SSL安全实践

实践：在Windows Web中使用证书和SSL

超文本传输协议（HTTP）以明文传输信息，这样很容易造成信息泄漏或遭受攻击，特别是在电子商务领域，使用HTTP更是危险致极。为安全个人或金融信息的传输，Netscape开发了安全套接字层（SSL）协议来管理信息的加密，广泛用于WEB浏览器与服务器之间的身份认证和加密数据传输。它在电子商务中已经无处不在，并且流行的浏览器和服务器都支持它。

当使用SSL连接到Web服务器时，地址栏中的URL将显示https。SSL在传输层使用TCP端口443。在HTTP层，将用户需求翻译成HTTP请求；在SSL层，借助下层协议的信道安全协商出一分加密密钥，并用此密钥来加密HTTP请求；在TCP层，与WEB SERVER的443端口建立连接，传递SSL处理后的数据。这样SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保密的效果。

证书颁发机构是受信任的机构，它通过为实体创建一个电子文档（称为数字证书）来证明实体的身份，该数字证书将身份与公钥之间建立一种关联。证书颁发机构有公共证书机构和内部证书机构，其中：

公共证书颁发机构是在世界范围内颇具权威的组织，它负责验证实体的身份并为其创建和维护证书。公共CA的一些组织如VeriSign、Entrust和Baltimore。 内部证书颁发机构由实体自行执行、维护并控制。这通常用于内部员工的雇员和设备，也用于客户和合伙人。

为了在Web服务器上使用证书进行身份认证，需要采取下图（图1－1）若干步骤。

1.创建证书请求5.配置Web服务器来认证用户2.提交证书请求4.下载证书3.发布证书证书服务器WEB服务器6.安全地访问Web服务器客户端计算机

图1-1 使用证书进行身份认证

本实验中将首先看看默认情况下什么证书颁发机构被配置来与浏览器合作。然后将创建一个证书颁发机构服务器，设置一个Web服务器来使用SSL，并测

试新的配置。

一、实验目的

完成本实验，应能够：

1．列举浏览器所配置的受信任的证书颁发机构。 2．安装并配置证书颁发机构服务器。 3．创建证书请求。 4．颁发/签署证书。 5．用SSL安全化Web站点。

6．描述当以SSL连接时Web页面使用的过程。

二、实验环境

1、Windows XP Professional

2、Windows 2003（IP：192.168.174.128） 要求配置了默认Web服务器。 3、windows 2003安装CD或ISO

三、实验步骤

步骤1 查看受信任的根证书颁发机构。

Web浏览器通常配置了许多来自证书颁发机构的证书，先来看一下。 在Windows XP Professional PC机： 1) 打开Internet Explorer。 2) 单击“工具”、“Internet选项”。

3) 选中“内容”选项卡，并在内容窗口中单击“证书”。

4) 在打开的证书窗口中选择“受信任的根证书颁发机构”，出现图1－2。

图1-2

浏览器中受信任的根证书

5) 在打开的证书窗口中任意双击一个证书，查看该证书的有效期和作用。 配置web服务器

6）安装准备：插入Windows Server 2003 系统安装光盘 添加IIS组件：

点击‘确定’，安装完毕后，查看IIS管理器，如下：

7）使用IE浏览器输入IP地址访问本地站点

步骤2 安装并配置证书颁发机构服务器。

将Windows 2003 Server配置成证书颁发机构服务器。

1) 在控制面板里选择添加/删除程序，再选择安装/删除Windows组件。 2) 在组件对话框中选择“证书服务”选项，打开Windows组件安装向导开始安

3) 在证书颁发机构类型窗口中选中“根 CA(S)” ，如图1－3，单击“下

一步”继续。

图 1-3 证书颁发机构类型

4) 在CA标识信息窗口，参照图1－4进行CA名称、组织、部门、城市、省份、

国家、邮件等信息的填写。

5) 在数据存储路径窗口，保持默认选项，单击“下一步” ，继续。 6) 指定数据存储位置之后，会出现警告窗口，提示你将停止Internet信息服

务，选择“确定”，继续安装证书。

7) 插入系统盘或选择ISO文件路径，完成证书服务的安装。 步骤3 创建证书请求

Web服务器需要为证书创建一个请求。在这个过程中，Web服务器将创建自己的密钥对，其中的公钥将是证书请求的一部分。

图 1-4 证书申请

1) 在控制面板内打开“管理工具”，选择“Internet服务管理器” 。 2) 在树型窗格中，右击“默认Web站点”并选中属性。

3) 单击“目录安全性”选项卡，单击“服务器证书” ，打开Web服务器证书

向导的欢迎界面并单击“下一步”继续。

4) 在服务器证书界面，选中“创建一个新证书”选项，继续。

5) 在稍后或立即请求界面，选中“现在准备请求，但稍后发送”选项，继续。 6) 在命名和安全设置界面，参照图1－5：

a) 名称：默认Web站点 b) 位长：1024 c) 单击下一步，继续

7) 在组织信息界面，参照图1－6：

a) 对于组织，键入hnsoft b) 对于部门，键入wlab c) 单击下一步，继续

8) 在证书请求文件名界面，接受默认的C:\\certreq.txt，继续。这个文件将是

用来从证书服务器请求证书的文件。 9) 默认继续，完成创建证书请求。

图1-5 命名和安全设置

图1-6 组织信息

步骤4 提交证书请求

此步骤将要从Web服务器把证书请求提交到证书服务器。

1) 在桌面上双击Internet Explorer图标打开浏览器，在地址栏中输入

http://192.168.174.128/certsrv/ 并回车确认。

2) 在打开的证书服务欢迎页面上，选择“申请证书” ，如图1－7，继续。

图1-7 申请证书

3) 在选择申请类型页面上，选择“高级申请” ，继续。

4) 在高级证书申请页面上，选中“使用base编码的„„更新证书申请” ，

单击“下一步”继续。

5) 打开C:/certreq.txt，复制其中的内容。

6) 将刚复制的内容，粘贴到‘提交一个保存的申请’页面的文本框中，如图

1－8所示，单击“提交”。

7) 这个时候大家可以看到证书被挂起的页面，如图1－9所示，这是因为申请

证书需要通过证书服务器验证身份。

步骤5 颁发证书

服务器在申请证书之后，需通过证书服务器的验证，本步骤将告诉大家如何颁发证书。

1) 单击“开始”、“程序”、“管理工具”、“证书颁发机构”打开证书控制台。

图1-8 提交保存的申请

图1-9 证书被挂起

2) 在控制台树型窗格中，展开Server.Root CA并选中“待定申请”文件夹。 3) 在详细信息窗格中，右击未决的证书请求，选中“所有任务”并单击颁发。

如图1－10所示。

图 1-10 颁发证书

4) 这个时候你可以在“颁发的证书”文件夹中看到刚才颁发的证书。

步骤6 下载证书

1) 在浏览器的地址栏中，输入http://192.168.174.128/certsrv/ 回车。 2) 在Microsoft证书服务页面，选中“检查挂起的证书”，“下一步”继续。 3) 在检查挂起的证书页面，选中证书并单击“下一步”继续。

4) 在证书已颁发页面上，选中Base编码并单击“下载CA证书”链接，如图

1－11所示。

5) 以后步骤均默认继续，以完成证书的下载。

步骤7 配置Web站点来使用SSL证书。

1) 在Internet服务管理器控制台上，右击默认Web站点并选中属性。 2) 单击“目录安全性”，在该窗口单击“服务器证书”，打开IIS证书向导的欢

迎界面。

图 1-11 下载CA证书

3) 服务器证书界面，选中“处理挂起的请求并安装证书” ，“下一步”继续。 4) 在处理挂起请求页面，键入C:/certnew.cer，“下一步”继续。 5) 以后步骤默认完成。

步骤8 配置Web站点来使用SSL

1) 在Internet服务管理器控制台上，右击默认Web站点并选中属性。 2) 单击“目录安全性”，在“安全通信”部分中，单击“编辑” 。

3) 在安全通信界面，选中“申请安全通道（SSL）”并单击确定，如图1－12所

示。

4) 单击应用，然后在继承覆盖窗口中单击确定。

步骤9 测试Web站点是否有了SSL 在Windows XP 机器上:

1) 在浏览器中，键入http://192.168.174.128/ 并回车。

a) 得到什么错误消息？

2) 在浏览器中，键入https://192.168.174.128/ 并回车。

a) 可以看到什么提示？能否看到页面？

图1-12 申请安全通道SSL

3）使用HTTPS方式访问站点

在客户机上启用了SSL的网站,不能 http://ip地址的形式,要求使用https://的方式访问:

步骤10 实验完成，关闭计算机。

实验要求：

1、认真完成操作步骤；

2、实验过程中多思考，勤动手； 3、实验过程中保持安静；