2023年11月27日发(作者:)

实验7 Windows Server 2008 R2中的证书服

1 实验目的

通过实验掌握Windows Server 2008 R2中证书服务的安装与使用。

2 实验环境

VMware中两台Windows Server 2008 R2计算机:Win2008R2CWin2008R2,一台

XP/Win7客户机,它们之间均可以互相访问。

服务Win2008R2IP地址假定为192.168.10.2CWin2008R2IP地址为

192.168.10.3

3 实验原理

3.1 Windows Server 2008 R2中证书服务的特点

证书与生活中的“证书”功能相似,都是由信任的证书颁发机构或第三方机构颁发的,

并且不同的证书只能应用于特定的领域。数字证书是一段由证书颁发机构(CA数字签名、

包含用户身份信息和用户公钥信息以及身份验证机构数字签名的数据,用于代表用户的身

份。其中,身份验证机构的数字签名可以确定证书信息的真实性,而用户公钥信息可以保证

数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。

Windows Server 2008 R2中集成的PKIPublic Key Infrastructure,公共密钥基础结构)

系统提供了证书服务功能,可以让用户通过Internet/Extranet/Intranet安全地交互敏感信息,

以确保电子邮件、电子商务交易、文件发送等各类数据的安全性。

Windows Server 2008 R2通过创建一个证书机构CACertification Authority认证中心)

来管理其公钥基础设施PKI,以提供证书服务。一个CA通过发布证书来确认用户公钥和其

他属性的绑定关系,以提供对用户身份的证明。Windows Server 2008 R2证书服务创建的CA

可以接收证书请求、验证请求信息和请求者身份、颁发和撤销证书,以及发布证书废除列表

CRLCertificate Revocation List。证书服务是通过内置的证书管理单元来实现的。

Windows Server 2008 R2的证书服务具有如下特点:

1、使用内置的管理单元。根据CA的策略,用户可以通过Web或内置的证书管理单元

来申请和管理证书。

2、使用模板。使用证书模板,可以在Windows Server 2008 R2中根据证书用途预先指

定证书格式和内容。当从Windows Server 2008 R2证书颁发机构CA申请证书时,证书申请

将视其权限而定,可以从多种基于证书模板(如“用户”或“代码签名”)的证书类型中进

行选择。

3、活动目录发布。Windows Server 2008 R2在其活动目录中发布信任的根证书、已发

布的证书和CRLs等;支持智能卡,支持使用智能卡提供的安全性来登录基于Windows

域。

Windows Server 2008 R2支持两种证书服务,分别用于企业内部的企业证书服务器(企

CA和用于企业或Internet网络中的独立证书服务器(独立CA企业CA需要Windows

Server 2008 R2活动目录的支持,而独立CA可以安装在任何独立的安装了Windows Server

2008 R2的计算机中。

3.2 Windows Server 2008 R2中部署证书服务

通过安装证书服务,可以创建一个CA,用于发行运行PKI所必需的证书。证书服务包

括两种类型CA:企业CA和独立存在的CA。在每一个类型中,都可以有一个根CA和一

个或者多个下层CA

1、企业根CAEnterprise root CA

企业根CA在证书层次结构中是顶级CA企业根CA利用活动目录确定请求者的身份,

并确定请求者是否具有为请求特定的证书类型所要求的安全性权限。通常,企业根CA只为

下层CA发放证书。

要安装企业根CA,必须具备下列条件:

1)活动目录

2DNS服务

3)安装者必须是Enterprise Admins组的成员。

2、企业子级CAEnterprise subordinate CA

企业子级CA在机构内发放证书,但是企业子级CA不是最可信任的CA。常用于针对

特定用途(如安全电子邮件、基于Web的身份验证,或者智能卡身份验证)发放证书。

3、独立根CAStandalone root CA

独立根CA在证书层次结构中是顶级CA。独立存在的根CA可以不是某个域的成员,

并且不要求活动目录。独立根CA可以断开与网络的连接,并被放置在某个安全区域中。

如果你将为你的公司之外的实体发放证书,你就应该安装一个独立根CA

4、子级CAStandalone subordinate CA

子级CA作为一个孤立的证书服务器运行,或者位于某个CA信任层次结构内。

4 实验任务

某公司的业务跨越Internet。为了确保数据通信的安全,公司高层决定利用证书加密计

算机之间的网络数据。因此需要创建PKI结构规范,安装CA

要求:创建独立根CA和独立子级CA,利用独立子级CA为公司内部每台计算机分派

证书,保证所有计算机都有合法的证书,以确保计算机之间的所有IP网络数据流都可以被

加密。同时,为了防止证书服务器因意外故障或证书被误删而导致证书丢失,请备份证书。

作为网络管理员的你,请实现上述要求。(如果同时运行两台Windows Server 2008R2

比较困难,也可以只安装独立根CA,利用独立根CA来分派证书。

测试:通过启用证书来验证客户端,实现ping命令。

5 实验步骤

假定两台Windows Server 2008 R2计算机命名为:Win2008R2CWin2008R2

1、创建一个独立根CA

1)在Win2008 R2上,通过“选择服务器角色”窗口勾选“Active Directory证书服

务”复选框,单击“下一步”,在“角色服务”列表中勾选“证书颁发机构”和“证书颁发

机构Web注册”复选框,以启用Web注册功能。如图1所示。

1 选择角色服务窗口

2“指定安装类型”窗口中,由于此服务器不是域控制器,且未加入域,因此“企

业”单选按钮为不可用状态。单击“下一步”,在指定CA类型画面中选择“根CA

3)在“设置私钥”窗口,由于当前是第一次安装证书服务,且没有私钥,因此点选

“新建私钥”按钮。单击“下一步”

4)在“为CA配置加密”窗口,可以选择加密服务提供程序,密钥的长度,哈希算

法等。如图2所示。

2 CA配置加密窗口

5)在“配置CA名称”窗口,在“此CA的公用名称”文本框中设置此证书的公用

名称。比如取名为“MyCA。单击“下一步”按钮,设置有效期,默认为5年。单击“下

一步”,设置证书的数据库和数据库日志的位置。这里使用默认值即可。

6)接下来,安装IIS。至此,完成独立根CA的安装。

3、安装一个独立的子级CA

CWin2008R2上安装一个独立的子级CA。该CA依赖于1中创建的独立的根CA

1)大部分步骤同1,在指定CA类型中,选择“子级CA。如图3所示。

3 子级CA示意图

2)同样,选择“新建私钥”。将CA的公用名称命名为MyCAChild,其他选项使用

默认值。在“向CA申请证书”对话框中,选择将证书请求保存到某个文件中并稍后手动发

送给父级CA,文件名使用默认值即可。如图4所示。单击“下一步”,接下来的安装同1

只需要选择默认值即可。

4 将证书请求保存示意图

3)安装完成后,会出现如图5的安装不完整的警告信息提示,要求使用“C

CWin2008R2_”文件,从父CA获取证书。

5 安装过程重要提示

4)在CWin2008R2上向父CA申请证书。通过IE,输入192.168.10.2/certsrv/

即可进入证书申请画面,如图6所示。

6 向父CA申请CA证书示意图

5)在图6中选择“申请证书”->“高级证书申请”,选择“使用base64编码的CMC

”如图7所示。

7 高级证书申请示意图

6)将之前保存的证书申请文件CWin2008R2_用记事本打开,然后将

内容复制到如图8所示的文本框中。然后提交给根CA

8 复制证书文件内容示意图

7)在根CA上为子CA颁发证书。颁发成功后,在子CA上通过“查看挂起的证书

申请的状态”->“保存的证书的申请”->“下载证书链”,默认的文件名为certnew.p7b。如

9所示。将证书下载到CWin2008R2上,保存路径可以自已设置或使用默认值。

9 在子CA上下载证书链示意图

8)安装所下载的证书。在子CA上通过“开始”->“管理工具”->“证书颁发机构”

->鼠标右键“所有任务”->“安装CA证书”,如图10所示。

10安装证书链示意图

9)选择下载到的证书certnew.p7b,然后“打开”,会出现如图11所示的提示,表示

根证书不被信任,直接单击“确定”即可。

11安装父级CA示意图

10)如果此时启动子级CA,将会出现如图12所示的错误提示,表示需要设置证书

的吊销列表。

12 启动子级CA错误提示图

11)在父级CA上,通过右击鼠标“MyCA->“属性”->“扩展”,设置CRL分发

点来告知子级CA从何处下载证书吊销列表,这里设置成通过HTTP路径。同时勾选下面的

选项,如图13所示。

13 设置CRL分发点示意图

13同时在子级CAhosts文件中(该文件位于系统安装目录的system32driversetc

目录下,将父级CAIP和主机名映射关系建立。如图14所示。

14 添加父CA的名称解析示意图

14)启动独立子级CA如果成功,画面将如图15所示。如果子级CA启动仍然不成

功,可以取消检查CRL。方法是,在命令提示符下运行如下命令:

Certutil -setreg caCRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

15 启用子级证书服务器示意图

3、客户机(Win7)信任子级CA

通过手动添加证书,使得客户机信任子级CA。方法是通过IE,在地址栏里输入

192.168.10.3/certsrv(假定子级CA服务器IP地址为192.168.10.3,选择“下载CA

书、证书链或CRLCA证书链保存。然后通过MMC控制台,通过添加“证书”->“计

算机账户”,将证书管理单元添加,接下来在“受信任的根证书颁发机构”上对“证书”单

击右键,选择“所有任务”->“导入”,选择之前保存的子级CA证书将其导入,其它使用

默认值即可。完成后可以看见子级CA证书在信任证书目录里面。如图16所示。

16 导入CA证书使得客户机信任子级CA

4、客户机向子级CA申请证书服务

1)修改IE安全设置

通过修改IE中的安全设置,对“未标记为可安全执行脚本的ActiveX控件初始化并执

行脚本(不安全),选择启用。如图17所示。

17 修改IE设置示意图

同时将Intranet的安全级别降为低级别,CA网站加入到本地Intranet(站点标签下)

如图18所示。

18 修改IEIntranet设置示意图

2)在客户机的地址栏上输入子级CAIP/certsrv,可以打开证书web服务功

能。如图19所示。

19 利用证书服务web页提供证书申请

3)客户机申请一个计算机证书

通过选择“申请证书”,选择“高级证书申请”,选择“创建并向此CA提交一个申请”

填写姓名、电子邮件、公司等信息,需要的证书类型选择“客户端身份验证证书”勾选“标

记密钥为可导出”,其他的可使用默认值,完成后选择下面的提交。如图20所示。

20 申请一个计算机证书示意图

4在子级CA服务器CWin2008R2点击进入CA在下面“挂起的申请”上将出现“申

请的证书”页面。在申请的证书上单击鼠标右键,选择“所有任务”下的“颁发”。完成向

客户机颁发证书的任务。

5)重新登录客户机,通过浏览器查看“查看挂起的证书申请状态”,点击进入。如图

21所示。在证书上点击,进行安装。直到安装成功画面。如图22所示。

21 客户机查看获取证书状态

22 客户机安装证书服务器颁发的证书

6)将证书从用户证书缓存区导出

MMC控制台上添加“证书”,选择“我的帐户”,再次选择“计算机账户”,然后在

“个人”的“证书”下找到安装的证书,然后右击,选择“所有任务”->“导出”,如图22

所示。然后利用导出向导将证书导出保存。

22 导出下载的证书示意图

7)将证书导入本地计算机证书缓存区

在“个人”上单击右键,选择“所有任务”->“导入”,然后导入中级证书颁发机构,

如图23所示。

23 将证书导入本地计算机证书缓存区示意图

5、用ping命令测试证书的使用

1)在Win7上,通过“控制面板”->“系统和安全”->Windows防火墙”->左边的

“高级设置”->“连接安全规则”->“新建规则”->“身份验证方法”->“高级”->“自定

义”->“添加”->选择保存的证书。如图24所示。规则的名字自己设定。

24 设置通过证书验证用户身份示意图

2)在另一台Win7上重复4中的所有步骤,然后同(1)的步骤。完成后可以使用证

书来验证用户身份。

3)在两台Win7的防火墙上启用ICMP的相关流量,通过防火墙的高级设置的“入

站规则”->“文件和打印机共享(回显请求”-ICMPv4-In->“启用规则”。如图25所示。

25 启用防火墙的ICMP规则

4)测试两台主机通过证书验证可以ping通。

6、证书服务器的备份与还原

1)在证书服务器上单击右键,在“所有任务”下选择“备份”,启动证书颁发机构备

份向导。如图26所示。

26 证书颁发机构备份向导

2)单击“下一步”,选择需要备份的项目和备份的位置。如图27所示。

27 要备份的项目窗口

3)单击“下一步”,设置密码,以防止被其他人访问。如图28所示。

28 选择密码示意图

4)最后单击“完成”按钮,即可备份证书。

5)证书的还原和备份操作相似,只是需要选择“还原CA,然后根据向导选择需要

还原的项目,证书备份的路径,在密码文本框中输入备份CA时设置的密码。此处略去。

6 实验总结

1、给出在Windows Server 2008 R2上安装证书服务的步骤。

2、尝试安装企业证书服务,完成本实验中的内容。