PKI及SSL协议分析学习记录

任务一：搭建CA服务器

1、远程桌面方式登录到CA服务器，在CMD下查看本机IP地址：

2、安装证书服务

依次点击：“开始”->>“控制面板”->>“添加或删除程序”，以打开添加或删除程序对话框

依次点击：“添加删除windows组件”，在组件向导中选中“应用程序服务器”与“证书服务”，先不要点击下一步：

 

双击“应用程序服务器”，选中“ASP.NET”与“Internet信息服务（IIS）”，如下图：

 

点击“确定”开始安装，在出现的对话框中选择“独立根”，继续安装过程

 

 

下一步后，会出现证书数据库的相关设置，不用修改，继续下一步，

单击下一步后进行安装，在安装过程中会提示“输入磁盘”，按照安装IIS的方式，单击“浏览”、找到文件，确定完成安装。

（浏览到桌面-win2003-I386目录下）

 

安装完成后会发现有管理工具中多了“Internet信息服务（IIS）”，找到并打开：

 

 

 右键“默认网站”，选择“属性”：

 

 

证书服务器搭建完成。

 

任务二：搭建HTTPS服务器

 

1、证书申请

 

      登录到要搭建https服务的“网站”主机，查看IP：

 

按照搭建CA服务器的方法安装IIS，区别是只选择“应用程序服务器”

 

 

安装完成后，打开IIS，右键“默认网站”，选择“属性”：

 

会出现安装向导，点击下一步：

 

保持默认选项“新建证书”不动，继续下一步：

 

 

 

填写公用名称，由于在本环境中没有使用DNS服务器，没有域名因此使用IP地址访问，在公用名称中输入本机的IP地址，如果名称错误，后面过程中会出现问题，因此应仔细核对：

 

在下一步中输入证书的相关信息：

 

确认信息后，完成请求证书的设置。

      接下来申请证书。

      打开浏览器，输入刚才我们搭建的证书服务器地址：

 

 

 

 

 打开前面步骤建立的文本文件，将文本文件的内容复制到页面中，并提交：

 

 会出现等待管理员审核批准的页面。

 

2、证书的颁发

      证书的颁发在证书服务器中操作，接下来的操作是证书审核员的角色，切换到CA服务器，点击“开始”>>“管理工具”>>“证书颁发机构”:

 

右键所有任务，选择“颁发”，颁发后可以在“颁发的证书”中看到，如下图：

 

3、下载并应用证书

      本操作是网站主机上。

 

可以看到，证书已经审核通过，可以下载了：

 

 

 

将证书保存到桌面，以便查找，可以看到桌面上的证书文件。

       再进入到默认网站属性，选择“目录安全性”，单击“服务器证书”：

 

进入Web服务器证书向导，点击下一步：

 

 

在“处理挂起请求”中选择“浏览”，选择刚才下载的证书文件，并打开，下一步，使用默认的443端口，点击下一步

继续下一步，完成向导。

打开默认网站属性，选择“目录安全性”标签，单击“编辑”

 

任务三：访问HTTPS服务器

      在“CA服务器”中打开已经申请了HTTPS服务的网站：

 

HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全，为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。简单来说，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

　　HTTPS和HTTP的区别主要如下：

　　1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

　　2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

　　3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

　　4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。