案例：安装证书课件.ppt

1、 在互联网上，在互联网上，CA（certification authority）安全认证中心）安全认证中心是公开密钥的管理机构，它通过签发证书（是公开密钥的管理机构，它通过签发证书（certificate）的方式）的方式来分发公司密钥。证书包含了证书拥有者的基本信息和公开密钥，来分发公司密钥。证书包含了证书拥有者的基本信息和公开密钥，并且经过并且经过CA中心数字签名，因此，如果用户需要发送加密的信息中心数字签名，因此，如果用户需要发送加密的信息给对方，首先需要向对方索取证书以获得它的公开密钥。给对方，首先需要向对方索取证书以获得它的公开密钥。本次实验将学习证书的申请、安装过程，并通过本次实验将

2、学习证书的申请、安装过程，并通过SSL来实现来实现安全通信。安全通信。案例：安装证书案例：安装证书 证书颁发机构管理软件是证书的处理软件，证书颁发机构管理软件是证书的处理软件，CA认证中心利用该软认证中心利用该软 件管理和签发证书。在件管理和签发证书。在Windows 2000 Server上安装证书颁发机构上安装证书颁发机构 管理软件的步骤如下：管理软件的步骤如下：（1）启动）启动Windows 2000 Server网络操作系统，通过桌面上的网络操作系统，通过桌面上的“开开 始始”“设置设置”“控制面板控制面板”“添加添加/删除程序删除程序”“添加添加/删删Windows 组件组件”进入进

3、入“Windows组件向导组件向导”对话框；对话框；（2）在）在“Windows组件向导组件向导”的组件列表中，选中的组件列表中，选中“证书服务证书服务”，单单 击击“下一步下一步”，系统进入证书服务安装状态；，系统进入证书服务安装状态；（3）在选择证书颁发机构类型界面中选择）在选择证书颁发机构类型界面中选择“独立根独立根CA”，然后执行，然后执行“下一步下一步”命令；命令；（4）在出现的）在出现的CA标志信息对话框中，键入标志信息对话框中，键入CA名称、单位、部门、名称、单位、部门、有效期等有关信息，然后单击有效期等有关信息，然后单击“下一步下一步”；（5）当进入指定）当进入指定CA数据存储

4、位置对话框后，输入证书数据库、证数据存储位置对话框后，输入证书数据库、证 书数据库日志在磁盘上的存储位置。执行书数据库日志在磁盘上的存储位置。执行“下一步下一步”命令，系统将开命令，系统将开 始安装证书服务。由于证书服务的安装需要复制始安装证书服务。由于证书服务的安装需要复制Windows 2000 Server安装盘上的某些文件，因此，当系统提示插入安装盘时请将安装盘上的某些文件，因此，当系统提示插入安装盘时请将 Windows 2000 Server安装盘装入指定的光驱（或指定安装盘装入指定的光驱（或指定Windows 2000 Server安装文件所在的位置）。安装文件所在的位置）。安装

5、完毕，就可以利用安装有证书颁发机构管理软件的主机进行证书安装完毕，就可以利用安装有证书颁发机构管理软件的主机进行证书的管理和签发。的管理和签发。1安装证书管理软件和服务安装证书管理软件和服务 支持支持SSL协议的协议的WWW服务器需要申请和安装自己的证书，以便在服务器需要申请和安装自己的证书，以便在 合时的时候将自己的公开密钥传送给浏览器。在合时的时候将自己的公开密钥传送给浏览器。在WWW服务器上配置服务器上配置 SSL协议需要经过证书的申请、证书的下载、证书的安装和协议需要经过证书的申请、证书的下载、证书的安装和WWW服服 务器的配置等过程。与此同时，当安装有证书服务的主机接收到一个证务器的

6、配置等过程。与此同时，当安装有证书服务的主机接收到一个证 书申请后，需要对申请者的信息进行审查，决定是否将证书书申请后，需要对申请者的信息进行审查，决定是否将证书 颁发给申请人。颁发给申请人。（1）准备一个证书请求信息）准备一个证书请求信息 在为一个在为一个WWW服务器申请证书之前，首先需要准备证书的请求信服务器申请证书之前，首先需要准备证书的请求信 息。其过程如下所示。息。其过程如下所示。a在在Windows 2000 Server上启动上启动Internet服务管理器，选中并右击需服务管理器，选中并右击需 要支持要支持SSL的的Web站点（如站点（如“默认默认Web站点站点”），在弹出的菜

7、单中执行），在弹出的菜单中执行“属属 性性”命令，在出现的站点属性对话框中选择命令，在出现的站点属性对话框中选择“目录安全性目录安全性”选项卡，系统选项卡，系统将将 给出的界面。给出的界面。2为为WWW服务器申请和安装证书服务器申请和安装证书 b单击单击“服务器证书服务器证书”按钮，屏幕出现按钮，屏幕出现Web服务器证服务器证 书向导对话框。利用该证书向导，首先创建一个新证书向导对话框。利用该证书向导，首先创建一个新证 书。书。c在中选择在中选择“创建一个新证书创建一个新证书”，执行，执行“下一步下一步”命命 令，系统进入令，系统进入“稍候或立即请求稍候或立即请求”界面。该对话框有以下界面。该

8、对话框有以下 两个选两个选 项项:“现在准备申请，但稍后发送现在准备申请，但稍后发送”该选项总是可用的。将请求的数据首先保存在文件该选项总是可用的。将请求的数据首先保存在文件 中，然后再将该文件提交给安装有证书服务的主机。中，然后再将该文件提交给安装有证书服务的主机。“立即将申请发送到在线证书颁发机构立即将申请发送到在线证书颁发机构”2为为WWW服务器申请和安装证书服务器申请和安装证书 仅当仅当Web服务器可以在配置为颁发服务器可以在配置为颁发Web服务器证书服务器证书 的的Windows2000域中访问一个或多个域中访问一个或多个Microsoft证书服务证书服务 器时，该选项才可用。在后面

9、的申请过程中，您有机会器时，该选项才可用。在后面的申请过程中，您有机会 从列表中选择将申请发送到的颁发机构。从列表中选择将申请发送到的颁发机构。单击单击“现在准备申请，但稍后发送现在准备申请，但稍后发送”，然后单击，然后单击“下一下一 步步”，系统开始收集申请证书所需要的各种信息。，系统开始收集申请证书所需要的各种信息。d申请证书需要很多信息，其中包括证书的名字、申请证书需要很多信息，其中包括证书的名字、密钥的长度、所在的组织与部门等等。按照密钥的长度、所在的组织与部门等等。按照IIS证书向导证书向导 的要求键入这些信息，系统将把它们保存在你指定的文件中。的要求键入这些信息，系统将把它们保存在

10、你指定的文件中。IIS证书向导形成的证书请求文件可以使用文本编辑器（如记证书向导形成的证书请求文件可以使用文本编辑器（如记事本程序）打开，其中的请求信息已经进行了编码，其基本事本程序）打开，其中的请求信息已经进行了编码，其基本形式如图形式如图1所示。所示。2为为WWW服务器申请和安装证书服务器申请和安装证书2为为WWW服务器服务器申请和安装证书申请和安装证书 “名称名称”（“名称名称”字段中键入证书的描述性名称）字段中键入证书的描述性名称）“位位长长”（“位长位长”字段中键入密钥的位长）字段中键入密钥的位长）“组织组织”（“组织组织”字段中键入组织名称）字段中键入组织名称）“组织单位组织单位”

11、（“组织单位组织单位”字段中字段中键入组织单位）键入组织单位）“公用名公用名”（“公用名公用名”字段中键入你的站字段中键入你的站点的公用名）点的公用名）“国家国家/地区、州地区、州/省和城市省和城市/县市县市”（在（在“国家国家/地区、州地区、州/省和城市省和城市/县市县市”字段中输入适当的信息）字段中输入适当的信息）输入证输入证书申请的文件名书申请的文件名请求证书摘要请求证书摘要完成完成 注意：这些信息将放在证书申请中，因此应确保它的正确注意：这些信息将放在证书申请中，因此应确保它的正确性。性。CA将验证这些信息并将其放在证书中。浏览你的将验证这些信息并将其放在证书中。浏览你的Web站站点的

12、用户需要查看这些信息，以便决定他们是否接受证书。点的用户需要查看这些信息，以便决定他们是否接受证书。重要说明：公用名是证书最后的最重要信息之一。它是重要说明：公用名是证书最后的最重要信息之一。它是Web站点的站点的DNS名称（即用户在浏览你的站点时键入的名名称（即用户在浏览你的站点时键入的名称）。如果证书名称与站点名称不匹配，当用户浏览到你的称）。如果证书名称与站点名称不匹配，当用户浏览到你的站点时，将报告证书问题。站点时，将报告证书问题。如果你的站点在如果你的站点在Web上并且被命名为上并且被命名为，这就是你应当指定的公用名。这就是你应当指定的公用名。如果你的站点是内部站点，并且用户是通过计

13、算机名称浏如果你的站点是内部站点，并且用户是通过计算机名称浏览的，请输入计算机的览的，请输入计算机的NetBIOS或或DNS名称。名称。2为为WWW服务器申请和安装证书服务器申请和安装证书 准备好证书请求信息之后，需要将该文件提交给证书颁发机构，准备好证书请求信息之后，需要将该文件提交给证书颁发机构，以便管理机构为申请者签发和颁发证书。证书申请的提交工作可以便管理机构为申请者签发和颁发证书。证书申请的提交工作可以通过浏览器完成，具体步骤如下所示（假设主机以通过浏览器完成，具体步骤如下所示（假设主机192.168.0.66安装有证书颁发机构管理软件）。安装有证书颁发机构管理软件）。a使用使用“记

14、事本记事本”打开打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。b启动启动IE浏览器，导航到浏览器，导航到http:/192.168.0.66/certsrv，其中，其中192.168.0.66是安装有证书颁发机构管理软件的计算机的名称。是安装有证书颁发机构管理软件的计算机的名称。安装有证书服务的主机安装有证书服务的主机192.168.0.66将返回任务选择页面。将返回任务选择页面。（2）提交申请证书）提交申请证书 单击单击“申请证书申请证书”，然后单击，然后单击“下一步下一步”。由于要为由于要为WWW服务器申请证书，既不

15、是服务器申请证书，既不是Web浏览器证浏览器证 书也不是电子邮件保护证书，因此需要使用高级申请。书也不是电子邮件保护证书，因此需要使用高级申请。在在“选择申请类型选择申请类型”页中，单击页中，单击“高级申请高级申请”，然后单击，然后单击“下下 一步一步”。在在“高级证书申请高级证书申请”页中，单击页中，单击“使用使用base64编码的编码的 PKCS#10文件提交证书申请文件提交证书申请”，然后单击，然后单击“下一步下一步”。在。在“提交一个保存的申请提交一个保存的申请”页中，单击页中，单击“Base64编码的证书编码的证书 申请（申请（PKCS#10或或#7）”文本框，按住文本框，按住CTR

16、L+V，粘贴先前复制到，粘贴先前复制到剪贴板上的证书申请。剪贴板上的证书申请。在在“证书模板证书模板”组合框中，单击组合框中，单击“Web服务器服务器”。单击单击“提交提交”。关闭关闭Internet Explorer。提交申请证书提交申请证书证书管理机构为证书申请者颁发证书的具体步骤如下所示。证书管理机构为证书申请者颁发证书的具体步骤如下所示。a在安装有证书颁发机构管理软件的主机上通过在安装有证书颁发机构管理软件的主机上通过“开开始始”“程程 序序”“管理工具管理工具”“证书颁发机构证书颁发机构”进入证书颁发机构管理软进入证书颁发机构管理软件。件。b展开你的证书颁发机构，然后选择展开你的证书

17、颁发机构，然后选择“待定申请待定申请”文件夹。文件夹。c选择刚才提交的证书申请。选择刚才提交的证书申请。d在在“操作操作”菜单中，指向菜单中，指向“所有任务所有任务”，然后单击，然后单击“颁发颁发”。e确认证书显示在确认证书显示在“颁发的证书颁发的证书”文件夹中，然后双击查看它。文件夹中，然后双击查看它。f在在“详细信息详细信息”选项卡中，单击选项卡中，单击“复制到文件复制到文件”，将证书保存，将证书保存为为 Base-64编码的编码的X.509证书。证书。g关闭证书的属性窗口。关闭证书的属性窗口。h关闭关闭“证书颁发机构证书颁发机构”工具。工具。（3）为证书申请者颁发证书）为证书申请者颁发证

18、书 当证书颁发机构颁发证书之后，证书申请者可以通过浏览当证书颁发机构颁发证书之后，证书申请者可以通过浏览器下载自己的证书。具体过程如下（假设主机器下载自己的证书。具体过程如下（假设主机192.168.0.66安装有证书颁发机构管理软件）。安装有证书颁发机构管理软件）。a启动启动IE浏览器，在地址栏中键入：浏览器，在地址栏中键入：http:/192.168.0.66/certsrv，安装有证书服务的主机，安装有证书服务的主机192.168.0.66将返回任务选择页面。将返回任务选择页面。b在页面上选择在页面上选择“检查挂起的证书检查挂起的证书”（颁发后没有下课的证（颁发后没有下课的证书）选项，单

19、击书）选项，单击“下一步下一步”，系统将显示所有挂起证书的，系统将显示所有挂起证书的列表。列表。c选择需要下载的证书，执行选择需要下载的证书，执行“下一步下一步”命令，出现屏幕后，命令，出现屏幕后，单击单击“下载下载CA证书证书”，系统将把颁发的证书存储在指定，系统将把颁发的证书存储在指定的文件中。的文件中。（4）下载证书）下载证书（5）并配置并配置WWW服务器安装证书得到服务器安装证书得到了证书颁发机构颁发的证书，就可以将它安装在了证书颁发机构颁发的证书，就可以将它安装在WWW服务器上。通过简单的配置过程，服务器上。通过简单的配置过程，WWW服服务器就可以支持务器就可以支持SSL通信。安装证

20、书并配置通信。安装证书并配置WWW服务器的方法如下所示。服务器的方法如下所示。a如果如果Internet信息服务尚未运行，则启动它。信息服务尚未运行，则启动它。b展开你的服务器名称，选择要安装证书的展开你的服务器名称，选择要安装证书的Web站站点。点。c右击该右击该Web站点，然后单击站点，然后单击“属性属性”。d单击单击“目录安全性目录安全性”选项卡，如图选项卡，如图2所示所示。安装证书安装证书查看属性例图2ITS证书向导 e如果该如果该Web站点已经进行过站点已经进行过“证书请求准备证书请求准备”处理，那么处理，那么单击单击“服务器证书服务器证书”，启动，启动Web服务器证书向导，并且系统

21、将服务器证书向导，并且系统将显示显示“挂起的证书请求挂起的证书请求”对话框如图对话框如图3所示。所示。例图3ITS证书向导 f单击单击“处理待定申请和安装证书处理待定申请和安装证书”，然后单击，然后单击“下一步下一步”。g输入包含输入包含CA响应的文件的路径和文件名，然后单击响应的文件的路径和文件名，然后单击“下一步下一步”，如，如图图4所示。所示。例图4ITS证书向导 h检查证书概述，单击“下一步”，然后单击“完成”，如图5、图6所示。例图5ITS证书向导例图6证书现在安装在Web服务器上。配置服务器的SSLITS证书向导证书向导a回到站点属性窗口，点击回到站点属性窗口，点击“目录安全性目录安全性”标签后，如图标签后，如图7所示。所示。例图7安全通信 b点击点击“安全通信安全通信”中的中的“编辑编辑”按钮，出现如图按钮，出现如图8所所示窗口，选择示窗口，选择“申请安全通道申请安全通道”选项，其它选项可依据需要选项，其它选项可依据需要进行设置。进行设置。例图8设定SSL端口 c点击点击“确定确定”按钮，在站点属性窗口中，选择按钮，在站点属性窗口中，选择Web 站站点点选项，将选项，将“SSL端口端口”设定，点击设定，点击“确定确定”按钮，完成设按钮，完成设置，如图置，如图9所示。所示。例图9