pki认证实验指导书

### PKI认证实验知识点解析 #### 一、PKI证书服务概述 **公共密钥基础设施（Public Key Infrastructure, PKI）**是一种利用公钥加密技术和数字证书管理来确保网络安全的技术框架。它主要由以下几个关键部分组成： - **公开密钥密码技术**：使用一对数学相关的密钥——公钥和私钥进行加密解密。 - **数字证书**：用于证明持有者身份的信息文件。 - **证书认证中心（Certificate Authority, CA）**：负责签发、管理数字证书的权威机构。 - **安全策略**：为确保PKI系统的正常运行而制定的一系列规则。 #### 二、实验环境配置 本实验旨在通过配置CA服务器并将之应用于Web服务器和客户端，以实现基于PKI的安全Web网站设计。具体包括以下步骤： 1. **IP地址配置**：实验中所有虚拟机的IP地址需要自行设定，并替换实验指导书中的示例IP地址。 2. **服务器命名**：CA服务器和Web服务器的名称采用实验者的姓名缩写（由名字声母组成）。 3. **虚拟机环境搭建**：使用虚拟机软件搭建两台服务器，其中一台作为CA服务器，另一台用于构建自定义Web站点。 #### 三、技术原理详解 - **CA服务器**：通常采用计算机名称作为CA名称。用户可以通过浏览器访问CA服务器，如通过IE浏览器访问`http://ip地址/虚拟目录`来申请证书。 - **SSL通信协议**：在Web服务器上使用的安全协议，通过SSL可以在客户端与服务器之间建立加密连接，确保数据传输的安全性。默认使用443端口。 - **证书应用**：服务器端使用服务器证书，客户端则使用用户证书。 #### 四、实验步骤解析 1. **CA服务器安装**：在虚拟机上安装CA服务器，具体步骤包括选择证书服务、指定CA名称、设置安装路径等。 - 选择证书服务：通过控制面板进行安装。 - 指定CA名称：通常与计算机名称相同。 - 设置安装路径：保持默认即可。 2. **Web服务器搭建**：在另一台虚拟机上安装Web服务器，创建自定义Web站点。 - 新建站点：通过“开始”菜单中的“管理工具”>“Internet信息服务(IIS)管理器”进行操作。 - 配置站点：包括设置站点描述、IP地址、端口号、主目录路径等。 - 权限设置：为站点分配适当的权限。 3. **证书申请与安装** - 在Web服务器上填写证书申请表。 - 使用IE浏览器向CA服务器提交证书申请。 - 在CA服务器上审批证书申请。 - 下载并安装证书到Web服务器上。 4. **安全通道配置**：通过Web服务器的属性窗口中的目录安全性选项卡，配置安全通道（SSL）以确保数据传输的安全性。 - 要求安全通道：设置客户端必须使用SSL连接。 - 忽略客户端证书：不强制客户端提供证书。 5. **客户端验证**：在客户端浏览器中测试安全连接是否正常工作，通常需要使用HTTPS协议访问Web站点。 #### 五、总结 通过以上步骤，我们不仅了解了PKI证书服务的基本原理，还掌握了如何在虚拟环境中配置和使用CA服务器以及如何为Web服务器申请并安装证书。这不仅有助于加深对网络安全的理解，还能够实际操作并解决相关问题，对于从事网络安全或Web开发的人来说是非常有价值的实践技能。