PKI及SSL协议分析
PKI的基本组成,完整的PKI体系必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复体系、证书取消体系、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大要系来动手构建。任务一:搭建CA服务器
本任务初步了解CA服务器的原理和设置过程。操作都在CA服务器上。
1、远程桌面方式登录到CA服务器,在CMD下查看本机IP地址:
ipconfig
https://i-blog.csdnimg.cn/img_convert/a745424ef6fd52147b918ff79436b75c.png
注:在本例中CA服务器IP为10.1.1.245,但在做实行过程中,IP可能会出现变动,要记住自己CA的IP,在背面实行过程中填写自己的IP,否则实行可能失败。
2、安装证书服务
依次点击:“开始”->>“控制面板”->>“添加或删除步伐”,以打开添加或删除步伐对话框:
依次点击:“添加删除windows组件”,在组件向导中选中“应用步伐服务器”与“证书服务”,先不要点击下一步:
https://i-blog.csdnimg.cn/img_convert/3ef05b10da7b4518f17a01f70affdcfd.png
双击“应用步伐服务器”,选中“ASP.NET”与“Internet信息服务(IIS)”,如下图:
https://i-blog.csdnimg.cn/img_convert/682c9d032de379a98ebc23cdb1976b8a.png
https://i-blog.csdnimg.cn/img_convert/a09a402e9f25f57cf5f4463f569fde7d.png
点击“确定”开始安装,在出现的对话框中选择“独立根”,继续安装过程
https://i-blog.csdnimg.cn/img_convert/35d3532f2b01bb4e3311a8fb85019d2d.png
https://i-blog.csdnimg.cn/img_convert/0a20e9bec3ad0a119613c69cbecb170d.png
https://i-blog.csdnimg.cn/img_convert/cb0ffa98f8ebf794777daeeae44b7ffa.png
单击下一步后进行安装,在安装过程中会提示“输入磁盘”,按照安装IIS的方式,单击“浏览”、找到文件,确定完成安装。
(浏览到桌面-win2003-I386目录下)
在安装完成后会提示启用Active Server Page,点击“确定
https://i-blog.csdnimg.cn/img_convert/dbfbc07ad7176e970be9fb1daba7569c.png
安装完成后会发现有管理工具中多了“Internet信息服务(IIS)”,找到并打开:
https://i-blog.csdnimg.cn/img_convert/5655961ad3876c0a4ec4ce35eb139699.png
右键“默认网站”,选择“属性”:
会出现如部属性对话框,在对话框中IP地址选择为本机IP(一般IP已经存在,不消手工输入),并点击确定:
https://i-blog.csdnimg.cn/img_convert/c4ef57e8c0974a14237026eedabe2cf4.png
打开浏览器输入 http://10.1.1.245/certsrv/ 可以浏览证书服务器
https://i-blog.csdnimg.cn/img_convert/0846710bf0a8597c91a8cb3d9dc032fd.png
任务二:搭建HTTPS服务器
1、证书申请
登录到要搭建https服务的“网站”主机,查看IP:
https://i-blog.csdnimg.cn/img_convert/cccd2aa6a0e6e0e62ae6cfc0b521e20a.png
按照搭建CA服务器的方法安装IIS,区别是只选择“应用步伐服务器”,
https://i-blog.csdnimg.cn/img_convert/b969d9734dcdce400e35ff1e384f583e.png
安装完成后,打开IIS,右键“默认网站”,选择“属性”:
https://i-blog.csdnimg.cn/img_convert/3334a4128b16e2964525a1ff8a3a1af4.png
在“默认网站属性”中选择“目录安全性”标签,点击“服务器证书”:
https://i-blog.csdnimg.cn/img_convert/e3d5c51895ca02d173f797d01e8f76a7.png
出现如下对话框,保持默认选项“新建证书”不动,继续下一步:
https://i-blog.csdnimg.cn/img_convert/dcdf57fcc53c5520dc9a8fbea1906621.png
https://i-blog.csdnimg.cn/img_convert/aa21363b7c70ca430a32a3483e7728b5.png
https://i-blog.csdnimg.cn/img_convert/03843d498b44c8e82233632072bca539.png
https://i-blog.csdnimg.cn/img_convert/dfcf56a518d2a72d174f08154a7ead8d.png
填写公用名称,由于在本环境中没有使用DNS服务器,没有域名因此使用IP地址访问,在公用名称中输入本机的IP地址,假如名称错误,背面过程中会出现题目,因此应细致核对:
https://i-blog.csdnimg.cn/img_convert/d1ac3268739b2d478ffe39cb52b6ef8b.png
https://i-blog.csdnimg.cn/img_convert/2bba9adc9e2b5f2050b40847ad7368d0.png
可以使用默认的文件名,但要记住存放地址:
https://i-blog.csdnimg.cn/img_convert/b6c2ff67385e070a58374145fea24a27.png
https://i-blog.csdnimg.cn/img_convert/032103116b535ca90b0e2701036b39db.png
确认信息后,完成请求证书的设置。
接下来申请证书。
打开浏览器,输入刚才我们搭建的证书服务器地址:
Http://10.1.1.245/certsrv/ (在实行中根据自己情况填写IP),在证书服务页面点击“申请一个证书”
https://i-blog.csdnimg.cn/img_convert/717fdf803f4bc758d6d0736fba53b3c2.png
https://i-blog.csdnimg.cn/img_convert/2a8fc947723afacf69da2b8237479e0f.png
https://i-blog.csdnimg.cn/img_convert/fdd8537b22701475c0610c95d6c4a90a.png
打开前面步骤创建的文本文件,将文本文件的内容复制到页面中,并提交:
https://i-blog.csdnimg.cn/img_convert/2cdc7353e92a965ef6610942814efd7d.png
https://i-blog.csdnimg.cn/img_convert/e943f4391e4613fe03a0412544a12034.png
2、证书的颁发
证书的颁发在证书服务器中操作,接下来的操作是证书审核员的角色,切换到CA服务器,点击“开始”>>“管理工具”>>“证书颁发机构”:
https://i-blog.csdnimg.cn/img_convert/add2973d1c5559a27c36b8f3c63a3cd7.png
https://i-blog.csdnimg.cn/img_convert/ccbff0745fc4434097ad7d05ad448bc7.png
右键全部任务,选择“颁发”:
https://i-blog.csdnimg.cn/img_convert/5a3cd122ff0e3ea99d604b7794291c57.png
3、下载并应用证书
本操作是网站主机上。
https://i-blog.csdnimg.cn/img_convert/250cec83c5efd0f4b84de24988ee1225.png
https://i-blog.csdnimg.cn/img_convert/fc2f678e480ef9610b0a24009cb1db0b.png
https://i-blog.csdnimg.cn/img_convert/414e43acec4dba7d21fd172b6767c1be.png
将证书生存到桌面,以便查找,可以看到桌面上的证书文件。
再进入到默认网站属性,选择“目录安全性”,单击“服务器证书”:
https://i-blog.csdnimg.cn/img_convert/8d10f71025f5daff3e7c8040571f6aac.png
https://i-blog.csdnimg.cn/img_convert/a9f6454bcd77eb7078cbe9fa4b2ba896.png
在“处理挂起请求”中选择“浏览”,选择刚才下载的证书文件,并打开,下一步,使用默认的443端口,点击下一步:
https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fwww.hetianlab.com%2FheadImg.action&pos_id=vEue0g2O
继续下一步,完成向导。
打开默认网站属性,选择“目录安全性”标签,单击“编辑”
https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fwww.hetianlab.com%2FheadImg.action&pos_id=jwgLWhwX
选择“要求安全通道”,确定:
https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fwww.hetianlab.com%2FheadImg.action&pos_id=DGPA6sdW
任务三:访问HTTPS服务器
在“CA服务器”中打开已经申请了HTTPS服务的网站:
https://i-blog.csdnimg.cn/img_convert/fe242e004636f7b65193bf13398b475a.png
输入https://10.1.1.196 (按照实际情况),会出现一个证书安全题目简直认,单击“是”,进行浏览:
https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fwww.hetianlab.com%2FheadImg.action&pos_id=4D5GraUk
可以看到能够通过HTTPS协议浏览。
https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fwww.hetianlab.com%2FheadImg.action&pos_id=MppuNRGb
、
1.通过本实行,论述本实行中有哪些角色?他们的任务分别是什么?
CA;证书库;使用证书的网站
服务器和网站,服务器负责证书的颁发,网站负责证书的申请。
2.对数据包进行分析,比力使用HTTP和HTTPS有什么差别?
HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了包管这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
HTTP与HTTPS的区别 - konglingbin - 博客园 (cnblogs.com)
3.实行中我们是自己给自己签发证书,而且名称单位完全可以随意编造,同学可以实行伪造别人的自签名证书,看看有什么反应。浏览器会不会识别出来。
不可以, 而 使用支持浏览器的SSL证书就不会有被伪造的题目,颁发给用户的证书是环球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一 样),浏览器有一套可靠的验证机制,会主动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
自签证书的安全性题目 - JaxYoun - 博客园 (cnblogs.com)
4.12306也使用了自签证书,而且要求我们把它存入“受信任的根证书颁发机构”,这么做对12306网站有什么好处,对用户有什么坏处?
制止用户数据出现走漏
安全:为什么我们必须停止信任12306的根证书 – 蓝点网 (landian.vip)
5.网上有许多收费的电子认证服务,可以提供证书颁发,那么使用这种证书的安全性如何?有没有脆缺点?
HTTPS证书为什么要收费?不就生成个电子证书嘛! - 简书 (jianshu.com)
https://i-blog.csdnimg.cn/img_convert/871e9f2780491d514addac01d8528c04.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]