorer
单击“申请证书”,然后单击“下一步”。 由于要为WWW服务器申请证书,既不是Web浏览器证 书也不是电子邮件保护证书,因此需要使用高级申请。 在“选择申请类型”页中,单击“高级申请”,然后单击“下 一步”。 在“高级证书申请”页中,单击“使用base64编码的 PKCS#10文件提交证书申请”,然后单击“下一步”。在 “提交一个保存的申请”页中,单击“Base64编码的证书 申请(PKCS#10或#7)”文本框,按住CTRL+V,粘贴先前复制到 剪贴板上的证书申请。 在“证书模板”组合框中,单击“Web服务器”。 单击 “提交”。 关闭Internet Explorer。 提交申请证书
(3)为证书申请者颁发证书 证书管理机构为证书申请者颁发证书的具体步骤如下所示。 a.在安装有证书颁发机构管理软件的主机上通过“开 始”→“程 序”→“管理工具”→“证书颁发机构”进入证书颁发机构管理软 件。 b.展开你的证书颁发机构,然后选择“待定申请”文件夹。 c,选择刚才提交的证书申请。 d.在“操作”菜单中,指向“所有任务”,然后单击“颁发”。 e.确认证书显示在“颁发的证书”文件夹中,然后双击查看它。 f.在“详细信息”选项卡中,单击“复制到文件”,将证书保 存为 Base-64编码的X.509证书。 g.关闭证书的属性窗口。 h.关闭“证书颁发机构”工具
证书管理机构为证书申请者颁发证书的具体步骤如下所示。 a.在安装有证书颁发机构管理软件的主机上通过“开 始”→“程 序”→“管理工具”→“证书颁发机构”进入证书颁发机构管理软 件。 b.展开你的证书颁发机构,然后选择“待定申请”文件夹。 c.选择刚才提交的证书申请。 d.在“操作”菜单中,指向“所有任务”,然后单击“颁发”。 e.确认证书显示在“颁发的证书”文件夹中,然后双击查看它。 f.在“详细信息”选项卡中,单击“复制到文件”,将证书保 存为 Base-64编码的X.509证书。 g.关闭证书的属性窗口。 h.关闭“证书颁发机构”工具。 (3)为证书申请者颁发证书