实验目的：

通过该实验了解和掌握证书服务的安装，理解证书的发放过程，掌握在WEB服务器上配置SSL， 使用HTTPS协议访问网站以验证结果，最后对HTTPS协议进行分析。

 

实验步骤一：

1）搭建CA服务器 

远程桌面方式登录到CA服务器，在CMD下查看本机IP地址

 

2）安装证书服务 

依次点击：“开始”->>“控制面板”->>“添加或删除程序”，以打开添加或删除程序对话框：

 

 

  依次点击：“添加删除windows组件”，在组件向导中选中“应用程序服务器”与“证书服务”，先不要点击下一步：

 

 

 双击“应用程序服务器”，选中“ASP.NET”与“Internet信息服务（IIS）”，如下图：

 

 

 

 点击“确定”开始安装，在出现的对话框中选择“独立根”，继续安装过程

 

 

 下一步后，会出现证书数据库的相关设置，不用修改，继续下一步：

 

安装完成后会发现有管理工具中多了“Internet信息服务（IIS）”，找到并打开：

 

 

 

 

  右键“默认网站”，选择“属性”：

 

 

 会出现如下属性对话框，在对话框中IP地址选择为本机IP（一般IP已经存在，不用手工输入），并点击确定：

 

 

 打开浏览器输入 http://10.1.1.245/certsrv/ 可以浏览证书服务器

 

 

 至此，证书服务器搭建完成。

 

实验步骤二：

1）搭建HTTPS服务器

 证书申请 登录到要搭建https服务的“网站”主机，查看IP：

 

 

 按照搭建CA服务器的方法安装IIS，区别是只选择“应用程序服务器”，

在“默认网站属性”中选择“目录安全性”标签，点击“服务器证书”：

 

 

 

 出现如下对话框，保持默认选项“新建证书”不动，继续下一步：

 

 

填写公用名称，由于在本环境中没有使用DNS服务器，没有域名因此使用IP地址访问，在公用名称中输入本机的IP地址，如果名称错误，后面过程中会出现问题，因此应仔细核对：

 

 

 

 

 

确认信息后，完成请求证书的设置。

      接下来申请证书。

      打开浏览器，输入刚才我们搭建的证书服务器地址：

      Http://10.1.1.245/certsrv/ (在实验中根据自己情况填写IP)，在证书服务页面点击“申请一个证书”

 

 

 

 

 

 

 

证书的颁发证书的颁发在证书服务器中操作，接下来的操作是证书审核员的角色，切换到CA服务器，点击“开始”>>“管理工具”>>“证书颁发机构”:

 

 

 

 

 可以在挂起的申请中看到刚才我们的申请：

 

 

 颁发后可以在“颁发的证书”中看到

 

3、下载并应用证书

 

可以看到，证书已经审核通过，可以下载了：

 

 点击“保存的申请证书”，进入到下一页面：

继续下一步，完成向导。

      打开默认网站属性，选择“目录安全性”标签，单击“编辑”

 

 

 

实验步骤三：

 访问HTTPS服务器 在“CA服务器”中打开已经申请了HTTPS服务的网站：

 输入https://10.1.1.196 (按照实际情况)，会出现一个证书安全问题的确认，单击“是”，进行浏览：

 可以看到能够通过HTTPS协议浏览。

 

 分析与思考：

1.通过本实验，论述本实验中有哪些角色？他们的任务分别是什么？

2.对数据包进行分析，比较使用HTTP和HTTPS有什么不同？

 

1、

 

 

 

 

 

 一个能申请证书，一个能颁发证书

2、HTTP 明文传输，数据都是未加密的，安全性较差，HTTPS（SSL+HTTP） 数据传输过程是加密的，安全性较好。

使用 HTTPS 协议需要到 CA（Certificate Authority，数字证书认证机构） 申请证书，一般免费证书较少，因而需要一定费用。证书颁发机构如：Symantec、Comodo、GoDaddy 和 GlobalSign 等。

HTTP 页面响应速度比 HTTPS 快，主要是因为 HTTP 使用 TCP 三次握手建立连接，客户端和服务器需要交换 3 个包，而 HTTPS除了 TCP 的三个包，还要加上 ssl 握手需要的 9 个包，所以一共是 12 个包。

http 和 https 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443。

HTTPS 其实就是建构在 SSL/TLS 之上的 HTTP 协议，所以，要比较 HTTPS 比 HTTP 要更耗费服务器资源。