PKI及SSL协议分析
实验简介:
实验属于安全协议应用分析/网络安全与防护系列
实验目的
该实验的目的是了解和掌握证书服务的安装,理解证书的发放过程,掌握WEB服务器上配置SSL,使用HTTPS协议访问网站来验证结果,最后对HTTPS 协议进行分析。
实验环境
CA服务器以及网站
PKI
PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI是由硬件、软件、策略和人构成的系统,当完善实施后,能够为敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真实性和不可否认。
PKI的基本组成,完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
数字证书,是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
HTTPS
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
任务一:搭建CA服务器
本任务初步了解CA服务器的原理和配置过程。操作都在CA服务器上。
1、远程桌面方式登录到CA服务器,在CMD下查看本机IP地址:
2、安装证书服务
依次点击:“开始”->>“控制面板”->>“添加或删除程序”,以打开添加或删除程序对话框
依次点击:“添加删除windows组件”,在组件向导中选中“应用程序服务器”与“证书服务”,:
双击“应用程序服务器”,选中“ASP.NET”与“Internet信息服务(IIS)
击“确定”开始安装,在出现的对话框中选择“独立根”
选择相关的参数
在安装过程中会提示“输入磁盘”,按照安装IIS的方式,单击“浏览”、找到文件,确定完成安装。
(浏览到桌面-win2003-I386目录下)
在安装完成后会提示启用Active Server Page,点击“确定”
打开IIS
右键“默认网站”,选择“属性”:
在对话框中IP地址选择为本机
打开浏览器输入 http://10.1.1.245/certsrv/ 可以浏览证书服务器
任务二:搭建HTTPS服务器
1、证书申请
登录到要搭建https服务的“网站”主机,查看IP:
按照搭建CA服务器的方法安装IIS,区别是只选择“应用程序服务器”,
安装完成后,打开IIS,右键“默认网站”,选择“属性”:
在“默认网站属性”中选择“目录安全性”标签,点击“服务器证书”
点击下一步
点击新建证书
保持默认选项
填写单位部门信息
打开浏览器,输入刚才我们搭建的证书服务器地址:
Http://10.1.1.245/certsrv/ (在实验中根据自己情况填写IP),在证书服务页面点击“申请一个证书”
点击高级证书申请
选择编码方式
复制文本文件
2、证书的颁发
证书的颁发在证书服务器中操作,接下来的操作是证书审核员的角色,切换到CA服务器,点击“开始”>>“管理工具”>>“证书颁发机构”:
查看挂起的申请
右键所有任务。颁发
查看颁发的证书
3、下载并应用证书
本操作是网站主机上。
保存到桌面
再进入到默认网站属性,选择“目录安全性”,单击“服务器证书”:
在“处理挂起请求”中选择“浏览”,选择刚才下载的证书文件,并打开,下一步,使用默认的443端口,点击下一步
继续下一步,完成向导。
打开默认网站属性,选择“目录安全性”标签,单击“编辑”
可以看到能够通过HTTPS协议浏览。
分析与思考
1.本实验中的角色有主动的和被动的,他们申请证书,颁发证书
2.HTTPS和HTTP的区别:
https协议需要到ca申请证书,一般免费证书很少,需要交费。http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议 http和https使用的是完全不同的连接方式用的端口也不一样:前者是80,后者是443。
http的连接很简单,是无状态的 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全。
浙公网安备 33010602011771号