中南大学网络安全实验报告.docVIP

CENTRAL SOUTH UNIVERSITY 网 络 安 全 实 验 报 告 学生姓名 专业班级 学 号 学 院 信息科学与工程学院 指导教师 刘嫔 实验时间 2014年12月 实验一 CA证书与SSL连接 应用场景 在访问Web 站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具 捕获并分析出来的。在Web 站点的身份验证中，有一种基本身份验证，要求用户访问输入 用户名和密码时，是以明文形式发送密码的，蓄意破坏安全性的人可以使用协议分析程序破 译出用户名和密码。那我们该如果避免呢？可利用SSL 通信协议，在Web 服务器上启用安 全通道以实现高安全性。 SSL 协议位于TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。SSL 协 议可分为两层： SSL 记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP） 之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL 握手协议（SSL Handshake Protocol）：它建立在SSL 记录协议之上，用于在实际的数据传输开始前，通讯双 方进行身份认证、协商加密算法、交换加密密钥等。每一个Windows Server 2003 证书颁发 机构都有可供用户和管理员使用的网页。 实验目标 ??掌握在Windows Server 2003 下独立根CA 的安装和使用。 ??使用WEB 方式申请证书和安装证书。 ??建立SSL 网站。 ??分析SSL 网站的数据包特点。 实验拓扑 VM Client VM Server 实验环境 虚拟机：Windows Server 2003，Windows XP，Wireshark 抓包软件。 实验过程指导 任务一：windows server 2003 环境下独立根CA 的安装及使用 1、启动Windows Server 2003 和Windows XP，配置其IP，使其在同一局域网网段。 2、在Windows Server 2003 中，选择【开始】|【控制面板】|【添加和删除程序】，在弹出窗 口中选择【添加和删除windows 组件】，在【组件】列表框中选择【证书服务】，再单击【下 一步】按钮，如下图所示。 3、在弹出的窗口中选择【独立根CA】单选按钮，单击【下一步】按钮，在弹出窗口中按 要求依次填入CA 所要求的信息，单击【下一步】按钮，如下图所示。 继续选择【证书数据库】、【数据库日志】和配置信息的安装、存放路径，如下图所示。 单击【下一步】按钮。安装的时候，可能会弹出如下窗口，为了实验方便，已经把I386 文 件夹复制到C:\下，选择【浏览】，选择文件夹“C:\I386”，点【确定】，完成安装。 5、选择【开始】|【程序】|【管理工具】，可以找到【证书颁发机构】，说明CA 的安装已经 完成，如下图所示。 6、从同一局域网中的另外一台XP 开启IE 浏览器，输入http://windows2003 的IP/certsrv/, 选中【申请一个证书】，如下图所示，在弹出的页面中选择【web 浏览器证书】。 7、在弹出窗口中填写用户的身份信息，完成后进行【提交】。此种情况下，IE 浏览器采用 默认的加密算法生成公钥对，私钥保存在本地计算机中，公钥和用户身份信息按照标准的格式发给CA 服务器，如图所示,单击【是】，进入下一步。CA 服务器响应后，弹出证书申请 成功页面，如下图所示。 8、在根CA 所在的计算机上，选择【开始】|【程序】|【管理工具】|【证书颁发机构】，上 面申请的证书便会出现在窗口右边，选择证书单击右键，选择【所有任务】|【颁发】，进行 证书颁发，如下图所示。证书颁发后将从【挂起的申请】文件夹转入【颁发的证书】文件夹 中，表示证书颁发完成。 9、在申请证书的计算机上打开IE，输入http://windows2003 的IP/certsrv/，进入证书申请页 面，选择【查看挂起的证书申请状态】，弹出的页面中选择一个已经提交的证书申请，如下 图所示。选择安装此证书。 10、现在验证此CA 系统颁发的新证书是否可信，为此需要安装CA 系统的根证书，进入证书申请主页面，选择当前的CA 证书进行下载，并保存到合适路径