实验 安装和配置证书服务实验

实验 5-1 CA证书的安装、申请及在Web中的应用1、实验目的通过观察和动手实验，使学生更深入理解PKI公钥基础设施中数字证书的作用，以win2003 server CA中心为例，学会客户端如何从独立CA中心申请数字证书，CA中心如何签发证书。

2、实验原理2.1 PKI基础PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。

PKI基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。

一个典型的PKI系统应包括如下组件：（1）安全策略安全策略建立和定义了组织或企业信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

（2）证书操作阐述CPS（Certificate Practice Statement）一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务，所以需要提供CPS给其使用者参考，以供其了解详细的运作机理。

CPS是一些操作过程的详细文档，一般包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册和认证的等内容。

（3）证书认证机构CA（Certificate Authority）CA系统是PKI的核心部分，因为它管理公钥的整个生命周期。

CA的作用主要包括如下几个方面：发放证书，用数字签名绑定用户或系统的识别号和公钥。

规定证书的有效期。

通过发布证书废除列表（CRL）确保必要时可以废除证书。

（4）注册机构RA（Registration Authority）RA是CA的组成部分，是用户向CA申请服务的注册机构，它负责接收用户的证书申请，审核用户的身份，并为用户向CA提出证书请求，最后将申请的证书发放给用户。

网络安全实验报告学号：姓名：班级：实验项目编号：B031120507 实验项目名称：证书的应用一、实验目的：1.了解PKI体系2.了解用户进行证书申请和CA颁发证书过程3.掌握认证服务的安装及配置方法4.掌握使用数字证书配置安全站点的方法5.掌握使用数字证书发送签名邮件和加密邮件的方法二、实验环境：网络安全实验平台（装有windows、linux等多个系统虚拟机及相应软件）三、实验原理（或要求）：1、数据加密数字证书技术利用一对互相匹配的密钥进行加密、解密。

当你申请证书的时候，会得到一个私钥和一个数字证书，数字证书中包含一个公钥。

其中公钥可以发给他人使用，而私钥你应该保管好、不能泄露给其他人，否则别人将能用它以你的名义签名2、数字签名数字签名是数字证书的重要应用之一，所谓数字签名是指证书用户使用自己的私钥对原始数据的哈希变换后所得消息摘要进行加密所得的数据。

使用数字证书完成数字签名功能，需要向相关数字证书运营机构申请具备数字签名功能的数字证书，然后才能在业务过程中使用数字证书的签名功能。

3、应用范围PKI技术的广泛应用能满足人们对网络交易安全保障的需求。

作为一种基础设施，PKI的应用范围非常广泛，并且在不断发展之中，如在Web中的应用。

SSL是一个介于应用层和传输层之间的可选层，它在TCP之上建立了一个安全通道，提供基于证书的认证，信息完整性和数据保密性。

SSL协议已在Internet上得到广泛的应用。

四、实验步骤：一．安全Web通信1．无认证（服务器和客户端均不需要身份认证）通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。

(1) 客户端启动协议分析器，选择“文件”｜“新建捕获窗口”，然后单击工具栏中的按钮开始捕获；客户端在IE浏览器地址栏中输入http://服务器IP，访问服务器Web服务。

成功访问到服务器Web主页面后，单击协议分析器捕获窗口工具栏中的按钮刷新显示，在“会话分析”视图中依次展开“会话分类树”｜“HTTP会话”｜“本机IP与同组主机IP地址间的会话”,在端口会话中选择源或目的端口为80的会话，在右侧会话视图中选择名为“GET”的单次会话，并切换至“协议解析”视图。

测试一安装IIS、CA证书服务、配置SSL与抓包专业年级：班级：学号：姓名：(第一件事：将此文件改为“12安全245李大可.DOC”的形式)一、实验目的：（1）掌握Windows环境下网络参数的配置与调试方法；（2）掌握Windows2003 Server环境下IIS的配置与使用方法；（3）掌握Windows2003 Server环境下FTP的配置与使用方法；（4）掌握Windows2003 Server环境下CA系统的配置与使用方法；（5）掌握SnifferPro协议分析抓包软件使用方法；二、实验设备逻辑图：硬件：PC机二台和交换机一台，一台PC既作证书服务器，又作WWW服务器，另一台PC作为WWW客户机软件：一台服务器安装Windows 2003 Server，一台PC安装WIN XP。

拓朴结构图：三、任务描述某大公司要求该公司的原材料供应商通过Internet访问该公司的原材料订单数据库，为了确保数据的安全性，要求对网络数据流进行加密，并对供应商进行合法认证。

该公司技术人员决定利用windows2003 sever建立独立的CA中心，对供应商的计算机发放证书，并对订单数据库与供应商计算机之间的IP数据流利用SSL进行加密。

为此目的须先做一项调研，现在你要用分析软件对网络上的数据进行抓取，并找到目标数据包，获得分析样本。

四、实验内容和要求1、在网络参数正常的WINDOWS系统环境中，设置指定网络参数。

2、安装IIS和FTP服务器并调试完成，其中文件内容须按指定要求。

3、安装独立根CA，用以发放证书；在两台机分别申请用户证书。

4、为供应商的计算机申请证书，对供应商进行合法认证。

5、安装SnifferPro协议分析抓包软件，并调试正常。

6、在访问WEB、FTP服务器期间，抓取指定的index.htm（内容有“888”）和mylib.log（内容有“My full name is XXXXX”）并截图证明。

windows环境下独立根ca的安装和使用实验原理在Windows环境下安装和使用独立根CA的实验原理如下：1. 安装独立根CA：- 首先，在Windows服务器上运行“Server Manager”并选择“添加角色和功能”。

- 在安装类型中选择“基于角色或基于功能的安装”。

- 选择要安装根CA的服务器并选择“下一步”。

- 在“功能”窗口中，选择“证书服务”并点击“下一步”。

- 在“证书服务”窗口中，选择“认证机构的Web注册界面”和“证书框架”。

- 完成安装过程，等待安装完成。

2. 配置独立根CA：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“配置CA”。

- 在“设置CA角色”窗口中选择“独立根CA”并点击“下一步”。

- 配置CA名称和保存路径，并点击“下一步”。

- 设置CA的公共密钥长度并点击“下一步”。

- 选择“创建根凭据并指定名称”并输入凭据名称。

- 配置完成后，点击“下一步”并等待配置完成。

3. 使用独立根CA颁发证书：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“请求新证书”。

- 在“证书颁发机构策略”窗口中选择“Web服务器”和“合规性”选项。

- 输入要安装的证书请求文件的位置并点击“下一步”。

- 在“证书颁发机构证书安装向导”中，点击“下一步”直到完成安装。

- 颁发证书后，可以在“Server Manager”中查看已颁发的证书。

原理：通过安装和配置独立根CA，可以在Windows环境中建立一个独立的证书颁发机构。

独立根CA可以用于颁发和管理数字证书，以进行身份验证和加密通信。

安装和配置后，可以通过Web界面或其他管理工具颁发证书并在系统中使用。

这样，用户就可以在Windows环境中建立一个自己的独立证书颁发机构，以满足特定安全需求。

实验五安装和配置证书服务一、实验目的通过实验深入理解PKI、CA和数字证书的原理和应用。

二、实验环境PC机、Windows Server 2003操作系统。

三、实验原理●独立根CA与企业CA 不同，独立CA 不需要使用Active Directory 目录服务。

独立CA 最初是为了用作CA 层次结构中的受信任的脱机根CA，或者是为了在涉及Extranet 和Internet 时使用。

●向独立CA 提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型。

（向企业CA 提交证书申请时无需提供这些信息，因为企业用户的信息已经在Active Directory 中并且证书类型由证书模板说明）。

●默认情况下，发送到独立CA 的所有证书申请都被设置为挂起，一直到独立CA 的管理员验证申请者的身份并批准申请。

这完全是出于安全性的考虑，因为证书申请者的凭证还没有被独立CA 验证。

四、实验内容1、在Windows Server 2003 上安装/删除独立根证书。

2、Web服务器和客户端向CA申请证书。

3、CA颁发证书。

五、实验步骤（一）在计算机上安装证书服务，创建一个独立存在的根CA。

这一根CA将位于认证链的顶部。

1、以管理员身份登录计算机。

2、需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS 的话，无法通过web浏览器的方式申请证书）3、在“控制面板”上双击“添加/删除程序”图标，出现“添加删除程序”对话框。

在这个对话框中单击“添加/删除windows组件”，启动windows组件安装向导。

3、打开[windows组件向导]。

在组件下，找到并单击[证书服务]。

单击下一步。

入域或从域中删除。

5、点下一步选“独立根CA”6、输入一个公用名称。

7、最后“下一步”完成即可！8、在命令窗口内输入certsrv.msc,确定后直接打开CA（二）用户请求一个计算机证书1、在客户机上打开IE浏览器,并在地址栏“http://127.0.0.1/certsrv”2、选“下载证书,证书链或CRL”，可以看到刚刚安装的根证书。

一、实验目的1. 熟悉服务器的基本配置方法；2. 掌握服务器硬件、软件的安装与配置；3. 熟悉网络设备的使用及配置；4. 提高动手实践能力，为实际工作中服务器配置打下基础。

二、实验环境1. 硬件环境：服务器一台、网络设备（交换机、路由器）若干；2. 软件环境：Windows Server 2012操作系统、IIS、SQL Server等。

三、实验内容1. 服务器硬件安装与配置；2. 服务器操作系统安装与配置；3. 网络设备配置；4. IIS配置；5. SQL Server配置；6. 软件安装与配置。

四、实验步骤1. 服务器硬件安装与配置（1）将服务器硬件（如CPU、内存、硬盘等）安装到机箱内；（2）连接电源、显示器、键盘、鼠标等设备；（3）开机，进入BIOS设置，根据实际情况进行硬盘分区、设置启动顺序等；（4）安装操作系统。

2. 服务器操作系统安装与配置（1）选择合适的操作系统镜像文件；（2）使用U盘或光盘启动服务器；（3）按照提示进行安装，设置用户名、密码等信息；（4）安装完成后，进行系统优化，如关闭不必要的启动项、更新驱动程序等。

3. 网络设备配置（1）连接服务器与网络设备（交换机、路由器）；（2）配置交换机：设置VLAN、端口镜像、QoS等；（3）配置路由器：设置静态路由、DHCP、NAT等；（4）配置服务器IP地址、子网掩码、默认网关等。

4. IIS配置（1）安装IIS组件；（2）创建网站：设置网站名称、IP地址、端口、物理路径等；（3）配置网站属性：设置默认文档、错误日志、应用程序池等；（4）配置网站安全性：设置IP地址限制、匿名访问、身份验证等。

5. SQL Server配置（1）安装SQL Server组件；（2）配置SQL Server实例：设置实例名称、数据库文件路径、内存设置等；（3）创建数据库：设置数据库名称、文件大小、自动增长等；（4）配置SQL Server安全性：设置登录名、密码、权限等。

实验六：PKI (证书服务)实验实验目的：1）安装CA 服务；2）证书的申请和安装； 3）证书的管理和维护；实验拓扑图：准备步骤：虚拟机的配置1.运行Windows Server 2003虚拟机后，选择【VM 】—【Removable Devices 】–【CD-ROM (IDE 1:0)】—【Edit 】，进入编辑虚拟机光驱界面2.选择Windows 2003的安装盘ISO 文件证书服务器IP ：172.17.14.199客户机IP ：172.17.14.11交换机3. 选择【VM】—【Removable Devices】–【CD-ROM (IDE 1:0)】—【Connect】，在虚拟机中装载光驱任务一：安装CA 服务器1.为CA 服务器配置静态IP 地址如:172.17.14.199 掩码255.255.255.02.打开[windows 组件向导].在组件下，找到并单击[应用程序服务器].单击[详细信息].在[应用程序服务器的子组件]中,单击[Internet 信息服务（IIS ）],然后点“确定”.最后通过下一步,下一步“完成”即可.(如图)（支持web 注册请先安装IIS 服务,然后再装证书服务！）安装过程中如果提示找不到需要的文件，对虚拟机进行配置（详情见准备步骤：虚拟机的配置）。

配置好后，再选择正确的文件，在Win2003/NOET/I386目录下124533.打开[windows组件向导].在组件下，找到并单击[证书服务].点下一步选“独立根CA”如果您的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA”和“企业从属CA”（在域中的成员可以通过MMC和WEB方式申请证书）输入一个公用名称.最后“下一步”完成即可！选择【开始】—【程序】—【管理工具】—【证书颁发机构】，可以看到安装好的认证机构管理控制台任务二：证书的申请和安装在证书服务器安装好后，一个简单的认证机构就建立完毕。

实验项目5 证书服务器的搭建及其管理应用实验1 安装证书服务器1、首先我先配置虚拟机的IP由于物理机IP为10.10.44.26，所以我设虚拟机的IP为10.10.44.126，并测试该物理机与虚拟机的相通性，测试成功，虚拟机与物理机相通。

2、安装IIS，因为我要做的是用物理机通过http访问虚拟机的网页所以应在这里注意安装时应勾上万维网服务，而且要注意安装前导入镜像文件，安装成功。

3、IIS安装好后，用虚拟机和物理机分别访问网站，访问成功。

4、安装证书服务器，并在IIS上出现有申请证书和在虚拟机上访问证书所在地及IP，安装成功。

实验2 应用证书实现ＳＳＬ加密网站5、申请证书，通过在虚拟机上访问http://10.10.44.126/certsrv打开网页然后在从申请证书一步一步的申请高级证书结果申请成功，并且我颁发了证书并给予安装，从而提高了网站的安全保护，具体可从我访问了https:// 10.10.44.126中跳出窗口给予用户提醒和警告课以看出证书的颁发成功的而且安装成功，而且网站受到了安全保护。

6、设置用户需通过安全途径访问网站，设置安全途径设置成功。

7、我设置让网站也能对客户端进行身份认证，并且给客户端颁发证书，并且注意在对客户端设置证书时应在客户端上进行，然后再到证书颁发机构颁发证书，在到客户端安装证书，才可以让客户端成功的得到证书颁发机构给颁发给它的证书，所以颁发成功，接着在到客户端访问网站在客户端网页上选择证书，所以让客户端可以访问网站，这样设置使得网站的安全得到了保障，我设置成功。

参考：毕业论文（设计）工作记录及成绩评定册题目：学生姓名：学号：专业：班级：指导教师：职称：助理指导教师：职称：年月日实验中心制使用说明一、此册中各项内容为对学生毕业论文（设计）的工作和成绩评定记录，请各环节记录人用黑色或蓝色钢笔（签字笔）认真填写（建议填写前先写出相应草稿，以避免填错），并妥善保存。

操作系统安装与配置实验报告实验目的：
1. 了解操作系统的安装过程。

2. 掌握操作系统的基本配置方法。

3. 熟悉操作系统的常见问题排查与解决方法。

实验步骤：
1. 下载操作系统安装镜像文件。

2. 制作启动盘。

3. 进入BIOS设置，将启动顺序设置为从U盘启动。

4. 启动计算机，进入操作系统安装界面。

5. 按照提示完成操作系统的安装。

6. 进入操作系统后，进行基本配置，如设置网络、安装驱动程序等。

7. 测试操作系统的稳定性和功能是否正常。

8. 解决操作系统安装和配置过程中遇到的问题。

实验结果：
1. 成功下载了操作系统的安装镜像文件，并制作了启动盘。

2. 在BIOS设置中成功将启动顺序设置为从U盘启动。

3. 成功进入操作系统安装界面，并按照提示完成了操作系统的安装。

4. 成功进行了基本配置，包括设置网络和安装驱动程序。

5. 操作系统的稳定性和功能正常。

6. 在安装和配置过程中遇到了一些问题，如启动盘制作失败、
驱动程序安装不成功等，但通过查阅资料和尝试，最终成功解决了这些问题。

实验总结：
通过本次实验，我深入了解了操作系统的安装过程和基本配置方法，也学会了如何排查和解决操作系统安装和配置过程中的常见问题。

在今后的工作中，我将能够更熟练地安装和配置操作系统，提高工作效率和解决问题的能力。

证书服务的安装与颁发实验内容：安装证书服务并对它的客户端进行颁发实验目的：通过证书颁发机构的认可，客户端在发送或接收电子邮件时更安全实验说明：1.建立pop3服务器并在其中建立两个用户,用来发送和接收邮件2.安装证书服务器,建立以后为邮件用户颁发证书3,在客户端用outlook与证书绑定,为了更安全可以为邮件进行数字签名和加密实验步骤：首先,建立pop3服务器,在其中建立用户kk和pp然后安装证书服务(实际中这两个服务器不可能安装在一起) 控制面板—添加或删除程序—添加删除windows组件—证书服务选择”独立根CA”输入CA名称(任意)根据向导提示,需要停止IIS服务,点击”是”完成安装后,可在IIS服务器中查看证书文件即certsrv(在网站—默认网站)然后可打开”开始”—程序---管理工具----证书颁发机构,将看到我们建立的证书CA名称:jj在某一用户的客户端IE地址栏中输入http://证书服务器域名(或IP地址)/certsrv,此处是用户kk其使用的证书服务器的IP地址为:192.168.1.3,所以此用户在IE地址栏中要输入http://192.168.1.3/certsrv打开证书申请的欢迎界面时,选择“申请一个证书”再选择“电子邮件保护证书”输入你要为用户申请证书的用户名，此处是kk@,提交后提交后，会出现“证书挂起”的提示理工具---证书颁发机构）中的“挂起的证书”一项然后右击挂起的证书选择“所有任务”—颁发然后再在证书申请的欢迎界面中返回“首页”，点击“查看挂起证书申请的状态点击挂起证书的名称即字幕为“电子邮件保护证书”然后点击“安装此证书”可看到你的证书已成功安装的界面然后，在用户kk的客户端outlook处，添加此用户并用此用户进行登陆登陆后，向另一用户pp发送一封电子邮件，并且是通过数字签名的（这样的邮件更安全）经过数字签名的安全级别比较高，点击“继续“将可看到此邮件的内容然后，在pp用户的计算机上打开证书申请的欢迎界面（http://192.168.1.3/certsrv）为此用户再申请一个证书，步骤与kk申请证书时一样然后，在此用户的outlook处打开邮箱，按照同样的步骤向kk发送邮件，也是经过数字签名的（用户kk要想向pp发送一封经过“加密“的邮件，需要得到用户pp的私钥，方法：用户pp按照同样的方法向kk发送一封经过数字签名的邮件）然后，用户kk登陆并查看，如图点击“继续“可看到邮件的内容的邮件（因为用户kk已知道了用户pp的邮件私钥）用户pp受到，签名及加密如图所示点击“继续“即可看到邮件内容实验完成。

实验服务器的安装与基本配置
一、实验目的
1、掌握vmware的基本使用方法；
2、掌握Windows Server的安装及基本配置。

二、实验内容
1、在vmware上创建虚拟机，网卡使用桥接模式，设置共享文件夹；
2、在虚拟机上按照windows Sever2008R2及以上版本的服务器，并安装vmware的增强功能插件；
3、虚拟机的IP地址设置为与物理机同一网段，使物理机与虚拟机之间可以ping通；
4、通过虚拟机的共享文件夹实现物理机和虚拟机之间文件共享
三、实验原理
四、实验步骤
1、在虚拟机上按照windows Sever2008R2及以上版本的服务器，并安装vmware的增强功能插件；
然后在虚拟机里进入命令行。

输入的:D:\setup.exe 注意这里的D盘必须是CD驱动器的盘符。

然后开始安装vmwaretool
2、在vmware上创建虚拟机，网卡使用桥接模式，设置共享文
件夹；
点击右键设置----选项---共享文件夹---
注意复选映射为网络驱动器
3、虚拟机的IP地址设置为与物理机同一网段，使物理机与虚拟机之间可以ping 通；
在vmware 编辑----虚拟网络编辑器---桥接。

在这里注意网卡的选择。

要选择外网的网卡。

虚拟机上点击右键设置----自定义网络----VMnet1（桥接模式）
从主机到虚拟机ping
从虚拟机到主机。

PKI、CA安装与证书实验实验内容：学习使用证书安全加密实验环境：Windows Server 2003 系统的虚拟机2台（一主机，一客户），Windows XP 系统个人计算机一台（相互连接）实验步骤：1.进行添加证书服务组件，进行安装证书服务认证机构（CA）并进行架设:如上图进行选择之后点击“确定”继续同时需要进行安装Internet信息服务（IIS），两项一同进行安装。

安装CA类型时（在这里是实验所以只有独立根；独立从属）选择独立根进行安装下一步进行填写CA识别信息：（只填名称即可进行“下一步”）名称填完之后会出现默认组件向导，无需更改直接进行继续下一步然后就会进行安装CA组件：在安装组件过程中会出现下图事例需要点击是允许才可继续进行安装之后就可以直接安装成功了，接着“开始”→“运行”输入MMC打开控制台进行添加刚才安装的组件服务安装主服务完成之后，在另一台（客户）服务计算机上面进行新建网站，然后在主机上进行打开网站（直接验证网站是否成功连接）之后在客户IIS服务控制台点击新建的网站的属性“IIS证书向导”点击“服务器证书”进行“新建证书”：之后按照系统默认直接进行下一步：之后的“名称”项栏里系统会直接添加默认的设置名称，不用在进行手动更改在之后的空白栏中需要填写单位信息按照自己的情况填写即可下一项的站点公用名称系统直接默认本地计算机名称：直接下一步之后进行填写自己的地理信息按情况填写即可之后系统直接自动生成证书文件名无需更改默认下一步之后将出现之前的一系列信息（包括手动填写信息）在完成之后打开我的电脑在C盘可以看到一份TXT文档打开之后是按顺序排列的字母，这就是刚才的信息进行加密之后的信息（切记不可进行人为更改）之后打开浏览器输入主机IP地址如下图格式http://192.168.215.250/certsrv/在IP后加上certsrv/ 之后将会出现下列图示点击第一项申请一个证书：申请页面打开之后再选第二项使用base64…文件提交一个证书申请：再次点击打开后会出现让你填写一个64…证书申请.这时，将刚才生成的那份密文进行复制粘贴到这里即可接着点击提交证书提交成功之后将会出现下列图示，提示你的信息这时在主机上的证书颁发机构的挂起的申请里会出现刚才客户机提交的证书申请这时点击右边的证书之后会出现“所有任务”→“颁发”，点击“颁发”即可点击“颁发”之后将会在颁发的证书里看到刚才申请的证书点击证书进行查看将是下列图示之后在客户机上面再次刷新刚才的页面将会出现以下界面接着点击保存的证书申请将会出现下列图示：“下载证书”; “下载证书链”这时，需要把两项都下载到本地客户机上两项都下载完成之后，在新建的网站“安全”查看属性栏里进行点击“目录安全性”再点击“服务器证书”将会出现下列界面进行“下一步”之后按照系统默认（此为新建的是处理挂起的请求并安装证书）接着下一步下面进行导入刚才下载的证书，接着下一步之后出现默认端口443 不用更改直接下一步接着会出现证书的摘要内容，确定无误进行下一步“完成”接着点击证书查看会出现下列图示：（这是还没有进行安装证书链接的结果）接着进行证书安装：找到刚才下载的证书进行安装）证书安装还是按照系统默认进行安装安装之中会出现下列对话框，点击是继续安装之后将会提示你导入成功，就是进行证书安装成功之后在进行点击证书查看，将会看到当时和在主机上看到的证书一样这时再把网站“属性”“目录安全性”的“要求安全通道”打上勾.之后再在浏览器中打开此网站http://192.168.215.252/将会出现下列图示之后按照提示输入https://192.168.215.252/在进行打开将会出现下列图示在进行点击是将可以浏览网站了之后再在主机上进行查看网站也是如此（注：上图的显示属于正常，两项通过一项不符；如果再有不符的应属于证书错误）在Windows XP 个人计算机上也可进行打开此网站显示（证书错误，没进行安装证书）实验到此结束，实验操作成功。

实验二：安装和配置证书服务一、实验目的（1）安装/删除证书服务（2）安装一个独立存在的CA（3）从某个CA申请证书（4）发放证书二、实验环境Windows 2003三、实验内容实验A：某公司要求有一个独立存在的根CA。

相对于将为某公司发放证书的其他CA来说，这一根CA将位于认证链的顶部。

实验B：添加你的合伙者的CA作为一个信任的根CA。

实验C：请求一个计算机证书。

在已经配置好某公司的所有CA之后，必须指定计算机证书，用以加密到各个计算机的所有的IP网络数据流。

实验D：给WORD文档用数字证书签名。

实验E：删除证书服务。

四、实验步骤实验A操作步骤：1．在“控制面板”――“添加、删除windows组件”，在对话框里选择“证书服务”复选框。

弹出的对话框如图所示，选择“是”。

2.在“证书颁发机构类型”对话框中，根据本实验目的，选择“独立根CA”，如图示3.在“CA标识信息”对话框中，输入用户有关信息4，在“数据储存位置”可以配置数据，数据库和日志的信息，一般情况默认。

安装证书需要停止INTERNET信息服务，系统提示用户是否立即停止服务，如图示，点“确定”，以停止INTERNET信息服务5，完成以上配置过程，系统完成证书服务的安装。

实验B任务一：请求一个IPSEC证书1.“开始”――“运行”，输入http://server/certsrv(这里的server是用户根CA的计算机名称，也可以是IP)。

选择“检索CA证书或证书吊销列表”2，单击“安装此CA证书路径”链接，交此证书安装在根路径。

完成安装实验C任务一：请求一个IPSEC证书1.“开始”――“运行”，输入http://server/certsrv(这里的server是用户根CA的计算机名称，也可以是IP)。

如图所示，选择申请证书2选择“高级申请”3选择如图示4，在“识别信息框中”，输入用户信息，在”I意图”文本框选择自己需要申请的证书，本实验则是选择“IPSEC”证书，在“密钥选项”选项中，选择“使用本地机器保存”5出现“证书挂起”文本框，证书申请完成.任务2：颁发证书操作步骤：“开始――管理工具――证书颁发机构”，在“证书颁发机构”窗口的控制台树中，展开SERVERFCA（这里SERVER是你计算机的名字）选择“待定申请”文件夹，右边栏显示所有待批准的证书。

实验六证书服务器与邮件服务器的配置与管理实验六证书服务器与邮件服务器的配置与管理实验六证书服务器和邮件服务器的配置和管理一、实验目的掌握证书服务器的配置方法，了解证书服务器的工作原理；掌握邮件服务器的配置方法，了解邮件服务器的工作原理。

2、实验性质：设计型三、实验环境带有Windows Server 2022的多台计算机。

4、实验内容该实验分组进行，自愿组合，3人一组，其中一人做证书服务器，一人做邮件服务器，另一人做客户端，在客户端能发送和接收经过签名和加密的邮件。

五、实验步骤1.安装证书服务器步骤一：安装iis服务，其具体操作步骤如下：首先安装iis服务：开始->控制面板->添加或删除程序->添加或删除windows组组件；在下面的对话框中选择应用服务器，如下图所示：点击详细信息，出现如下对话框，选择internet信息服务，如下图所示：安装完成后，在[management tools]中打开Internet Information Service Manager，如下图所示：步骤二：安装证书服务，其具体操作步骤如下：开始->控制面板->添加或删除程序->添加或删除windows组组件；在以下对话框中选择证书服务，然后单击详细信息：在出现的对话框中，选择证书服务以及组件支持，如下图所示：单击【确定】，单击【下一步】，在对话框中选择独立根，并使用自定义设置生成密钥对和CA证书，如下图所示：点击下一步，在出现的对话框里输入ca的公用名称，如下图所示：单击“下一步”，直到安装完成。

2.证书服务器管理开始->管理工具->证书颁发机构，出现如下的对话框：当客户申请证书时，可以单击挂起的应用程序，在对话框右侧显示挂起的应用程序。

此时，您可以根据需要发布或不发布应用程序。

发布或不发布的步骤是：右键单击记录，选择所有任务，然后选择发布或拒绝。

6、经历通过这次实验，我掌握了证书服务器和pop3邮件服务器的配置方法，特别是通过证书对邮件的数字签名和加密传输有了深刻的理解。

实训5：配置数字证书服务实训环境1．一台Windows Server 2016 DC，主机名为DC。

2．一台Windows Server 2016服务器并加入域，主机名为Server1。

3．一台Windows 10客户端并加入域，主机名为Win10。

实训操作假设你是一家公司的网站管理员，需要你完成以下工作：1．在DC上部署企业根CA。

打开“服务器管理器”，单击“添加角色和功能”，打开“添加角色和功能向导”窗口。

逐步单击“下一步”，在“服务器角色”界面中，勾选“Active Directory 证书服务”复选框，然后单击“下一步”。

在“AD CS角色服务”界面中，勾选“证书颁发机构”和“证书颁发机构Web注册”复选框，然后单击“下一步”。

其中“证书颁发机构Web注册”角色，可以实现通过浏览器向CA进行证书申请的网站功能。

4．最后在“确认”界面中，单击“安装”，开始安装证书服务。

完成安装后，单击“配置目标服务器上的Active Directory证书服务”。

在“AD CS配置”向导中的“角色服务”界面，勾选“证书颁发机构”和“证书颁发机构Web注册”。

在“AD CS配置”向导中的“设置类型”界面，选择“企业CA”。

在“AD CS配置”向导中的“CA类型”界面，选择“根CA”。

全部保持默认设置并单击“下一步”，最后单击“配置”按钮，完成证书服务的配置“证书服务”安装完成后，可以在“服务器管理器”的“工具”菜单中，打开“证书颁发机构”管理工具进行查看。

当域内的用户向企业根CA申请证书时，企业根CA会通过Active Directory 得知用户的相关信息，并自动核准、发放用户所要求的证书。

企业根CA默认的证书种类很多，而且是根据“证书模板”来发放证书的。

例如，图中右方的“用户”模板内提供了可以用于将文件加密的证书、保护电子邮件安全的证书与验证客户端身份的证书。

Windows server 2016通过组策略，让域内的所有用户与计算机自动信任由企业根CA所发送的证书。

【关键字】项目实验项目5 证书服务器的搭建及其管理应用实验1 安装证书服务器1、首先我先配置虚拟机的IP由于物理机IP为.26，所以我设虚拟机的IP为10.10.44.126，并尝试该物理机与虚拟机的相通性，尝试成功，虚拟机与物理机相通。

2、安装IIS，因为我要做的是用物理机通过http访问虚拟机的网页所以应在这里注意安装时应勾上万维网服务，而且要注意安装前导入镜像文件，安装成功。

3、IIS安装好后，用虚拟机和物理机分别访问网站，访问成功。

4、安装证书服务器，并在IIS上出现有申请证书和在虚拟机上访问证书所在地及IP，安装成功。

实验2 应用证书实现ＳＳＬ加密网站5、申请证书，通过在虚拟机上访问打开网页然后在从申请证书一步一步的申请高级证书结果申请成功，并且我颁发了证书并给予安装，从而提高了网站的安全保护，具体可从我访问了https:// 10.10.44.126中跳出窗口给予用户提醒和警告课以看出证书的颁发成功的而且安装成功，而且网站受到了安全保护。

6、设置用户需通过安全途径访问网站，设置安全途径设置成功。

7、我设置让网站也能对客户端进行身份认证，并且给客户端颁发证书，并且注意在对客户端设置证书时应在客户端上进行，然后再到证书颁发机构颁发证书，在到客户端安装证书，才可以让客户端成功的得到证书颁发机构给颁发给它的证书，所以颁发成功，接着在到客户端访问网站在客户端网页上选择证书，所以让客户端可以访问网站，这样设置使得网站的安全得到了保障，我设置成功。

参考：毕业论文（设计）工作记录及成绩评定册题目：学生姓名：学号：专业：班级：指导教师：职称：助理指导教师：职称：年月日实验中心制使用说明一、此册中各项内容为对学生毕业论文（设计）的工作和成绩评定记录，请各环节记录人用黑色或蓝色钢笔（签字笔）认真填写（建议填写前先写出相应草稿，以避免填错），并妥善保存。

二、此册于学院组织对各专业题目审查完成后，各教研室汇编选题指南，经学生自由选题后，由实验中心组织发给学生。

数字证书配置实验一、目的通过上机练习，掌握独立CA的安装、数字证书的申请颁发和安装、SSL配置二、实验环境1个Windows Server 2003虚拟机。

三、实验任务搭建独立CA，为网站和客户端颁发数字证书以实现SSL安全通信。

四、实验步骤1、安装独立CA分两步：先安装IIS，然后安装证书服务。

（1）管理您的服务器-》添加/删除服务器角色-》应用程序服务器，依次点击下一步直至完成。

新建网站nwtraders，要输入网站的主机头值www.nwtraders.msft，如图：设置首页：右击网站nwtraders-》属性-》文档-》添加首页名称index.html并将其上移至顶部。

（2）开始-》控制面板-》添加或删除程序-》添加/删除Windows组件-》证书服务，弹出警告，点击“是”，如图：点击下一步-》选择“独立根CA”，如图：下一步-》输入CA的公用名称：MYCA（不分大小写），如图：默认有效期为5年，2015-11-17截止，该CA所颁发的证书截止时间不会超过这个时间。

下一步，选择证书库的存放位置，如图：下一步，弹出警告，要求停止IIS，点击“是”，开始安装。

安装过程会弹出警告框，要求启用ASP，点击“是”，如图：安装完成后，IIS的默认网站就会添加证书服务的相关内容，如图：2、配置DNS和网站的主机头值为了方便访问，为默认网站（CA）和要保护的网站配置DNS区域和名称，默认网站的区域名称为，要保护网站的区域名称为nwtraders.msft，分别添加主机记录（A），主机名www，ip为服务器的ip。

默认网站-》属性-》网站-》高级，编辑主机头值，如图：设置tcp/ip属性，将首选DNS服务器ip设为本服务器的ip。

3、申请服务器证书（1）生成证书申请文件右击网站nwtraders-》属性-》目录安全性-》服务器证书-》弹出向导，点击下一步-》选择“新建证书”，如图：下一步，选择“现在准备证书请求，但稍后发送”，如图：下一步，输入证书名称和密钥长度，如图：下一步，输入单位信息，如图：下一步，输入网站的公用名称，www.nwtraders.msft，注意阅读向导提示，如图：下一步，输入国家和地区信息，如图：下一步，选择申请文件的存放路径，如图：下一步确认，点击下一步完成。