信息安全协议.doc

安全通信协议的配置使用(Apache) 实验草案 实验名称 实验二：典型安全通信协议的配置使用(Apache) 实验目标 通过网络层安全通信协议和传输层通信协议的配置，理解网络安全的层次概念。 三．实验内容 结合APache的配置了解SSL协议的使用。 SSL协议的使用过程： 两者先各自向Boss申请证书，在每次进行通信时，先有客户端与服务器端商定一个 session Key ，然后以此session key进行会话，（当然是以证书为基准的） 1.SSL握手协议：通过截包软件Wireshark，可以截获通信数据包中，client hello的https数据包。 2.更改密码规格协议:过了一段时间后，需要商定一个新的session key？ 3.SSL报警协议：即通过安全证书，SSL协议通信时，用户会得到安全通信协议的通知。 4.SSL记录协议：即记录整个加密传输过程，以便另一端解密使用 四．实验步骤 首先到Apache官网下载Apache+OpeSSL的整合安装包并安装； 单击“开始——管理计算机——本地用户和组——用户”，右键单击添加新User用户Apache（此步是为了后面赋予Apache服务器对应的用户运行权限，确保Web访问者用指定的帐号访问服务器而不是本地用户或管理员帐号访问本地文件） 单击“开始——管理工具——本地安全策略”，在用户权限分配中点击“作为服务器登录”，并添加刚才新建的用户“Apache”； 单击“开始——管理工具——服务”，首先停止Apache 2.2的服务，搜后右键单击选择属性，将单选框从“本地帐户”切换到“此帐户”并填入Apache的用户名和密码； 找到Apache的安装目录（在本例中为C:\apache 2.2），右键单击“属性——安全”，添加Apache用户并赋予Apache用户对于Apache安装目录的读取和写入的权利；此时重启Apache服务，方能正常重新启动； 首先从\conf\extra将http-ssl.conf文件拷贝到conf目录下，打开并查找到 #LoadModule ssl_module modules/mod_ssl.so 将前面的#注释去掉打开SSL模块； 在httpd.conf中找到 # Secure (SSL/TLS) connections 并在下添加入下行： Include conf/httpd-ssl.conf 打开cmd，更改当前目录之Apache安装目录下的bin文件夹下，输入命令 openssl genrsa –out ca.key 1024 此命令用户生成CA证书中心自签所用的密钥对，其中 genrsa 用于生成 RSA 密钥对的 OpenSSL 命令。 -out ca.key 令生成的密钥对保存到文件ca.key 1024 RSA 模数位数，在一定程度上表征了密钥强度。 输入命令 openssl req –new –x509 –days 365 –key ca.key –out ca.crt –config ..\conf\f 以上命令为一步完成 CA 证书请求生成及签名，其中参数解释如下： req 用于生成证书请求的 OpenSSL 命令。 -new 生成一个新的证书请求。该参数将令 OpenSSL 在证书请求生成过程中要求用户填写一些相应的字段。 -x509 生成一份 X.509 证书。 -days 365 从生成之时算起，证书时效为 365 天。 -key ca.key 指定 ca.key 为证书所使用的密钥对文件。 -out ./demoCA/ca.crt 令生成的证书保存到文件 ca.crt 。 至此，我们便已成功建立了一个私有根 CA 。在这个过程中，我们获得了一份 CA 密钥对。 下面我们为网站服务器签署证书，首先创建对应的文件结构（在bin目录下创建新的目录demoCA，建立newcerts，index.txt，serial无扩展名文件，内容为01，代表這份certificate是CA第一份所签发出来） 再次回到命令行，键入命令如下： openssl genrsa –out server.key 1024 生成Web服务器申请证书所用的公私钥对； 生成Web服务器向证书服务器的签署申请命令如下： openssl req –new –out server.csr –key server.key –config ..\conf\f 输入相关信息生成签署文件server.csr 键入命令如下： openssl ca –in server.csr –out server.crt –cert ca.crt –keyfile ca.key –config ..