基于webSSL应用.docx
《基于webSSL应用.docx》由会员分享,可在线阅读,更多相关《基于webSSL应用.docx(56页珍藏版)》请在冰豆网上搜索。
基于webSSL应用
贵州大学实验报告(小三号,加黑)
学院:
计算机科学与技术专业:
信息安全班级:
121
姓名
饶永明
学号
1208060066
实验组
实验时间
6.15
指导教师
蒋朝惠
成绩
实验项目名称
基于web的SSL应用
实验目的
1、通过实验深入了解SSL的工作原理,熟练掌握windows2000server/server2003环境下CA系统和SSL连接的配置和使用方法。
2、给IIS配置SSL,给指定Web站点利用SSL加密HTTP通道。
实验原理
SSL:
SecureSocketLayer,安全套接层。
采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性,可以在服务器和客户机两端同时实现支持。
在客户端和服务器间传输的数据是通过使用对称算法进行加密的,公用密钥算法是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥。
有了服务器的SSL数字证书,客户端也可以验证服务器的身份。
SSL协议版本1和2提供了服务器认证,版本3添加了客户端认证,此认证同时需要客户端和服务器的数字证书。
SSL总是由客户端启动的。
在SSL会话开始时执行SSL握手。
此握手产生会话的密码参数。
下图为SSL的客户端与服务器的认证握手过程:
实验仪器
1、装有windows2000server/server2003操作系统的服务器一台;
2、装有windows2000/xp(含IE)的客服机若干台;
3、服务器和客户机通过hub或交换机连接成局域网;
实验内容与步骤
任务一:
Windows坏境下独立根CA的安装和使用。
1.独立根CA的安装
①单击【开始】,选择【设置】→【控制面板】→【添加/删除程序】,在打开的窗口中单击【添加/删除Windows组件】。
在打开的对话框中,选择【证书服务】,单击【下一步】开始安装。
②在弹出的配置窗口中,选择【独立根CA】,单击【下一步】。
一次填入CA的名称。
单位、部门、城市、电子邮件、描述、有效期限。
单击【下一步】,在打开的运行窗口中填入数据的存储位置,单击【下一步】。
③打击【开始】,选择【程序】→【管理工具】,此时可在该菜单中找到【证书颁发机构】,说明CA的安装已经完成、
2.通过Web页面申请证书
①在局域网的另一台计算机打开IE在地址栏中输入http:
//根CA的IP/certsrv,在出现的页面中选中【证书申请】,单击【下一步】,开始证书的申请。
②在打开的页面中选择【用户证书申请】页面中的【Web浏览器证书】,即该证书用于获得基于SSL协议的Web页面访问权限。
③在打开的窗口中填入用户的身份信息,完成后单击【提交】。
然后单击【是】,技不如人证书挂起页面,等待根CA发布该证书。
3.证书发布
①在根CA所在的计算机上,单击【开始】,选择【程序】→【管理工具】→【证书办法机构】,在打开的菜单中选择【待定申请】,上一步申请的证书出现在窗口右侧。
②在证书上右击,在弹出的快捷菜单中选择【颁发】。
进行证书颁发。
③证书办法后将从【待定申请】转入到【颁发证书】文件夹,表示证书颁发完成。
4.证书的下载安装
①在证书申请的计算机上打开InternetExplore浏览器,在地址栏中输入http:
//根CA的IP/certsrv,进入证书申请页面。
选择【检查挂起的证书】,看看CA是否颁发了证书。
②在打开的页面中选择已经提交的证书申请,单击【下一步】。
③如果颁发机构已将证书颁发,将进入证书发布页面。
④单击【安装此证书】,弹出系统提示,这里是由于没有下载安装CA系统根证书。
⑤先单击【是】,完成证书的安装。
⑥在地址栏中输入http:
//根CA的IP/certsrv,进入证书申请页面。
选择【检索CA证书或者证书吊销】,然后单击【下载CA证书】超链接。
⑦下载完毕后,可查看证书,单击【安装证书】,进入证书向导,采用默认设置,导入成功后单击【确定】。
任务二:
证书管理服务
1.停止/启动证书服务
右击CA公共名称结点,在弹出的快捷菜单中选择【所有任务】→【停止服务】,即可停止证书服务,选择【启动服务】则可以启动。
2.CA还原/备份
右击CA公共名称结点,在弹出的快捷菜单中选择【所有任务】→【备份CA】。
即进入【证书颁发机构备份向导】,单击【下一步】。
在打开的备份项目中选择要备份的项目和文件夹,单击【下一步】。
接着可以输入保护私钥和证书文件的密码,打击【下一步】。
单击备份向导菜单中的【完成】,即完成备份。
CA的还原需先停止CA服务,然后右击CA公共名称结点,在弹出的快捷菜单中选择【所有任务】→【还原CA】。
即进入【证书颁发机构备份向导】,单击【下一步】。
在打开的选择还原项目对话框中,选择要还原的项目和证书文件所在的文件夹单击【下一步】,接着可以输入保护私钥和证书文件的密码,这个密码是CA备份时设置的,单击【下一步】,击还原向导菜单中的【完成】,即完成还原。
3.证书的废除
右击颁发的证书中需要废除的证书,在弹出的快捷菜单中选择【所有任务】→【吊销证书】,咋爱打开吊销对话框中选择吊销的理由后,单击【是】,该证书就转移到了【吊销证书】的文件夹中。
4.证书吊销列表的创建
右击【吊销的证书】文件夹,在弹出的快捷菜单中选择【所有任务】→【发行】。
查看创建的证书吊销列表,右击【吊销的证书】文件夹,选择【属性】,打开【证书吊销列表】,在【常规】菜单中显示了证书吊销列表颁布者的信息,在【吊销列表】中显示了证书信息。
任务三:
配置基于Web的SSL连接
1.为Web服务器申请证书
①单击【开始】按钮。
选择【程序】→【管理工具】→【Internet服务管理器】,在打开的窗口左侧菜单中右击【默认Web站点】,选择【属性】。
②在打开的对话框中选择【目录安全性】选项卡,单击【安全通信】选项组中的【服务器证书】。
③在出现的欢迎使用Web服务器证书向导中,单击【下一步】,选择【创建一个新证书】,单击【下一步】。
④在打开的对话框中输入证书名称,单击【下一步】。
2.提交Web服务器证书
①在服务器所在的计算机上打开InternetExplore浏览器,在地址栏中输入http:
//根CA的IP/certsrv,在打开的页面中选择【申请证书】,单击【下一步】。
②选择【高级申请】,单击【下一步】。
③在打开的页面中选择【Base64编码方式】,单击【下一步】。
④单击【浏览】,找到证书请求文件,并把它插入到【证书申请】框内。
单击【提交】。
进入提交成功页面。
3.服务器证书的颁布和安装
实现步骤和任务一中3、4一样。
4.客户端证书的申请、颁布和安装
实现步骤和任务一中2、3、4一样。
5.为配置SSL的普通Web连接的安全性
①在配置SSL设置前,打开Sniffer,检测Web服务器的网络流量。
②在客户端访问服务器的证书申请网页http:
//根CA的IP/certsrv,使用Sniffer检测数据包。
6.在服务器上配置SSL
①在单击【开始】,→【管理工具】→【Internet服务管理器】,在打开的窗口左侧菜单中右击【默认Web站点】,选择【属性】。
②在打开的对话框中选择【目录安全性】选项卡,单击【安全通信】选项组中的【查看证书】。
③单击【确定】后返回到【目录安全性】,单击【安全通信】中的【编辑】按钮。
再选择【申请安全通道(SSL)】。
并在【客户证书】选项中选择【接受客户证书】,单击【确定】。
④返回到【目录安全性】,单击【应用】及【确定】,完成配置。
7.客户端通过SSL与服务器建立连接
①打开Sniffe的数据包检测窗口。
②在客户端计算机上打开IE,若仍在地址栏输入http:
//certsrv,则显示“该网页必须通过安全频道查看”,要求采用HTTPS协议连接服务器端。
③输入http:
//certsrv,单击提示窗口中的“确定”,弹出证书选择窗口。
④再用Sniffe检测数据包,查看结果。
任务四:
给指定Web站点利用SSL加密HTTP通道
①在Windows2003Server桌面上选择【开始】,→【设置】→【控制面板】,双击【添加/删除Windows组件】,打开【Windows组件向导】。
选中【证书服务】,单击【下一步】。
打开【证书颁发机构类型】。
②选择【独立根CA】,单击【下一步】。
③安装完成后,启动IIS管理器来申请一个数字证书,启动Internet服务管理器选择需要配置的Web站点,www.isfocus,net。
打开【www.isfocus,net属性】。
④在【www.isfocus,net属性】中,选择【目录安全性】,在【安全通信】中单击【服务器证书】,打开【IIS证书向导】。
⑤通过【Web服务器证书向导】申请Web证书,需选择【创建一个新证书】,单击【下一步】。
⑥启动IE,在地址栏中输入证书颁发机构的地址,按照“证书申请→高级申请→使用Base64编码证书的CMC或PKCS#10文件提交一个证书申请,或使用Base64编码证书的CMC或PKCS#10文件续订证书申请”。
在【提交一个保存的申请】网页中,将保存的文件文本内容复制到【Base64编码证书申请】栏中,完成提交。
⑦打开控制面板中的“管理工具”,在【证书办法机构】中,颁发待定申请的证书,然后在【颁发的证书】里找到刚颁发的证书并右击,打开【证书】,在【详细信息】中单击【复制到文件】。
⑧在【证书导出向导中】的“导出文件格式”对话框中选择【DER编码二进制X.509(D)】,保存为sql.cer文件。
⑨回到IIS的Web管理界面选择证书申请,打开【IIS证书向导】,选择已经导出的sql.cer文件。
⑩单击【下一步】完成SSL的安装。
在【安装通信】中选择【申请安全通道】。
(11)默认安装结束后,需要自己给站点SSL指定加密通道,并且确定HTTPS使用端口,在【Web站点】中将SSL端口设置为332.
(12)第一次通过HTTPS进入站点,会有一个对话框让我们确认是否同意当前证书。
完成操作后,在登陆时,所有网上的信息都是以加密的方式来传递的,任何人都无法在轻易了解其中内容。
任务一:
windows环境下独立根CA的安装和使用
(1)、独立根CA安装
2、通过web页面申请证书
3、证书发布
(4)、证书的下载安装
1、打开浏览器检查
2、选择已经提交的证书申请
安装此证书
证书完成安装
安装CA根证书
安装证书
任务二:
证书服务管理
(1)停止/启动证书服务
(2)CA备份/还原
还原
(3)证书废除
(4)证书吊销列表创建
任务三:
配置基于Web的SSL连接
(1)、为Web服务器申请证书
(2)提交Web服务证书
(3)服务器证书的颁布和安装
(4)客户端证书的申请、颁发、安装
(5)未配置SSL的普通Web连接的安全性
(6)在服务器上配置SSL
(7)、客户端通过SSL与服务器建立连接
任务四:
给指定Web站点利用SSL加密HTTP通道
实验总结
思考题:
1.利用协议分析工具(如Sniffer)对SSL协议数据进行分析,指出其优缺点。
答:
通过用Sniffer工具在访问过程中对网络数据进行抓包,可以看到,在没有SSL安全通道机制的访问中,信
升级会员 