《网络安全基础》实验报告 新疆大学信息科学与工程学院 实验一PKI与数字证书 实验日期:2015年4月7日 实验成绩: 实验目的: K的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多 种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的完整性、机密性、不可否认性。 1.了解PK体系 2.了解用户进行证书申请和CA颁发证书过程 3。堂挥认证服务的安装及配置方法 掌握使用数字证书发送签名邮件和加密邮件的方法 实验环境(设备、仪器、网络): 系统环境:Windows Server20O3 Enterprise Edition 网络环境:交换网络结构 实验工具: 网络协议分析器 实验类型: 验证型 实验内容(实验方案、实验步骤、测量数据及处理等): 本练习主机A、B、C为一组,D、E、F为一组。实验角色说明如下: 实哈主机 实验角色 主机A、D CA(证书顾发机构) 主机B、E 服务器 主机C、F 客户端 下面以主机A、B、C为例,说明实验步骤。 首先使用“快照X”恢复Windows系统环境 安全Teb通信 1.无认证(服务器和客户端均不需要身份认证) 通常在b服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式进行的。 (1)客户端启动协议分析器,选择“文件”“新建捕获窗口”,然后单击工具栏中的按钮开始捕获 客户端在IE浏览器地址栏中输入http:/∥服务器IP,访问服务器Web服务。成功访问到服务器Web主页 面后,单击协议分析器捕获窗口工具栏中的密按钮剧新显示,在“会话分析”视图中依次展开“会话分类树”! 2/8
《网络安全基础》实验报告 新疆大学 信息科学与工程学院 2 / 8 实验一 PKI 与数字证书 实验日期:_2015_年_4_月_7_日 实验成绩:_ 实验目的: PKI 的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多 种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的完整性、机密性、不可否认性。 1.了解 PKI 体系 2.了解用户进行证书申请和 CA 颁发证书过程 3.掌握认证服务的安装及配置方法 4.掌握使用数字证书配置安全站点的方法 5.掌握使用数字证书发送签名邮件和加密邮件的方法 实验环境(设备、仪器、网络): 系统环境:Windows Server 2003 Enterprise Edition 网络环境:交换网络结构 实验工具: 网络协议分析器 实验类型: 验证型 实验内容(实验方案、实验步骤、测量数据及处理等): 本练习主机 A、B、C 为一组,D、E、F 为一组。实验角色说明如下: 实验主机 实验角色 主机 A、D CA(证书颁发机构) 主机 B、E 服务器 主机 C、F 客户端 下面以主机 A、B、C 为例,说明实验步骤。 首先使用“快照 X”恢复 Windows 系统环境。 安全 Web 通信 1.无认证(服务器和客户端均不需要身份认证) 通常在 Web 服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式进行的。 (1)客户端启动协议分析器,选择“文件”|“新建捕获窗口”,然后单击工具栏中的 按钮开始捕获; 客户端在 IE 浏览器地址栏中输入 http://服务器 IP,访问服务器 Web 服务。成功访问到服务器 Web 主页 面后,单击协议分析器捕获窗口工具栏中的 按钮刷新显示,在“会话分析”视图中依次展开“会话分类树”|
《网络安全基础》实验报告 新疆大学信息科学与工程学院 “HTTP会话”“本机IP与同组主机P地址间的会话”,在端口会话中选择源或目的端口为80的会话,在右 侧会话视图中选择名为“GET”的单次会话,并切换至“协议解析”视图。 age/gif,image/x 45 poverpoint,.app】 cat ion/maword, uage:sh-cn.UA- CPU:x86.Accept 图1-1-1TTP明文会话 如图1-1-1所示,通过协议分析器对TTP会话的解析中可以确定,在无认证模式下,服务器与客户端的W© b通信过程是以明文实现的。 2。单向认证(仅服务器需要身份认证) (1)CA(主机A)安装证书服务 主机A依次选择“开始”|“设置”|“控制面板”|“添加或刚除程序”|“添加/副除indows组件” 选中组件中的“证书服务”,此时出现“Microsof证书服务”提示信息,单击“是”,然后单击“下一步”。 在接下来的安装过程中依次要确定如下信息: ·CA类型(选择独立根CA) ·CA的公用名称(userGXCA,.其中G为组编号(1-32),X为主机编号(A-F),如第2组主机D,其使用的 用户名应为user2D) 。 证书数据库设置(默认) 在确定上述信息后,系统会提示要暂停Intern©t信息服务,单击“是”,系统开始进行组件安装。安装 过程中,在弹出的“所需文件”对话框中指定“文件复制来源”为D:\ExpNIC\CrypApD\Tools windowsCA\i36 即可(若安装过程中出现提示信息,请忽略该提示继续安装)。 「注」若安装过程中出现“Windows文件保护”提示,单击“取消”按钮,选择“是”继续:在证书服 务安装过程中若网络中存在主机重名,则安装过程会提示错误:安装证书服务之后,计算机将不能再重新命名。 不能加入到某个域或从某个域中别除:要使用证书服务的b组件,需要先安装IIS(本系统中已安装IIS)。 在启动“证书发机构”服务后,主机A便拥有了CA的角色。 (2)服务器(主机B)证书申请 【注」服务器向CA进行证书申请时,要确保在当前时间CA已经成功拥有了自身的角色。 提交服务器证书申请 318
《网络安全基础》实验报告 新疆大学 信息科学与工程学院 3 / 8 “HTTP 会话”|“本机 IP 与同组主机 IP 地址间的会话”,在端口会话中选择源或目的端口为 80 的会话,在右 侧会话视图中选择名为“GET”的单次会话,并切换至“协议解析”视图。 图 1-1-1 HTTP 明文会话 如图 1-1-1 所示,通过协议分析器对 HTTP 会话的解析中可以确定,在无认证模式下,服务器与客户端的 We b 通信过程是以明文实现的。 2.单向认证(仅服务器需要身份认证) (1)CA(主机 A)安装证书服务 主机 A 依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除 Windows 组件”, 选中组件中的“证书服务”,此时出现“Microsoft 证书服务”提示信息,单击“是”,然后单击“下一步”。 在接下来的安装过程中依次要确定如下信息: • CA 类型(选择独立根 CA) • CA 的公用名称(userGXCA,其中 G 为组编号(1-32),X 为主机编号(A-F),如第 2 组主机 D,其使用的 用户名应为 user2D) • 证书数据库设置(默认) 在确定上述信息后,系统会提示要暂停 Internet 信息服务,单击“是”,系统开始进行组件安装。安装 过程中,在弹出的“所需文件”对话框中指定“文件复制来源”为 D:\ExpNIC\CrypApp\Tools\WindowsCA\i386 即可(若安装过程中出现提示信息,请忽略该提示继续安装)。 「注」 若安装过程中出现“Windows 文件保护”提示,单击“取消”按钮,选择“是”继续;在证书服 务安装过程中若网络中存在主机重名,则安装过程会提示错误;安装证书服务之后,计算机将不能再重新命名, 不能加入到某个域或从某个域中删除;要使用证书服务的 Web 组件,需要先安装 IIS(本系统中已安装 IIS)。 在启动“证书颁发机构”服务后,主机 A 便拥有了 CA 的角色。 (2)服务器(主机 B)证书申请 「注」 服务器向 CA 进行证书申请时,要确保在当前时间 CA 已经成功拥有了自身的角色。 • 提交服务器证书申请
《网络安全基黜》实验报告 新疆大学信息科学与工程学院 服务器在“开始”|“程序”“管理工具”中打开“Internet信息服务(IIS)管理器”,通过“Inte rnet信息服务(IIS)管理器”左侧树状结构中的“Internet信息服务”|“计算机名(本地计算机)”|“网站 |“默认网站”打开默认网站,然后右键单击“默认网站”,单击”属性”。 在“默认网站属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”,此时出现“b 服务器证书向导”,单击“下一步”。 在“选择此网站使用的方法”中,选择“新建证书”,单击“下一步” 选择“现在准备证书请求,但稍后发送”,单击“下一步”。 填入有关证书申请的相关信息,单击“下一步” 在“证书请求文件名”中,指定证书请求文件的文件名和存储的位置(默认c:\certreq.txt)。单击“下 一步”直到“完成”。 ·通过Web服务向CA申请证书 服务器在IE测览器地址栏中输入“http:/CA的IP刊certsrv//”并确认. 服务器依次单击“申请一个证书”“高级证书申请”“使用baSe64编码.提交一个申请”进入“提 交一个证书申请或续订申请”页面。 打开证书请求文件cerr©q.txt,将其内容全部复制粘贴到提交证书申请页面的“保存的申诗”文本框 中,然后单击“提交” ,并通告CA已提交证书申请,等待CA发证书。 ,CA为服务器颁发证书 在服务器提交了证书申请后,C在“管理工具”“证书颁发机构”中单击左侧树状结构中的“挂起的 申请”项,会看到服务器提交的证书申请。右键单击服务器提交的证书申请,选择“所有任务”|“顺发”,为 服务器领发证书(这时“挂起的申请”日录中的申请立刻转移到“发的证书”目录中,双击查看为服务器领发 的证书), 通告服务器查看证书。 (3)服务器(主机B)安装证书 ·服务器下载、安装由CA颁发的证书 通过CA“证书服务主页”|“查看挂起的证书申请的状态”丨“保存的申请证书”,进入“证书已颁发” 页面,分别点击“下载证书”和“下载证书链”,将证书和证书链文件下载到本地。 在“默认网站”【“属性”的“目录安全性”页签中单击“服务器证书”按钮,此时出现“b服务器 证书向导”,单击“下一步” 选择“处理挂起的请求并安装证书”,单击“下一步”。 在“路径和文件名”中选择存储到本地计算机的证书文件,单击“下一步” 在“SSL端口”文本框中填入“443”,单击“下一步”直到“完成”。 此时服务器证书已安装完毕,可以单击“日录安全性”页签中单击“查看证书”按钮,查看证书的内容 回答下面问题。 证书信息描述: 发者: 4/8
《网络安全基础》实验报告 新疆大学 信息科学与工程学院 4 / 8 服务器在“开始”|“程序”|“管理工具”中打开“Internet 信息服务(IIS)管理器”,通过“Inte rnet 信息服务(IIS)管理器”左侧树状结构中的“Internet 信息服务”|“计算机名(本地计算机)”|“网站” |“默认网站”打开默认网站,然后右键单击“默认网站”,单击”属性”。 在“默认网站 属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”,此时出现“Web 服务器证书向导”,单击“下一步”。 在“选择此网站使用的方法”中,选择“新建证书”,单击“下一步”。 选择“现在准备证书请求,但稍后发送”,单击“下一步”。 填入有关证书申请的相关信息,单击“下一步”。 在“证书请求文件名”中,指定证书请求文件的文件名和存储的位置(默认 c:\certreq.txt)。单击“下 一步”直到“完成”。 • 通过 Web 服务向 CA 申请证书 服务器在 IE 浏览器地址栏中输入“http://CA 的 IP/certsrv/”并确认。 服务器依次单击“申请一个证书”|“高级证书申请”|“使用 base64 编码.提交一个申请”进入“提 交一个证书申请或续订申请”页面。 打开证书请求文件 certreq.txt,将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框 中,然后单击“提交”,并通告 CA 已提交证书申请,等待 CA 颁发证书。 • CA 为服务器颁发证书 在服务器提交了证书申请后,CA 在“管理工具”|“证书颁发机构”中单击左侧树状结构中的“挂起的 申请”项,会看到服务器提交的证书申请。右键单击服务器提交的证书申请,选择“所有任务”|“颁发”,为 服务器颁发证书(这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中,双击查看为服务器颁发 的证书)。 通告服务器查看证书。 (3)服务器(主机 B)安装证书 • 服务器下载、安装由 CA 颁发的证书 通过 CA“证书服务主页”|“查看挂起的证书申请的状态”|“保存的申请证书”,进入“证书已颁发” 页面,分别点击“下载证书”和“下载证书链”,将证书和证书链文件下载到本地。 在“默认网站”|“属性”的“目录安全性”页签中单击“服务器证书”按钮,此时出现“Web 服务器 证书向导”,单击“下一步”。 选择“处理挂起的请求并安装证书”,单击“下一步”。 在“路径和文件名”中选择存储到本地计算机的证书文件,单击“下一步”。 在“SSL 端口”文本框中填入“443”,单击“下一步”直到“完成”。 此时服务器证书已安装完毕,可以单击“目录安全性”页签中单击“查看证书”按钮,查看证书的内容, 回答下面问题。 证书信息描述: 。 颁发者:
《网铬安全基础》实验报告 新疆大学信息科学与工程学院 打开IE浏览器点击“工具”“Internet选项”“内容”“证书”,在“受信任的根证书顾发材机 构”页签中查看名为userGX的顾发者(也就是CA的根证书),查看其是否存在 。服务器下载、安装CA报证书 右键单击certnew,.p7b证书文件,在弹出菜单中选择“安装证书”,进入“证书导入向导”页面,单击 “下一步”按钮,在“证书存储”中选择“将所有的证书放入下列存储”,浏览选择“受信任的根证书颁发机构” “本地计算机”如图4-1-2所示 选择要使用的证书存储C), 金任的根证书发机构 白注册表 □本地计算机 厅显示物理存储区) 图1-1-2 CA根证书存储 单击“下一步”按钮,直到完成。 再次查看服务器证书,回答下列问题 证书信息描述: 领发者: 再次通过IE浏览器查看“受信任的根证书颁发机构”,查看名为userGX的颁发者(也就是CA的根证书), 查看其是否存在 (4)Ieb通信 服务器在“默认网站”〡“国性”的“目录安全性”页签“安全通信”中单击“编辑”按钮,选中“要求 安全通道SSL”,并且“忽略客户端证书”(不需要客户端身份认证),单击“确定”按钮使设置生效。 客户端重启IE测览器,在地址栏输入http:/服务器IP并确认,此时访问的Wb页面出现如图1-1-3 所示信息。 51/8
《网络安全基础》实验报告 新疆大学 信息科学与工程学院 5 / 8 打开 IE 浏览器点击“工具”|“Internet 选项”|“内容”|“证书”,在“受信任的根证书颁发机 构”页签中查看名为 userGX 的颁发者(也就是 CA 的根证书),查看其是否存在 。 • 服务器下载、安装 CA 根证书 右键单击 certnew.p7b 证书文件,在弹出菜单中选择“安装证书”,进入“证书导入向导”页面,单击 “下一步”按钮,在“证书存储”中选择“将所有的证书放入下列存储”,浏览选择“受信任的根证书颁发机构”| “本地计算机”如图 4-1-2 所示。 图 1-1-2 CA 根证书存储 单击“下一步”按钮,直到完成。 再次查看服务器证书,回答下列问题: 证书信息描述: 。 颁发者: 。 再次通过 IE 浏览器查看“受信任的根证书颁发机构”,查看名为 userGX 的颁发者(也就是 CA 的根证书), 查看其是否存在 。 (4)Web 通信 服务器在“默认网站”|“属性”的“目录安全性”页签“安全通信”中单击“编辑”按钮,选中“要求 安全通道 SSL”,并且“忽略客户端证书”(不需要客户端身份认证),单击“确定”按钮使设置生效。 客户端重启 IE 浏览器,在地址栏输入 http://服务器 IP/并确认,此时访问的 Web 页面出现如图 1-1-3 所示信息
《网络安全基黜》实验报告 新疆大学信息科学与工程学院 该页必须通过安全通道查看 您试图访问的页面使用安全套接字层你5L)进行保护, 请尝试以下操作 ·在您要访问的地址前键入ttps:/并按teP 证TP情误403.4-禁止访问:需委使用S3L查看该资源。 Internet信息服务S) 图1-1-3页而信息 客户端启动协议分析器,设置过滤条件:仅捕获客户端与服务器间的会话通信,并开始捕获数据。 客户端在E测览器地址栏中输入“httpsa:/务器P川"并确认,访问服务器b服务。此时会出现“安 全警报”对话框提示“即将通过安全连接查看网页”,单击“确定”,又出现“安全警报”对话框询问“是否继 续?”,单击“是”。此时客户端即可以访问服务器Wb页面了。访问成功后,停止协议分折器捕获,并在会话 分类树中找到含有客户端与服务器1P地址的会话。在协议解析页面可观察到,服务器与客户端的©b通信过程 是以密文实现的,如图1-1-4所示。 .j0.S.E. .U.k@-@.O .y.u.E.0x SYN ACKSYN ACK go(a· ,XRFEǒF 80:1216.0150 TCP DATA 2 TCP DATA 图1-1-4客户端与服务器间信息加密通信 3.双向认证(服务器和客户端均需身份认证) (1)服务器要求客户端身份认证 服务器在“默认网站”〡“属性”的“目录安全性”页签中单击“编辑”按钮,选中“要求安全通道SS L”,并且“要求容户端证书”,单击“确定”按钮使设置生效。 (2)容户端访问服务器 客户端在IE浏览器地址栏中输入“https:/服务器IP”访问服务器Web服务。此时弹出“安全警报” 对话框,提示“即将通过安全连接查看网页”,单击“确定”,又弹出“安全警报”对话框询问“是否继续” 单击“是”。出现“选择数字证书”对话框,但是没有数字证书可供选择。单击“确定”,页面出现提示“该页 要求客户证书”。 6/8
《网络安全基础》实验报告 新疆大学 信息科学与工程学院 6 / 8 图 1-1-3 页面信息 客户端启动协议分析器,设置过滤条件:仅捕获客户端与服务器间的会话通信,并开始捕获数据。 客户端在 IE 浏览器地址栏中输入“https://服务器 IP/”并确认,访问服务器 Web 服务。此时会出现“安 全警报”对话框提示“即将通过安全连接查看网页”,单击“确定”,又出现“安全警报”对话框询问“是否继 续?”,单击“是”。此时客户端即可以访问服务器 Web 页面了。访问成功后,停止协议分析器捕获,并在会话 分类树中找到含有客户端与服务器 IP 地址的会话。在协议解析页面可观察到,服务器与客户端的 Web 通信过程 是以密文实现的,如图 1-1-4 所示。 图 1-1-4 客户端与服务器间信息加密通信 3.双向认证(服务器和客户端均需身份认证) (1)服务器要求客户端身份认证 服务器在“默认网站”|“属性”的“目录安全性”页签中单击“编辑”按钮,选中“要求安全通道 SS L”,并且“要求客户端证书”,单击“确定”按钮使设置生效。 (2)客户端访问服务器 客户端在 IE 浏览器地址栏中输入“https://服务器 IP”访问服务器 Web 服务。此时弹出“安全警报” 对话框,提示“即将通过安全连接查看网页”,单击“确定”,又弹出“安全警报”对话框询问“是否继续?”, 单击“是”。出现“选择数字证书”对话框,但是没有数字证书可供选择。单击“确定”,页面出现提示“该页 要求客户证书