PKI及SSL协议分析
实验简介
实验所属系列:安全协议应用与分析/网络安全与防护
实验对象:本科/专科信息安全专业
相关课程及专业:信息网络安全概论、网络攻击与防御技术、计算机网络
实验时数(学分):2学时
实验类别:实践实验类
通过该实验了解和掌握证书服务的安装,理解证书的发放过程,掌握在WEB服务器上配置SSL, 使用HTTPS协议访问网站以验证结果,最后对HTTPS协议进行分析。
本实验要求实验者具备如下的相关知识。
PKI
PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI是由硬件、软件、策略和人构成的系统,当完善实施后,能够为敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真实性和不可否认。
PKI的基本组成,完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
数字证书,是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
HTTPS
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
本实验中自己指定CA服务器与申请证书的网站。
实验过程中建议使用IE浏览器,如果不使用IE,可能会导致后续实验过程中证书不能下载。
任务一:搭建CA服务器
本任务初步了解CA服务器的原理和配置过程。操作都在CA服务器上。
1、远程桌面方式登录到CA服务器,在CMD下查看本机IP地址:
2、安装证书服务
依次点击:“开始”->>“控制面板”->>“添加或删除程序”,以打开添加或删除程序对话框
依次点击:“添加删除windows组件”,在组件向导中选中“应用程序服务器”与“证书服务”,先不要点击下一步
双击“应用程序服务器”,选中“ASP.NET”与“Internet信息服务(IIS)”,如下图:
点击“确定”开始安装,在出现的对话框中选择“独立根”,继续安装过程
选择相关的参数,如下图:
下一步后,会出现证书数据库的相关设置,不用修改,继续下一步:
单击下一步后进行安装,在安装过程中会提示“输入磁盘”,按照安装IIS的方式,单击“浏览”、找到文件,确定完成安装。
(浏览到桌面-win2003-I386目录下)
在安装完成后会提示启用Active Server Page,点击“确定”
安装完成后会发现有管理工具中多了“Internet信息服务(IIS)”,找到并打开:
右键“默认网站”,选择“属性”:
会出现如下属性对话框,在对话框中IP地址选择为本机IP(一般IP已经存在,不用手工输入),并点击确定:
打开浏览器输入 http://10.1.1.245/certsrv/ 可以浏览证书服务器
至此,证书服务器搭建完成。
任务二:搭建HTTPS服务器
1、证书申请
登录到要搭建https服务的“网站”主机,查看IP:
按照搭建CA服务器的方法安装IIS,区别是只选择“应用程序服务器”,如下图:
安装完成后,打开IIS,右键“默认网站”,选择“属性”:
在“默认网站属性”中选择“目录安全性”标签,点击“服务器证书”:
会出现安装向导,点击下一步:
出现如下对话框,保持默认选项“新建证书”不动,继续下一步:
继续保持默认选项,单击下一步:
填写单位与部门信息:
填写公用名称,由于在本环境中没有使用DNS服务器,没有域名因此使用IP地址访问,在公用名称中输入本机的IP地址,如果名称错误,后面过程中会出现问题,因此应仔细核对
在下一步中输入证书的相关信息:
可以使用默认的文件名,但要记住存放地址:
确认信息后,完成请求证书的设置。
接下来申请证书。
打开浏览器,输入刚才我们搭建的证书服务器地址:
Http://10.1.1.245/certsrv/ (在实验中根据自己情况填写IP),在证书服务页面点击“申请一个证书”
在下图的页面中点击“高级证书申请”:
在出现的页面中选择第二个“使用base64编码的CMC……” 打开前面步骤建立的文本文件,将文本文件的内容复制到页面中,并提交:
会出现等待管理员审核批准的页面。
2、证书的颁发
证书的颁发在证书服务器中操作,接下来的操作是证书审核员的角色,切换到CA服务器,点击“开始”>>“管理工具”>>“证书颁发机构”:
可以在挂起的申请中看到刚才我们的申请: 
右键所有任务,选择“颁发”:
颁发后可以在“颁发的证书”中看到,如下图:
3、下载并应用证书
本操作是网站主机上。
可以看到,证书已经审核通过,可以下载了:
点击“保存的申请证书”,进入到下一页面:
选择“Base 64编码”,并点击“下载证书”
出现该情况时,可选择下载证书链,将里面的证书导出另存于其他文件夹,导出的为.cer文件,方便后面操作
将证书保存到桌面,以便查找,可以看到桌面上的证书文件。
再进入到默认网站属性,选择“目录安全性”,单击“服务器证书”:
进入Web服务器证书向导,点击下一步:
在“处理挂起请求”中选择“浏览”,选择刚才下载的证书文件,并打开,下一步,使用默认的443端口,点击下一步:
继续下一步,完成向导。
打开默认网站属性,选择“目录安全性”标签,单击“编辑”
选择“要求安全通道”,确定:
任务三:访问HTTPS服务器
在“CA服务器”中打开已经申请了HTTPS服务的网站:
输入https://10.1.1.196 (按照实际情况),会出现一个证书安全问题的确认,单击“是”,进行浏览:
可以看到能够通过HTTPS协议浏览。
1.通过本实验,论述本实验中有哪些角色?他们的任务分别是什么?
CA服务器,任务建立SSL加密通道
网站主机,任务申请HTTPS服务的网站
2.对数据包进行分析,比较使用HTTP和HTTPS有什么不同?
- https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
- http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
- http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
- http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
3.实验中我们是自己给自己签发证书,而且名称单位完全可以随意编造,同学可以尝试伪造别人的自签名证书,看看有什么反应。浏览器会不会识别出来。
自签SSL证书很容易被假冒和伪造,被欺诈钓鱼网站所利用
自签证书自己可以做,那别人也可以做,可以做成与你一模一样的证书,很容易的伪造一张证书然后就可以做一个与你一样的网站,同样有证书。
即浏览器不会识别出来
参考:https://www.sohu.com/a/254352823_575773
4.12306也使用了自签证书,而且要求我们把它存入“受信任的根证书颁发机构”,这么做对12306网站有什么好处,对用户有什么坏处?
坏处:
参考:https://blog.csdn.net/sundacheng1989/article/details/25540601
该自签证书也就是SRCA的根证书,我们将其存入我们信任的根证书颁发机构后,以后所有SRCA颁发的证书在你的电脑上都会被认为是安全的。SRCA是一个体制内的部门,所以他完全有可能会被有关部门控制。如果有关部门利用SRCA的私钥伪造了一个Gmail的证书,然后有关部门再通过电信运营商或者某墙拦截下来你和Gmail服务器之间的所有通信,然后把自己伪造的证书发给你,由于你安装了SRCA的根证书,你就会认为这个证书是安全的,也就是说你就会以为你收到的内容是Gmail服务器发送的。这样有关部门就在你和Gmail服务器之间充当了一个中间人的角色。这样你和Gmail服务器之间的所有加密通信就都神不知鬼不觉得被有关部门监听了,他们就可以得到你的邮件的内容甚至还有可能得到Gmail的密码。
好处:
12306是独一无二基础设施组织,不依靠任何浏览器,有着垄断性的资源,所以他信任与不信任你都必须要访问,所以他使用自签名SSL证书,可以摆脱对CA机构的依赖,便利公民注册等;国内重要的基础设施用国外机构的证书,貌似存在较大的安全隐患,万一证书被吊销或者出问题,那就访问不了,影响的是上亿中国公民。
5.网上有很多收费的电子认证服务,可以提供证书颁发,那么使用这种证书的安全性如何?有没有脆弱点?
安全性:
1、验证级别
收费的OV/EV SSL安全证书除了必须验证网站所有者的身份之外,还需要对公司和业务进行深入的验证。
2、服务支持
收费的SSL安全证书的提供商致力于为其客户提供全天候的技术和服务支持。这些客户可以选择他们想要的任何类型的支持,无论是聊天,电子邮件还是电话。
3、信任程度
收费的OV和EV SSL证书除了显示https和安全锁图标,还能查询到公司详细信息,EV SSL证书还能使地址栏变成绿色,并在地址栏直接展示公司名称。这些标识增加了客户对网站的信任度,而且客户在网站进行交易的机会大大增加。
浙公网安备 33010602011771号