《网络安全实验七》由会员分享,可在线阅读,更多相关《网络安全实验七(10页珍藏版)》请在金锄头文库上搜索。
1、网络安全实验报告学号: 姓名: 班级:实验项目编号: B031120507实验项目名称: 证书的应用、实验目的:1.了解 PKI 体系2. 了解用户进行证书申请和 CA 颁发证书过程3. 掌握认证服务的安装及配置方法4. 掌握使用数字证书配置安全站点的方法5. 掌握使用数字证书发送签名邮件和加密邮件的方法、实验环境:网络安全实验平台(装有 windows、 linux 等多个系统虚拟机及相应软件)三、实验原理(或要求):1、数据加密数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时 候,会得到一个私钥和一个数字证书,数字证书中包含一个公钥。其中公钥 可以发给他人使用,而私钥你应
2、该保管好、不能泄露给其他人,否则别人将 能用它以你的名义签名2、数字签名数字签名是数字证书的重要应用之一,所谓数字签名是指证书用户使用自己 的私钥对原始数据的哈希变换后所得消息摘要进行加密所得的数据。使用数字证书完成数字签名功能,需要向相关数字证书运营机构申请具备数 字签名功能的数字证书,然后才能在业务过程中使用数字证书的签名功能。3、应用范围PKI 技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,如在Web中的应用。 SSL是一个介于应用层和传输层之间的可选层,它在TCP之上建立了一个安 全通道,提供基于证书的认证,信息完整性
3、和数据保密性。 SSL 协议已在 Internet 上得到广泛的应用。四、实验步骤: 一.安全Web通信1 无认证(服务器和客户端均不需要身份认证)通常在 Web 服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式 进行的。(1)客户端启动协议分析器,选择“文件”丨“新建捕获窗口”然后单击工具栏中的 按钮开始捕获;客户端在IE浏览器地址栏中输入http:/服务器IP,访问服务器Web服务。成功访问到 服务器Web主页面后,单击协议分析器捕获窗口工具栏中的 按钮刷新显示,在“会话分析” 视图中依次展开“会话分类树”HTTP会话”丨“本机IP与同组主机IP地址间的会话”, 在端口会话
4、中选择源或目的端口为80的会话,在右侧会话视图中选择名为“GET”的单次 会话,并切换至协议解析”视图。tti7GET / HTTP/ 1 1 Accept.: iiri age/ gif z iinage/ x 一xb i tinap f image/ jpegf image/pjpe g尸 application/v ndnis-excel, app lie at. i o n/ vnd ins 一 powerpoint appl ic at. i o n/ ins wor d f.Accept-Lang uage : zh-cn 11应一 CPU: x86 Accept.图 6-1-1
5、HTTP 明文会话如图6-1-1所示,通过协议分析器对HTTP会话的解析中可以确定,在无认证模式下, 服务器与客户端的Web通信过程是以明文实现的。2. 单向认证(仅服务器需要身份认证)(1) CA (主机A)安装证书服务主机A依次选择“开始” I “设置” 1“控制面板” I “添加或删除程序” 1“添加/删除Windows 组件”,选中组件中的“证书服务”此时出现Microsoft证书服务”提示信息,单击“是” 然后单击“下一步”。在接下来的安装过程中依次要确定如下信息: CA 类型(选择独立根 CA) CA的公用名称(userGXCA,其中G为组编号(1-32), X为主机编号(A-F)
6、,如第 2组主机D,其使用的用户名应为user2D) 证书数据库设置(默认)在确定上述信息后,系统会提示要暂停 Internet 信息服务,单击“是”,系统开始进行 组件安装。安装过程中,在弹出的“所需文件”对话框中指定“文件复制来源”为 D:ExpNICCrypAppToolsWindowsCAi386即可(若安装过程中出现提示信息,请忽略该提 示继续安装)。注若安装过程中出现“Windows文件保护”提示,单击“取消”按钮,选择“是”继续;在证书 服务安装过程中若网络中存在主机重名,则安装过程会提示错误;安装证书服务之后,计算机将不能再重 新命名,不能加入到某个域或从某个域中删除;要使用证
7、书服务的Web组件,需要先安装IIS (本系统中 已安装 IIS)。在启动“证书颁发机构”服务后,主机A便拥有了 CA的角色。(2)服务器(主机B)证书申请注服务器向CA进行证书申请时,要确保在当前时间CA已经成功拥有了自身的角色。 提交服务器证书申请服务器在“开始”丨“程序”丨“管理工具”中打开“Internet信息服务(IIS)管理器”, 通过“Internet信息服务(IIS)管理器”左侧树状结构中的“Internet信息服务”丨“计算机 名(本地计算机)” |“网站” |“默认网站”打开默认网站,然后右键单击“默认网站”,单 击”属性”。在“默认网站 属性”的“目录安全性”页签中单击“
8、安全通信”中的“服务器证书”, 此时出现“Web服务器证书向导”,单击“下一步”。在“选择此网站使用的方法”中,选择“新建证书”,单击“下一步”。 选择“现在准备证书请求,但稍后发送”,单击“下一步”。填入有关证书申请的相关信息,单击“下一步”。 在“证书请求文件名”中,指定证书请求文件的文件名和存储的位置(默认 c:certreq.txt)。单击“下一步”直到“完成”。通过Web服务向CA申请证书服务器在IE浏览器地址栏中输入“http:/CA的IP/certsrv/”并确认。 服务器依次单击“申请一个证书” 丨“高级证书申请” 丨“使用 base64 编码.提交一个申 请”进入“提交一个证
9、书申请或续订申请”页面。打开证书请求文件certreq.txt,将其内容全部复制粘贴到提交证书申请页面的“保存的 申请”文本框中,然后单击“提交”,并通告CA已提交证书申请,等待CA颁发证书。 CA 为服务器颁发证书在服务器提交了证书申请后,CA在“管理工具”丨“证书颁发机构”中单击左侧树状 结构中的“挂起的申请”项,会看到服务器提交的证书申请。右键单击服务器提交的证书申 请,选择“所有任务”丨“颁发”,为服务器颁发证书(这时“挂起的申请”目录中的申请 立刻转移到“颁发的证书”目录中,双击查看为服务器颁发的证书)。通告服务器查看证书。(3)服务器(主机B)安装证书服务器下载、安装由CA颁发的证
10、书通过CA “证书服务主页”丨“查看挂起的证书申请的状态”丨“保存的申请证书”,进入 “证书已颁发”页面,分别点击“下载证书”和“下载证书链”,将证书和证书链文件下载 到本地。在“默认网站”丨“属性”的“目录安全性”页签中单击“服务器证书”按钮,此时出 现“Web服务器证书向导”,单击“下一步”。选择“处理挂起的请求并安装证书”,单击“下一步”。 在“路径和文件名”中选择存储到本地计算机的证书文件,单击“下一步”。 在“SSL端口”文本框中填入“443”,单击“下一步”直到“完成”。此时服务器证书已安装完毕,可以单击“目录安全性”页签中单击“查看证书”按钮, 查看证书的内容,回答下面问题。证书
11、信息描述:无法将这个证书验证到一个受信任的证书颁发机构颁发者: _CA。打开IE浏览器点击“工具”“Internet选项”丨“内容”丨“证书”,在“受信任的根证书颁发机构”页签中查看名为userGX的颁发者(也就是CA的根证书),查看其是否存 在 不存在。服务器下载、安装CA根证书右键单击certnew.p7b证书文件,在弹出菜单中选择“安装证书”,进入“证书导入向导” 页面,单击“下一步”按钮,在“证书存储”中选择“将所有的证书放入下列存储”,浏览 选择“受信任的根证书颁发机构”丨“本地计算机”如图6-1-2所示。选择要使用的证书存储Ch+个人-受信任的根证书颌发机构注册表_|本地计算机+丄
12、企业信任+丄中级证书颁发机构两显示物理存储区图 6-1-2 CA 根证书存储 单击“下一步”按钮,直到完成。再次查看服务器证书,回答下列问题:证书信息描述:保证远程计算机的身份。颁发者:-CA。再次通过IE浏览器查看“受信任的根证书颁发机构”,查看名为userGX的颁发者(也 就是CA的根证书),查看其是否存在。(4) Web通信服务器在“默认网站”丨“属性”的“目录安全性”页签“安全通信”中单击“编辑” 按钮,选中“要求安全通道SSL”,并且“忽略客户端证书”(不需要客户端身份认证),单击“确定”按钮使设置生效。客户端重启IE浏览器,在地址栏输入http:/服务器IP/并确认,此时访问的We
13、b页面出 现如图6-1-3所示信息。该页必须通过安全通道查看您试閣访问的页面使用安全套接字层(SSL)进行f呆护谙尝试以下操作:在您要访问的地址前键并按HTTF错误403. 4 -禁止访问:需要使用SSL查看该资源口Internet 信息服务(IIS)图 6-1-3 页面信息客户端启动协议分析器,设置过滤条件:仅捕获客户端与服务器间的会话通信,并开始 捕获数据。客户端在IE浏览器地址栏中输入“https:/服务器IP/”并确认,访问服务器Web服务。 此时会出现“安全警报”对话框提示“即将通过安全连接查看网页”,单击“确定”,又出现 “安全警报”对话框询问“是否继续?”,单击“是”。此时客户端
14、即可以访问服务器 Web 页面了。访问成功后,停止协议分析器捕获,并在会话分类树中找到含有客户端与服务器 IP地址的会话。在协议解析页面可观察到,服务器与客户端的Web通信过程是以密文实现.1AAU.E.Uxn. .tZnl.O.G.fo4A!E?.T6d./.bUh .;J.UZo. .3 uo.o.图 6-1-4 客户端与服务器间信息加密通信 ?cM-T.O.O (e.3ioY.:o|.eOC.的,如图 6-1-4 所示。-這会话分类树-脂TCF苴它会话 - 1T2. 16.0.食 443 - 1048咅 443 - 1049咅 443 - 10503 双向认证(服务器和客户端均需身份认证
15、)(1) 服务器要求客户端身份认证服务器在“默认网站”丨“属性”的“目录安全性”页签中单击“编辑”按钮,选中“要 求安全通道SSL”,并且“要求客户端证书”,单击“确定”按钮使设置生效。(2) 客户端访问服务器客户端在IE浏览器地址栏中输入“https:/服务器IP”访问服务器Web服务。此时弹出 “安全警报”对话框,提示“即将通过安全连接查看网页”,单击“确定”,又弹出“安全警 报”对话框询问“是否继续?”,单击“是”。出现“选择数字证书”对话框,但是没有数字 证书可供选择。单击“确定”,页面出现提示“该页要求客户证书”。(3) 客户端(主机C)证书申请注客户端向CA进行证书申请时,要确保在当前时间CA已经成功拥有了自身的角色。 登录 CA 服务主页面客户端在确认CA已经启动了“证书颁发机构”服务后,通过IE浏览器访问http:/CA 的IP/certsrv/,可以看到CA证书服务的主页面。 客户端提交证书申请 在主页面“选择一个任务”中单击“申请一个证书”,进入下一页面。在证书类型页面中选择“Web浏览器证书”,进入下一页
