實驗所屬系列：安全協議應用與分析/網路安全與防護

實驗物件：本科/專科資訊保安專業

相關課程及專業：資訊網路安全概論、網路攻擊與防禦技術、計算機網路

實驗時數（學分）：2學時

實驗類別：實踐實驗類

通過該實驗瞭解和掌握證書服務的安裝，理解證書的發放過程，掌握在WEB伺服器上配置SSL， 使用HTTPS協議訪問網站以驗證結果，最後對HTTPS協議進行分析。

PKI

PKI是Public Key Infrastructure的縮寫，是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。PKI是由硬體、軟體、策略和人構成的系統，當完善實施後，能夠為敏感通訊和交易提供一套資訊保安保障，包括保密性、完整性、真實性和不可否認。

PKI的基本組成，完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、金鑰備份及恢復系統、證書作廢系統、應用介面（API）等基本構成部分，構建PKI也將圍繞著這五大系統來著手構建。

數字證書，是網際網路通訊中標誌通訊各方身份資訊的一系列資料，提供了一種在Internet上驗證身份的方式，其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構-----CA機構，又稱為證書授權（Certificate Authority）中心發行的，人們可以在網上用它來識別對方的身份。

HTTPS

HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。

本實驗中自己指定CA伺服器與申請證書的網站。

實驗過程中建議使用IE瀏覽器，如果不使用IE，可能會導致後續實驗過程中證書不能下載。

任務一：搭建CA伺服器

本任務初步瞭解CA伺服器的原理和配置過程。操作都在CA伺服器上。

1、遠端桌面方式登入到CA伺服器，在CMD下檢視本機IP地址：

注：在本例中CA伺服器IP為10.1.1.245，但在做實驗過程中，IP可能會出現變動，要記住自己CA的IP，在後面實驗過程中填寫自己的IP，否則實驗可能失敗。

2、安裝證書服務

依次點選：“開始”->>“控制面板”->>“新增或刪除程式”，以開啟新增或刪除程式對話方塊：

依次點選：“新增刪除windows元件”，在元件嚮導中選中“應用程式伺服器”與“證書服務”，先不要點選下一步：

雙擊“應用程式伺服器”，選中“ASP.NET”與“Internet資訊服務（IIS）”，如下圖：

點選“確定”開始安裝，在出現的對話方塊中選擇“獨立根”，繼續安裝過程

選擇相關的引數，如下圖：

下一步後，會出現證書資料庫的相關設定，不用修改，繼續下一步：

單擊下一步後進行安裝，在安裝過程中會提示“輸入磁碟”，按照安裝IIS的方式，單擊“瀏覽”、找到檔案，確定完成安裝。

（瀏覽到桌面-win2003-I386目錄下）

在安裝完成後會提示啟用Active Server Page，點選“確定”

安裝完成後會發現有管理工具中多了“Internet資訊服務（IIS）”，找到並開啟：

右鍵“預設網站”，選擇“屬性”：

會出現如下屬性對話方塊，在對話方塊中IP地址選擇為本機IP（一般IP已經存在，不用手工輸入），並點選確定：

開啟瀏覽器輸入 http://10.1.1.245/certsrv/ 可以瀏覽證書伺服器

至此，證書伺服器搭建完成。

任務二：搭建HTTPS伺服器

1、證書申請

登入到要搭建https服務的“網站”主機，檢視IP：

按照搭建CA伺服器的方法安裝IIS，區別是隻選擇“應用程式伺服器”，如下圖：

安裝完成後，開啟IIS，右鍵“預設網站”，選擇“屬性”：

在“預設網站屬性”中選擇“目錄安全性”標籤，點選“伺服器證書”：

會出現安裝嚮導，點選下一步：

出現如下對話方塊，保持預設選項“新建證書”不動，繼續下一步：

繼續保持預設選項，單擊下一步：

填寫單位與部門資訊：

填寫公用名稱，由於在本環境中沒有使用DNS伺服器，沒有域名因此使用IP地址訪問，在公用名稱中輸入本機的IP地址，如果名稱錯誤，後面過程中會出現問題，因此應仔細核對：

在下一步中輸入證書的相關資訊：

可以使用預設的檔名，但要記住存放地址：

確認資訊後，完成請求證書的設定。

接下來申請證書。

開啟瀏覽器，輸入剛才我們搭建的證書伺服器地址：

Http://10.1.1.245/certsrv/ (在實驗中根據自己情況填寫IP)，在證書服務頁面點選“申請一個證書”

在下圖的頁面中點選“高階證書申請”：

在出現的頁面中選擇第二個“使用base64編碼的CMC……”

開啟前面步驟建立的文字檔案，將文字檔案的內容複製到頁面中，並提交：

會出現等待管理員稽核批准的頁面。

2、證書的頒發

證書的頒發在證書伺服器中操作，接下來的操作是證書稽核員的角色，切換到CA伺服器，點選“開始”>>“管理工具”>>“證書頒發機構”:

可以在掛起的申請中看到剛才我們的申請：

右鍵所有任務，選擇“頒發”：

頒發後可以在“頒發的證書”中看到，如下圖：

3、下載並應用證書

本操作是網站主機上。

可以看到，證書已經稽核通過，可以下載了：

點選“儲存的申請證書”，進入到下一頁面：

選擇“Base 64編碼”，並點選“下載證書”：

將證書儲存到桌面，以便查詢，可以看到桌面上的證書檔案。

再進入到預設網站屬性，選擇“目錄安全性”，單擊“伺服器證書”：

進入Web伺服器證書嚮導，點選下一步：

在“處理掛起請求”中選擇“瀏覽”，選擇剛才下載的證書檔案，並開啟，下一步，使用預設的443埠，點選下一步：

繼續下一步，完成嚮導。

開啟預設網站屬性，選擇“目錄安全性”標籤，單擊“編輯”

選擇“要求安全通道”，確定：

任務三：訪問HTTPS伺服器

在“CA伺服器”中開啟已經申請了HTTPS服務的網站：

輸入https://10.1.1.196(按照實際情況)，會出現一個證書安全問題的確認，單擊“是”，進行瀏覽：

可以看到能夠通過HTTPS協議瀏覽。

對實驗結果進行分析，完成思考題目，總結實驗的心得體會，並提出實驗的改進意見。

1.通過本實驗，論述本實驗中有哪些角色？他們的任務分別是什麼？

答：

CA伺服器：CA，證書庫，使用證書的網站

網站主機：使用網站WEB服務的使用者

2.對資料包進行分析，比較使用HTTP和HTTPS有什麼不同？

答：

1、HTTP：是超文字傳輸協議；HTTPS：是安全超文字傳輸協議。

2、HTTP的連線非常簡單，沒有狀態；HTTPS協議是由SSL/TLS+HTTP協議構建的可加密傳輸和身份認證的網路協議，比HTTP協議更安全。

3、http和https採用完全不同的連線方式，埠也不同。前者是80，後者是443。

4、HTTP不加密，HTTPS加密傳輸資料。