网络安全协议实验指导书.docx

实验1网络平安协议一、实验目的:了解ISO/OSI七层参考模型各层有哪些网络平安协议；掌握各层平安协议的具体应用环境。、实验软件：Windows XP操作系统、实验步骤:Ineternet,利用各种搜索引擎搜索相关资料，并完成提交电子实验报告。实验2 IPSec实验一、实验目的:掌握windows K IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理二、实验软件:Windows XP操作系统2台。分别为主机xpl和主机xp2三、实验步骤:1 . xpl和xp2均能互相ping通（关闭防火墙）。、.在xpl下点击开始->运行，输入“gpedit.msc"，运行组策略。2 .依次展开左侧的“本地计算机”策略一4 “计算机配置” 一-> “windows设置”一-> “平安设置” > “IP平安策略”，鱼犯策略文件 操作 查看 帮助（出0 回E0©哈图西画去点击右键，选择“创立IP平安策略”。多"本地计菖机”策略盛J计宜机配置：口软件设置/ _J Windows 设置脚本（启动/关机），承平安设置» L3帐尸策略»国本地策略» 口公钥策略口软件限制策略»曼ip平安策咯，在；t> 口省理模板嬷用户配置> 口软件设置_） Windows 设置0 口省理模板名称描述策略已指派豺平安服务器（需要平安）对所有IP通讯总是使用K团客尸端（仅响应）正常通讯（不平安的）.使勖薪市,亚策略豺服务需（谭求平安）对所有IP通讯总是使用K.创立IP平安策略（0.管理ip筛选器表和筛选器操作（曲所有任务刷新导出列表（D查看M排列图标对齐图标（日4.在“IP平安策略向导”中选择下一步,对其命名“IPSEC加密”, 酬下一步，在“默认相应规那么验证方二七”中选择第三个“此字符串用来保护密钥交换”，输入自己设定的密g。选择下二步，选择完成。4 L. I / L, 20:07, 20:07ip平安策略向导默认相应规那么身份会证方式要添加多身份验证方式，在完成该向导之后话编辑默X响应规那么。为此平安规那么设置初始身份蛉证方法： Active Directory 默认值（Kerberos V5 协议）也）使用由此证书颁发机构（CA）颁发的证书©）： e邺字符串用来保护密钥交换颜共享密钥1234565.在“IPSec加密属性”中添加IP平安规那么<上一步也）下一步促） >取消3）输入 s:根CA的IP/certsrv,页面中弹出如图17所示的提示窗口。图174）单击“确定”按钮，探出如图18所示的证书选择窗口。在窗口中选择步骤2）中申请的证书Web Cert,单击“确定”按钮。5）之后将正确的弹出正常的证书申请页面，完成基于SSL的连接。6）查看第3方计算机上Sniffer的监测结果，其中并未出现POST类型的有效信息包，截获的信息均为无效的乱码。 这说明SSL很好的实现了 Web连接的平安性。实验4应用OPENSSH和PUTTY进行平安SSH连接一、实验目的：掌握windows下IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理二、实验软件：Windows XP操作系统2台。分别为主机xpl和主机xp2三、实验步骤：远程连接工具putty 随着linux在服务器端应用的普及，linux系统越来越依赖于远程管理，而Putty为常用的远程管理工具。用途：查看服务器端文件、查看进程、关闭进程等配置：双击putty后，出现以下图界面。按图提示步骤进行输入：（1）输入服务器的IP或主机名，（2）选择好登录协议， 通常选SSHo （3）选择协议的端口，选择22o （4）如果希望把这次的输入保存起来，以后就不需要再重新输入了，就在 第4步输入好会话保存的名称，比方：mail-server,或者干脆就是主机的地址，点击保存就可以了。最后点下面的Open按钮，输入正确的用户名和口令，就可以登录服务器了。Basic options for your PuTTY session用法:（1）Category:-Session Logging-T erminal Keyboardj Bell Features-WindowAppearance Behaviour T ranslation Selection Colours-Connection“DataProxyT elnetSpecify your connection by host name or IP addressHost Name (or IP address) U:输入主机地址Protocol:OR3wPort3:1纹的端口Load, save or delete a stored session Saved Sessions4:输入会话保存的名称保存了会话后，直接片击中不黑捐text框内的快捷方式即可进入登录界面。进入界面后，按提示输入用户名不礴码，比方之前能偏聊思192.168296。其对应的用户成功登录之后即可对那务器端进僻作。可以看看噢件,5用联闭服脚等倒防申而截图件列表。分色力.先割芬鼠点云力追左端块服冬的快犍键蛉入泣artlogin as:oracle和密码是:oracle , oracle 123 显示了当前服务器端的文3金板块的进程。个案应用:oraclewlsOdeulIs?/ abc.sh* app/ bea/ cns/ data.data delete/ demo-app.war demo-rest.war deplop100.sh*DeployAllInOne.sh deployall.sh* deployer/ deployer.log deploy .sh* hbp-seruice.lpg idrsa.pub ' jrockit/script/ setEnu.sh* setEnu.sh.bak* Snapshots/ sol*-/ start auto.sh* starthotel.sh* startrngrwls.sh* startpaynent.sh* starttrauel.sh* startWLSLog/ stop hotel.sh* test/ test.sh testwl.sh* testwl.sh.bak* tines.log undeploylOO.sh*主题：关于SSH （或putty；jrockit-jdk1.6.G 26-R28.1.4-4.)in* UndeployAllInOne.sh起因：前后台打不开 分析：payment服务打不开，首先pj | grep payment查看payment进程存在与否，因为服务荡掉有两种情况，一种是对应 的进程直接荡掉不存在，一种是进程仍在，但服务不能正常运行。第一种直接启动，第二种先kill -9加对应进程号先将进 程kill掉，再重新开启。个案应用：查有时用putty界面会出现中文字符乱码问题，解决方案如下：选择配置窗口左边的Translation,在右边的Received data assumed to be in which character set 下拉列表中选择“UTF-8”uTTT ReconfigurationuTTT ReconfigurationS®Category:1. 远程连接工具sshSsh和putty用法类似,只是界 用法：-Session Logging-T erminal Keyboard Bell Features-Window Appearance Behaviour T ranslakion Selection Colours-Connecliona ssh KexT unnels机稍微有些差异。Options controlling character set translationCharacter set translation on received dataReceived data assumed to be in which character set:UTF-8I SO-8859-6:1999 (Ladn/Arabic) 150-8859-7:1987 (Latin/Greek) 150-8859-8:1999 (Latin/Hebrew) 180-8859-9:1999 (Latin-5, Turkish) 150-8859-10:1998 (Latin-6Z Nordic) 150-8859-11:2001 (Lalin/Thai) 150-8859-13:1998 (L丽7, Baltic) ISO-8859-14:1998 (Latin-8, Celtic) 150-8859-15:1999 (Latin-9, "euro") 15。885916:20010_丽1。，Balkan)UTF-8K0I8-U 9K0I8-RHP-R0MAN8VSCIIDEC-MCSWin1250 (Central European)Win1251 (Cyrillic)Win1252 (Western)Win1253 (Greek)Win1254 (Turkish)Win1255 (Hebrew)WigJ 256 (Arabic)如果第一次连接服务器，那么山一班山3£笳57海风输入服务器地址，出现如图下所示界面，点击“yes”然后输入密码即可登录。:192. 168.2. 138 - defaultSSH Secure Shell |IXFile Edit View Window Help口昌口 黑电 的M白物Vk?/I Quick Connect _J ProfilesSSH Secure Shell 3.2.9 (Build 283)Copyright (c) 2000-2003 SSH Ccmmunications Security Corp - This copy of SSecure Shell is a non-canmercial version.This version dees not include FKI and PKCS 411 functionality.国J92. 168.2. 138 - default - SSH Secure Shell国J92. 168.2. 138 - default - SSH Secure ShellZfxjFile Edit View Window Help。昌五 鬲电户” M M白爆V召Quick Connect _J ProfilesSSH Secure Shell 3.2.9 <BuiId 283)Copyright (c) 2000-2003 SSH Ccnnuunications Security Corp - This copy of SSH Secure Shell is a non-commercial version.This version dees not include PKI and PKCS #11 functionality.如果需要创立快捷方,在输入密码登录成功以后，可以点击profiles ",然后选择“addprofiles ”输入一个保存的可登录。80x2厂厂踏一fl名字即可，下次登录时点击F城依然矮选择保存的名字即 登录进入后使用同putty o实验 5 Kerberos一、实验目的：在这个实验中，将创立一个Kerberos服务。在完成这一实验后，将能够：(1)在服务器端安装"Kerberos服务”。(2)配置" Kerberos 服务”。(3)利用" Kerberos服务”进行认证，获取票据。二、实验软件：服务器运行Windows 2000 Server,并创立活动目录。 三、实验步骤：步骤:在Windows 2000 Server上建立Kerberos认证服务器，客户端能从Kerberos认证服务器获取票据登录服务器。 活动目录的安装：Windows 2000活动目录和其平安性服务(Kerberos)紧密结合，共同完成任务和协同管理。活动目录存储了域平安策 略的信息，如域用户口令的限制策略和系统访问权限等，实施了基于对象的平安模型和访问控制机制。活动目录中的每一 个对象都有一个独有的平安性描述，定义了浏览或更新对象属性所需要的访问权限。因此，在使用Windows 2000提供的 平安服务前，首先应该在服务器上安装活动目录。 操作步骤：(1 )在Windows2000 ”控制面板“里，翻开“管理工具”窗口，然后双击”配置服务器"，启动" Windows2000配置 您的服务器”对话框，如图A 7 1所示。赠觌52000理在m3M溟个*砌7SB然中只畀，戊悔第TT-1P<H>国A7d -Windows 2000而置您的服务器”对话框(2 )在左边的选项列表中，单击" Active Directory ”超级链接，并拖动右边的滚动条到底部，单击“启动”超级链接， 翻开“ Active Directory安装向导”对话框，出现"欢迎使用Active Directory安装向导”，按向导提示，单击”下 一步”按钮，出现“域控制器类型”对话框。(3)单击”新域的域控制器”单项选择按钮，使服务器成为新域的第一个域控制器。单击“下一步”按钮，出现”创立目录 树或子域”对话框。(4)如果用户不想让新域成为现有域的子域，单击”创立一个新的域目录树”单项选择按钮。单击“下一步”按钮，出现”创 建或加入目录林”对话框。(5)如果用户所创立的域为单位的第一个域，或者希望所创立的新域独立于现有的目录林，单击”创立新的域或目录树” 单项选择按钮。单击“下一步”按钮，出现“新的域名”对话框。(6 )在“新域的D N S全名”文本框中，输入新建域的DNS全名，例如:book 。单击“下一步”按钮，出现"Net BIOS 域名”对话框。(7 )在”域Net BIOS名”文本框中，输入Net BIOS域名，或者接受显示的名称，单击“下一步”按钮，出现,数据库 和日志文件位置”对话框。(8 )在“数据库位置”文本框中，输入保存数据库的位置，或者单击“浏览”按钮选择路径；在“日志位置”文本框中，输入 保存日志的位置或单击"浏览“按钮选择路径；如图A7-2所示。单击“下一步”按钮，出现”共享的系统卷” 对话框。(9 )在“文件夹位置”文本框中输入Sysvol文件夹的位置，在Windows 2000中Sysvol文件夹存放域的公用文件的服务器或单击“浏览”按钮选择路径，如图A7-3所示。单击”下或单击“浏览”按钮选择路径，如图A7-3所示。单击”下副本，它的内容将被复制到域中的所有域控制器上。 一步”按钮，出现“权限”对话框。图A7-2选择生存数据库和日志文件的位置图A73设宣共享系统卷的构苴(10) 设置用户和组对象的默认权限，选择”与Windows 2000服务器之前的版本相兼容的权限”。单击“下一步”按钮，出现”目录服务器恢复模式的管理员密码”对话框。(11) 在“密码”文本框中输入目录服务恢复模式的管理员密码，在“确认密码”文本框中重复输入密码。单击”下一步”按钮，出现“摘要”对话框。(12) 可以看到前几步的设置，如果发现错误，可以单击“上一步”按钮重新设置。(13) 单击“下一步”按钮，系统开始配置活动目录，同时翻开"正在配置Active Directory”对话框，显示配置过程， 经过几分钟之后配置完成。出现"完成Active Directory安装向导”对话框，单击“完成“按钮，即完成活动目录的 安装，重新启动计算机，活动目录即会生效。平安策略的设置：平安策略的目标是制定在环境中配置和管理平安的步骤。Windows 2000组策略有助于在Active Directory域中为所有 工作站和服务器实现平安策略中的技术建议。可以将组策略和OU (单位组织)结构结合使用，为特定服务器角色定义其特 定的平安设置。如果使用组策略来实现平安设置，那么可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服 务器，并且新的服务器将自动获取新的设置。操作步骤：(1)在“ Active Directory用户和计算机”窗口，右击域名"book. com”,如图A7-4所示。在弹出的菜单中选择"属性"命令， 出现“book 属性”对话框，如图A 7 -5所示。(2)选择"组策略”标签页(见图A7-6),系统提供了一系列工具。可以利用这些工具完成“组策略”的建立、添加、编辑、删 除等操作。(3)双击"Default Domain Policy”,出现"组策略”对话框。在“组策略“窗口左侧“树"中，选择"Windows设置”并展开，在“安 全设置”中翻开“Kerberos策略”(见图A7-7),进行平安策略的设置；一般情况下，选择默认设置就能到达系统平安的 要求。彳 AC“y Dirdur/与 恰钦0 wniK)得箝如可一了火工e goctor y用户?由聊6，！ GD；O,侪'Y + .1 1IhuttOrvTWifW«A rartamrr Itr 1417.a我单玄CW., mntrw (t9rortATW for nku ,RvMut cortrw hr tpor.Nx九3 SJHM图A7-5 M book 属性”对话框图A74 "Active Directory用户和计算机”窗图A76 “组策略”标签灾图A7-7在“幼策啮”窗口设为平安策略Windows 2000 Professional 版客户端 Professional 版客户端设置：Windows 2000 Professional版客户端设置配置成使用Kerberos域，在这个域里使用单独的登录标记和基于Windows 2000 Professional的本地客户端账号。操作步骤：(1)安装 Kerberos 配置实用程序，在 Windows 2000 安装光盘的supportreskitnetmgmtsecurity 文件夹 中找到 setup.exe注意:启动Widows 2000时，必须以管理员组的成员算份登录才能安装这些工刖W桢2000光盘中，打乐upporNTools 文件夹双击Sew/zexe图标，然后按照屏幕上出现的说明进行操作通过以上步骤，用户在本机上安装了 Windows 2000 SupportTools,它可以帮助管理网络并解决疑难问题。在用户系统盘 的Program FileSupport Tools文件夹中可以看到许多实用工具，其中与Kerberos配置有关的程序为ksetup.exe和 kpasswd.exeo用于配置Kerberos域KDC和Kpasswd服务器，Ktpass.exe用于配置用户口令、账号名映射并对使用Windows 2000 Kerberos KDC 的 Kerberos 服务产生 Key tab,如图 A 7 8 所示。图 A7-S " support Tools,r Wl I 设置Kerberos域。因为Kerberos域不是一个Windows 2000域，所以客户端必须配置成为I：作组中的一个成员。当设置Kerberos时，客户机会自动成为工作组的一个成员。/setdomain参数的值BOOK 是指与本地计算机在同一 域中的域控制器的DNS。如用户的域控制器的DNS名为 test.tom,可以执行如下的命令：Kestup/SetRealm test.tomo当设置Kerberos域时，计算机会自动配置成为工作组的一个成员，如图A7-9所示。(3)添加KDC服务器。在Windows 2000域中，每个域控制器可作为KDC使用。域控制器在用户登录会话中作为用户首 选KDC运行，如果首选的KDC不可用，Windows 2000系统将查找预备的KDC来提供身份验证。/addkdc的第一个 参数用来指定需要增加的KDC的域名，第二个参数用于增加在指定域中的KDC服务器(见图A7-10)o如果客户机所 在的域中有唯一的KDC,就不必运行此命令。图A7-9设时Kerberos城图A7-I0添加KDC服务器ftl A7-11设苴本地机器账号口令(4)设置本地机账号口令。/setcomputerpassword的参数用于指定本地计算机的密码，如图A7-11所示。(5)重新启动计算机使改变生效。这是一个必须的步骤，无论何时对外部KDC和域配置做了改变，都需要重新启动计算机。(6)使用Ksetup来配置单个注册到本地工作站的账户。/mapuser的第一个参数用于指定Kerberos的主体，第二个参数用 于指定本机的用户账户(见图A7-12)o定义账户映射可以将一个Kerberos域中的主体映射到一个本地账号身份上，将 本地账号映射到Kerberos o < Ir xcC? K>kscLup /sct.donajn ROOK Setting Dn久 Donkin/addkdc BOOK C*tap ZuutcunpuleiKpatit»oi*d. 1234% Setting computerC：>ksetup Znnpunftj* tcctPHOOK.COfl testN A7d2设西账号映射实验6 S 一、实验目的：掌握windows下 S应用的配置过程，理解主机到服务器的平安访问工作原理二、实验软件：Windows XP操作系统1台。Windows 2000 Server操作系统机1台。三、实验步骤：1 ,准备web网站下面以管理员的身份登录到web服务器上创立名为：wanjiafu的网站：然后停止：并设置默认网站为启动 在C盘下创立文件夹web用于存放网页文件名为：index.htm2 .为web网站创立证书申请文件 右键网站wanjiafu翻开属性页wanjiafu （停止）尾性wanjiafu （停止）尾性网站 I性能目录平安性网站 I性能目录平安性ISAPI筛选器 头主目录文档自定义错误身份蛉证和访问控制 /允许匿名访问资源及编辑身份验证方机4法。IP地址和域名限制使用IP地址或Internet域名授权或i区拒绝对资源的访问。平安通信点击服务器证书出现：欢迎使用wW电点击服务器证书出现：欢迎使用wW电访问资源时，要求平安通信并启用客 AI 、 、0格向导：对话框：在服翳8邮画;1单击【下一步】按钮：出现服务器证书对话框：可以新建、分配、导入L复制国移动证展售眨间建立平安的web通道:此选择：新建证书:选择此网站使用的方法:r分配现有证书且）。r从密钥管理器备份文件导入证书也）。从Pa文件导入证书也） r将远程服务器站点的证书复制或移动到此站点支）。【下一步】要准备证书话求以备稍后发送，或是立即将其发送到联机证书颁发机构?G觌在港备证书请求；但稍后发送也：r立即将证书请求发送到联机证书预发机构（§）【下一步】键入证书的名称输入新证书的名称。此名称应易于引用和记忆。输入新证书的名称。此名称应易于引用和记忆。名称也）:密钥的位长决定了证书的加密程度。位长越长，平安性越高。然而，位长过长将使性能降 低。位长鱼）：1024三|【下一步】键入单位部门信息选择证书的加密服务提供程序（CSP） g比尊或蜘入您的单位和部门名称。I甬常是指他的合法单位名称及部门名施。如需详细信息，话受阅证书地发机沟的网站。单位QJ：|To be nuniber one部门电）： |IT【下一步】键入公用名【下一步】键入公用名如果公用名称发生变化，那么需要获取新证书。如果公用名称发生变化，那么需要获取新证书。公用名称（£）：webserver【下一步】键入国家省份市县信息国家岫区）©：|CN （中国）国家岫区）©：|CN （中国）【下一步】键入存放地点输入证书谙求的文件名。【下一步】键入存放地点输入证书谙求的文件名。文件名史）：c： ceitreq. txt浏览®. |【下一步查看全部配置单击“下一步”按钮生成以下请求。文件名：c:certreq.txt请求包含以下信息:证书颁发对象友好名称 国家她区） 省/自治区市县【下一步】完成!webserverwanj i afuCN '江苏省淮安市To be number oneIT翻开c盘看见文件名称,大小I类型1修改日期1理性IiDocuments and Settings ：文件夹2010-11-30 17:49lillnetpub文件夹2010-12-17 13:16IrProsram Files文件夹2010-11-30 17:55R口 web文件夹2010-12-17 13:19QWINDOWS文件夹2010-12-17 13:18匕|wmpub.certrea.txt,翻开如以下图：文件夹2010-11-30 17:42L单位 部门地址也）文件任）编辑也）格式©）查看9 帮助国）BEGIN NEW CERTIFICATE REQUESTMIIDRjCCAq8CAQAwazELMAkGA1UEBhMCQ04xDzANBgNUBAgeBn)xFgs93ATEPMA0G A1UEBx4Gbe5biU4CMRkwFwVDUQQKExBUbyBiZSBudW1iZXIgb25lMQswCQVDUQQL EvjJJUDESMBAGA1UEAxMJd2Uic2UydmUyMIGFMA0GCSqGSIb3DQEBAQUAA4GNADCB iQKBgQCVlxu3ABIdSmGnu0apFcr4LA2h2e/HuwkbTVD9Gkokud/uD/3FzGN/UqTN Tz4S2K/B9GwmS4DZ9t2dE5UZELn*ETC68i4uh29dt1P80QXmFIQVj8kSiVp2bUKu Kj/F9rb48keFsEqGtIcnKDF87uFQbyM7LzGDPInS4kAjnLWiJwIDAQABoIIBnTAa BgorBgEEAVI3DQIDMQwWCjUuMi4zNzkwLjIwewVKKwVBBAGCNwIBDjFtMGswDgVD UR0PAQH/BAQDAgTwMEQGCSqGSIb3DQEJDwQ3MDUvjDgVIKoZIhucNAwICAgCAMA4G CCqGSIb3DQMEAgIAgDAHBgUrDgMCBzAKBggqhkiG9w0DBzATBgNUHSUEDDAKBggr BgEFBQcDATCB/QVKKvjVBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8A ZgB0ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBuAHQAbwBnAHIAVQBvjAGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA3 .为web网站申请证书以域管理员的身份登录到web服务器上翻开 IE 浏览器：输入: ： /11/certsrv三抽转到微接三抽转到微接地址 Q) |第 MW:192. 168 CL 111/cwtvWMicrosoft 证书服务一root欢迎使用此网站为您的Web浏览器，电子邮件客户端或其他程序申请一个证书。通过使用证书，您可以向通过 Web通信的人确认您的身份，签署并加密邮件，并且，根据您申请的证书的类型，执行其他平安任务.您也可以使用此网站下载证书颁发机构(CA)证书，证书链，或证书撤消列表(CRL),或查看挂起的申请的状有关证书服务的详细信息，请参阅证书服务文档.一个任务： 请一不秘书查看挂起的证书申清的状态下载一个 CA 证书，证书链或 CRL单击 申请一个证书,申请一个证书选择一个证书类型： Web浏览器证书 电子邮件保护证书或者，提交一个高级证书申请。单击红线选择区域Microsoft 证书服务一root高级证书申请CA的策略决定您可以申请的证书类别。单击以下选项之一来:创立并向此CR提交一个申请。base64编码的CMC或PKCS #10文件提交续订证书申请。一个证书申请，或使用 base64 项码的PKCS #7文件|下面添加的内容为C盘下的certsrv文件主页主页Microsoft 证书照务 一 root提交一个证书申请或续订申请要提交一个保存的申请到CA,在“保存的申请”框中粘贴一个由外部源(如Web服务器)生成的base-64 编码的CMC或PKCS #10证书申请或PKCS #7续订申请。保存的申请:Base-64编码的证书申请(CMC 或PKCS #10 或PKCS #7):浏览要帧入的文件。附加届性:点击【提交】见以下图表示已经成句发送了申请Id为2您的申请Id为2。请在一天或两天内返回此网站以检索您的证书。注意：您必须用此Web浏览器在10天内返回以检索您的证书6 . “隧道终结点”选择“此规那么不指定隧道”，点击下一步。7 . “网络类型”选择“所有网络连接”，点击下一步.“身份验证方法”同步骤4,点击下一步。8 . “IP筛选器列表”选择“所有IP通信量”，点击下一步。9 .“筛选器操作”选择添加，点击下一步。10 , “筛选器操作名称”输入“必须加密”，点击下一步。11 , “筛选器操作常规选项”选择“协商平安”，点击下一步。12 .选择“不和不支持Ipsec的计算机通信”，点击下一步。13 . “IP通信平安设施”选择“加密并保持完整性”，点击下一步，完成。14 .在“筛选器操作中”选择“必须加密”，点击下一步。篇选器操作话为这个平安规那么选择筛选器操作。平安规那么向导的。选择“使用添加向导”来创立新筛选器。的。选择“使用添加向导”来创立新筛选器。筛选器操作C）：删除® |如果下面的列表中没有符合您需要的筛选器操作，谙单击“添加”创立一个新，使用“添加向导”世）添加一）. |编辑）. |点击下一步，完成。点击确定，并关闭对话框。右键点击刚添加的IP平安策略，选择“指派”，4 .在CA服务器上颁发证书以域管理员的身份登录到CA服务器：翻开：【证书颁发机构】【控制台】 展开服务器：单击【挂起的申请】可以看到web服务器申请的证书现在处于挂起状态置证书管废机构文件更）操作查看（V）帮助国）申请IDI二进制申请I申请状态码|申请处理消息|申话提交日期I申请人姓名02BEGI.操作成功. .在提交时接受2010-12-17 .BAIDUMUS.0£ 00囤鼠图画证书颁发机构建地）臼root：口撤消的证书口颁发的证书挂起的申语_j失败的申请右击【所有任务】【颁发】出证书颁发机构住地） 日.噩root1 0撤消的证书 口颁发的证书日挂起的申请 L口失败的申语出证书颁发机构住地） 日.噩root1 0撤消的证书 口颁发的证书日挂起的申请 L口失败的申语申语ID二进制申请申谙状态码刷新9颁发9所有任务量）查看屋性/扩展©）.导出二进制数据国）. 2010-12-17 BAIDUVIUS.申请处理消息|申请提交日期申请人姓名帮助国）拒绝®）翻开【颁发的证书】查看已经颁发了色证书颁发机构体地） B 羽 root_J撤消的证书 日颁发的证书 _J挂起的申请 失败的申请网 1D |申请人着名1二进撕堂 1证书横板1 吃芝 J证书望日,I证书疑1E日4.下载证书以域管理员的身份登录到web服务器：在 IE 浏览器中键入： ：翻开【证书申请】欢迎界面选择一个任务：申请一个证书查看挂起的证节中谓的状态下载一个 CA 证书，证书链或 CRL单击保存的证书JjcroYoft证书服务 一 root查看挂起的证书申请的状态 请选择您要查看的证书申请：保存的申请证书（2010年12月17日14:06:12）单击【DER编码】【下载证书】证书己颁发 您申请的证书己颁发给您。行DER编码 或 r Base 64编码度用下载证书皿下载证书链下载后如以下图certnew. cervanjiafu （停止）尾性.为web网站安装证书 翻开后创立的wanjiafu网站网站II性能 目录平安性ISAPI筛选器 头I主目录文档自定义错误身份蛉证和访问控制编辑.|允许匿名访问资源及编辑身份验证方 法。rlP地址和域名限制使用IP地址或Internet域名授权或 拒绝对资源的访问。编辑复）|平安通信选择：处理挂起的请求并安装证书一 访问资源时，要求平安通信并启用客 U0户端证书。;服募器证书二.胃IIS证书向导浏览.文件名:C:Documents and S e 11 i ngs Adm i ni s tr at or® c er tnew.cer【下一步】完成点击;证书详细信息:证书颁发对象 证书颁发者 过期日期用途省/自治区市县单位部门webserver root 2011-12-17 服务器蛉证 wanjiafu CN 江苏省 淮安市To be number one IT挂