2017-2018-1 20155306 20155320 20155326《信息安全技术》实验三——数字证书应用
【实验目的】
1.了解PKI体系
2.了解用户进行证书申请和CA颁发证书过程
3.掌握认证服务的安装及配置方法
4.掌握使用数字证书配置安全站点的方法
5.掌握使用数字证书发送签名邮件和加密邮件的方法
【系统环境】
Windows
【实验工具】
-
Windows CA
-
网络协议分析器
【实验步骤】
本练习主机A、B、C为一组
实验主机
实验角色
主机A
CA(证书颁发机构)
主机B
服务器
主机C
客户端
- 角色对应IP
主机角色 | 主机IP |
---|---|
CA | 172.16.0.117后变成172.16.0.90 |
服务器 | 172.16.0.104 |
客户端 | 172.16.0.123 |
1、无认证(服务器和客户端均不需要身份认证)
-
通常在Web服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式进行的。
-
客户端启动协议分析器,选择“文件”|“新建捕获窗口”,然后单击工具栏中的 按钮开始捕获
2、单向认证(仅服务器需要身份认证)
(1)C A(主机A)安装证书服务
主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows组件”,选中组件中的“证书服务”,此时出现“Microsoft证书服务”提示信息,单击“是”,然后单击“下一步”。在接下来的安装过程中依次要确定如下信息:
-
CA类型(选择独立根CA)
-
CA的公用名称(userGXCA,其中G为组编号(1-32),X为主机编号(A-F),如第2组主机D,其使用的用户名应为user2D)
-
证书数据库设置
在确定上述信息后,系统会提示要暂停Internet信息服务,单击“是”,系统开始进行组件安装。安装过程中,在弹出的“所需文件”对话框中指定“文件复制来源”为C:\ExpNIS\Encrypt-Lab\Tools\WindowsCA\i386即可(若安装过程中出现提示信息,请忽略该提示继续安装)。
在启动“证书颁发机构”服务后,主机A便拥有了CA的角色。如下图,安装成功。
2.提交服务器证书申请
- 在“默认网站 属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”,此时出现“Web服务器证书向导”,单击“下一步”,直到“完成”。
-
通过Web服务向CA申请证书,服务器在IE浏览器地址栏中输入“http://CA的IP/certsrv/”并确认。
-
服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码...提交一个申请”进入“提交一个证书申请或续订申请”页面。
- 打开证书请求文件certreq.txt,将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中,然后单击“提交”,并通告CA已提交证书申请,等待CA颁发证书。
- CA为服务器颁发证书
在服务器提交了证书申请后,CA在“管理工具”|“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项,会看到服务器提交的证书申请。右键单击服务器提交的证书申请,选择“所有任务”|“颁发”,为服务器颁发证书(这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中,双击查看为服务器颁发的证书)。
- 服务器下载、安装CA根证书
- Web通信
服务器在“默认网站”|“属性”的“目录安全性”页签“安全通信”中单击“编辑”按钮,选中“要求安全通道SSL”,并且“忽略客户端证书”(不需要客户端身份认证),单击“确定”按钮使设置生效。
客户端重启IE浏览器,在地址栏输入http://服务器IP/并确认,此时访问的Web页面出现。
- 按上图提示进行操作,在地址栏输入https://服务器IP/,并按Enter,出现web服务测试页。
- 客户端启动协议分析器,设置过滤条件:仅捕获客户端与服务器间的会话通信,并开始捕获数据。
- 双向认证(服务器和客户端均需身份认证)
(1)服务器要求客户端身份认证
服务器在“默认网站”|“属性”的“目录安全性”页签中单击“编辑”按钮,选中“要求安全通道SSL”,并且“要求客户端证书”,单击“确定”按钮使设置生效。
(2)客户端访问服务器
客户端在IE浏览器地址栏中输入“https://服务器IP”访问服务器Web服务。此时弹出“安全警报”对话框,提示“即将通过安全连接查看网页”,单击“确定”,又弹出“安全警报”对话框询问“是否继续?”,单击“是”。出现“选择数字证书”对话框,但是没有数字证书可供选择。单击“确定”,页面出现提示“该页要求客户证书”。
(3)客户端(主机C)证书申请
- 登录CA服务主页面
客户端在确认CA已经启动了“证书颁发机构”服务后,通过IE浏览器访问http://CA的IP/certsrv/,可以看到CA证书服务的主页面。
- 客户端提交证书申请
在主页面“选择一个任务”中单击“申请一个证书”,进入下一页面。
- 在证书类型页面中选择“Web浏览器证书”,进入下一页面。
在“Web浏览器证书 - 识别信息”页面中按信息项目填写自己的相关信息,信息填写完毕后,单击“提交”按钮提交识别信息,当页面显示“证书挂起”信息时,说明CA已经收到用户的证书申请,但是用户必须等待管理员颁发证书。
- 单击页面右上角的“主页”回到证书服务主页面。在“选择一个任务”中单击“查看挂起的证书申请的状态”进入下一页面,会看到“Web浏览器证书(提交申请时间)”。单击自己的证书申请,这时会看到证书的状态依然是挂起状态。
-
接下来请CA为客户端颁发证书。通告客户端查看证书,下载、安装证书链。
客户端重新访问CA证书服务主页面,单击“查看挂起的证书申请的状态”,然后单击自己的证书申请。此时页面显示“证书已颁发”。单击“安装此证书”,对于弹出的“安全性警告”对话框选择“是”,这时页面显示信息“您的新证书已经成功安装”。
(4)客户端查看颁发证书
客户端单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”,会在“个人”页签中看到同组主机CA颁发给自己的证书。
(5)客户端再次通过https访问服务器
客户端重新运行IE浏览器并在地址栏中输入“https://服务器IP/bbs”并确认,访问服务器的Web服务。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”,单击“确定”,又出现“安全警报”对话框询问“是否继续?”,单击“是”。出现“选择数字证书”对话框,选择相应的数字证书,单击“确定”。出现“安全信息”提示“是否显示不安全的内容”,单击“否”。此时,客户端即可以访问服务器的Web服务。
【实验中出现的问题及解决】
-问题:实验到服务器向CA申请证书时,发现出现IP冲突
- 通过查看IP命令发现是服务器主机的IP发生了改变,并且与CA主机重复了
- 解决:通过网上查找的解决办法,发现无论是手动分配IP还是自动分配IP都无法解决这个问题,经过询问老师后尝试重新启动电脑解决了这一问题。
【思考题】
-
1. 如果用户将根证书删除,用户证书是否还会被信任?
答:如果用户将根证书删除,用户证书是将不会被信任 -
2. 对比两次协议分析器捕获的会话有什么差异?
答:客户端启动协议分析器后,在未设置过滤条件之前,协议分析器捕获的会话是明文,设置过滤条件之后,协议分析器捕获的会话是密文。