SSL安全实践.docx
- 文档编号:23289273
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:16
- 大小:688.07KB
SSL安全实践.docx
《SSL安全实践.docx》由会员分享,可在线阅读,更多相关《SSL安全实践.docx(16页珍藏版)》请在冰豆网上搜索。
SSL安全实践
实践:
在WindowsWeb中使用证书和SSL
超文本传输协议(HTTP)以明文传输信息,这样很容易造成信息泄漏或遭受攻击,特别是在电子商务领域,使用HTTP更是危险致极。
为安全个人或金融信息的传输,Netscape开发了安全套接字层(SSL)协议来管理信息的加密,广泛用于WEB浏览器与服务器之间的身份认证和加密数据传输。
它在电子商务中已经无处不在,并且流行的浏览器和服务器都支持它。
当使用SSL连接到Web服务器时,地址栏中的URL将显示https。
SSL在传输层使用TCP端口443。
在HTTP层,将用户需求翻译成HTTP请求;在SSL层,借助下层协议的信道安全协商出一分加密密钥,并用此密钥来加密HTTP请求;在TCP层,与WEBSERVER的443端口建立连接,传递SSL处理后的数据。
这样SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果。
证书颁发机构是受信任的机构,它通过为实体创建一个电子文档(称为数字证书)来证明实体的身份,该数字证书将身份与公钥之间建立一种关联。
证书颁发机构有公共证书机构和内部证书机构,其中:
公共证书颁发机构是在世界范围内颇具权威的组织,它负责验证实体的身份并为其创建和维护证书。
公共CA的一些组织如VeriSign、Entrust和Baltimore。
内部证书颁发机构由实体自行执行、维护并控制。
这通常用于内部员工的雇员和设备,也用于客户和合伙人。
为了在Web服务器上使用证书进行身份认证,需要采取下图(图1-1)若干步骤。
图1-1使用证书进行身份认证
本实验中将首先看看默认情况下什么证书颁发机构被配置来与浏览器合作。
然后将创建一个证书颁发机构服务器,设置一个Web服务器来使用SSL,并测试新的配置。
一、实验目的
完成本实验,应能够:
1.列举浏览器所配置的受信任的证书颁发机构。
2.安装并配置证书颁发机构服务器。
3.创建证书请求。
4.颁发/签署证书。
5.用SSL安全化Web站点。
6.描述当以SSL连接时Web页面使用的过程。
二、实验环境
1、WindowsXPProfessional
2、Windows2003(IP:
192.168.174.128)
要求配置了默认Web服务器。
3、windows2003安装CD或ISO
三、实验步骤
步骤1查看受信任的根证书颁发机构。
Web浏览器通常配置了许多来自证书颁发机构的证书,先来看一下。
在WindowsXPProfessionalPC机:
1)打开InternetExplorer。
2)单击“工具”、“Internet选项”。
3)选中“内容”选项卡,并在内容窗口中单击“证书”。
4)在打开的证书窗口中选择“受信任的根证书颁发机构”,出现图1-2。
图1-2
浏览器中受信任的根证书
5)在打开的证书窗口中任意双击一个证书,查看该证书的有效期和作用。
配置web服务器
6)安装准备:
插入WindowsServer2003系统安装光盘
添加IIS组件:
点击‘确定’,安装完毕后,查看IIS管理器,如下:
7)使用IE浏览器输入IP地址访问本地站点
步骤2安装并配置证书颁发机构服务器。
将Windows2003Server配置成证书颁发机构服务器。
1)在控制面板里选择添加/删除程序,再选择安装/删除Windows组件。
2)在组件对话框中选择“证书服务”选项,打开Windows组件安装向导开始安
3)在证书颁发机构类型窗口中选中“独立根CA(S)”,如图1-3,单击“下一步”继续。
图1-3证书颁发机构类型
4)在CA标识信息窗口,参照图1-4进行CA名称、组织、部门、城市、省份、国家、邮件等信息的填写。
5)在数据存储路径窗口,保持默认选项,单击“下一步”,继续。
6)指定数据存储位置之后,会出现警告窗口,提示你将停止Internet信息服务,选择“确定”,继续安装证书。
7)插入系统盘或选择ISO文件路径,完成证书服务的安装。
步骤3创建证书请求
Web服务器需要为证书创建一个请求。
在这个过程中,Web服务器将创建自己的密钥对,其中的公钥将是证书请求的一部分。
图1-4证书申请
1)在控制面板内打开“管理工具”,选择“Internet服务管理器”。
2)在树型窗格中,右击“默认Web站点”并选中属性。
3)单击“目录安全性”选项卡,单击“服务器证书”,打开Web服务器证书向导的欢迎界面并单击“下一步”继续。
4)在服务器证书界面,选中“创建一个新证书”选项,继续。
5)在稍后或立即请求界面,选中“现在准备请求,但稍后发送”选项,继续。
6)在命名和安全设置界面,参照图1-5:
a)名称:
默认Web站点
b)位长:
1024
c)单击下一步,继续
7)在组织信息界面,参照图1-6:
a)对于组织,键入hnsoft
b)对于部门,键入wlab
c)单击下一步,继续
8)在证书请求文件名界面,接受默认的C:
\certreq.txt,继续。
这个文件将是用来从证书服务器请求证书的文件。
9)默认继续,完成创建证书请求。
图1-5命名和安全设置
图1-6组织信息
步骤4提交证书请求
此步骤将要从Web服务器把证书请求提交到证书服务器。
1)在桌面上双击InternetExplorer图标打开浏览器,在地址栏中输入http:
//192.168.174.128/certsrv/并回车确认。
2)
在打开的证书服务欢迎页面上,选择“申请证书”,如图1-7,继续。
图1-7申请证书
3)在选择申请类型页面上,选择“高级申请”,继续。
4)在高级证书申请页面上,选中“使用base64编码的……更新证书申请”,单击“下一步”继续。
5)打开C:
/certreq.txt,复制其中的内容。
6)将刚复制的内容,粘贴到‘提交一个保存的申请’页面的文本框中,如图1-8所示,单击“提交”。
7)这个时候大家可以看到证书被挂起的页面,如图1-9所示,这是因为申请证书需要通过证书服务器验证身份。
步骤5颁发证书
服务器在申请证书之后,需通过证书服务器的验证,本步骤将告诉大家如何颁发证书。
1)单击“开始”、“程序”、“管理工具”、“证书颁发机构”打开证书控制台。
图1-8提交保存的申请
图1-9证书被挂起
2)在控制台树型窗格中,展开Server.RootCA并选中“待定申请”文件夹。
3)
在详细信息窗格中,右击未决的证书请求,选中“所有任务”并单击颁发。
如图1-10所示。
图1-10颁发证书
4)这个时候你可以在“颁发的证书”文件夹中看到刚才颁发的证书。
步骤6下载证书
1)在浏览器的地址栏中,输入http:
//192.168.174.128/certsrv/回车。
2)在Microsoft证书服务页面,选中“检查挂起的证书”,“下一步”继续。
3)在检查挂起的证书页面,选中证书并单击“下一步”继续。
4)在证书已颁发页面上,选中Base64编码并单击“下载CA证书”链接,如图1-11所示。
5)以后步骤均默认继续,以完成证书的下载。
步骤7配置Web站点来使用SSL证书。
1)在Internet服务管理器控制台上,右击默认Web站点并选中属性。
2)单击“目录安全性”,在该窗口单击“服务器证书”,打开IIS证书向导的欢迎界面。
图1-11下载CA证书
3)服务器证书界面,选中“处理挂起的请求并安装证书”,“下一步”继续。
4)在处理挂起请求页面,键入C:
/certnew.cer,“下一步”继续。
5)以后步骤默认完成。
步骤8配置Web站点来使用SSL
1)在Internet服务管理器控制台上,右击默认Web站点并选中属性。
2)单击“目录安全性”,在“安全通信”部分中,单击“编辑”。
3)在安全通信界面,选中“申请安全通道(SSL)”并单击确定,如图1-12所示。
4)单击应用,然后在继承覆盖窗口中单击确定。
步骤9测试Web站点是否有了SSL
在WindowsXP机器上:
1)在浏览器中,键入http:
//192.168.174.128/并回车。
a)得到什么错误消息?
2)在浏览器中,键入https:
//192.168.174.128/并回车。
a)可以看到什么提示?
能否看到页面?
图1-12申请安全通道SSL
3)使用HTTPS方式访问站点
在客户机上启用了SSL的网站,不能http:
//ip地址的形式,要求使用https:
//的方式访问:
步骤10实验完成,关闭计算机。
实验要求:
1、认真完成操作步骤;
2、实验过程中多思考,勤动手;
3、实验过程中保持安静;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSL 安全 实践