-实验七PKI技术之信任模型实验日期：2012.11.22班级：10网络平安〔CIW〕**：**：一、实验目的（1）了解PKI常见的信任模型二、实验要求（1）准确完成实验内容,得出实验结果（2）写出实验步骤和实验小结三、实验步骤本练习主机A、B、C为一组，D、E、F为一组。实验角色说明如下：实验主机实验角色主机A、D根CA〔证书颁发机构〕主机B、E独立附属CA主机C、F客户端下面以主机A、B、C为例，说明实验步骤。首先使用“快照*〞恢复Windows系统环境。〔一〕安装证书效劳〔根CA〕主机A安装证书效劳，具体步骤见练习一｜平安Web通信｜单向认证。在启动“证书颁发机构〞效劳后，主机A便拥有了CA的角色。〔二〕安装证书效劳〔独立附属CA〕主机B安装独立附属CA，并在安装过程中生成证书请求，安装过程如下。〔1〕主机B通过“开场〞|“设置〞|“控制面板〞|“添加或删除程序〞|“添加/删除Windows组件〞，选中组件中的“证书效劳〞，此时出现“Microsoft证书效劳〞提示信息，单击“是〞，然后单击“下一步〞。选择CA类型为“独立附属CA〞，单击“下一步〞，如图1-1所示：图1-1选择CA类型在“CA识别信息〞中，填写“此CA的公用名称〞即给CA取一个名字，单击“下一步〞，如图1-2所示：图1-2CA识别信息在“证书数据库设置〞中选择默认位置，单击“下一步〞。在“CA证书申请〞中选择“将申请保存到一个文件〞，单击“下一步〞〔默认保存到C:\CAConfig\目录下〕，如图1-3所示：图1-3CA证书申请此时提示要暂停Internet信息效劳，单击“是〞，系统开场进展组件安装。在随后弹出的“所需文件〞通用对话框中指定“文件复制来源〞为C:\E*pNIS\Encrypt-Lab\Tools\WindowsCA\i386，单击“确定〞继续安装。假设出现提示信息“证书安装不完全...〞，单击“确定〞继续安装，如图1-4所示：图1-4提示信息〔2〕完成安装后可以在“管理工具〞中运行“证书颁发机构〞效劳。此时证书效劳还.z-没有从根CA处获得证书，所以证书效劳不能工作。但主机B已经拥有了独立附属CA的角色，如图1-5所示：图1-5独立附属CA的角色〔三〕根CA为独立附属CA颁发证书「注」附属CA向根CA进展证书申请时，要确保在当前时间根CA已经成功拥有了自身的角色。〔1〕独立附属CA在IE浏览器地址栏中输入“CA的IP/certsrv/〞并确认，CA的证书申请页面，如图1-6所示：图1-6CA的证书申请页面〔2〕通过“申请一个证书〞|“高级证书申请〞|“使用base64编码...提交一个申请〞进入提交证书申请页面，如图1-7：图1-7申请证书〔3〕使用记事本翻开附属CA的请求文件〔默认C:\CAConfig\目录下，扩展名为req的文件〕，将其内容全部复制粘贴到提交证书申请页面的“保存的申请〞的输入框中，然后单击“提交〞等待CA颁发证书，如图1-8所示：图1-8提交证书申请页面〔4〕CA查看“证书颁发机构〞中“挂起的申请〞目录，可以看到刚提交的申请，右键单击此申请单击“所有任务〞|“颁发〞颁发证书，如图1-9所示：图1-9颁发证书〔5〕独立附属CA通过“证书效劳主页〞|“查看挂起的证书申请的状态〞|“保存的申请证书〞|“DER编码〞|“下载证书链〞将以“.p7b〞结尾的文件下载到本地计算机的指定位置，例如本机的“C:\CAConfig\〞目录，如图1-10~1-12所示：图1-10查看挂起的证书申请的状态图1-11保存的申请证书图1-12下载证书链〔6〕独立附属CA运行〞证书颁发机构〞的左侧树状构造中右键单击“CA的名称〞|“所有任务〞|“安装CA证书〞，在本机的“C:\CAConfig\〞文件夹中选择以“.p7b〞结尾的证书链文件安装证书。在“证书颁发机构〞的左侧树状构造中右键单击“CA的名称〞|“所有任务〞|“启动效劳〞，显示提示信息“正在启动证书效劳〞，然后证书效劳即可运行，如图1-13、1-14所示：图1-13安装CA证书图1-14启动效劳〔四〕客户端向独立附属CA申请证书「注」客户端向附属CA进展证书申请时，要确保在当前时间附属CA已经成功拥有了自身的角色。〔1〕客户端通过IE浏览器“独立附属CA的IP/certsrv〞。可以看到独立附属CA证书效劳主页面，申请一*Web浏览器证书，如图1-15所示：图1-15申请Web浏览器证书〔2〕独立附属CA为客户端颁发证书，如图1-16所示：图1-16为客户端颁发证书〔3〕客户端安装此证书，并通过单击IE浏览器的“工具〞|“Internet选项〞|“内容〞|“证书〞会在〞个人〞页签中看到CA颁发给自己的证书，如图1-17~1-19所示：图1-17安装证书.z-图1-18证书安装成功图1-1