基于webSSL应用.docx

1、基于webSSL应用贵州大学实验报告（小三号，加黑）学院：计算机科学与技术 专业： 信息安全 班级：121姓名饶永明学号1208060066实验组实验时间6.15指导教师蒋朝惠成绩实验项目名称基于web的SSL应用实验目的1、通过实验深入了解SSL的工作原理，熟练掌握windows 2000 server/server 2003环境下CA系统和SSL连接的配置和使用方法。2、给IIS配置SSL，给指定Web站点利用SSL加密HTTP通道。实验原理 SSL：Secure Socket Layer，安全套接层。采用公开密钥技术，其目标是保证两个应用间通信的保密性和可靠性，可以在服务器和客户机两端同

2、时实现支持。 在客户端和服务器间传输的数据是通过使用对称算法进行加密的，公用密钥算法是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL协议版本1和2提供了服务器认证，版本3添加了客户端认证，此认证同时需要客户端和服务器的数字证书。 SSL总是由客户端启动的。在SSL会话开始时执行SSL握手。此握手产生会话的密码参数。下图为SSL的客户端与服务器的认证握手过程：实验仪器1、装有windows 2000 server/server 2003操作系统的服务器一台；2、装有windows 2000/xp（含

3、IE）的客服机若干台；3、服务器和客户机通过hub或交换机连接成局域网；实验内容与步骤任务一：Windows坏境下独立根CA的安装和使用。1.独立根CA的安装单击【开始】，选择【设置】【控制面板】【添加/删除程序】，在打开的窗口中单击【添加/删除Windows组件】。在打开的对话框中，选择【证书服务】，单击【下一步】开始安装。在弹出的配置窗口中，选择【独立根CA】，单击【下一步】。一次填入CA的名称。单位、部门、城市、电子邮件、描述、有效期限。单击【下一步】，在打开的运行窗口中填入数据的存储位置，单击【下一步】。打击【开始】，选择【程序】【管理工具】，此时可在该菜单中找到【证书颁发机构】，说明

4、CA的安装已经完成、2.通过Web页面申请证书在局域网的另一台计算机打开IE在地址栏中输入http:/根CA的IP/certsrv，在出现的页面中选中【证书申请】，单击【下一步】，开始证书的申请。在打开的页面中选择【用户证书申请】页面中的【Web浏览器证书】，即该证书用于获得基于SSL协议的Web页面访问权限。在打开的窗口中填入用户的身份信息，完成后单击【提交】。然后单击【是】，技不如人证书挂起页面，等待根CA发布该证书。3.证书发布在根CA所在的计算机上，单击【开始】，选择【程序】【管理工具】【证书办法机构】，在打开的菜单中选择【待定申请】，上一步申请的证书出现在窗口右侧。在证书上右击，在弹

5、出的快捷菜单中选择【颁发】。进行证书颁发。证书办法后将从【待定申请】转入到【颁发证书】文件夹，表示证书颁发完成。4.证书的下载安装在证书申请的计算机上打开Internet Explore浏览器，在地址栏中输入http:/根CA的IP/certsrv，进入证书申请页面。选择【检查挂起的证书】，看看CA是否颁发了证书。在打开的页面中选择已经提交的证书申请，单击【下一步】。如果颁发机构已将证书颁发，将进入证书发布页面。单击【安装此证书】，弹出系统提示，这里是由于没有下载安装CA系统根证书。先单击【是】，完成证书的安装。在地址栏中输入http:/ 根CA的IP/certsrv，进入证书申请页面。选择【

6、检索CA证书或者证书吊销】，然后单击【下载CA证书】超链接。下载完毕后，可查看证书，单击【安装证书】，进入证书向导，采用默认设置，导入成功后单击【确定】。任务二：证书管理服务1.停止/启动证书服务右击CA公共名称结点，在弹出的快捷菜单中选择【所有任务】【停止服务】，即可停止证书服务，选择【启动服务】则可以启动。2.CA还原/备份右击CA公共名称结点，在弹出的快捷菜单中选择【所有任务】【备份CA】。即进入【证书颁发机构备份向导】，单击【下一步】。在打开的备份项目中选择要备份的项目和文件夹，单击【下一步】。接着可以输入保护私钥和证书文件的密码，打击【下一步】。单击备份向导菜单中的【完成】，即完成备

7、份。CA的还原需先停止CA服务，然后右击CA公共名称结点，在弹出的快捷菜单中选择【所有任务】【还原CA】。即进入【证书颁发机构备份向导】，单击【下一步】。在打开的选择还原项目对话框中，选择要还原的项目和证书文件所在的文件夹单击【下一步】，接着可以输入保护私钥和证书文件的密码，这个密码是CA备份时设置的，单击【下一步】，击还原向导菜单中的【完成】，即完成还原。3.证书的废除右击颁发的证书中需要废除的证书，在弹出的快捷菜单中选择【所有任务】【吊销证书】，咋爱打开吊销对话框中选择吊销的理由后，单击【是】，该证书就转移到了【吊销证书】的文件夹中。4.证书吊销列表的创建右击【吊销的证书】文件夹，在弹出的

8、快捷菜单中选择【所有任务】【发行】。查看创建的证书吊销列表，右击【吊销的证书】文件夹，选择【属性】，打开【证书吊销列表】，在【常规】菜单中显示了证书吊销列表颁布者的信息，在【吊销列表】中显示了证书信息。任务三：配置基于Web的SSL连接1.为Web服务器申请证书单击【开始】按钮。选择【程序】【管理工具】【Internet服务管理器】，在打开的窗口左侧菜单中右击【默认Web站点】，选择【属性】。在打开的对话框中选择【目录安全性】选项卡，单击【安全通信】选项组中的【服务器证书】。在出现的欢迎使用Web服务器证书向导中，单击【下一步】，选择【创建一个新证书】，单击【下一步】。在打开的对话框中输入证书

9、名称，单击【下一步】。2.提交Web服务器证书在服务器所在的计算机上打开Internet Explore浏览器，在地址栏中输入http:/ 根CA的IP/certsrv，在打开的页面中选择【申请证书】，单击【下一步】。选择【高级申请】，单击【下一步】。在打开的页面中选择【Base64编码方式】，单击【下一步】。单击【浏览】，找到证书请求文件，并把它插入到【证书申请】框内。单击【提交】。进入提交成功页面。3.服务器证书的颁布和安装实现步骤和任务一中3、4一样。4.客户端证书的申请、颁布和安装实现步骤和任务一中2、3、4一样。5.为配置SSL的普通Web连接的安全性在配置SSL设置前，打开Snif

10、fer，检测Web服务器的网络流量。在客户端访问服务器的证书申请网页http:/ 根CA的IP/certsrv，使用Sniffer检测数据包。6.在服务器上配置SSL在单击【开始】，【管理工具】【Internet服务管理器】，在打开的窗口左侧菜单中右击【默认Web站点】，选择【属性】。在打开的对话框中选择【目录安全性】选项卡，单击【安全通信】选项组中的【查看证书】。单击【确定】后返回到【目录安全性】，单击【安全通信】中的【编辑】按钮。再选择【申请安全通道（SSL）】。并在【客户证书】选项中选择【接受客户证书】，单击【确定】。返回到【目录安全性】，单击【应用】及【确定】，完成配置。7.客户端通过

11、SSL与服务器建立连接打开Sniffe的数据包检测窗口。在客户端计算机上打开IE，若仍在地址栏输入http:/certsrv，则显示“该网页必须通过安全频道查看”，要求采用HTTPS协议连接服务器端。输入http:/certsrv，单击提示窗口中的“确定”，弹出证书选择窗口。再用Sniffe检测数据包，查看结果。任务四：给指定Web站点利用SSL加密HTTP通道在Windows 2003 Server桌面上选择【开始】，【设置】【控制面板】，双击【添加/删除Windows组件】，打开【Windows组件向导】。选中【证书服务】，单击【下一步】。打开【证书颁发机构类型】。选择【独立根CA】，单击

12、【下一步】。安装完成后，启动IIS管理器来申请一个数字证书，启动Internet服务管理器选择需要配置的Web站点，www.isfocus,net。打开【www.isfocus,net属性】。在【www.isfocus,net属性】中，选择【目录安全性】，在【安全通信】中单击【服务器证书】，打开【IIS证书向导】。通过【Web服务器证书向导】申请Web证书，需选择【创建一个新证书】，单击【下一步】。启动IE，在地址栏中输入证书颁发机构的地址，按照“证书申请高级申请使用Base64编码证书的CMC或PKCS#10文件提交一个证书申请，或使用Base64编码证书的CMC或PKCS#10文件续订证书

13、申请”。在【提交一个保存的申请】网页中，将保存的文件文本内容复制到【Base64编码证书申请】栏中，完成提交。打开控制面板中的“管理工具”，在【证书办法机构】中，颁发待定申请的证书，然后在【颁发的证书】里找到刚颁发的证书并右击，打开【证书】，在【详细信息】中单击【复制到文件】。在【证书导出向导中】的“导出文件格式”对话框中选择【DER编码二进制X.509（D）】，保存为sql.cer文件。回到IIS的Web管理界面选择证书申请，打开【IIS证书向导】，选择已经导出的sql.cer文件。单击【下一步】完成SSL的安装。在【安装通信】中选择【申请安全通道】。(11)默认安装结束后，需要自己给站点S

14、SL指定加密通道，并且确定HTTPS使用端口，在【Web站点】中将SSL端口设置为332.(12)第一次通过HTTPS进入站点，会有一个对话框让我们确认是否同意当前证书。完成操作后，在登陆时，所有网上的信息都是以加密的方式来传递的，任何人都无法在轻易了解其中内容。任务一：windows环境下独立根CA的安装和使用（1）、独立根CA安装2、通过web页面申请证书3、证书发布（4）、证书的下载安装1、打开浏览器检查2、选择已经提交的证书申请安装此证书证书完成安装安装CA根证书安装证书任务二：证书服务管理（1）停止/启动证书服务（2）CA备份/还原还原（3）证书废除（4）证书吊销列表创建任务三：配置基于Web的SSL连接（1）、为Web服务器申请证书（2）提交Web服务证书（3）服务器证书的颁布和安装（4）客户端证书的申请、颁发、安装（5）未配置SSL的普通Web连接的安全性（6）在服务器上配置SSL（7）、客户端通过SSL与服务器建立连接任务四：给指定Web站点利用SSL加密HTTP通道实验总结思考题：1.利用协议分析工具（如Sniffer）对SSL协议数据进行分析，指出其优缺点。答：通过用Sniffer工具在访问过程中对网络数据进行抓包，可以看到，在没有SSL安全通道机制的访问中，信