1、實驗綜合成績 （百分制） 實驗評閱教師簽名其中實驗態度優良中及格不及格李文武 實驗報告優良中及格不及格華北科技學院管理學院實驗報告冊20實驗課程名稱： 電子商務安全技術 實驗項目序號： 實驗二 實驗項目名稱：數字簽名技術與應用與身份認證技術與應用 實驗室名稱： 電子商務實驗室 開課學 期： 2015 2016 學年第 1 學期授 課 教 師： 李文武 實驗指導教師： 李文武 專 業： 電子商務專業 班 級： B133 姓 名： 學 號： 2013040643 實 驗 報 告實驗時間： 2015 年 12 月 27 日 3.4 節一、實驗運行環境Windows2000+VMware Workst

2、ation二、實驗目的1、 了解幾種常用的數字簽名方法2、了解數字時間戳的工作原理與流程3、 利用相關工具實現電子簽章與手寫簽名4、 了解認證機構CA5、 掌握MS CA的安裝與安全性配置6、 掌握數字證書的申請、頒發與安裝7、掌握如何利用數字證書來證明身份三、實驗要求數字簽名技術與應用：任務一、任務二：1人1組；任務三：2人1組身份認證技術與應用：任務一、任務二、任務三、任務四：3人1組。4、 實驗內容和步驟一：數字簽名技術與應用任務1：數字摘要與數字簽名實驗說明：所有主機使用【快照】將虛擬機恢復到初始狀態。本任務1人1組，以主機A為例。實驗步驟中用到的文件都保存在“D:WorkFileEn

3、crypt”下。實驗步驟：1. EasyMD5工具計算文件摘要 (1) 主機A在明文文件hello.txt上單擊鼠標右鍵，在彈出的快捷菜單上選擇“用EasyMD5計算摘要碼”菜單項，在彈出的EasyMD5工具上單擊“導出列表”按鈕，生成明文文件hello.txt的摘要文件hello.txt.md5。如圖所示： (2) 主機A在hello.txt.md5文件上單擊鼠標右鍵，在彈出的快捷菜單上選擇“用EasyMD5核對摘要碼”菜單項，如果核對結果顯示正確標識(“正確”對號)，則說明hello.txt保持了文件完整性，否則說明hello.txt的文件完整性被破壞。如圖所示： 由此可以分析出：明文文件

4、hello.txt的文件完整性未遭到破壞。 (3) 主機A細微修改明文文件hello.txt的內容。 (4) 主機A在hello.txt.md5文件上單擊鼠標右鍵，在彈出的快捷菜單上選擇“用EasyMD5核對摘要碼”菜單項，驗證hello.txt的文件完整性。 由此可以分析出：即使明文文件hello.txt有細微變化其文件完整性也會遭到破壞。 (5) 主機A關閉EasyMD5工具。 (6) 主機A修改明文文件hello.txt為原始的內容。2. RSA工具數字簽名 (1) 主機A在工具欄單擊【sanpack_rsa】，啟動sanpack_rsa工具。如圖所示： (2) 主機A在sanpack_

5、rsa中選擇“操作->隨機設定素數并重新計算密鑰”。如圖所示： (3) 主機A在sanpack_rsa的信息提示窗中可以觀察到RSA算法的各種參數。如圖所示： (4) 主機A選擇“文件->載入任意待加密文件(字節流)”，指定待簽名文件hello.txt.md5(注：文件內容后必須添加一個空格)。如圖所示： (5) 主機A選擇“操作->私鑰加密載入的字節流”，生成簽名文件mengfanli.hextxt。 (6) 主機A查看簽名文件mengfanli.hextxt的內容。如圖所示： 由此可以分析出：待簽名文件hello.txt.md5的內容被RSA私鑰簽名了。 (7) 主機A選

6、擇“文件->載入以往生成的HEX文本文件”菜單項，指定待驗證簽名的文件mengfanli.hextxt。 (8) 主機A選擇“操作->公鑰解密載入的HEX文本”菜單項，生成原始文件meng.txt.md5。 (9) 主機A觀察驗證簽名后的文件meng.txt.md5內容與原文件hello.txt.md5內容的一致性。如圖所示： 由此可以分析出：發送方的身份是真實可靠的。 (10) 主機A選擇“操作->隨機設定素數并重新計算密鑰”（假設此時的密鑰對是真實的）。 (11) 主機A選擇“文件->載入以往生成的HEX文本文件”菜單項，指定密文文件mengfanli.hextxt

7、。 (12) 主機A選擇“操作->公鑰解密載入的HEX文本”菜單項，生成驗證簽名后的文件mengfanli1.txt.md5。 (13) 主機A觀察使用新生成的RSA公鑰驗證簽名后的文件mengfanli1.txt.md5內容與原文件hello.txt.md5內容的一致性。如圖所示： 由此可以分析出：發送方的身份是不真實的。 (14) 主機A關閉sanpack_rsa工具。任務2：數字時間戳實驗步驟：1. 申請者申請TimeStamp (1) 在工具欄單擊【TimeStamp】，啟動數字時間戳演示工具。 (2) 定位到“申請數字時間戳”框架。(3) 輸入“內容”為要申請數字時間戳服務的文

8、件內容，如“helloworldgumeixia”。 (4) 單擊“生成MD5摘要”按鈕，生成文件的MD5摘要信息。如圖所示： (5) 單擊“發送MD5摘要給DTS”按鈕，將文件的MD5摘要發送給DTS服務器。2. DTS簽發TimeStamp (1) 定位到“簽發數字時間戳”框架。 (2) 單擊“審核”按鈕，檢測當前申請文件是否已申請過數字時間戳服務。(3) 單擊“獲取時間戳”按鈕，獲取當前時間戳。如圖所示：(4) 單擊“數字簽名”按鈕，DTS對文件摘要與剛獲取的時間戳信息進行簽名。 (5) 單擊“存入數據庫”按鈕，將DTS的簽名信息存入DTS數據庫。3. 驗證者驗證TimeStamp (1

9、) 定位到“驗證數字時間戳”框架。 (2) 輸入“內容”為要進行數字時間戳驗證的文件正文，如“mengfanlifighting！”。(3) 單擊“驗證”按鈕，得到文件確切的簽發時間。 (4) 輸入“內容”為未申請過數字時間戳服務的文件正文，如“mengfanli”。 (5) 單擊“驗證”按鈕，得到文件確切的簽發時間。驗證數字時間戳 (6) 關閉數字時間戳工具。4. 數字時間戳的唯一性 (1) 重復步驟1(1)1(5)，輸入要申請數字時間戳服務的文件內容依然為“mengfanlifighting！”。 (2) 重復步驟2(1)2(2)，觀察同一文件重復申請數字時間戳服務的結果。任務3：電子簽章

10、和電子簽名1. 電子簽章 (1) 主機A擬定合同。 主機A創建一個WORD合同，輸入任意內容并保存。如圖所示： (2) 主機A制作簽章圖案。 主機A在工具欄中單擊【制作簽章圖案】按鈕，啟動“電子印章生成器”工具。 主機A在“印章正文”中輸入“吉林中軟吉大信息技術有限公司”，清空“附文1”中的內容，在“附文2”中輸入“財務專用”，單擊“保存簽章”按鈕，選擇保存路徑（沒有特殊要求，記住路徑即可），保存的文件名為“mengfanli財務專用章”，文件保存成功后，退出該程序。如圖所示：電子印章圖片生成器 (3) 主機A制作簽章文件。 主機A在工具欄中單擊【制作簽章文件】按鈕，啟動“簽章管理”工具。如圖

11、所示： 在“簽章制作”頁簽單擊“登錄”按鈕，彈出“提示信息”對話框，輸入登錄密碼為“123456”，單擊“確定”按鈕。如圖所示： 在“簽章制作”頁簽單擊“簽章導入”按鈕，選擇步驟(2)制作的簽章圖案。 在“簽章制作”頁簽輸入“用戶名稱”為“HostA”，輸入“簽章名稱”為“賬務專用章”，輸入“簽章密碼”與“確認密碼”都為“123456”，單擊“確定”按鈕，則簽章文件制作成功。如圖所示： (4) 主機A插入簽章。 主機A打開步驟(1)新建的合同，單擊WORD工具欄中的“參數設置”按鈕，彈出“參數設置”對話框，選擇“簽章文件”為“C:Program FilesiSignature_V5iSigna

12、tureHostAHostA.key”，單擊“確定”按鈕。如圖4-3-5所示：選擇簽章文件主機A單擊WORD工具欄中的“電子簽章”按鈕，彈出“電子簽章”對話框，在“電子簽章”頁簽中輸入“鑰匙密碼”為步驟(3)中設置的密碼（123456），單擊“確定”按鈕，則電子簽章成功插入。如圖所示： 主機A拖動新插入的電子簽章，適當調整其位置，保存并關閉合同。如圖4-3-7所示： (5) 主機A在工具欄中單擊【飛鴿傳書】按鈕，啟動“飛鴿傳書”工具，利用該工具將合同傳遞給主機B。 (6) 主機B驗證主機A傳遞的合同的完整性。 主機B打開合同，在主機A的電子簽章上單擊鼠標右鍵，在彈出的快捷菜單中選擇“文檔驗證”

13、菜單項，如果合同未被篡改，則顯示檢測結果為“文檔完好無損！”。如圖所示：文檔完整性校驗 (7) 主機B修改合同內容，原合同中添加“ 呀”，并保存文檔。 (8) 主機B仿步驟(6)校驗合同完整性。如圖所示：文檔已被篡改 (9) 主機B校驗修改后的合同的文件完整信息如下（電子簽章上出現非法標記）。如圖所示： (10) 主機B刪除新添加內容，并重新校驗文檔完整性。 (11) 主機B仿步驟(2)(4)制作簽章圖案、簽章、插入簽章。如圖4-3-11所示：主機B簽章 (12) 主機B鎖定文檔（禁止修改文檔內容）。 主機B在新插入的電子簽章上單擊鼠標右鍵，在彈出的快捷菜單中選擇“文檔鎖定”菜單項，彈出“文檔

14、鎖定”對話框，在“鑰匙密碼”中輸入主機B的鑰匙密碼，單擊“確定”按鈕，則文檔鎖定成功。如圖所示：文檔鎖定 (13) 主機B使用飛鴿傳書將合同傳遞給主機A。 (15) 主機A與主機B間簽訂的合同生效（如果合同未被第三方修改）。2. 電子手寫簽章 (1) 主機A擬定合同。 主機A創建一個WORD合同，輸入任意內容（如“hello world”）并保存。 (2) 主機A插入手寫電子簽名。 主機A單擊WORD工具欄中的“手寫簽名”按鈕，彈出“手寫批注”頁簽，利用程序提供的畫筆在其中輸入手寫的簽名信息，如“HostA”，輸入“簽章密碼”與“確認密碼”都為“123456”，單擊“確定”按鈕，則手寫簽名插入

15、成功。如圖所示： 主機A拖動新插入的手寫簽名，適當調整其位置，保存并關閉合同。 (3) 主機A使用飛鴿傳書傳遞合同給主機B。 (4) 主機B驗證主機A傳遞合同的完整性。 主機B打開合同，在主機A的手寫簽名上單擊鼠標右鍵，在彈出的快捷菜單中選擇“文檔驗證”菜單項，如果合同未被篡改，則顯示檢測結果為“文檔完好無損！”。如圖所示：(5) 主機B仿步驟2(2)在合同中插入手寫電子簽名。 (6) 主機B鎖定文檔。 主機B在新插入的手寫簽名上單擊鼠標右鍵，在彈出的快捷菜單中選擇“文檔鎖定”菜單項，彈出“文檔鎖定”對話框，在“鑰匙密碼”中輸入“123456”，單擊“確定”按鈕，則文檔鎖定成功。 (7) 主機

16、B使用飛鴿傳書將合同傳遞給主機A。 (8) 主機A仿步驟(4)驗證主機B傳遞合同的完整性。 (9) 主機A與主機B間簽訂的合同生效（如果合同未被第三方修改）。二：身份認證技術與應用任務1：證書服務的安裝1. 安裝CA證書服務 (1) 主機A選擇“開始->設置->控制面板->添加/刪除程序”菜單項，在彈出“添加或刪除程序”對話框中單擊“添加/刪除Windows組件”按鈕，彈出“Windows組件向導”對話框。如圖所示：Windows組件向導 (2) 主機A在“組件”列表框中選擇“證書服務”，彈出“Microsoft 證書服務”對話框。如圖所示： (3) 主機A單擊“是”按鈕，單

17、擊“下一步”按鈕，彈出“CA類型”對話框。如圖所示： (4) 主機A選擇“獨立根CA”，單擊“下一步”按鈕，彈出“CA識別信息”對話框。如圖所示： (5) 主機A在“此CA的公用名稱”中輸入“MENGFANLI”，單擊“下一步”按鈕，彈出“證書數據庫設置”對話框。如圖所示： (6) 主機A保持默認配置，單擊“下一步”按鈕，彈出“Microsoft證書服務”。如圖所示： (7) 主機A單擊“是”按鈕，彈出“正在配置組件”對話框，顯示證書服務的安裝過程。如圖所示： (8) 主機A隨后彈出“完成Windows組件向導”，單擊“完成”按鈕，結束CA證書服務的安裝。如圖所示： (9) 主機A關閉“添加或

18、刪除程序”對話框。 (10) 主機A判斷證書服務是否安裝成功。 主機A選擇“開始->控制面板->Internet 選項”，彈出“Internet 屬性”對話框，并切換到“內容”頁簽，單擊“證書”按鈕，彈出“證書”對話框，切換到“受信任的根證書頒發機構”頁簽，雙擊頒發者為“MENGFANLI”的根證書，可以發現CA根證書沒有任何問題，則說明主機A的證書服務安裝成功。關閉兩個“證書”對話框，關閉“Internet 屬性”對話框。如圖所示：2. 備份/還原CA (1) 主機A選擇“開始->管理工具->證書頒發機構”菜單項，彈出“證書頒發機構”對話框。如圖5-1-10所示： 主

19、機A在“MENGFANLI”上單擊右鍵，在彈出的快捷菜單中選擇“所有任務->備份CA”菜單項，彈出“歡迎使用證書頒發機構備份向導”對話框。如圖所示： 主機A單擊“下一步”按鈕，彈出“要備份的項目”對話框，選擇要備份的項目為“私鑰和CA證書”及“證書數據庫和證書數據庫日志”，在“備份到這個位置”中輸入“D:backupCA”，如圖5-1-12所示： 主機A單擊“下一步”按鈕，彈出“選擇密碼”對話框。如圖所示： 主機A輸入“密碼”與“確認密碼”都為“123456”，單擊“下一步”按鈕，彈出“正在完成證書頒發機構備份向導”對話框。如圖5-1-14所示：主機A單擊“完成”按鈕，則CA備份完畢。

20、(2) 主機A假設該CA機構發生故障或者異常（如CA根證書損壞）。 主機A選擇“開始->控制面板->Internet 選項”，彈出“Internet 屬性”對話框，并切換到“內容”頁簽，單擊“證書”按鈕，彈出“證書”對話框，切換到“受信任的根證書頒發機構”頁簽，選擇頒發者為“MENGFANLI”的根證書，單擊“刪除”按鈕，在彈出的“證書”對話框中單擊“是”按鈕，在彈出的“根證書存儲”對話框中單擊“是”按鈕，關閉“證書”對話框，關閉“Internet 屬性”對話框。如圖所示： CA機構發生故障或者異常，需要恢復到最后備份時的CA機構狀態，則需要進行CA機構的還原操作。 (3) 主機A

21、在“MENGFANLI”上單擊右鍵，在彈出的快捷菜單中選擇“所有任務->還原CA”菜單項，彈出要求停止證書服務的提示對話框。如圖所示： 主機A單擊“確定”按鈕，彈出“歡迎使用證書頒發機構還原向導”對話框。如圖所示： 主機A單擊“下一步”按鈕，彈出“要還原的項目”對話框。如圖所示： 主機A選擇要還原的項目為“私鑰和CA證書”及“證書數據庫和證書數據庫日志”，在“從這個位置還原”中輸入“D:backupCA”，單擊“下一步”按鈕，彈出“提供密碼”對話框。如圖所示： 主機A輸入“密碼”為“123456”，單擊“下一步”按鈕，彈出“正在完成證書頒發機構還原向導”對話框。如圖所示： 主機A單擊“完

22、成”按鈕，彈出要求啟動證書服務的提示對話框。如圖所示： 主機A單擊“是”按鈕，則CA還原完畢。3. CA日志審核 (1) 主機A選擇“開始->管理工具->事件查看器”菜單項，彈出“事件查看器”對話框。 主機A在“應用程序”上單擊右鍵，彈出快捷菜單，選擇“清除所有事件”菜單項，彈出“是否保存應用程序事件”對話框。 主機A單擊“否”按鈕，則所有應用程序事件記錄清除完畢。如圖所示： (2) 主機A在證書頒發機構的“MENGFANLI”上單擊右鍵，彈出“所有任務”快捷菜單，選擇“停止服務”菜單項。 (3) 主機A在“MENGFANLI”上單擊右鍵，彈出“所有任務”快捷菜單，選擇“啟動服務”

23、菜單項。 (4) 主機A查看事件管理器的“應用程序”中有關證書服務停止與啟動的事件記錄（注：需要在“事件查看器”中刷新才能看見新事件）。如圖所示： (5) 主機A關閉事件查看器。4. 用戶權限分配 (1) 主機A在“MENGFANLI”上單擊右鍵，在彈出的快捷菜單中選擇“屬性”菜單項，彈出“MENGFANLI屬性”對話框，切換到“安全”頁簽。如圖所示：(2) 主機A可以發現“Everyone”用戶組的成員只具有“申請證書”的權限，而不具備也不應該具備其它的權限。單擊“確定”按鈕，完成Everyone用戶組成員權限的查看。任務2：服務器證書的申請與安裝1. 創建請求證書文件 (1) 主機B選擇“

24、開始->管理工具->Internet信息服務(IIS)管理器”，展開樹形目錄至“默認網站”。如圖所示： (2) 主機B在“默認網站”單擊右鍵，在彈出的快捷菜單上選擇“屬性”菜單項，彈出“默認網站 屬性”對話框，切換至“目錄安全性”頁簽。如圖所示： (3) 主機B單擊“服務器證書”按鈕，彈出“歡迎使用Web服務器證書向導”對話框。如圖所示： (4) 主機B單擊“下一步”按鈕，彈出“服務器證書”對話框。如圖所示： (5) 主機B選擇“新建證書”，單擊“下一步”按鈕，彈出“延遲或立即請求”對話框。如圖所示： (6) 主機B選擇“現在準備證書請求，但稍后發送”，單擊“下一步”，彈出“名稱和

25、安全性設置”對話框。如圖所示： (7) 主機B在“名稱”中輸入“孟凡麗”，單擊“下一步”，彈出“單位信息”對話框。如圖所示： (8) 主機B輸入“單位”為“MENGFANLI，“部門”為“Development”，單擊“下一步”按鈕，彈出“站點公用名稱”對話框。如圖所示： (9) 主機B輸入“公用名稱”為“mengfanli”，單擊“下一步”按鈕，彈出“地理信息”對話框。如圖5-2-9所示： (10) 主機B選擇“國家/地區”為“CN/中國”，輸入“省/自治區”為“HEILONGJIANG”，“市縣”為“ANDA”，單擊“下一步”按鈕，彈出“證書請求文件名”對話框。如圖所示： (11) 主機B

26、輸入“文件名”為“c:certreq.txt”，單擊“下一步”按鈕，彈出“請求文件摘要”對話框。如圖所示： (12) 主機B單擊“下一步”按鈕，彈出“完成Web服務器證書向導”對話框。如圖所示： (13) 主機B單擊“完成”按鈕，服務器證書請求文件創建完畢。2. 申請服務器證書 (1) 主機B在IE中輸入“41/CertSrv”，進入“證書服務”頁面。如圖所示： (2) 主機B單擊“申請一個證書”鏈接，進入“證書申請”頁面。如圖所示： (3) 主機B單擊“高級證書申請”鏈接，進入“高級證書申請”頁面。如圖所示： (4) 主機B單擊“使用 base64 編碼的

27、 CMC 或 PKCS #10 文件提交 一個證書申請，或使用 base64 編碼的 PKCS #7 文件續訂證書申請”鏈接，進入“提交一個證書申請或續訂申請”頁面。如圖所示： (5) 主機B輸入“Base-64 編碼的證書申請(CMC 或PKCS #10 或PKCS #7)”為“c:certreq.txt”文件的內容，單擊“提交”按鈕，進入“證書掛起”頁面。如圖所示：3. 頒發服務器證書(1) 主機A雙擊“MENGFANLI”展開樹狀目錄，單擊“掛起的申請”，在新申請的服務器證書上右鍵單擊，在彈出快捷菜單中選擇“所有任務->頒發”菜單項，則WEB服務器證書頒發成功。4. 下載服務器證書

28、 (1) 主機B在“證書服務”頁面中單擊“主頁”鏈接，返回“證書服務”首頁。 (2) 主機B在“證書服務”首頁單擊“查看掛起的證書申請的狀態”鏈接，進入“查看掛起的證書申請的狀態”頁面。如圖所示： (3) 主機B單擊“保存的申請證書”鏈接，進入“證書已頒發”頁面。如圖所示： (4) 主機B單擊“下載證書”鏈接，彈出“下載文件-安全警告”對話框。如圖所示： (5) 主機B單擊“保存”按鈕，保存文件為“桌面certnew.cer”，彈出“下載完畢”對話框。如圖所示： (6) 主機B單擊“關閉”按鈕，則WEB服務器證書下載完畢。5. 安裝服務器證書 (1) 主機B在“默認網站屬性”對話框的“目錄安全

29、性”頁簽中單擊“服務器證書”按鈕，彈出“歡迎使用Web服務器證書向導”對話框。 (2) 主機B單擊“下一步”按鈕，彈出“掛起的證書請求”對話框。如圖所示： (3) 主機B選擇“處理掛起的請求并安裝證書”，單擊“下一步”按鈕，彈出“處理掛起的請求”對話框。如圖所示： (4) 主機B輸入“路徑的文件名”為“C:Documents and SettingsAdministrator桌面certnew.cer”，單擊“下一步”按鈕，彈出“SSL端口”對話框。如圖所示： (5) 主機B輸入“此網站應該使用的SSL端口”為“443”，單擊“下一步”按鈕，彈出“證書摘要”對話框。如圖所示： (6) 主機B單

30、擊“下一步”按鈕，彈出“完成Web服務器證書向導”對話框。如圖所示： (7) 主機B單擊“完成”按鈕，完成WEB服務器證書的安裝。6. 安裝CA證書鏈 (1) 主機B在“證書服務”頁面單擊“首頁”鏈接，進入“證書服務”首頁。 (2) 主機B單擊“下載一個CA證書、證書鏈或CRL”鏈接，進入“下載CA證書、證書鏈或CRL”頁面。如圖所示： (3) 主機B單擊“安裝此CA證書鏈”鏈接，彈出“安全性警告”對話框。如圖所示：(4) 主機B單擊“是”按鈕，完成CA根證書的導入。 (5) 主機B判斷CA根證書是否導入成功。 主機B選擇“開始->控制面板->Internet 選項”，彈出“Int

31、ernet 屬性”對話框，并切換到“內容”頁簽，單擊“證書”按鈕，彈出“證書”對話框，切換到“受信任的根證書頒發機構”頁簽，雙擊頒發者為“JLCSS”的根證書，可以發現導入的CA根證書沒有任何問題，則說明主機B成功導入了CA根證書。關閉兩個“證書”對話框，關閉“Internet 屬性”對話框。如圖所示：任務3：服務器身份的認證1. WEB服務器身份認證（不受信任的根CA） (1) 主機C在IE中輸入“80”采用安全通道的方式訪問主機B的WEB服務器，彈出“安全警報”對話框。如圖所示： (2) 主機C單擊“確定”按鈕，彈出“安全警報”對話框。如圖所示： (3

32、) 主機C單擊“是”按鈕，彈出“安全警報”對話框。如圖所示： (4) 主機C查看所示的安全警告，說明主機C目前對由MENGFANLI頒發的證書不信任（WEB服務器與WEB客戶端不具備相同的根CA），因此只需要導入JLCSS的根證書即可。主機C單擊“否”按鈕，關閉“安全警報”對話框。 (5) 主機C在IE輸入“80/certsrv”，進入“證書服務”頁面。 (6) 主機C單擊“下載一個CA證書、證書鏈或CRL”鏈接，進入“下載CA證書、證書鏈或CRL”頁面。 (7) 主機C單擊“安裝此CA證書鏈”鏈接，彈出“安全性警告”對話框。 (8) 主機C單擊“是”按鈕，

33、完成CA根證書的導入。2. WEB服務器身份認證（安全證書名稱與站點名稱不匹配） (1) 主機C在IE中輸入“https:/ 80”，再次訪問主機B的WEB服務器，彈出“安全警報”對話框。 (2) 主機C單擊“確定”按鈕，彈出“安全警報”對話框。如圖所示： (3) 主機C從以上的提示可以看出安全證書上的名稱與站點名稱不匹配。 (4) 主機C單擊“查看證書”，彈出“證書”對話框。如圖所示： (5) 主機C由此可以分析出該證書是由mengfanli頒發給menfanli服務器（即實驗中的主機B）的，也就是說在IE中應輸入“https:/ 80”，通過

34、主機名的方式訪問主機B的WEB服務器。主機C關閉“證書”與“安全警報”對話框。 (6) 主機C在IE中輸入“https:/ 80”訪問主機B的WEB服務器。 這次主機C成功訪問了主機B的WEB服務器，因為CA只對主機B的主機名進行了安全性認證，而沒有對主機B的IP地址進行安全認證，因此主機C只能使用主機B的主機名來訪問WEB服務器。3. WEB服務器身份認證（安全證書過期） (1) 主機C修改系統時間為2020年，在IE瀏覽器中輸入“https:/ 80”，彈出“安全警報”。 (2) 主機C單擊“確定”按鈕，彈出“安全警報”對話框。 (3) 主機

35、C單擊“是”按鈕，彈出“安全警報”對話框。如圖所示： (4) 該安全警報說明WEB服務器的安全證書已到期或還未生效，單擊“查看證書”按鈕，彈出“證書”對話框。如圖所示：mengfanli (5) 該證書信息顯示其有效期為“2009-4-17”至“2010-4-17”，而當前日期為2015年，因此該安全證書過期了，主機B的WEB服務器不能再證明自己的身份，因此需要其重新申請一個WEB服務器安全證書。 (6) 主機C關閉“證書”與“安全警報”對話框。 (7) 主機C恢復系統時間為正確時間。任務4:CA認證的管理1. CA自動頒發證書 (1) 配置CA自動頒發證書 主機A在“證書頒發機構”對話框中右

36、鍵單擊“JLCSS”，在彈出的快捷菜單中選擇“屬性”菜單項，彈出“屬性”對話框，并切換到“策略模塊”頁簽。如圖所示： 主機A單擊“屬性”按鈕，彈出“請求處理”對話框。如圖所示： 主機A在“請求處理”頁簽中選擇“如果可以的話，按照證書模板的設置。否則，將自動頒發證書”，單擊“應用”按鈕，彈出“重啟證書服務”對話框，如圖所示： 主機A連續單擊“確定”按鈕后關閉“Windows 默認”、“請求處理”與“mengfanli 屬性”對話框。 主機A在證書頒發機構的“mengfanli”上單擊右鍵，彈出“所有任務”快捷菜單，選擇“停止服務”菜單項，則證書服務停止完畢。 主機A在“mengfanli”上單擊

37、右鍵，彈出“所有任務”快捷菜單，選擇“啟動服務”菜單項，則證書服務啟動完畢。 (2) 主機C申請一個個人數字證書 主機C在IE中輸入“http:/ 80/certsrv”，進入“證書服務”頁面。 主機C單擊“申請一個證書”鏈接，進入“證書申請”頁面。 主機C單擊“高級證書申請”鏈接，進入“高級證書申請”頁面。 主機C單擊“創建并向此CA提交一個申請”鏈接，進入“高級證書申請識別信息”頁面。 主機C輸入任意的證書識別信息，單擊“提交”按鈕提交信息，關閉彈出的“自動完成”對話框，進入“證書已頒發”頁面。如圖所示： 主機C發現剛申請的個人數字證書已經由CA自動頒發了。2. 證

38、書的導出(1) 主機B在“默認網站 屬性”對話框的“目錄安全性”頁簽上單擊“服務器證書”按鈕，彈出“歡迎使用Web服務器證書向導”對話框。 (2) 主機B單擊“下一步”按鈕，彈出“ 修改當前證書分配”對話框。如圖所示： (3) 主機B選擇“將當前證書導出到一個.pfx文件”，單擊“下一步”按鈕，彈出“導出證書”對話框。如圖所示： (4) 主機B保持默認配置，單擊“下一步”按鈕，彈出“證書密碼”對話框。如圖5-4-7所示： (5) 主機B輸入“密碼”與“確認密碼”都為“123456”，單擊“下一步”按鈕，彈出“導出證書摘要”對話框。如圖所示： (6) 主機B單擊“下一步”按鈕，彈出“完成Web服

39、務器證書向導”對話框。 如圖所示： (7) 主機B單擊“完成”按鈕，完成服務器證書的備份導出。 (8) 主機B關閉“默認網站 屬性”對話框。3. 證書的刪除 (1) 主機B在“默認網站 屬性”對話框的“目錄安全性”頁簽上單擊“服務器證書”按鈕，彈出“歡迎使用Web服務器證書向導”對話框。 (2) 主機B單擊“下一步”按鈕，彈出“ 修改當前證書分配”對話框。如圖所示： (3) 主機B選擇“刪除當前證書”，單擊“下一步”按鈕，彈出“刪除證書”對話框。如圖所示： (4) 主機B單擊“下一步”按鈕，彈出“完成Web服務器證書向導”對話框。 (5) 主機B單擊“完成”按鈕，完成服務器證書的刪除。 (6) 主機C在IE中輸入“80”訪問主機B的WEB站點，發現主機B的WEB服務器因為證書的丟失已經無法打開。4. 證書的導入 (1) 主機B在“默認網站 屬性”對話框的“目錄安全性”頁簽中單擊“服務器證書”按鈕，彈出“歡迎使用Web服務器證書向導”對話框。 (2) 主機B