部署PKI与证书服务
一、什么是PKI
PKI(公钥基础设施),是通过使用公钥技术和数字签名来确保信息安全,并负责验证数字证书持有者身份的一种技术。
本次实验的目的是使用PKI协议中的SSL为了给网页地址“http”后边加“S”。浏览网页的时候更安全,不必担心其发送的信息被非法的第三方截获。
二、证书颁发机构
证书颁发机构也称为数字证书认证中心(Certficate Authority,CA),是PKI应用中权威的、可信任的、公正的第三方机构,也是电子交易中信赖的基础。CA的主要功能是负责生产、分配并管理所有参与网上交易的实体所需的身份认证数字证书。
三、实验要求
随便搭建一个网页,使用HTTPS(安全超文本传输协议)建立安全连接。
四、实验拓扑图
五、实验步骤
1、配置完相应的IP地址之后首先来配置证书颁发机构CA(实际工作中CA是不可能自己搭建的,是要像有权威的CA申请证书。)
1.1)、添加服务器角色,选择“Active Directory 证书服务”(这里做的是一台独立CA。如果做企业CA,需要AD服务)
1.2)、为WEB服务颁发证书需要勾上“证书颁发机构Web注册”
1.3)、没有域环境会默认装成独立CA。
1.4)、后边全部选择默认设置,完成安装。(此时如果在CA服务器上没有安装过WEB服务,会默认安装WEB服务。因为要使用网页来申请证书。)
2、安装并配置web服务器
2.1)、安装WEB服务器,后边的配置都选默认的。
2.2)、在C盘下创建一个网页的根文件夹。
2.3)、在文件夹里新建一个记事本,随便打点字保存。把文件名字改为index.html
2.4)、打开IIS服务器。
2.5)、右击网站,点击添加网站。名称随便,物理路径指向刚才在C盘创建的那个文件夹
2.6)、先把默认的网站停止,把新创建的网站启动。
2.7)、用客户机登录一下看能否访问。
3、网站搭建完毕。开始给网页加S吧。
3.1)、打开web服务器IIS管理器,双击证书服务。
3.2)、点击右侧窗格的创建证书申请。
3.3)、这里由于不是真的网页,所以没有真实的信息就随便填写
3.4)、加密服务选择默认的即可。
3.5)、为证书申请一个文件名,可以选择桌面,随便起一个名字,以“.txt”格式结尾的文本。(这个文件不用提前创建好,自动创建。)
3.6)、打开刚才这个文件,复制里边的所有内容。
3.7)、打开浏览器,输入CA(证书服务器)服务器的ip地址(也可以输入CA服务器的计算机名),并且加上“/certsrv”
3.8)、点击添加,并把CA服务器的地址添加进去。
3.9)、选择申请证书。
3.10)、再选择高级证书申请。
3.11)、选择第二项,使用base64…….证书申请。
3.12)、把刚才复制的那一堆乱码复制进去,点击提交。板面的做法和配料
3.13)、显示证书正在挂起,(独立CA需要手工颁发证书,企业CA就自动颁发了。)
3.14)、这时候回到CA服务器上,来颁发证书。
3.15)、选择挂起的申请,右击刚才申请的证书,选所有任务,点击颁发。
3.16)、回到WEB服务器上,在浏览器中重新登录CA的那个网站,选择查看挂起的证书申请的状态。
3.17)、选择保存的申请证书。
3.18)、这是可以看到证书已经颁发,点击Base64编码,下载证书。
3.19)、选择一个路径保存,这里保存到了桌面。
3.20)、打开IIS管理器,进入服务器证书,点击完成证书申请。
3.21)、选择刚才保存的证书。好记名称随便。
3.22)、右击网站名,选择编辑绑定。
3.23)、点击添加,类型选择“https”,证书选择刚才添加的“a”
3.24)、双击“ssl设置”
3.25)、勾选“要求SSL”,点击应用。
4.在客户机上验证。
4.1)、输入web服务器上创建的网站,前边输入https,会弹出“安全报警”,点击确定即可。
4.2)、又提示安全报警。继续点“是”(因为该证书不是有权威的CA颁发的,是自己做的CA所以不会被浏览器信任。不过不用担心。)
4.3)、成功打开网页,已经成功给网页加上了“S”。
