实验6-基于Web的SSL应用

贵州大学实验报告学院：计算机科学与技术学院专业：信息安全班级：姓名学号实验组实验时间2015.06.10指导教师蒋朝惠成绩实验项目名称实验六基于Web的SSL应用实验目的1.通过实验深入了解SSL的工作原理，熟练掌握Windows2000Server/Server2003环境下CA系统和SSL连接的配置和使用方法。2.给IIS配置SSL，给指定Web站点利用SSL加密HTTP通道。实验要求掌握CA系统和SSL连接的配置和使用方法，同时要学会给IIS配置SSL，并给指定Web站点利用SSL加密HTTP通道实验原理由于Web上有时要传输重要或敏感的数据，因此Netscape公司在推出Web浏览器首版的同时，提出了安全套接层SSL，目前已有2.0和3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性，可在服务器和客户机两端同时实现支持。目前，利用公开密钥技术的SSL协议，并已成为Internet上保密通信的工业标准。SSL提供使用TCP/IP的通信应用程序间的隐私与完整性。因特网的超文本传送协议（HTTP）使用SSL来实现安全的通信。在客户端与服务器间传输的数据是通过使用对称算法进行加密的。公用密钥算法（通常为RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器端SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL协议的版本1和2只提供服务器认证。版本3添加了客户端认证，此认证同时需要客户端和服务器的数字证书。SSL总是由客户端启动的。在SSL会话开始时执行SSL握手。此握手产生会话的密码参数。下图为SSL的客户端与服务器的认证握手过程：①客户端发送列出客户端密码能力的客户端“您好”消息（以客户端首选项顺序排序），如SSL的版本、客户端支持的密码对和客户端支持的数据压缩方法。消息也包含28字节的随机数。②服务器以服务器“您好”消息响应，此消息包含密码方法（密码对）和由服务器选择的数据压缩方法，以及会话标识和另一个随机数。③服务器发送其SSL数字证书。（服务器使用带有SSL的X.509V3数字证书）如果服务器使用SSLV3，而服务器应用程序（如Web服务器）需要数字证书进行客户端认证，则客户端会发出“数字证书请求”消息。在“数字证书请求”消息中，服务器发出支持的客户端数字证书类型的列表和可接受的CA的名称。④服务器发出服务器“您好完成”消息并等待客户端响应。⑤一旦接到服务器“你好完成”消息，客户端（Web浏览器）将验证服务器的SSL数字证书的有效性并检查服务器的“您好”消息参数是否可以接受。如果服务器请求客户端数字证书，客户端将发送其数字证书；或者，如果没有合适的数字证书是可用的，客户端将发送“没有数字证书”警告。此警告仅仅是警告而已，但如果客户端数字证书认证是强制性的话，服务器应用程序将会使会话失败。⑥客户端发送“客户端密钥交换”消息。此消息包含pre-mastersecret（一个用在对称加密密钥生成中的46字节的随机数字），和消息认证代码（MAC）密钥（用服务器的公用密钥加密的）。如果客户端发送客户端数字证书给服务器，客户端将发出签有客户端的专用密钥的“数字证书验证”消息。通过验证此消息的签名，服务器可以显示验证客户端数字证书的所有权。⑦客户端使用一系列加密运算将pre-mastersecret转化为mastersecret，其中将派生出所有用于加密和消息认证的密钥。然后，客户端发出“更改密码规范”消息将服务器转换为新协商的密码对。客户端发出的下一个消息（“未完成”的消息）为用此密码方法和密钥加密的第一条消息。⑧服务器以自己的“更改密码规范”和“已完成”消息响应。⑨SSL握手结束，且可以发送加密的应用程序数据。实验仪器1.装有Windows2000Server/Server2003操作系统的服务器一台。2.装有Windows2000/XP的客服机若干台。3.服务器与客服机通过hub或交换机连接成局域网。实验步骤、内容、数据(一)Windows环境下独立根CA的安装使用1.独立根CA的安装①单击【开始】，选择【设置】→【控制面板】→【添加/删除程序】，在打开的窗口中单击【添加/删除Windows组件】。在打开的对话框中，选择【证书服务】，单击【下一步】开始安装。②在弹出的配置窗口中，选择【独立根CA】，单击【下一步】。一次填入CA的名称。单位、部门、城市、电子邮件、描述、有效期限。单击【下一步】，在打开的运行窗口中填入数据的存储位置，单击【下一步】。③打击【开始】，选择【程序】→【管理工具】，此时可在该菜单中找到【证书颁发机构】，说明CA的安装已经完成2.通过Web页面申请证书①在局域网的另一台计算机打开IE在地址栏中输入http://根CA的IP/certsrv，在出现的页面中选中【证书申请】，单击【下一步】，开始证书的申请。②在打开的页面中选择【用户证书申请】页面中的【Web浏览器证书】，即该证书用于获得基于SSL协议的Web页面访问权限。③在打开的窗口中填入用户的身份信息，完成后单击【提交】。然后单击【是】，技不如人证书挂起页面，等待根CA发布该证书。3.证书发布①在根CA所在的计算机上，单击【开始】，选择【程序】→【管理工具】→【证书办法机构】，在打开的菜单中选择【待定申请】，上一步申请的证书出现在窗口右侧。②在证书上右击，在弹出的快捷菜单中选择【颁发】。进行证书颁发。③证书办法后将从【待定申请】转入到【颁发证书】文件夹，表示证书颁发完成。4.证书的下载安装①在证书申请的计算机上打开InternetExplore浏览器，在地址栏中输入http://根CA的IP/certsrv，进入证书申请页面。选择【检查挂起的证书】，看看CA是否颁发了证书。②在打开的页面中选择已经提交的证书申请，单击【下一步】。③如果颁发机构已将证书颁发，将进入证书发布页面。④单击【安装此证书】，弹出系统提示，这里是由于没有下载安装CA系统根证书。⑤先单击【是】，完成证书的安装。⑥在地址栏中输入http://根CA的IP/certsrv，进入证书申请页面。选择【检索CA证书或者证书吊销】，然后单击【下载CA证书】超链接。⑦下载完毕后，可查看证书，单击【安装证书】，进入证书向导，采用默认设置，导入成功后单击【确定】。(二)证书服务管理1.停止/启动证书服务右击CA公共名称结点，在弹出的快捷菜单中选择【所有任务】→【停止服务】，即可停止证书服务，选择【启动服务】则可以启动。2.CA备份/还原右击CA公共名称结点，在弹出的快捷菜单中选择【所有任务】→【备份CA】。即进入【证书颁发机构备份向导】，单击【下一步】。在打开的备份项目中选择要备份的项目和文件夹，单击【下一步】。接着可以输入保护私钥和证书文件的密码，打击【下一步】。单击备份向导菜单中的【完成】，即完成备份。CA的还原需先停止CA服务，然后右击CA公共名称结点，在弹出的快捷菜单中选择【所有任务】→【还原CA】。即进入【证书颁发机构备份向导】，单击【下一步】。在打开的选择还原项目对话框中，选择要还原的项目和证书文件所在的文件夹单击【下一步】，接着可以输入保护私钥和证书文件的密码，这个密码是CA备份时设置的，单击【下一步】，击还原向导菜单中的【完成】，即完成还原。3.证书废除右击颁发的证书中需要废除的证书，在弹出的快捷菜单中选择【所有任务】→【吊销证书】，咋爱打开吊销对话框中选择吊销的理由后，单击【是】，该证书就转移到了【吊销证书】的文件夹中。4.证书吊销列表的创建右击【吊销的证书】文件夹，在弹出的快捷菜单中选择【所有任务】→【发行】。查看创建的证书吊销列表，右击【吊销的证书】文件夹，选择【属性】，打开【证书吊销列表】，在【常规】菜单中显示了证书吊销列表颁布者的信息，在【吊销列表】中显示了证书信息。(三)配置基于Web的SSL连接1.为Web服务器申请证书①单击【开始】按钮。选择【程序】→【管理工具】→【Internet服务管理器】，在打开的窗口左侧菜单中右击【默认Web站点】，选择【属性】。②在打开的对话框中选择【目录安全性】选项卡，单击【安全通信】选项组中的【服务器证书】。③在出现的欢迎使用Web服务器证书向导中，单击【下一步】，选择【创建一个新证书】，单击【下一步】。④在打开的对话框中输入证书名称，单击【下一步】。2.提交web服务器证书①在服务器所在的计算机上打开InternetExplore浏览器，在地址栏中输入http://根CA的IP/certsrv，在打开的页面中选择【申请证书】，单击【下一步】。②选择【高级申请】，单击【下一步】。③在打开的页面中选择【Base64编码方式】，单击【下一步】。④单击【浏览】，找到证书请求文件，并把它插入到【证书申请】框内。单击【提交】。进入提交成功页面。至此，证书提交成功！3.证书颁发和安装实现步骤和（一）中（3）、（4）相同。4.客户端实现步骤和（一）中（2）、（3）、（4）相同。5.未配置SSL普通web连接的安全性①在配置SSL设置前，打开Sniffer，检测Web服务器的网络流量。②在客户端访问服务器的证书申请网页http://根CA的IP/certsrv，使用Sniffer检测数据包。6.在服务器上配置SSL①在单击【开始】，→【管理工具】→【Internet服务管理器】，在打开的窗口左侧菜单中右击【默认Web站点】，选择【属性】。②在打开的对话框中选择【目录安全性】选项卡，单击【安全通信】选项组中的【查看证书】。③单击【确定】后返回到【目录安全性】，单击【安全通信】中的【编辑】按钮。再选择【申请安全通道（SSL）】。并在【客户证书】选项中选择【接受客户证书】，单击【确定】。④返回到【目录安全性】，单击【应用】及【确定】，完成配置。7.客户端通过SSL与服务器端建立连接①打开Sniffe的数据包检测窗口。②在客户端计算机上打开IE，若仍在地址栏输入http://根CA的IP/certsrv，则显示“该网页必须通过安全频道查看”，要求采用HTTPS协议连接服务器端。③输入http://根CA的IP/certsrv，单击提示窗口中的“确定”，弹出证书选择窗口。④再用Sniffe检测数据包，查看结果。(四)给指定Web站点利用SSL加密HTTP通道①在Windows2003Server桌面上选择【开始】，→【设置】→【控制面板】，双击【添加/删除Windows组件】，打开【Windows组件向导】。选中【证书服务】，单击【下一步】。打开【证书颁发机构类型】。②选择【独立根CA】，单击【下一步】。③安装完成后，启动IIS管理器来申请一个数字证书，启动Internet服务管理器选择需要配置的Web站点，。打开【属性】。④在【属性】中，选择【目录安全性】，在【安全通信】中单击【服务器证书】，打开【IIS证书向导】。⑤通过【Web服务器证书向导】申请Web证书，需选择【创建一个新证书】，单击【下一步】。⑥启动IE，在地址栏中输入证书颁发机构的地址，按照“证书申请→高级申请→使用Base64编码证书的CMC或PKCS#10文件提交一个证书申请，或使用Base64编码证书的CMC或PKCS#10文件续订证书申请”。在【提交一个保存的申请】网页中，将保存的文件文本内容复制到【Base64编码证书申请】栏中，完成提交。⑦打开控制面板中的“管理工具”，在【证书办法机构】中，颁发待定申请的证书，然后在【颁发的证书】里找到刚颁发的证书并右击，打开【证书】，在【详细信息】中单击【复制到文件】。⑧在【证书导出向导中】的“导出文件格式”对话框中选择【DER编码二进制X.509（D）】，保存为sql.cer文件。⑨回到IIS的Web管理界面选择证书申请，打开【IIS证书向导】，选择已经导出的sql.cer文件。⑩单击【下一步】完成SSL的安装。在【安装通信】中选择【申请安全通道】。(11)默认安装结