实验_WEB_SSL实验2

实验七WEBSSL实验如何在WindowsServer2008的IIS7.0上部署SSL证书首先，介绍如何安装IIS7.0。1.请确保使用Administrator帐号登录，点击开始菜单-所有程序-管理工具-服务器管理器，启动服务器管理器，如下图：2.添加一个服务器角色,点击“角色”，可以看到“角色”总视图，如下：3.点击“添加角色”,点击下一步，选择需要添加的角色：4.选择安装Web服务器(IIS)角色：5.显示Web服务器(IIS)简介，点击下一步6.选择需要安装的部件和功能，：7.确认安装，如下图：8.安装完成：制作CSR请求文件1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.在右边窗口，选择“创建证书申请”：4.输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO3166-1A2）：5.选择加密服务程序和密钥长度，加密服务程序选择缺省的MicrosoftRSASchannelCryptographicProvider，加密长度一般可以为1024位，如果申请EV证书至少2048位6.选择CSR文件的名称，然后“完成”安装证书文件：当您收到迅通诚信的邮件后，您就可以安装并使用您的服务器证书了。将邮件中的证书内容拷贝粘贴到一个纯文本文件中（包含-----BEGINCERTIFICATE-----和-----ENDCERTIFICATE-----），存成一个server.cer文件，如下图所示：1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.在右边窗口，选择“完成证书申请”3.输入CA签好的证书文件(刚才保存好的server.cer)4.证书导入成功，如下图：5.证书导入成功，如下图：6.将SSL证书和网站绑定，先选择需要使用证书的网站，点击“SSL设置”7.添加一个新的绑定：8.将类型改为HTTPS，端口改为443，然后选择刚才导入的SSL证书，点击“确定”，则SSL证书安装完成。SSL设置参数详解1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器：2.启动IIS管理器，选择网站，双击“SSL设置”3.显示SSL高级设置，如下图：4.“要求SSL”选项，如果没有选中，则用户可以通过HTTPs，也可以通过HTTP来访问，如果“要求SSL”被选中，则用户必须通过HTTPS访问，若用户通过HTTP访问，会出现如下提示：5.“客户证书”有3个选项：忽略、接受、必需。如果“要求SSL”选项没有选中，则不能选择客户证书“必需”项。如果选择“忽略”，则服务器不会去检查是否有客户证书，即使客户端有客户证书，也不会被服务器接收。如果选择“接受”，如果客户有证书，会自动跳出，让客户选择如下图，如果没有，则正常转入原来的页面。6.“客户证书”如果选择必需的时候，如果客户端有客户证书则会跳出窗口，让客户选择，如下图：如果，没有证书，或者客户没有选择客户证书，则会出现错误提示，如下图：建议客户不要选中“要求SSL”，如果需要使用客户端证书，也可以选择“接受”客户证书。如果有些页面要求客户必须通过HTTPS访问，可以使用代码自动跳转的方式，具体参考:“强制通过SSL访问网站”。证书备份（导出）1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.选择需要导出的证书，在右边窗口选择“导出”：3.输入导出证书文件名和密码，证书备份完成。证书恢复（导入）1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.在右边窗口选择“导入”：4.证书的绑定，参见证书安装部分。一、实验目的数字证书主要应用于各种需要身份认证的场合，目前广泛应用于网上银行、网上交易等商务应用外，数字证书还可以应用于发送安全电子邮件、加密文件等方面。通过实验，使学生了解PKI的体系结构，证书机构CA的安装和配置，通过证书机构CA管理证书的方法，掌握数字证书的申请与安装，数字证书在网站、电子邮件的加密与认证等方面的应用。二、实验描述使用WindowsServer2003建立数字证书颁发机构CA，处理并颁发客户证书和服务器证书；浏览器和Web服务器之间通过数字证书实现身份识别与加密通信。三、实验要求理解数字证书的原理和作用，能够建立CA并进行数字证书的颁发，能够申请、安装、使用Web服务器证书和客户证书，能够申请、安装、使用电子邮件证书。四、相关知识在Internet上，最常见的安全是通过使用数字证书实现的。数字证书可以在一个不信任的网络上辨识一个客户和服务器，并且可以加密数据。1）安全认证中心（ＣＡ）、数字证书简介数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，是由一个由权威机构-----CA机构，又称为证书授权(CertificateAuthority)中心发行的。数字证书是一个经证书授权中心数字签名的包含客户的公钥等与客户身份相关的信息，如：客户唯一可识别名等等。同时ＣＡ也可以提供时间戳、密钥管理及证书作废表（ＣＲＬ）等服务。作为安全网络的公证机构，为了维护网络用户间的安全通信，ＣＡ必须行使以下职能：（1）管理和维护客户的证书和ＣＲＬ（2）维护自身的安全（3）提供安全审计的依据在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。因此，作为网络可信机构的证书管理设施，ＣＡ的主要职能就是管理和维护它所签发的证书，提供各种证书服务，包括：证书的签发、更新、回收、归档等等。在各类证书服务中，除了证书的签发过程需要人为参与控制外，其他服务都可以利用通信信道通过用户与ＣＡ交换证书服务消息进行。ＣＡ系统的主要功能是管理其辖域内的用户证书，因此，ＣＡ系统功能及ＣＡ证书的应用紧紧围绕证书的管理而展开。一个标准的X.509数字证书包含以下一些内容：（1）证书的版本信息；（2）证书的序列号，每个证书都有一个唯一的证书序列号；（3）证书所使用的签名算法；（4）证书的发行机构名称，命名规则一般采用X.500格式；（5）证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；（6）证书所有人的名称，命名规则一般采用X.500格式；（7）证书所有人的公开密钥；（8）证书发行者对证书的签名。2）数字证书的用途数字证书可以应用于公众网络上的商务活动和行政作业活动，包括支付型和非支付型电子商务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务海关、出入境检验检疫、政府行政办公、教育科研单位、保险、医疗等网上作业系统。由于Internet电子商务系统技术使在网上交易各方能够极其方便轻松地获得政府、机构、商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。交易各方在网上的一切行为都必须是真实可靠的，并且要使顾客、商家、企业和机构等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须依靠数字证书保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。五实验步骤实验内容一：用SSL和数字证书实现安全Web访问1）建立认证中心CA环境要求：Web服务器以WindowsServer2003作为操作系统，认证中心与Web服务器位于同一主机，IP地址设为10.0.0.1，子网掩码255.255.255.0，浏览器用IE4.0以上。过程：建立认证中心的过程是这样的:选择“控制面板”*“添加/删除程序”*“添加/删除Windows组件”，在可选项中选择“证书服务”，点击“详细信息”，确保“证书服务Web注册支持”和“证书服务颁发机构（CA）”2个选项都被选中(如图所示)，开始安装。此时，系统会提示您一旦选择了证书服务，计算机的域和机器名是不可更改的。安装开始，选择证书颁发的类型，主要包括企业根CA、企业从属CA、独立根CA和独立从属CA。由于证书颁发机构的设置是很重要的，这里需要特殊说明，企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要ActiveDirectory支持，而独立根CA不需要。从属级的CA由于只能从另一证书颁发机构获取证书，所以一般不被选择。独立根CA可以选择在收到申请时自动颁发证书或将申请保持为搁置状态，由管理员验证证书申请者的真实性及合法性，决定是否颁发证书。我们可以根据需求选择合适的证书颁发类型。选好类型后，选择该页中的“高级”选项，进入下一步安装，填写CA的相关信息，如CA名称、单位、城市、电子邮件和有效期限等，再下一步进入高级选项页(如图1所示)，此时可以选择用来生成密钥对的加密服务提供程序（CSP）、散列算和密钥长度，并可选择现有的密钥及相关证书等。选项的选择取决于对安全程度的要求、计算机的复杂运算能力、对响应时间的要求和系统管理证书的负载程度等。点击“下一步”按钮，选择证书数据库及日志的位置，确认后即可进行安装。图3.6.1证书服务对话框图3.6.2证书类型对话框设置证书服务管理：安装结束后，进行证书服务管理。对于独立根CA可以选择“在收到证书申请时确定证书颁发机构”的默认动作，设置方法是：打开“证书颁发机构”，点击CA名称，选择“属性”*“策略模块”*“配置”，选择“证书申请设为待定，系统管理员必须专门颁发证书”，这样管理者可以直接控制证书的发放。对于相关的申请，在“证书颁发机构”*“待定申请”中选择相应的申请证书，可以选择“颁发”或“拒绝”选项。在“已颁发证书”选项中选择相应证书，单击右键进行“吊销证书”的操作。图3.6.3证书服务管理对话框2）生成申请Web站点数字证书的文件本操作在Web服务器端进行。具体步骤是：（1）启动Web服务器的“Internet信息服务”（2）在“Internet信息服务”中，右击Myweb站点名，选择快捷菜单的“属性”命令，出现“Myweb属性”对话框（3）单击“Myweb属性”对话框中“目录安全性”页标签,再单击“服务器证书”按钮。（4）在“IIS证书向导”对话框中，按提示，依次选择“创建一个新证书”，“现在准备请求，但稍候发送”等，设置有关属性，将最后的证书申请以文本文件保存，假设文件名为：C:\\certreq.txt。（5）最后单击“完成”即可。3）生成服务器证书，在Web服务器端依次执行：（1）首先，将证书申请文件内容复制到剪切板。方法是，用记事本打开C:\\cer