2017-2018-1 20155306 20155320 20155326《信息安全技术》实验三——数字证书应用

2017-2018-1 20155306 20155320 20155326《信息安全技术》实验三——数字证书应用

【实验目的】

1.了解PKI体系

2.了解用户进行证书申请和CA颁发证书过程

3.掌握认证服务的安装及配置方法

4.掌握使用数字证书配置安全站点的方法

5.掌握使用数字证书发送签名邮件和加密邮件的方法

【系统环境】

Windows

【实验工具】

• Windows CA

• 网络协议分析器

【实验步骤】

本练习主机A、B、C为一组

实验主机
实验角色

主机A
CA（证书颁发机构）

主机B
服务器

主机C
客户端

• 角色对应IP

主机角色	主机IP
CA	172.16.0.117后变成172.16.0.90
服务器	172.16.0.104
客户端	172.16.0.123

1、无认证（服务器和客户端均不需要身份认证）

• 通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。

• 客户端启动协议分析器，选择“文件”｜“新建捕获窗口”，然后单击工具栏中的 按钮开始捕获

2、单向认证（仅服务器需要身份认证）

（1）C A（主机A）安装证书服务
主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，然后单击“下一步”。在接下来的安装过程中依次要确定如下信息：

• CA类型（选择独立根CA）
  

• CA的公用名称（userGXCA，其中G为组编号（1-32），X为主机编号(A-F)，如第2组主机D，其使用的用户名应为user2D）

• 证书数据库设置
  

在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为C:ExpNISEncrypt-LabToolsWindowsCAi386即可（若安装过程中出现提示信息，请忽略该提示继续安装）。
在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。如下图，安装成功。

2.提交服务器证书申请

• 在“默认网站 属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”，此时出现“Web服务器证书向导”，单击“下一步”,直到“完成”。

• 通过Web服务向CA申请证书,服务器在IE浏览器地址栏中输入“http://CA的IP/certsrv/”并确认。

• 服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码...提交一个申请”进入“提交一个证书申请或续订申请”页面。

• 打开证书请求文件certreq.txt，将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中，然后单击“提交”，并通告CA已提交证书申请，等待CA颁发证书。

• CA为服务器颁发证书
  在服务器提交了证书申请后，CA在“管理工具”｜“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项，会看到服务器提交的证书申请。右键单击服务器提交的证书申请，选择“所有任务”｜“颁发”，为服务器颁发证书（这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中，双击查看为服务器颁发的证书）。

• 服务器下载、安装CA根证书

• Web通信

服务器在“默认网站”｜“属性”的“目录安全性”页签“安全通信”中单击“编辑”按钮,选中“要求安全通道SSL”，并且“忽略客户端证书”（不需要客户端身份认证），单击“确定”按钮使设置生效。
客户端重启IE浏览器，在地址栏输入http://服务器IP/并确认，此时访问的Web页面出现。

• 按上图提示进行操作，在地址栏输入https://服务器IP/，并按Enter，出现web服务测试页。

• 客户端启动协议分析器，设置过滤条件：仅捕获客户端与服务器间的会话通信，并开始捕获数据。

• 客户端在IE浏览器地址栏中输入“https://服务器IP/”并确认，访问服务器Web服务。此时会出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，又出现“安全警报”对话框询问“是否继续？”，单击“是”。此时客户端即可以访问服务器Web页面了。访问成功后，停止协议分析器捕获，并在会话分类树中找到含有客户端与服务器IP地址的会话。在协议解析页面可观察到，服务器与客户端的Web通信过程是以密文实现的。

• 双向认证（服务器和客户端均需身份认证）

（1）服务器要求客户端身份认证

服务器在“默认网站”｜“属性”的“目录安全性”页签中单击“编辑”按钮，选中“要求安全通道SSL”，并且“要求客户端证书”，单击“确定”按钮使设置生效。

（2）客户端访问服务器

客户端在IE浏览器地址栏中输入“https://服务器IP”访问服务器Web服务。此时弹出“安全警报”对话框，提示“即将通过安全连接查看网页”，单击“确定”，又弹出“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，但是没有数字证书可供选择。单击“确定”，页面出现提示“该页要求客户证书”。

（3）客户端（主机C）证书申请

• 登录CA服务主页面

客户端在确认CA已经启动了“证书颁发机构”服务后，通过IE浏览器访问http://CA的IP/certsrv/，可以看到CA证书服务的主页面。

• 客户端提交证书申请

在主页面“选择一个任务”中单击“申请一个证书”，进入下一页面。

• 在证书类型页面中选择“Web浏览器证书”，进入下一页面。
  在“Web浏览器证书 - 识别信息”页面中按信息项目填写自己的相关信息，信息填写完毕后，单击“提交”按钮提交识别信息，当页面显示“证书挂起”信息时，说明CA已经收到用户的证书申请，但是用户必须等待管理员颁发证书。

• 单击页面右上角的“主页”回到证书服务主页面。在“选择一个任务”中单击“查看挂起的证书申请的状态”进入下一页面，会看到“Web浏览器证书(提交申请时间)”。单击自己的证书申请，这时会看到证书的状态依然是挂起状态。

• 接下来请CA为客户端颁发证书。通告客户端查看证书，下载、安装证书链。

  客户端重新访问CA证书服务主页面，单击“查看挂起的证书申请的状态”，然后单击自己的证书申请。此时页面显示“证书已颁发”。单击“安装此证书”，对于弹出的“安全性警告”对话框选择“是”，这时页面显示信息“您的新证书已经成功安装”。

（4）客户端查看颁发证书

客户端单击IE浏览器的“工具”｜“Internet选项”｜“内容”｜“证书”，会在“个人”页签中看到同组主机CA颁发给自己的证书。

（5）客户端再次通过https访问服务器

客户端重新运行IE浏览器并在地址栏中输入“https://服务器IP/bbs”并确认，访问服务器的Web服务。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，又出现“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，选择相应的数字证书，单击“确定”。出现“安全信息”提示“是否显示不安全的内容”，单击“否”。此时，客户端即可以访问服务器的Web服务。

【实验中出现的问题及解决】

-问题：实验到服务器向CA申请证书时，发现出现IP冲突

• 通过查看IP命令发现是服务器主机的IP发生了改变，并且与CA主机重复了

• 解决：通过网上查找的解决办法，发现无论是手动分配IP还是自动分配IP都无法解决这个问题，经过询问老师后尝试重新启动电脑解决了这一问题。

【思考题】

• 1． 如果用户将根证书删除，用户证书是否还会被信任？
  答：如果用户将根证书删除，用户证书是将不会被信任

• 2． 对比两次协议分析器捕获的会话有什么差异？
  答：客户端启动协议分析器后，在未设置过滤条件之前，协议分析器捕获的会话是明文，设置过滤条件之后，协议分析器捕获的会话是密文。