-.z實驗七PKI技術(shù)之信任模型實驗日期：2012.11.22班級：10網(wǎng)絡(luò)平安〔CIW〕**：**：一、實驗?zāi)康牧私釶KI常見的信任模型二、實驗要求準(zhǔn)確完成實驗內(nèi)容,得出實驗結(jié)果寫出實驗步驟和實驗小結(jié)三、實驗步驟本練習(xí)主機(jī)A、B、C為一組，D、E、F為一組。實驗角色說明如下：實驗主機(jī)實驗角色主機(jī)A、D根CA〔證書頒發(fā)機(jī)構(gòu)〕主機(jī)B、E獨立附屬CA主機(jī)C、F客戶端下面以主機(jī)A、B、C為例，說明實驗步驟。首先使用“快照*〞恢復(fù)Windows系統(tǒng)環(huán)境?！惨弧嘲惭b證書效勞〔根CA〕主機(jī)A安裝證書效勞，具體步驟見練習(xí)一｜平安Web通信｜單向認(rèn)證。在啟動“證書頒發(fā)機(jī)構(gòu)〞效勞后，主機(jī)A便擁有了CA的角色?！捕嘲惭b證書效勞〔獨立附屬CA〕主機(jī)B安裝獨立附屬CA，并在安裝過程中生成證書請求，安裝過程如下。〔1〕主機(jī)B通過“開場〞|“設(shè)置〞|“控制面板〞|“添加或刪除程序〞|“添加/刪除Windows組件〞，選中組件中的“證書效勞〞，此時出現(xiàn)“Microsoft證書效勞〞提示信息，單擊“是〞，然后單擊“下一步〞。選擇CA類型為“獨立附屬CA〞，單擊“下一步〞，如圖1-1所示：圖1-1選擇CA類型在“CA識別信息〞中，填寫“此CA的公用名稱〞即給CA取一個名字，單擊“下一步〞，如圖1-2所示：圖1-2CA識別信息在“證書數(shù)據(jù)庫設(shè)置〞中選擇默認(rèn)位置，單擊“下一步〞。在“CA證書申請〞中選擇“將申請保存到一個文件〞，單擊“下一步〞〔默認(rèn)保存到C:\CAConfig\目錄下〕，如圖1-3所示：圖1-3CA證書申請此時提示要暫停Internet信息效勞，單擊“是〞，系統(tǒng)開場進(jìn)展組件安裝。在隨后彈出的“所需文件〞通用對話框中指定“文件復(fù)制來源〞為C:\E*pNIS\Encrypt-Lab\Tools\WindowsCA\i386，單擊“確定〞繼續(xù)安裝。假設(shè)出現(xiàn)提示信息“證書安裝不完全...〞，單擊“確定〞繼續(xù)安裝，如圖1-4所示：圖1-4提示信息〔2〕完成安裝后可以在“管理工具〞中運行“證書頒發(fā)機(jī)構(gòu)〞效勞。此時證書效勞還沒有從根CA處獲得證書，所以證書效勞不能工作。但主機(jī)B已經(jīng)擁有了獨立附屬CA的角色，如圖1-5所示：圖1-5獨立附屬CA的角色〔三〕根CA為獨立附屬CA頒發(fā)證書「注」附屬CA向根CA進(jìn)展證書申請時，要確保在當(dāng)前時間根CA已經(jīng)成功擁有了自身的角色?！?〕獨立附屬CA在IE瀏覽器地址欄中輸入“CA的IP/certsrv/〞并確認(rèn)，CA的證書申請頁面，如圖1-6所示：圖1-6CA的證書申請頁面〔2〕通過“申請一個證書〞|“高級證書申請〞|“使用base64編碼...提交一個申請〞進(jìn)入提交證書申請頁面，如圖1-7：圖1-7申請證書〔3〕使用記事本翻開附屬CA的請求文件〔默認(rèn)C:\CAConfig\目錄下，擴(kuò)展名為req的文件〕，將其內(nèi)容全部復(fù)制粘貼到提交證書申請頁面的“保存的申請〞的輸入框中，然后單擊“提交〞等待CA頒發(fā)證書，如圖1-8所示：圖1-8提交證書申請頁面〔4〕CA查看“證書頒發(fā)機(jī)構(gòu)〞中“掛起的申請〞目錄，可以看到剛提交的申請，右鍵單擊此申請單擊“所有任務(wù)〞|“頒發(fā)〞頒發(fā)證書，如圖1-9所示：圖1-9頒發(fā)證書〔5〕獨立附屬CA通過“證書效勞主頁〞|“查看掛起的證書申請的狀態(tài)〞|“保存的申請證書〞|“DER編碼〞|“下載證書鏈〞將以“.p7b〞結(jié)尾的文件下載到本地計算機(jī)的指定位置，例如本機(jī)的“C:\CAConfig\〞目錄，如圖1-10~1-12所示：圖1-10查看掛起的證書申請的狀態(tài)圖1-11保存的申請證書圖1-12下載證書鏈〔6〕獨立附屬CA運行〞證書頒發(fā)機(jī)構(gòu)〞的左側(cè)樹狀構(gòu)造中右鍵單擊“CA的名稱〞|“所有任務(wù)〞|“安裝CA證書〞，在本機(jī)的“C:\CAConfig\〞文件夾中選擇以“.p7b〞結(jié)尾的證書鏈文件安裝證書。在“證書頒發(fā)機(jī)構(gòu)〞的左側(cè)樹狀構(gòu)造中右鍵單擊“CA的名稱〞|“所有任務(wù)〞|“啟動效勞〞，顯示提示信息“正在啟動證書效勞〞，然后證書效勞即可運行，如圖1-13、1-14所示：圖1-13安裝CA證書圖1-14啟動效勞〔四〕客戶端向獨立附屬CA申請證書「注」客戶端向附屬CA進(jìn)展證書申請時，要確保在當(dāng)前時間附屬CA已經(jīng)成功擁有了自身的角色?！?〕客戶端通過IE瀏覽器“獨立附屬CA的IP/certsrv〞?？梢钥吹姜毩⒏綄貱A證書效勞主頁面，申請一*Web瀏覽器證書，如圖1-15所示：圖1-15申請Web瀏覽器證書〔2〕獨立附屬CA為客戶端頒發(fā)證書，如圖1-16所示：圖1-16為客戶端頒發(fā)證書〔3〕客戶端安裝此證書，并通過單擊IE瀏覽器的“工具〞|“Internet選項〞|“內(nèi)容〞|“證書〞會在〞個人〞頁簽中看到CA頒發(fā)給自己的證書，如圖1-17~1-19所示：圖1-17安裝證書圖1-18證書安裝成功圖1-19查看頒發(fā)給自己的證書〔4〕客戶端在證書的“證書路徑〞頁簽中，看到包含根CA、獨立附屬CA及用戶證書的證書鏈，如圖1-20所示：圖1-20證書路徑實驗小結(jié)本次實驗過程中了解常用的信任模型：下屬層次信任模型、對等模型、互連的網(wǎng)狀模型。混合模型是兼具各常見模型局部特征的一種