信息安全技术 实验三 数字证书应用
实验目的
- 了解PKI体系
- 了解用户进行证书申请和CA颁发证书过程
- 掌握认证服务的安装及配置方法
- 掌握使用数字证书配置安全站点的方法
实验内容
利用数字证书建立安全Web通信
实验步骤
-
需要三台主机,一台担任CA(安装IIS+证书组件),一台担任应用服务器(安装IIS),一台客户端。
-
1.无认证(服务器和客户端均不需要身份认证)
通过wireshark捕获WEB通信查看(明文)。
-
2.单向认证(仅服务器需要身份认证)
-
安装IIS
-
CA(主机A)安装证书服务:安装Windows组件中的“证书服务”。(注:还要安装CA根证书)
-
服务器(主机B)证书申请
-
服务器(主机B)安装证书
-
服务器下载、安装由CA颁发的证书
- 证书信息描述:无法将这个证书验证到一个受信任的证书颁发机构。颁发者:user1a 。
- 打开IE浏览器点击“工具”|“Internet选项”|“内容”|“证书”,在“受信任的根证书颁发机构”页签中查看CA的根证书,查看其是否存在:不存在 。
-
服务器下载、安装CA根证书
再次查看服务器证书,回答下列问题:- 证书信息描述: 所有颁发策略;所有应用程序策略 。颁发者:user1a 。
- 再次通过IE浏览器查看“受信任的根证书颁发机构”,查看CA的根证书,查看其是否存在:存在 。
-
Web通信
客户端重启IE浏览器,在地址栏输入http://服务器IP/并确认,此时访问的Web页面出现如图所示信息。
-
页面信息
客户端启动协议分析器,捕获数据。验证服务器与客户端的Web通信过程是以密文实现的。
-
-
3.双向认证(服务器和客户端均需身份认证)
- 服务器要求客户端身份认证
- 客户端访问服务器
- 客户端(主机C)证书申请
- 登录CA服务主页面
- 客户端提交证书申请
- CA为客户端颁发证书
- 客户端下载、安装证书链
- 客户端查看颁发证书
- 客户端再次通过https访问服务器
思考题
- 1.如果用户将根证书删除,用户证书是否还会被信任?
- 根证书是整个证书体系安全的根本,若根证书不再可信,那么所有被根证书信任的证书也都不被信任了。
- 2.对比两次协议分析器捕获的会话有什么差异?
- 在无认证模式下,服务器与客户端的Web通信过程是以明文实现的。而在认证模式下,通信内容是以密文实现的。