网络安全实验七总汇.doc

网络安全实验报告 学号： 姓名： 班级： 实验项目编号： B031120507 实验项目名称： 证书的应用 一、实验目的： 1.了解PKI体系 2.了解用户进行证书申请和CA颁发证书过程 3.掌握认证服务的安装及配置方法 4.掌握使用数字证书配置安全站点的方法 5.掌握使用数字证书发送签名邮件和加密邮件的方法 二、实验环境： 网络安全实验平台（装有windows、 linux等多个系统虚拟机及相应软件） 三、实验原理（或要求）： 1、数据加密 数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时候，会得到一个私钥和一个数字证书，数字证书中包含一个公钥。其中公钥可以发给他人使用，而私钥你应该保管好、不能泄露给其他人，否则别人将能用它以你的名义签名 2数字签 数字签名是数字证书的重要应用之一，所谓数字签名是指证书用户使用自己的私钥对原始数据的哈希变换后所得消息摘要进行加密所得的数据。 使用数字证书完成数字签名功能，需要向相关数字证书运营机构申请具备数字签名功能的数字证书，然后才能在业务过程中使用数字证书的签名功能。 3应用范围 PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施，PKI的应用范围非常广泛，并且在不断发展之中，Web中的应用 SSL是一个介于应用层和传输层之间的可选层，它在TCP之上建立了一个安全通道，提供基于证书的认证，信息完整性和数据必威体育官网网址性。SSL协议已在Internet上得到广泛的应用。 1． 无认证（服务器和客户端均不需要身份认证） 通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。 (1) 客户端启动协议分析器，选择“文件”｜“新建捕获窗口”，然后单击工具栏中的按钮开始捕获； 客户端在IE浏览器地址栏中输入http://服务器IP，访问服务器Web服务。成功访问到服务器Web主页面后，单击协议分析器捕获窗口工具栏中的按钮刷新显示，在“会话分析”视图中依次展开“会话分类树”｜“HTTP会话”｜“本机IP与同组主机IP地址间的会话”,在端口会话中选择源或目的端口为80的会话，在右侧会话视图中选择名为“GET”的单次会话，并切换至“协议解析”视图。 图6-1-1 HTTP明文会话 如图6-1-1所示，通过协议分析器对HTTP会话的解析中可以确定，在无认证模式下，服务器与客户端的Web通信过程是以明文实现的。 2． 单向认证（仅服务器需要身份认证） (1) CA（主机A）安装证书服务 主机A依次选择“开始”|“设置”|“控制面板”|“添加或删除程序”|“添加/删除Windows组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，然后单击“下一步”。在接下来的安装过程中依次要确定如下信息： ● CA类型（选择独立根CA） ● CA的公用名称（userGXCA，其中G为组编号（1-32），X为主机编号(A-F)，如第2组主机D，其使用的用户名应为user2D） ● 证书数据库设置（默认） 在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为D:\ExpNIC\CrypApp\Tools\WindowsCA\i386即可（若安装过程中出现提示信息，请忽略该提示继续安装）。 「注」若安装过程中出现“Windows文件保护”提示，单击“取消”按钮，选择“是”继续；在证书服务安装过程中若网络中存在主机重名，则安装过程会提示错误；安装证书服务之后，计算机将不能再重新命名，不能加入到某个域或从某个域中删除；要使用证书服务的Web组件，需要先安装IIS（本系统中已安装IIS）。 在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。 (2) 服务器（主机B）证书申请 「注」服务器向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。 服务器在“开始”|“程序”｜“管理工具”中打开“Internet信息服务（IIS）管理器”，通过“Internet信息服务（IIS）管理器”左侧树状结构中的“Internet信息服务”|“计算机名（本地计算机）”|“网站”|“默认网站”打开默认网站，然后右键单击“默认网站”，单击”属性”。 在“默认网站 属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”，此时出现“Web服务器证书向导”，单击“下一步”。 在“选择此网站使用的方法”中，选择“