实验目的:
通过该实验了解和掌握证书服务的安装,理解证书的发放过程,掌握在WEB服务器上配置SSL, 使用HTTPS协议访问网站以验证结果,最后对HTTPS协议进行分析。
实验步骤一:
1)搭建CA服务器
远程桌面方式登录到CA服务器,在CMD下查看本机IP地址
2)安装证书服务
依次点击:“开始”->>“控制面板”->>“添加或删除程序”,以打开添加或删除程序对话框:
依次点击:“添加删除windows组件”,在组件向导中选中“应用程序服务器”与“证书服务”,先不要点击下一步:
双击“应用程序服务器”,选中“ASP.NET”与“Internet信息服务(IIS)”,如下图:
点击“确定”开始安装,在出现的对话框中选择“独立根”,继续安装过程
下一步后,会出现证书数据库的相关设置,不用修改,继续下一步:
安装完成后会发现有管理工具中多了“Internet信息服务(IIS)”,找到并打开:
右键“默认网站”,选择“属性”:
会出现如下属性对话框,在对话框中IP地址选择为本机IP(一般IP已经存在,不用手工输入),并点击确定:
打开浏览器输入 http://10.1.1.245/certsrv/ 可以浏览证书服务器
至此,证书服务器搭建完成。
实验步骤二:
1)搭建HTTPS服务器
证书申请 登录到要搭建https服务的“网站”主机,查看IP:
按照搭建CA服务器的方法安装IIS,区别是只选择“应用程序服务器”,
在“默认网站属性”中选择“目录安全性”标签,点击“服务器证书”:
出现如下对话框,保持默认选项“新建证书”不动,继续下一步:
填写公用名称,由于在本环境中没有使用DNS服务器,没有域名因此使用IP地址访问,在公用名称中输入本机的IP地址,如果名称错误,后面过程中会出现问题,因此应仔细核对:
确认信息后,完成请求证书的设置。
接下来申请证书。
打开浏览器,输入刚才我们搭建的证书服务器地址:
Http://10.1.1.245/certsrv/ (在实验中根据自己情况填写IP),在证书服务页面点击“申请一个证书”
证书的颁发证书的颁发在证书服务器中操作,接下来的操作是证书审核员的角色,切换到CA服务器,点击“开始”>>“管理工具”>>“证书颁发机构”:
可以在挂起的申请中看到刚才我们的申请:
颁发后可以在“颁发的证书”中看到
3、下载并应用证书
可以看到,证书已经审核通过,可以下载了:
点击“保存的申请证书”,进入到下一页面:
继续下一步,完成向导。
打开默认网站属性,选择“目录安全性”标签,单击“编辑”
实验步骤三:
访问HTTPS服务器 在“CA服务器”中打开已经申请了HTTPS服务的网站:
输入https://10.1.1.196 (按照实际情况),会出现一个证书安全问题的确认,单击“是”,进行浏览:
可以看到能够通过HTTPS协议浏览。
分析与思考:
1.通过本实验,论述本实验中有哪些角色?他们的任务分别是什么?
2.对数据包进行分析,比较使用HTTP和HTTPS有什么不同?
1、
一个能申请证书,一个能颁发证书
2、HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。
使用 HTTPS 协议需要到 CA(Certificate Authority,数字证书认证机构) 申请证书,一般免费证书较少,因而需要一定费用。证书颁发机构如:Symantec、Comodo、GoDaddy 和 GlobalSign 等。
HTTP 页面响应速度比 HTTPS 快,主要是因为 HTTP 使用 TCP 三次握手建立连接,客户端和服务器需要交换 3 个包,而 HTTPS除了 TCP 的三个包,还要加上 ssl 握手需要的 9 个包,所以一共是 12 个包。
http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。
HTTPS 其实就是建构在 SSL/TLS 之上的 HTTP 协议,所以,要比较 HTTPS 比 HTTP 要更耗费服务器资源。