PKI及SSL协议分析实验报告

 

## 一、实验目的

通过该实验了解和掌握证书服务的安装，理解证书的发放过程，掌握在WEB服务器上配置SSL，使用HTTPS协议访问网站以验证结果，最后对HTTPS协议进行分析。

## 二、实验环境

​ Window Server * 2
​ 本实验中自己指定CA服务器与申请证书的网站。
​ 实验过程中建议使用IE浏览器，如果不使用IE，可能会导致后续实验过程中证书不能下载。

​ 

## 三、实验内容与实验要求

实验内容、原理分析及具体实验要求。
原理分析：

**PKI**

PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI是由硬件、软件、策略和人构成的系统，当完善实施后，能够为敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真实性和不可否认性。

PKI的基本组成，完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。

**数字证书**

是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

**HTTPS**

HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

## 四、实验过程与分析

### 任务一：搭建CA服务器

1、 远程桌面方式登录到CA服务器，在CMD下查看本机IP地址：


2、 安装证书服务
依次点击：“开始”->>“控制面板”->>“添加或删除程序”，以打开添加或删除程序对话框：








点击确定


配置IIS的站点


输入本机IP查看本地网站


### 任务二：搭建HTTPS服务器

1、 证书申请
查看本机IP


安装完成后，打开IIS，右键“默认网站”，选择“属性”：


新建服务器证书


安装






填写相关信息

​ 

 

​

向服务器申请证书


将之前步骤建立的文本文件，复制到页面，并提交


2、 证书的颁发
打开CA服务器


颁发申请的证书


3、下载并应用证书
切换机子下载证书

​ 

再进入到默认网站属性，选择“目录安全性”，单击“服务器证书”：


选择安全通道


### 任务三：访问HTTPS服务器

​ 在CA服务器上打开已经申请的服务器的网站
​
​ 
https访问成功
​

## 五、实验结果总结

**实验结果成功！导出证书也成功！**

#### 1.通过本实验，论述本实验中有哪些角色？他们的任务分别是什么？

①CA服务器：CA，证书库，使用证书的网站
②网站主机：使用网站WEB服务的用户

#### 2.对数据包进行分析，比较使用HTTP和HTTPS有什么不同？

HTTP是明文传输
HTTPS是密文传输

#### 3.实验中我们是自己给自己签发证书，而且名称单位完全可以随意编造，同学可以尝试伪造别人的自签名证书，看看有什么反应。浏览器会不会识别出来。

对于百度和谷歌这类严格检查证书的网站，浏览器会识别出来

#### 4.12306也使用了自签证书，而且要求我们把它存入“受信任的根证书颁发机构”，这么做对12306网站有什么好处，对用户有什么坏处？

好处：加密数据
坏处：如果 SRCA 根证书私钥泄露那么攻击者不但可伪造12306证书进行劫持，同时还可以伪造任意网站进行劫持

#### 5.网上有很多收费的电子认证服务，可以提供证书颁发，那么使用这种证书的安全性如何？有没有脆弱点？

安全性不一致。一些较为权威的机构比较安全，而一些小机构则较为不安全

## 六、附录

​ https://www.hetianlab.com/expc.do?ce=882ac773-9a2d-45f1-98d2-edbb4441f5a3
​
​
​
​
​
​
​
​
​