任務一：搭建CA伺服器

1、遠端桌面方式登入到CA伺服器，在CMD下檢視本機IP地址：

2、安裝證書服務

點選“確定”開始安裝，在出現的對話方塊中選擇“獨立根”，繼續安裝過程

選擇相關的引數，如下圖：

下一步後，會出現證書資料庫的相關設定，不用修改，繼續下一步：

單擊下一步後進行安裝，在安裝過程中會提示“輸入磁碟”，按照安裝IIS的方式，單擊“瀏覽”、找到檔案，確定完成安裝。

在安裝完成後會提示啟用Active Server Page，點選“確定”

安裝完成後會發現有管理工具中多了“Internet資訊服務（IIS）”，找到並開啟：

右鍵“預設網站”，選擇“屬性”：

會出現如下屬性對話方塊，在對話方塊中IP地址選擇為本機IP

開啟瀏覽器輸入 http://10.1.1.245/certsrv/ 可以瀏覽證書伺服器

證書伺服器搭建完成。

任務二：搭建HTTPS伺服器

1、證書申請

登入到要搭建https服務的“網站”主機，檢視IP：

按照搭建CA伺服器的方法安裝IIS，區別是隻選擇“應用程式伺服器”，如下圖：

安裝完成後，開啟IIS，右鍵“預設網站”，選擇“屬性”：

在“預設網站屬性”中選擇“目錄安全性”標籤，點選“伺服器證書”：

出現如下對話方塊，保持預設選項“新建證書”不動，繼續下一步：

繼續保持預設選項，單擊下一步：

單位與部門資訊：

在下一步中輸入證書的相關資訊：

可以使用預設的檔名，但要記住存放地址：

接下來申請證書。

開啟瀏覽器，輸入剛才我們搭建的證書伺服器地址：

Http://10.1.1.245/certsrv/ (在實驗中根據自己情況填寫IP)，在證書服務頁面點選“申請一個證書”

在下圖的頁面中點選“高階證書申請”：

在出現的頁面中選擇第二個“使用base64編碼的CMC……”

會出現等待管理員稽核批准的頁面。

2、證書的頒發

證書的頒發在證書伺服器中操作，接下來的操作是證書稽核員的角色，切換到CA伺服器，點選“開始”>>“管理工具”>>“證書頒發機構”:

可以在掛起的申請中看到剛才我們的申請：

右鍵所有任務，選擇“頒發”：

頒發後可以在“頒發的證書”中看到，如下圖：

3、下載並應用證書

本操作是網站主機上。

可以看到，證書已經稽核通過，可以下載了：

點選“儲存的申請證書”，進入到下一頁面：

選擇“Base 64編碼”，並點選“下載證書”：

將證書儲存到桌面，以便查詢，可以看到桌面上的證書檔案。

再進入到預設網站屬性，選擇“目錄安全性”，單擊“伺服器證書”：

進入Web伺服器證書嚮導，點選下一步：

在“處理掛起請求”中選擇“瀏覽”，選擇剛才下載的證書檔案，並開啟，下一步，使用預設的443埠，點選下一步：

繼續下一步，完成嚮導。

開啟預設網站屬性，選擇“目錄安全性”標籤，單擊“編輯”

選擇“要求安全通道”，確定：

任務三：訪問HTTPS伺服器

在“CA伺服器”中開啟已經申請了HTTPS服務的網站：

輸入https://10.1.1.196(按照實際情況)，會出現一個證書安全問題的確認，單擊“是”，進行瀏覽：

可以看到能夠通過HTTPS協議瀏覽。

分析與思考

1.通過本實驗，論述本實驗中有哪些角色？他們的任務分別是什麼？

主機：申請所需要的證書

CA伺服器：證書庫，使用證書的網站，CA，證書稽核員，負責頒發證書

2.對資料包進行分析，比較使用HTTP和HTTPS有什麼不同？

• HTTP 明文傳輸，資料都是未加密的，安全性較差，HTTPS（SSL+HTTP） 資料傳輸過程是加密的，安全性較好。
• 使用 HTTPS 協議需要到 CA（Certificate Authority，數字證書認證機構） 申請證書，一般免費證書較少，因而需要一定費用。證書頒發機構如：Symantec、Comodo、GoDaddy 和 GlobalSign 等。
• HTTP 頁面響應速度比 HTTPS 快，主要是因為 HTTP 使用 TCP 三次握手建立連線，客戶端和伺服器需要交換 3 個包，而 HTTPS除了 TCP 的三個包，還要加上 ssl 握手需要的 9 個包，所以一共是 12 個包。
• http 和 https 使用的是完全不同的連線方式，用的埠也不一樣，前者是 80，後者是 443。
• HTTPS 其實就是建構在 SSL/TLS 之上的 HTTP 協議，所以，要比較 HTTPS 比 HTTP 要更耗費伺服器資源。

3.實驗中我們是自己給自己簽發證書，而且名稱單位完全可以隨意編造，同學可以嘗試偽造別人的自簽名證書，看看有什麼反應。瀏覽器會不會識別出來。

最新版瀏覽器改變了證書中域名讀取規則，老版瀏覽器讀取證書中的域名是從證書欄位“使用者”中的CN欄位讀取域名在與網址匹配，匹配一樣就是有效證書，新版瀏覽器是從證書的擴充套件欄位“使用者可選名稱”中讀取域名來匹配網址，匹配一樣就是有效證書，匹配不一樣就是無效證書，這種規則的改變一個證書可以繫結多個域名，多個域名不用再購買多個證書了。之前自頒發的SSL證書沒有“使用者可選名稱”這個欄位，無法匹配證書中的域名與網址的對應關係，所以新版瀏覽就將此證書視為無效證書，所有瀏覽器廠商都會向此欄位靠攏。

4.12306也使用了自簽證書，而且要求我們把它存入“受信任的根證書頒發機構”，這麼做對12306網站有什麼好處，對使用者有什麼壞處？

對於12306網站來說使用這個自簽名數字證書確實可以避免使用者資料出現洩漏。如果有人試圖偽造12306網站證書進行中間人攻擊，即使在信任 SRCA 根證書的情況下也會遭到瀏覽器攔截。

鐵資訊工程集團本身是未經審計的證書籤發機構，同時也沒有 PKI 基礎設施對證書進行管理或者吊銷操作。如果 SRCA 根證書出現安全問題例如洩露了私鑰那麼中鐵資訊工程集團也沒有辦法及時吊銷證書來防止偽造。如果 SRCA 根證書私鑰洩露那麼攻擊者不但可偽造12306證書進行劫持，同時還可以偽造任意網站進行劫持。例如攻擊者可以偽造支付寶網站或者網銀證書並製作釣魚網站， 這樣你訪問釣魚網站的時候瀏覽器不會攔截。然後在你輸入支付寶賬號密碼以及支付密碼點選提交的時候， 攻擊者在伺服器上即可獲得你的所有關鍵資訊。

5.網上有很多收費的電子認證服務，可以提供證書頒發，那麼使用這種證書的安全性如何？有沒有脆弱點？

答題