PKI及SSL协议分析

本文主要是介绍PKI及SSL协议分析，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

　　本实验主要介绍了PKI本实验主要介绍了PKI及SSL协议的分析，通过本实验的学习，你能够了解和掌握证书服务的安装，理解证书的发放过程，掌握在WEB服务器上配置SSL， 使用HTTPS协议访问网站以验证结果。

一、实验目的

　　通过该实验了解和掌握证书服务的安装，理解证书的发放过程，掌握在WEB服务器上配置SSL， 使用HTTPS协议访问网站以验证结果，最后对HTTPS协议进行分析。

二、实验步骤

1）搭建CA服务器

　1、远程桌面方式登录到CA服务器，在CMD下查看本机IP地址：

　　注：在本例中CA服务器IP为10.1.1.245，但在做实验过程中，IP可能会出现变动，要记住自己CA的IP，在后面实验过程中填写自己的IP，否则实验可能失败。

　2、安装证书服务

　　依次点击：“开始”->>“控制面板”->>“添加或删除程序”，以打开添加或删除程序对话框：

　　依次点击：“添加删除windows组件”，在组件向导中选中“应用程序服务器”与“证书服务”，先不要点击下一步：

　　双击“应用程序服务器”，选中“ASP.NET”与“Internet信息服务（IIS）”，如下图：

　　点击“确定”开始安装，在出现的对话框中选择“独立根”，继续安装过程

　　选择相关的参数，如下图：

　　下一步后，会出现证书数据库的相关设置，不用修改，继续下一步：

　　单击下一步后进行安装，在安装过程中会提示“输入磁盘”，按照安装IIS的方式，单击“浏览”、找到文件，确定完成安装。

　　（浏览到桌面-win2003-I386目录下）

　　在安装完成后会提示启用Active Server Page，点击“确定”

　　安装完成后会发现有管理工具中多了“Internet信息服务（IIS）”，找到并打开：

　　右键“默认网站”，选择“属性”：

　　会出现如下属性对话框，在对话框中IP地址选择为本机IP（一般IP已经存在，不用手工输入），并点击确定：

　　打开浏览器输入 http://10.1.1.245/certsrv/ 可以浏览证书服务器

　　至此，证书服务器搭建完成。

2）搭建HTTPS服务器

　1、证书申请

　　登录到要搭建https服务的“网站”主机，查看IP：

　　按照搭建CA服务器的方法安装IIS，区别是只选择“应用程序服务器”，如下图：

　　安装完成后，打开IIS，右键“默认网站”，选择“属性”：

　　在“默认网站属性”中选择“目录安全性”标签，点击“服务器证书”：

　　会出现安装向导，点击下一步：

　　出现如下对话框，保持默认选项“新建证书”不动，继续下一步：

　　继续保持默认选项，单击下一步：

　　填写单位与部门信息：

　　填写公用名称，由于在本环境中没有使用DNS服务器，没有域名因此使用IP地址访问，在公用名称中输入本机的IP地址，如果名称错误，后面过程中会出现问题，因此应仔细核对：

　　在下一步中输入证书的相关信息：

　　可以使用默认的文件名，但要记住存放地址：

　　确认信息后，完成请求证书的设置。

       接下来申请证书。

       打开浏览器，输入刚才我们搭建的证书服务器地址：

       Http://10.1.1.245/certsrv/ (在实验中根据自己情况填写IP)，在证书服务页面点击“申请一个证书”

　　在下图的页面中点击“高级证书申请”：

　　在出现的页面中选择第二个“使用base64编码的CMC……”

　　打开前面步骤建立的文本文件，将文本文件的内容复制到页面中，并提交：

　　会出现等待管理员审核批准的页面。

　2、证书的颁发

　　证书的颁发在证书服务器中操作，接下来的操作是证书审核员的角色，切换到CA服务器，点击“开始”>>“管理工具”>>“证书颁发机构”:

　　可以在挂起的申请中看到刚才我们的申请：

　　右键所有任务，选择“颁发”：

　　颁发后可以在“颁发的证书”中看到，如下图：

　3、下载并应用证书

　　本操作是网站主机上。

　　可以看到，证书已经审核通过，可以下载了：

　　点击“保存的申请证书”，进入到下一页面：

　　选择“Base 64编码”，并点击“下载证书”：

　　将证书保存到桌面，以便查找，可以看到桌面上的证书文件。

　　再进入到默认网站属性，选择“目录安全性”，单击“服务器证书”：

　　进入Web服务器证书向导，点击下一步：

　　在“处理挂起请求”中选择“浏览”，选择刚才下载的证书文件，并打开，下一步，使用默认的443端口，点击下一步：

　　继续下一步，完成向导。

　　打开默认网站属性，选择“目录安全性”标签，单击“编辑”

　　选择“要求安全通道”，确定：

3）访问HTTPS服务器

　　在“CA服务器”中打开已经申请了HTTPS服务的网站：

　　输入https://10.1.1.196 (按照实际情况)，会出现一个证书安全问题的确认，单击“是”，进行浏览：

　　可以看到能够通过HTTPS协议浏览。

三、心得体会

通过本次实验，我理解了证书的发放过程，并且在配置证书后，了解了如何通过使用HTTPS协议访问网站以验证证书发放结果。

四、分析与思考

1）通过本实验，论述本实验中有哪些角色？他们的任务分别是什么？

答：①CA服务器：CA，证书库，使用证书的网站

　　②网站主机：使用网站WEB服务的用户

2）对数据包进行分析，比较使用HTTP和HTTPS有什么不同？

答：1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

　　2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

　　3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

　　4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议

3）实验中我们是自己给自己签发证书，而且名称单位完全可以随意编造，同学可以尝试伪造别人的自签名证书，看看有什么反应。浏览器会不会识别出来。

答：对于百度和谷歌这类严格检查证书的网站，浏览器会识别出来。

4）12306也使用了自签证书，而且要求我们把它存入“受信任的根证书颁发机构”，这么做对12306网站有什么好处，对用户有什么坏处？

 答：好处：12306网站可以避免用户数据出现泄漏。

　　 坏处：如果 SRCA 根证书私钥泄露那么攻击者不但可伪造12306证书进行劫持，同时还可以伪造任意网站进行劫持。

5）网上有很多收费的电子认证服务，可以提供证书颁发，那么使用这种证书的安全性如何？有没有脆弱点？

答：安全性不一致。一些较为权威的机构比较安全，而一些小机构则较为不安全。

五、答题

这篇关于PKI及SSL协议分析的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！