SSL技术.docx

SSL技术.docx

《SSL技术.docx》由会员分享，可在线阅读，更多相关《SSL技术.docx（16页珍藏版）》请在冰豆网上搜索。

SSL技术

实验四WEBSSL实验

一、实验目的

数字证书主要应用于各种需要身份认证的场合，目前广泛应用于网上银行、网上交易等商务应用外，数字整数还可以应用于发送安全电子邮件、加密文件等方面。

通过实验，使学生了解PKI的体系结构，证书机构CA的安装和配置，通过证书机构CA管理证书的方法，掌握数字证书的申请与安装，数字证书在网站、电子邮件的加密与认证等方面的应用。

二、实验描述

使用WindowsServer2003建立数字证书颁发机构CA，处理并颁发客户证书和服务器证书；浏览器和Web服务器之间通过数字证书实现身份识别与加密通信。

三、实验要求

理解数字证书的原理和作用，能够建立CA并进行数字证书的颁发，能够申请、安装、使用Web服务器证书和客户证书，能够申请、安装、使用电子邮件证书。

四、相关知识

随着Internet的分布越来越广泛，安全问题也日益突出，保护传送数据的需求也越来越强烈。

在今天的Internet上，最常见的安全是通过使用数字证书实现的。

数字证书可以在一个不信任的网络上辨识一个客户和服务器，并且可以加密数据。

目前，随着计算机技术、网络技术的发展，使得社会生活中传统的犯罪和不道德行为更加隐蔽和难以控制。

人们从面对面的交易和作业、变成网上互相不见面的操作、没有国界、没有时间限制，可以利用互联网的资源和工具进行访问、攻击甚至破坏。

1）安全认证中心（ＣＡ）、数字证书简介

数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，是由一个由权威机构-----CA机构，又称为证书授权（CertificateAuthority）中心发行的。

数字证书是一个经证书授权中心数字签名的包含客户的公钥等与客户身份相关的信息，如：

客户唯一可识别名等等。

同时ＣＡ也可以提供时间戳、密钥管理及证书作废表（ＣＲＬ）等服务。

作为安全网络的公证机构，为了维护网络用户间的安全通信，ＣＡ必须行使以下职能：

（1）管理和维护客户的证书和ＣＲＬ

（2）维护自身的安全

（3）提供安全审计的依据

在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。

因此，作为网络可信机构的证书管理设施，ＣＡ的主要职能就是管理和维护它所签发的证书，提供各种证书服务，包括：

证书的签发、更新、回收、归档等等。

在各类证书服务中，除了证书的签发过程需要人为参与控制外，其他服务都可以利用通信信道通过用户与ＣＡ交换证书服务消息进行。

ＣＡ系统的主要功能是管理其辖域内的用户证书，因此，ＣＡ系统功能及ＣＡ证书的应用紧紧围绕证书的管理而展开。

一个标准的X.509数字证书包含以下一些内容：

（1）证书的版本信息；

（2）证书的序列号，每个证书都有一个唯一的证书序列号；

（3）证书所使用的签名算法；

（4）证书的发行机构名称，命名规则一般采用X.500格式；

（5）证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；

（6）证书所有人的名称，命名规则一般采用X.500格式；

（7）证书所有人的公开密钥；

（8）证书发行者对证书的签名。

2）数字证书的用途

数字证书可以应用于公众网络上的商务活动和行政作业活动，包括支付型和非支付型电子商务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务海关、出入境检验检疫、政府行政办公、教育科研单位、保险、医疗等网上作业系统。

由于Internet电子商务系统技术使在网上交易各方能够极其方便轻松地获得政府、机构、商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。

交易各方在网上的一切行为都必须是真实可靠的，并且要使顾客、商家、企业和机构等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须依靠数字证书保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。

每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。

当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。

通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。

在公开密钥密码体制中，常用的一种是RSA体制。

其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。

即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。

按现在的计算机技术水平，要破解目前采用的1024RSA密钥，需要上千年的计算时间。

公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。

购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。

五实验步骤

实验内容一：

用SSL和数字证书实现安全Web访问

1）建立认证中心CA

1．使用管理员登录到ＤＣ

2．单击控制面板中的“添加或删除程序”，在windows组件向导勾选“证书服务”复选框，单击弹出的对话框“是”按扭，下一步

3．在打开的“CA类型”对话框中选中“独立根（CA）”单选框，单击“下一步”按钮，如图所示。

4．在出现的“公钥/私钥对”中保持默认值，下一步

5．在“ＣＡ识别信息”窗口中输入ＣＡ的名称“zolersite”下一步

6．保持证书数据库及其是志信息的位置默认值，单击“下一步”按扭，在随后的需要停止Internet信息服务的对话框中，单击“是”

7．接着系统将会配置ＣＡ服务，在出现的安装完成窗口中单击“完成”

2）生成申请Web站点数字证书的文件

首先安装web服务器

一、安装IIS6.0及Web服务组件

（1）在“控制面板”窗口中双击“添加/删除程序”图标，此时将看见图1所示的界面。

在这里可以看见左边区域中有3个可供选择的按钮，单击“添加/删除Windows组件”按钮开始添加或删除WindowsServer2003的组件。

图1“添加/删除程序”界面

（2）在图2所示安装组件的向导对话框中选中“应用程序服务器”选项来确定安装的内容。

图2选中“应用程序服务器”选项

（3）单击“详细信息”按钮对所安装的组件进行选取，在如图3所示的对话框中选中“Internet信息服务（IIS）”一项。

图3选中“Internet信息服务（IIS）”选项

（4）单击“详细信息”按钮，可以看见万维网服务中包含了几个常用的组件，比如万维网服务（对使用HTTP协议和兼容的Web浏览器的远程客户发行程序和文档）、ActiveServerPages（ASP服务）、远程管理（HTML）（远程管理WWW服务器）等，如图4所示。

图4IIS6.0组件内容

（5）此时可以查看到IIS6.0所包含的各种组件，再次选取“万维网服务”一项，如图5所示。

图5万维网服务内容

（6）单击“下一步”按钮之后，系统对刚才选取的组件进行安装，并会提示插入Windows2003的安装光盘或者是确定相应的文件夹路径，如图6所示。

图6安装IIS界面

（7）在出现如图7所示的界面是就说明IIS6.0已经成功地安装好了。

图7完成IIS安装

本操作在Web服务器端进行。

具体步骤是：

（1）启动Web服务器的“Internet信息服务”

（2）在“Internet信息服务”中，右击Myweb站点名，选择快捷菜单的“属性”命令，出现“Myweb属性”对话框

（3）单击“Myweb属性”对话框中“目录安全性”页标签,再单击“服务器证书”按钮。

（4）在“IIS证书向导”对话框中，按提示，依次选择“创建一个新证书”，“现在准备请求，但稍候发送”等，设置有关属性，将最后的证书申请以文本文件保存，假设文件名为：

C:

\\certreq.txt。

（5）最后单击“完成”即可。

3）生成服务器证书，在Web服务器端依次执行：

（1）首先，将证书申请文件内容复制到剪切板。

方法是，用记事本打开C:

\\certreq.txt，查看申请文件内容。

可以看到这是一个纯文本文件，以PKCS＃10编码格式保存，首尾两行为申请的开始与结束。

选择“编辑/全选”，再选择“编辑/复制”即可。

（2）启动IE,在地址栏打入命令:

http:

//10.0.0.1/certsrv；

（3）选择“申请证书”，单击“下一步”；

（4）选择申请类型为“高级申请”，单击“下一步”；

（5）选择第2项“使用Base64编码的PKCS＃10文件提交一个证书申请，或使用Base64编码的PKCS＃7文件更新证书申请”，单击“下一步”；

（6）右击中间“Base64编码证书申请”右边的编辑框，选择快捷菜单项“粘贴”，将证书申请内容粘贴进去；

（7）单击“提交”按钮，则完成申请功能。

（8）打开证书服务器的“证书颁发机构”*“待定申请”，对申请点击右键，选择“颁发”。

（9）在Web服务器启动IE,在地址栏打入命令:

http:

//10.0.0.1/certsrv，你可以选择“检索CA证书或证书吊销列表”等提示（见图3.6.4），点击“下一步”；

（10）选择“Base64编码”，点击“下载CA证书”（见图3.6.5），将证书以mywebcert.cer为文件名保存在桌面上。

图3.6.4认证申请对话框

图3.6.5证书安装对话框

4）安装服务器证书

（1）再进入到Web服务器，进入“myweb属性”对话框中，单击“服务器证书”，在“IIS证书向导”对话框中，按提示操作即可安装服务器证书。

步骤如下：

（2）选择“处理挂起的请求并安装证书”；

（3）输入证书文件名时，单击“浏览”，选择桌面上的文件“mywebcert”（即存放刚才生成的服务器证书的文件）,单击“打开”，直到出现“完成”对话框时，单击“完成”按钮即完成证书安装。

5）实现对IIS相关目录的安全访问

对IIS相关目录单击右键“属性”，选择“目录安全性”，在“匿名访问和验证控制”中选择“匿名访问”，然后在“安全通信”中选择“编辑”进入图3.6.6界面，在选择框中选“申请安全通道（SSL）”选项，再选择“接收客户证书”选项。

（如图3.6.7所示）。

图3.6.6目录安全性选项对话框

图3.6.7安全通信编辑对话框

6）申请并安装客户端证书

在用户申请中有Web浏览器证书时，步骤如下：

（1）启动IE,在地址栏打入命令:

http:

//10.0.0.1/certsrv；进入图3.6.4认证申请对话框；

（2）单击“下一步”，在“用户证书申请”框中选择“Web浏览器证书”，单击“下一步”，在“标识信息”页面填写相关的信息，单击“提交”，则完成客户证书的申请。

（3）在证书颁发服务器打开“证书颁发机构”，在“待定申请”中将会发现有一新的申请，将其颁发，则完成客户证书的颁发。

（4）在客户端重新输入http:

//10.0.0.1/certsrv并回车，选择“检查挂起的证书”，单击“下一步”，选择要下载的证书，单击“下一步”，选择“安装此证书”，则完成客户证书的安装过程。

7）使用https访问Web服务器

（1）在Web服务器建立并设置默认主页。

（2）访问安全Web的方式如下：

在安装了客户证书的主机启动IE，在地址栏输入Web服务器的地址：

”https:

//10.0.0.1”，按回车键，在弹出的对话框选择所申请的证书，即可访问该Web服务器。

六、实验思考

1、建立认证中心CA应考虑哪些方面的问题？