信息安全导论实验七.docx
《信息安全导论实验七.docx》由会员分享,可在线阅读,更多相关《信息安全导论实验七.docx(14页珍藏版)》请在冰点文库上搜索。
信息安全导论实验七
综合性实验项目名称:
应用SSL建立安全Web
实验项目学时:
2实验要求:
■必修□选修
一、实验目的
(1)深入理解PKI系统的工作原理
(2)掌握在Windows系统中配置CA系统的方法
(3)掌握证书的申请及制作方法。
(4)体会SSL的作用
二、实验内容
在WINDOWS2000中,通过证书与IIS结合,可以实现WEB站点的安全性。
(1)在WINDOWS2000中,进行CA系统的配置
(2)为服务器和浏览器之间进行安全通信设置
(3)为用户生成证书
(4)利用SSL加密HTTP通道来加强IIS安全
三、实验准备
(1)查阅资料,设计在实验用系统中进行CA系统配置的步骤
(2)设计在实验用系统中进行安全通信配置的步骤
(3)设计为用户生成证书的方法和步骤
(4)设计对上述系统配置进行通信安全测试的方法与步骤
四、实验步骤
(1)服务端(WEB站点)安装证书
①安装证书服务
步骤1.认证服务器是WINDOWS2000Server的一个附件,它放在WINDOWS2000Server的安装盘上。
因此可以先将WINDOWSCD-ROM放入光驱,然后在“控制面板”中选择“添加和删除程序”→“添加和删除WINDOWS组件”,从弹出的“WINDOWS组件向导”窗口中,选择“证书服务”安装向导,如图8-60所示。
图8-60“WINDOWS组件向导”窗口中“证书服务”安装向导
步骤2.在一连串的“下一步”操作中,输入提示的信息或进行必要的选择后完成。
●在Windows组件向导CA类型设置窗口中选择独立根CA。
●CA识别信息处的CA公用名称中输入相应的名称,如图8-61所示。
●输入数据储存位置,指定储存配置数据、数据库、日志的位置,仍然选择默认位置系统目录的system32下的certlog,如图8-62所示。
图8-61“CA标识信息”设置
图8-62“数据保存位置”设置
②配置IIS网站证书
步骤1.单击“开始”→“程序”→“管理工具”→“INTERNET信息服务”,选择Server的“默认WEB站点”。
步骤2.右击鼠标,从弹出的快捷菜单中选择“属性”;转到“目录安全性”标签页,如图8-63所示,单击“服务器证书”按钮,进入“WEB服务器证书向导”欢迎页,如图8-64所示。
图8-63“目录安全性”标签页
步骤3.阅读“WEB服务器证书向导”的欢迎页中的内容,当确定要创建一个证书时,单击“下一步”按钮,进入“IIS证书向导”的“服务器证书”窗口,如图8-65所示。
图8-64启动“WEB服务器证书向导”
图8-65“IIS证书向导”的“服务器证书”窗口
步骤4.选择“新建证书”,单击“下一步”按钮确认。
系统进入如图8-66所示的“稍候或立即请求”窗口。
图8-66“稍候或立即请求”窗口
步骤5.选择“现在准备证书请求,但稍后发送”,并单击“下一步”按钮确认后,系统依次进入下面的窗口,并提示用户输入相应的数据:
●“命名和安全设置”窗口输入证书的名称和加密密钥的位长。
●“组织信息”窗口输入组织名和部门名称。
●“站点的公用名称”窗口输入站点的公用名称。
●“地理信息”窗口输入国家(地区),省、市/地区,市/县名称
●“证书请求文件名”窗口输入默认的“c:
\certreq.txt”
步骤6.设置后,系统会弹出一个证书确认窗口,显示用户前面输入的信息列表,要求确认,如图8-67所示。
若无修改,可单击“下一步”按钮,进入“完成WEB服务证书向导”窗口,如图8-68所示。
图8-67“请求文件摘要”窗口
图8-68“完成WEB服务证书向导”窗口
步骤7.用户决定后,单击“下一步”按钮,系统回到的“默认WEB站点属性”窗口的“目录安全性”标签页中。
在这里,用户可以进行指定证书作用等操作。
③申请证书
步骤1.打开IE,输入“http:
//localhost/certsrv”,出现如图8-69所示页面。
步骤2.点击“下一步”出现如图8-70所示页面,选择“高级申请”。
图8-69申请证书
图8-70“选择申请类型”页面
步骤3.点击“下一步”出现如图8-71所示页面,选择“使用base64编码的PKCS#10文件提交一个证书申请,或使用base64编码的的PKCS#7文件更新证书申请”
图8-71“高级证书申请”页面
步骤4.点击“下一步”出现“提交一个保存的申请”页面。
在“保存的申请”框中,将在步骤2中产生的“c:
\certreq.txt”文件中的文本复制到文本框中,如图8-72所示。
步骤5.单击“提交”按钮,出现如图8-73所示“证书挂起”页面。
④颁发IIS网站证书。
IIS网站证书的申请完成后,它还处于挂起状态,需要颁发后才能生效。
步骤1.在“控制面板”的“管理工具”中,运行“证书颁发机构”程序。
步骤2.在“证书颁发机构”左侧窗口中展开目录,选中“待定申请”目录,在右侧窗口找到刚才申请的证书,右击该证书,选择“所有任务”中的“颁发”。
步骤3.单击“颁发的证书”目录,打开刚刚颁发成功的证书,并双击证书,出现“证书”对话框的“常规”标签页,再切换到“详细信息”标签页,如图8-74所示。
图8-74证书“详细信息”标签页
步骤4.单击“复制到文件”按钮,弹出“证书导出向导”窗口,如图8-75所示。
图8-75“证书导出向导”窗口
步骤5.出现“导出文件格式”窗口,如图8-76所示。
图8-76“导出文件格式”窗口
步骤6.单击“下一步”按钮,在“要导出的文件”窗口中指定文件名,如图8-77所示。
图8-77证书导出向导中“要导出的文件”窗口
步骤7.单击“下一步”按钮出现如图8-78所示完成窗口,最后单击“完成”按钮,提示证书“导出成功”。
⑤导入IIS网站证书。
步骤1.在IIS管理器的“目录安全性”标签页中,单击“服务器证书”按钮,这时弹出“挂起的证书请求”窗口。
步骤2.选择“处理挂起的请求并安装证书”选项,如图8-79所示。
单击“下一步”按钮后,指定好刚才导出的IIS网站证书文件的位置,如“c:
\web.cer”,出现“证书摘要”窗口,确认“您已选择从答复文件安装证书”,点击“下一步”完成WEB服务器证书向导。
图8-79“挂起的证书请求”窗口
⑥IIS服务器的安全设置。
完成证书的导入后,IIS网站没有启动SSL安全加密功能,需要对IIS服务器进行配置。
步骤1.在“默认WEB站点属性”窗口的“目录安全性”标签页中,在“安全通信”项中单击“编辑”按钮,出现如图8-80所示“安全通信”窗口。
选择“申请安全通道(SSL)”和“申请128位加密”,再选择“接收客户证书”,单击“确定”按钮。
从而启用了IIS站点的SSL加密功能。
图8-80“安全通信”窗口
步骤2.在“默认WEB站点属性”界面中,指定SSL使用的端口(建议使用默认的443),最后单击“确定”按钮。
(2)客户端(IE浏览器)的设置
步骤1.从一台客户机的IE浏览器上,输入CA服务器的IP地址,进入为客户机申请证书过程,如图8-81所示。
步骤2.选择“用户证书”,单击“下一步”按钮,如图8-82所示。
图8-82“选择申请类型”页面
步骤3.等待服务器的响应,如图8-83所示。
图8-83“证书挂起”页面
步骤4.安装证书。
步骤5.证书安装成功。
证书安装成功后,打开IE浏览器,单击“工具”→“INTERNET选项”,在“高级”选项中加上PCT,SSL,TLS协议支持的选项,以增加安全性。
(3)进行安全通信
步骤1.利用普通的HTTP进行浏览,将会得到错误的信息“该网页必须通过安全频道查看”,如图8-84所示。
图8-84错误信息页面
HTTP是最早使用SSL通信协议。
Netscape当初为了加密HTTP,作安全网路交易,才设计了SSL,打开一个新的TCP端口443给它专用,取名为HTTPS,延用至今。
步骤2.利用HTTPS进行浏览,系统将通过IE浏览器提示客户WEB站点的安全证书问题,如图8-85所示。
图8-85安全警报窗口
步骤3.客户端将向WEB站点提供自己从CA申请的证书给WEB站点,此后,客户端(IE浏览器)和WEB站点之间的通信就被加密了。
五、实验分析
(1)你知道有哪些证书标准?
(2)你知道有哪些通信安全协议?
试进行比较
六、主要参考书
参考书:
①杨永川,顾益军,张培晶等编著.计算机取证.北京:
高等教育出版社,2008.
陈龙,麦永浩,黄传河主编.计算机取证技术.武汉:
武汉大学出版社,2007.
③蒋平,黄淑华,杨莉莉编著.数字取证.北京:
中国人民公安大学出版社,2007.
④涂敏,胡颖辉编著,网络安全与管理,江西:
江西高校出版社,2009.2
升级会员 