PKI及SSL协议分析

  本实验主要介绍了PKI本实验主要介绍了PKI及SSL协议的分析,通过本实验的学习,你能够了解和掌握证书服务的安装,理解证书的发放过程,掌握在WEB服务器上配置SSL, 使用HTTPS协议访问网站以验证结果。

 

一、实验目的

  通过该实验了解和掌握证书服务的安装,理解证书的发放过程,掌握在WEB服务器上配置SSL, 使用HTTPS协议访问网站以验证结果,最后对HTTPS协议进行分析。

 

二、实验步骤

1)搭建CA服务器

 1、远程桌面方式登录到CA服务器,在CMD下查看本机IP地址:

  PKI及SSL协议分析

  注:在本例中CA服务器IP为10.1.1.245,但在做实验过程中,IP可能会出现变动,要记住自己CA的IP,在后面实验过程中填写自己的IP,否则实验可能失败。

 2、安装证书服务

  依次点击:“开始”->>“控制面板”->>“添加或删除程序”,以打开添加或删除程序对话框:

  PKI及SSL协议分析

  依次点击:“添加删除windows组件”,在组件向导中选中“应用程序服务器”与“证书服务”,先不要点击下一步:

  PKI及SSL协议分析

  双击“应用程序服务器”,选中“ASP.NET”与“Internet信息服务(IIS)”,如下图:

  PKI及SSL协议分析

  点击“确定”开始安装,在出现的对话框中选择“独立根”,继续安装过程

  PKI及SSL协议分析

  选择相关的参数,如下图:

  PKI及SSL协议分析

  下一步后,会出现证书数据库的相关设置,不用修改,继续下一步:

  PKI及SSL协议分析

  单击下一步后进行安装,在安装过程中会提示“输入磁盘”,按照安装IIS的方式,单击“浏览”、找到文件,确定完成安装。

  (浏览到桌面-win2003-I386目录下)

  在安装完成后会提示启用Active Server Page,点击“确定”

   PKI及SSL协议分析

  安装完成后会发现有管理工具中多了“Internet信息服务(IIS)”,找到并打开:

  PKI及SSL协议分析

  右键“默认网站”,选择“属性”:

  PKI及SSL协议分析

  会出现如下属性对话框,在对话框中IP地址选择为本机IP(一般IP已经存在,不用手工输入),并点击确定:

  PKI及SSL协议分析

  打开浏览器输入 http://10.1.1.245/certsrv/ 可以浏览证书服务器

  PKI及SSL协议分析

  至此,证书服务器搭建完成。

 

2)搭建HTTPS服务器

 1、证书申请

  登录到要搭建https服务的“网站”主机,查看IP:

  PKI及SSL协议分析

  按照搭建CA服务器的方法安装IIS,区别是只选择“应用程序服务器”,如下图:

  PKI及SSL协议分析

  安装完成后,打开IIS,右键“默认网站”,选择“属性”:

  PKI及SSL协议分析

  在“默认网站属性”中选择“目录安全性”标签,点击“服务器证书”:

  PKI及SSL协议分析

  会出现安装向导,点击下一步:

  PKI及SSL协议分析

  出现如下对话框,保持默认选项“新建证书”不动,继续下一步:

  PKI及SSL协议分析

  继续保持默认选项,单击下一步:

  PKI及SSL协议分析

   PKI及SSL协议分析

  填写单位与部门信息:

  PKI及SSL协议分析

  填写公用名称,由于在本环境中没有使用DNS服务器,没有域名因此使用IP地址访问,在公用名称中输入本机的IP地址,如果名称错误,后面过程中会出现问题,因此应仔细核对:

  PKI及SSL协议分析

  在下一步中输入证书的相关信息:

  PKI及SSL协议分析

  可以使用默认的文件名,但要记住存放地址:

  PKI及SSL协议分析

  确认信息后,完成请求证书的设置。

       接下来申请证书。

       打开浏览器,输入刚才我们搭建的证书服务器地址:

       Http://10.1.1.245/certsrv/ (在实验中根据自己情况填写IP),在证书服务页面点击“申请一个证书”

  PKI及SSL协议分析

  在下图的页面中点击“高级证书申请”:

  PKI及SSL协议分析

  在出现的页面中选择第二个“使用base64编码的CMC……”

  PKI及SSL协议分析

   PKI及SSL协议分析

  打开前面步骤建立的文本文件,将文本文件的内容复制到页面中,并提交:

  PKI及SSL协议分析

  会出现等待管理员审核批准的页面。

 2、证书的颁发

  证书的颁发在证书服务器中操作,接下来的操作是证书审核员的角色,切换到CA服务器,点击“开始”>>“管理工具”>>“证书颁发机构”:

  PKI及SSL协议分析

  可以在挂起的申请中看到刚才我们的申请:

  PKI及SSL协议分析

  右键所有任务,选择“颁发”:

  PKI及SSL协议分析

  颁发后可以在“颁发的证书”中看到,如下图:

  PKI及SSL协议分析

 3、下载并应用证书

  本操作是网站主机上。

  PKI及SSL协议分析

  可以看到,证书已经审核通过,可以下载了:

  PKI及SSL协议分析

  点击“保存的申请证书”,进入到下一页面:

  PKI及SSL协议分析

  选择“Base 64编码”,并点击“下载证书”:

  PKI及SSL协议分析

  将证书保存到桌面,以便查找,可以看到桌面上的证书文件。

  再进入到默认网站属性,选择“目录安全性”,单击“服务器证书”:

  PKI及SSL协议分析

  进入Web服务器证书向导,点击下一步:

  PKI及SSL协议分析

   PKI及SSL协议分析

  在“处理挂起请求”中选择“浏览”,选择刚才下载的证书文件,并打开,下一步,使用默认的443端口,点击下一步:

  PKI及SSL协议分析

  继续下一步,完成向导。

  打开默认网站属性,选择“目录安全性”标签,单击“编辑”

  PKI及SSL协议分析

  选择“要求安全通道”,确定:

   PKI及SSL协议分析

 

3)访问HTTPS服务器

  在“CA服务器”中打开已经申请了HTTPS服务的网站:

  PKI及SSL协议分析

  输入https://10.1.1.196 (按照实际情况),会出现一个证书安全问题的确认,单击“是”,进行浏览:

  PKI及SSL协议分析

  可以看到能够通过HTTPS协议浏览。

 

三、心得体会

通过本次实验,我理解了证书的发放过程,并且在配置证书后,了解了如何通过使用HTTPS协议访问网站以验证证书发放结果。

 

四、分析与思考

1)通过本实验,论述本实验中有哪些角色?他们的任务分别是什么?

答:①CA服务器:CA,证书库,使用证书的网站

  ②网站主机:使用网站WEB服务的用户

 

2)对数据包进行分析,比较使用HTTP和HTTPS有什么不同?

答:1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。

  2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。

  3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

  4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议

 

3)实验中我们是自己给自己签发证书,而且名称单位完全可以随意编造,同学可以尝试伪造别人的自签名证书,看看有什么反应。浏览器会不会识别出来。

答:对于百度和谷歌这类严格检查证书的网站,浏览器会识别出来。

 

4)12306也使用了自签证书,而且要求我们把它存入“受信任的根证书颁发机构”,这么做对12306网站有什么好处,对用户有什么坏处?

 答:好处:12306网站可以避免用户数据出现泄漏。

   坏处:如果 SRCA 根证书私钥泄露那么攻击者不但可伪造12306证书进行劫持,同时还可以伪造任意网站进行劫持。

 

5)网上有很多收费的电子认证服务,可以提供证书颁发,那么使用这种证书的安全性如何?有没有脆弱点?

答:安全性不一致。一些较为权威的机构比较安全,而一些小机构则较为不安全。

 

五、答题

PKI及SSL协议分析

 

上一篇:instanceof


下一篇:PKI及SSL协议分析