用數(shù)字證書實(shí)現(xiàn)傳輸

本例中，在局域網(wǎng)中存在一個(gè)CA證書服務(wù)器，用來發(fā)放數(shù)字證書。接下來就說明如何利用數(shù)字證書，來保證這些主機(jī)間通訊的安全性。

首先確保這些主機(jī)之間可以正常通訊，可以使用PING命令對(duì)其進(jìn)行檢測(cè)。在CA服務(wù)器上以管理員身份登錄，在添加角色向?qū)Ы缑嬷羞x擇“Active Directory證書服務(wù)”項(xiàng)，點(diǎn)擊下一步按鈕，按照操作向?qū)У奶崾荆瓿勺C書服務(wù)安裝操作，具體的安裝方法并不復(fù)雜，這里就不再贅述。在管理工具中運(yùn)行“證書頒發(fā)機(jī)構(gòu)”程序，可以對(duì)證書進(jìn)行管理。如果在證書服務(wù)安裝過程中，選擇了“證書辦法機(jī)構(gòu)Web注冊(cè)”項(xiàng)，那么不管是內(nèi)網(wǎng)用戶還是Internet上的用戶，都可以通過Web方式申請(qǐng)數(shù)字證書。為了便于之后的訪問，在IE的選項(xiàng)設(shè)置窗口中的“安全”面板中選擇“受信任的站點(diǎn)”項(xiàng)，點(diǎn)擊“站點(diǎn)”按鈕，將CA服務(wù)器IP輸入到可信任列表中。當(dāng)認(rèn)證通過后，在彈出窗口中點(diǎn)擊“下載CA證書，證書鏈或CRL”鏈接，在打開窗口中的“CA證書”列表中顯示可用的證書名稱。點(diǎn)擊“下載CA證書”鏈接，將證書保存在本機(jī)上。雙擊下載的證書文件，在證書控制臺(tái)窗口中展開控制臺(tái)樹，查看已經(jīng)下載的證書信息。雙擊該證書項(xiàng)目，在其屬性窗口中點(diǎn)擊“安裝證書”按鈕，在向?qū)Ы缑嬷羞x擇“將所有的證書放入下列存儲(chǔ)”項(xiàng)，點(diǎn)擊瀏覽按鈕，在演出窗口中選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”項(xiàng)，之后按照提示完成證書的導(dǎo)入操作。在IE瀏覽器中訪問“http：//192.168.10.10/certsrv”,登錄CA服務(wù)器，在歡迎使用窗口中點(diǎn)擊“申請(qǐng)證書”鏈接，在彈出窗口中點(diǎn)擊“用戶證書”鏈接，在彈出對(duì)話框中點(diǎn)擊“是”按鈕，點(diǎn)擊“提交”按鈕，向證書服務(wù)器申請(qǐng)證書。申請(qǐng)成功后，點(diǎn)擊“安裝此證書”鏈接，將申請(qǐng)的證書安裝到本機(jī)上。也可以在歡迎窗口中點(diǎn)擊“高級(jí)證書申請(qǐng)”鏈接，點(diǎn)擊“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”鏈接，可以根據(jù)需要選擇證書模版、設(shè)置密鑰類型、申請(qǐng)格式、哈希算法等。勾選“標(biāo)記密鑰可導(dǎo)出”項(xiàng)，點(diǎn)擊“提交”按鈕來申請(qǐng)和安裝證書。

當(dāng)安裝好數(shù)字證書后，在Server 1中打開高級(jí)安全Windos防火墻窗口，在左側(cè)的“連接安全規(guī)則”項(xiàng)的右鍵菜單上點(diǎn)擊“新建規(guī)則”項(xiàng)，在向?qū)Т翱谥羞x擇“隔離”項(xiàng)，在下一步窗口中選擇“入站和出站鏈接請(qǐng)求身份驗(yàn)證”項(xiàng)，在下一步窗口中選擇“高級(jí)”項(xiàng)，點(diǎn)擊“自定義”按鈕，在自定義高級(jí)身份驗(yàn)證方法窗口中的“第一身份驗(yàn)證方法”欄中點(diǎn)擊“添加”按鈕，在第一身份驗(yàn)證方法窗口中選擇“來自下列證書頒發(fā)機(jī)構(gòu)（CA）的計(jì)算機(jī)證書”項(xiàng)，點(diǎn)擊瀏覽按鈕，選擇所需的數(shù)字證書。點(diǎn)擊確定按鈕，完成該連接安全規(guī)則的創(chuàng)建操作。在別的主機(jī)上（例如Server 2）上執(zhí)行同樣的操作，創(chuàng)建相應(yīng)的安全連接規(guī)則。這樣，在兩者之間就可以利用數(shù)字證書，執(zhí)行安全的IPSec數(shù)據(jù)傳輸。