2017-2018-1 20155306 20155320 20155326《信息安全技术》实验三——数字证书应用

【实验目的】

1.了解PKI体系

2.了解用户进行证书申请和CA颁发证书过程

3.掌握认证服务的安装及配置方法

4.掌握使用数字证书配置安全站点的方法

5.掌握使用数字证书发送签名邮件和加密邮件的方法

【系统环境】

Windows

【实验工具】

  • Windows CA

  • 网络协议分析器

【实验步骤】

本练习主机A、B、C为一组

实验主机
实验角色

主机A
CA(证书颁发机构)

主机B
服务器

主机C
客户端

  • 角色对应IP
主机角色 主机IP
CA 172.16.0.117后变成172.16.0.90
服务器 172.16.0.104
客户端 172.16.0.123

1、无认证(服务器和客户端均不需要身份认证

  • 通常在Web服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式进行的。

  • 客户端启动协议分析器,选择“文件”|“新建捕获窗口”,然后单击工具栏中的 按钮开始捕获

2、单向认证(仅服务器需要身份认证

(1)C A(主机A)安装证书服务
主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows组件”,选中组件中的“证书服务”,此时出现“Microsoft证书服务”提示信息,单击“是”,然后单击“下一步”。在接下来的安装过程中依次要确定如下信息:

  • CA类型(选择独立根CA)

  • CA的公用名称(userGXCA,其中G为组编号(1-32),X为主机编号(A-F),如第2组主机D,其使用的用户名应为user2D)

  • 证书数据库设置

在确定上述信息后,系统会提示要暂停Internet信息服务,单击“是”,系统开始进行组件安装。安装过程中,在弹出的“所需文件”对话框中指定“文件复制来源”为C:\ExpNIS\Encrypt-Lab\Tools\WindowsCA\i386即可(若安装过程中出现提示信息,请忽略该提示继续安装)。
在启动“证书颁发机构”服务后,主机A便拥有了CA的角色。如下图,安装成功。

2.提交服务器证书申请

  • 在“默认网站 属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”,此时出现“Web服务器证书向导”,单击“下一步”,直到“完成”。

  • 通过Web服务向CA申请证书,服务器在IE浏览器地址栏中输入“http://CA的IP/certsrv/”并确认。

  • 服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码...提交一个申请”进入“提交一个证书申请或续订申请”页面。

  • 打开证书请求文件certreq.txt,将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中,然后单击“提交”,并通告CA已提交证书申请,等待CA颁发证书。

  • CA为服务器颁发证书
    在服务器提交了证书申请后,CA在“管理工具”|“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项,会看到服务器提交的证书申请。右键单击服务器提交的证书申请,选择“所有任务”|“颁发”,为服务器颁发证书(这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中,双击查看为服务器颁发的证书)。

  • 服务器下载、安装CA根证书

  • Web通信

服务器在“默认网站”|“属性”的“目录安全性”页签“安全通信”中单击“编辑”按钮,选中“要求安全通道SSL”,并且“忽略客户端证书”(不需要客户端身份认证),单击“确定”按钮使设置生效。
客户端重启IE浏览器,在地址栏输入http://服务器IP/并确认,此时访问的Web页面出现。

  • 按上图提示进行操作,在地址栏输入https://服务器IP/,并按Enter,出现web服务测试页。

  • 客户端启动协议分析器,设置过滤条件:仅捕获客户端与服务器间的会话通信,并开始捕获数据。

  • 双向认证(服务器和客户端均需身份认证)

(1)服务器要求客户端身份认证

服务器在“默认网站”|“属性”的“目录安全性”页签中单击“编辑”按钮,选中“要求安全通道SSL”,并且“要求客户端证书”,单击“确定”按钮使设置生效。

(2)客户端访问服务器

客户端在IE浏览器地址栏中输入“https://服务器IP”访问服务器Web服务。此时弹出“安全警报”对话框,提示“即将通过安全连接查看网页”,单击“确定”,又弹出“安全警报”对话框询问“是否继续?”,单击“是”。出现“选择数字证书”对话框,但是没有数字证书可供选择。单击“确定”,页面出现提示“该页要求客户证书”。

(3)客户端(主机C)证书申请

  • 登录CA服务主页面

客户端在确认CA已经启动了“证书颁发机构”服务后,通过IE浏览器访问http://CA的IP/certsrv/,可以看到CA证书服务的主页面。

  • 客户端提交证书申请

在主页面“选择一个任务”中单击“申请一个证书”,进入下一页面。

  • 在证书类型页面中选择“Web浏览器证书”,进入下一页面。
    在“Web浏览器证书 - 识别信息”页面中按信息项目填写自己的相关信息,信息填写完毕后,单击“提交”按钮提交识别信息,当页面显示“证书挂起”信息时,说明CA已经收到用户的证书申请,但是用户必须等待管理员颁发证书。

  • 单击页面右上角的“主页”回到证书服务主页面。在“选择一个任务”中单击“查看挂起的证书申请的状态”进入下一页面,会看到“Web浏览器证书(提交申请时间)”。单击自己的证书申请,这时会看到证书的状态依然是挂起状态。

  • 接下来请CA为客户端颁发证书。通告客户端查看证书,下载、安装证书链。

    客户端重新访问CA证书服务主页面,单击“查看挂起的证书申请的状态”,然后单击自己的证书申请。此时页面显示“证书已颁发”。单击“安装此证书”,对于弹出的“安全性警告”对话框选择“是”,这时页面显示信息“您的新证书已经成功安装”。

(4)客户端查看颁发证书

客户端单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”,会在“个人”页签中看到同组主机CA颁发给自己的证书。

(5)客户端再次通过https访问服务器

客户端重新运行IE浏览器并在地址栏中输入“https://服务器IP/bbs”并确认,访问服务器的Web服务。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”,单击“确定”,又出现“安全警报”对话框询问“是否继续?”,单击“是”。出现“选择数字证书”对话框,选择相应的数字证书,单击“确定”。出现“安全信息”提示“是否显示不安全的内容”,单击“否”。此时,客户端即可以访问服务器的Web服务。

【实验中出现的问题及解决】

-问题:实验到服务器向CA申请证书时,发现出现IP冲突

  • 通过查看IP命令发现是服务器主机的IP发生了改变,并且与CA主机重复了

  • 解决:通过网上查找的解决办法,发现无论是手动分配IP还是自动分配IP都无法解决这个问题,经过询问老师后尝试重新启动电脑解决了这一问题。

【思考题】

  • 1. 如果用户将根证书删除,用户证书是否还会被信任?
    答:如果用户将根证书删除,用户证书是将不会被信任

  • 2. 对比两次协议分析器捕获的会话有什么差异?
    答:客户端启动协议分析器后,在未设置过滤条件之前,协议分析器捕获的会话是明文,设置过滤条件之后,协议分析器捕获的会话是密文。

posted on 2017-11-14 21:13  20155320罗佳琪  阅读(443)  评论(0编辑  收藏  举报