(一)實驗簡介
實驗所屬系列:安全協議應用與分析/網絡安全與防護
實驗對象:本科/專科信息安全專業
相關課程及專業:信息網絡安全概論、網絡攻擊與防御技術、計算機網絡
實驗時數(學分):2學時
實驗類別:實踐實驗類
(二)實驗目的
通過該實驗了解和掌握證書服務的安裝,理解證書的發放過程,掌握在WEB服務器上配置SSL, 使用HTTPS協議訪問網站以驗證結果,最后對HTTPS協議進行分析。
(三)預備知識
PKI
PKI是Public Key Infrastructure的縮寫,是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。PKI是由硬件、軟件、策略和人構成的系統,當完善實施后,能夠為敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真實性和不可否認。
PKI的基本組成,完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口(API)等基本構成部分,構建PKI也將圍繞着這五大系統來着手構建。
數字證書,是互聯網通訊中標志通訊各方身份信息的一系列數據,提供了一種在Internet上驗證身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構-----CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。
HTTPS
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。
(四)實驗環境
本實驗中自己指定CA服務器與申請證書的網站。
實驗過程中建議使用IE瀏覽器,如果不使用IE,可能會導致后續實驗過程中證書不能下載。
(五)實驗步驟
任務一:搭建CA服務器
本任務初步了解CA服務器的原理和配置過程。操作都在CA服務器上。
1、遠程桌面方式登錄到CA服務器,在CMD下查看本機IP地址:
.
注:在本例中CA服務器IP為10.1.1.245,但在做實驗過程中,IP可能會出現變動,要記住自己CA的IP,在后面實驗過程中填寫自己的IP,否則實驗可能失敗。
2、安裝證書服務
依次點擊:“開始”->>“控制面板”->>“添加或刪除程序”,以打開添加或刪除程序對話框:
依次點擊:“添加刪除windows組件”,在組件向導中選中“應用程序服務器”與“證書服務”,先不要點擊下一步:
雙擊“應用程序服務器”,選中“ASP.NET”與“Internet信息服務(IIS)”,如下圖:
點擊“確定”開始安裝,在出現的對話框中選擇“獨立根”,繼續安裝過程
選擇相關的參數,如下圖:
下一步后,會出現證書數據庫的相關設置,不用修改,繼續下一步:
單擊下一步后進行安裝,在安裝過程中會提示“輸入磁盤”,按照安裝IIS的方式,單擊“瀏覽”、找到文件,確定完成安裝。
在安裝完成后會提示啟用Active Server Page,點擊“確定”
安裝完成后會發現有管理工具中多了“Internet信息服務(IIS)”,找到並打開:
右鍵“默認網站”,選擇“屬性”:
會出現屬性對話框,在對話框中IP地址選擇為本機IP(一般IP已經存在,不用手工輸入),並點擊確定:
打開瀏覽器輸入 http://10.1.1.245/certsrv/ 可以瀏覽證書服務器
至此,證書服務器搭建完成。
任務二:搭建HTTPS服務器
1、證書申請
登錄到要搭建https服務的“網站”主機,查看IP:
按照搭建CA服務器的方法安裝IIS,區別是只選擇“應用程序服務器”
安裝完成后,打開IIS,右鍵“默認網站”,選擇“屬性”:
在“默認網站屬性”中選擇“目錄安全性”標簽,點擊“服務器證書”:
會出現安裝向導,點擊下一步:
出現如下對話框,保持默認選項“新建證書”不動,繼續下一步:
繼續保持默認選項,單擊下一步:
填寫單位與部門信息:
填寫公用名稱,由於在本環境中沒有使用DNS服務器,沒有域名因此使用IP地址訪問,在公用名稱中輸入本機的IP地址,如果名稱錯誤,后面過程中會出現問題,因此應仔細核對:
在下一步中輸入證書的相關信息:
可以使用默認的文件名,但要記住存放地址:
確認信息后,完成請求證書的設置。
接下來申請證書。
打開瀏覽器,輸入剛才我們搭建的證書服務器地址:
Http://10.1.1.245/certsrv/ (在實驗中根據自己情況填寫IP),在證書服務頁面點擊“申請一個證書”
在下圖的頁面中點擊“高級證書申請”:
在出現的頁面中選擇第二個“使用base64編碼的CMC……”
打開前面步驟建立的文本文件,將文本文件的內容復制到頁面中,並提交:
會出現等待管理員審核批准的頁面。
2、證書的頒發
證書的頒發在證書服務器中操作,接下來的操作是證書審核員的角色,切換到CA服務器,點擊“開始”>>“管理工具”>>“證書頒發機構”:
可以在掛起的申請中看到剛才我們的申請:
右鍵所有任務,選擇“頒發”, 頒發后可以在“頒發的證書”中看到,如下圖:
3、下載並應用證書
本操作是網站主機上。 可以看到,證書已經審核通過,可以下載了:
點擊“保存的申請證書”,進入到下一頁面:選擇“Base 64編碼”,並點擊“下載證書”: 將證書保存到桌面,以便查找,可以看到桌面上的證書文件。再進入到默認網站屬性,選擇“目錄安全性”,單擊“服務器證書”:
進入Web服務器證書向導,點擊下一步:
在“處理掛起請求”中選擇“瀏覽”,選擇剛才下載的證書文件,並打開,下一步,使用默認的443端口,點擊下一步:
繼續下一步,完成向導。
打開默認網站屬性,選擇“目錄安全性”標簽,單擊“編輯”
選擇“要求安全通道”,確定:
任務三:訪問HTTPS服務器
在“CA服務器”中打開已經申請了HTTPS服務的網站:
輸入https://10.1.1.196 (按照實際情況),會出現一個證書安全問題的確認,單擊“是”,進行瀏覽:可以看到能夠通過HTTPS協議瀏覽。
(六)分析與思考
(1)有哪些角色和他們的用處
CA,證書庫,使用證書的網站
(2)比較http和https的不同
1、HTTPS 協議需要到 CA (Certificate Authority,證書頒發機構)申請證書,一般免費證書較少,因而需要一定費用。(以前的網易官網是http,而網易郵箱是 https 。)
2、HTTP 是超文本傳輸協議,信息是明文傳輸,HTTPS 則是具有安全性的 SSL 加密傳輸協議。
3、HTTP 和 HTTPS 使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
4、HTTP 的連接很簡單,是無狀態的。HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網絡協議,比 HTTP 協議安全。(無狀態的意思是其數據包的發送、傳輸和接收都是相互獨立的。無連接的意思是指通信雙方都不長久的維持對方的任何信息。)
