信息安全实验报告(PKI实验)
PKI/CA实验
实验地点 日期 2015.12.7 学号 20122712 姓名 魏仁斌
一、实验目的
掌握PKI/CA的基本原理,利用Windows CA组建一个CA 系统,能够完成
CA 创建、证书请求生成、证书颁发、CA 管理等功能。利用该CA 颁发的证书实现基于SSL 协议的安全WWW 传输。
二、实验原理
参见“网络信息安全教学实验系统”实验二(练习3)之原理篇。
三、实验环境
1、网络信息安全教学实验平台。
2、Windows CA。
3、抓包工具(如wireshark-win32-1.4.9中文版)。
四、实验内容和任务
本实验每人一组,利用电脑的本机操作系统(如Windows7)和虚拟机内的
操作系统(Windows 2003 Server),模拟CA 、Web 服务器和客户端的角色,分配如下。
实验内容和任务包括:
1、Windows CA应用
(1)掌握Windows CA的安装及配置方法;
(2)掌握用户进行证书申请和CA 颁发证书的过程;
(3)掌握使用数字证书配置安全Web 站点的方法;
(4)掌握使用数字证书发送签名邮件和加密邮件的方法(选作)。
2、利用Windows CA完成证书管理
(1)掌握CA 通过自定义方式查看申请信息的方法;
(2)掌握备份和还原CA 的方法;
(3)掌握吊销证书和发布CRL 的方法。
3、信任模型
(1)了解PKI 常见的信任模型;
(2)利用Windows CA实现一个信任模型。
五、实验步骤
5.1 安装虚拟机环境
在电脑上安装虚拟机系统VMWare 9.0,解压虚拟机镜像文件压缩包
ExpNIS.Windows.rar 。
启动VMWare 9.0,利用“File | Open ”菜单打开虚拟机镜像文件
ExpNIS.Windows.vmx (在解压后的Host6E 子目录下)。打开后,可以利用VMWare 的Power On功能启动虚拟机操作系统(该操作系统是Windows 2003 Server,登录口令为 jlcssadmin ),也可以利用“VM | Snapshot | Snapshot 1”菜单恢复虚拟机操作系统(恢复操作系统无需登录过程)。
5.2 配置网络环境
修改虚拟机内操作系统的IP 地址(该地址默认为192.168.1.1),使其和本机
实际操作系统的IP 地址处于同样的网段,并能相互Ping 通。修改后,虚拟机操作系统的 IP ,本机操作系统的IP 地址是: 192.168.159.135 。
打开虚拟机中的“Internet 信息服务(IIS )管理器”,查看其“默认网站”的
状态是否为“正在运行”。在本机操作系统中启动浏览器,在地址栏中输入虚拟机IP 地址,查看是否能打开虚拟机的“Web 服务测试页”。
安装抓包工具(如wireshark ),自学抓包工具的使用方法。利用抓包工具观
察本机访问虚拟机Web 服务时的TCP/IP报文和HTTP 报文。
利用抓包工具捕获针对虚拟机的Web 访问。Web 服务器的IP 地址是
HTTP 协议,其中HTTP 协议的请求包(GET )的第一个“首部字段”的内容是
,HTTP 协议的响应包(HTTP1.1)的第一个“首部字段”的内容是 5.3 Windows CA应用
1、安装Windows CA(即Windows 证书服务),其主要步骤是:
一、添加IIS 组件;
二、添加" 证书服务" 组件:
1. 安装独立CA ,不需要安装活动目录; 2. 选择" 用自定义设置生成密钥对和CA 证书"; 3. 选择密钥算法:选择默认即可,Microsoft Strong Cryptographic Provider,散列算法:SHA-1,密钥长度:2048;
4. 填写CA 的公用名称,其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,这里默认即可);
2、启动“证书颁发机构”服务后,主机便拥有了CA 的角色。启动该服务的
菜单位置是 开始->管理工具->证书颁发机构 ;CA 的名字是 ISCA ;CA 的根证书信息是:颁发者 ISCA ;颁发给 tang-clicent ;
有效期
3、创建WWW 服务器的证书申请,由CA 颁发服务器证书
(1)服务器创建证书请求的主要步骤是:
1. 安装好IIS ,打开" 默认网站" ,右键点击" 默认网站"->属性->选择" 目录安全性" 选项卡:
2. 发现" 查看证书" 为灰色不可用,说明还未为‘默认网站’配置数字证书。
单击" 服务器证书";
3. 选择" 新建证书" 。如果以前配置过数字证书,并且数字证书仍然可用,则
选择‘分配现有证书’即可;
5. 允许使用ASP 功能
4. 证书名称可以根据需要更改,不影响证书的使用。这里是" 默认网站";
5. 填写真实的单位部门名称
6. 填写公用名称,只能是该网站的DNS ,如果尚未申请DNS 则可以用IP 地
址代替。
7. 将这些信息以Base64编码的形式保存在本地
8. 打开证书申请网页->‘申请一个证书’-> 点击‘高级证书申请’->‘使用
base64编码的CMC 或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请’
9. 打开刚才保存的certreq.txt 全选,并将其复制,粘贴到网页的文本框中,
点击‘提交’
(2)通过Web 服务向CA 申请证书的主要步骤是:
1. 在IE 地址栏中输入证书服务系统的地址,进入服务主页
2. 点击‘申请一个证书’进入申请页面:
3. 点击申请‘Web 浏览器证书’
4. 申请‘Web 浏览器证书’,‘姓名’是必填项,其他项目可不填
5. 建议勾选上‘启用强私钥保护’,点击‘提交’
6. 单击‘设置安全级别’并设置为高,单击下一步
7. 输入口令,对证书进行加密,并记住密码,单击‘完成’:
8. 现在假定CA 管理员已经颁发了申请人的证书,点击‘查看挂起的证书申
请状态’,点击‘安装此证书’
其中CA 的超链接(URL )是: http://192.168.159.137/certsrv 。
(3)CA 为服务器颁发证书的主要步骤是:
1. 开始->管理工具->证书颁发机构
2. 在‘挂起的申请’里已经存在申请挂起等待颁发的证书, 右键点击挂起的证书->所有任务->颁发:
查看创建好的服务器证书,该证书的持有者是 192.168.159.137、颁发者是
4、在服务器上安装服务器证书的主要步骤是:
1. 现在假设CA 管理员审核证书信息后执行了颁发,再次打开CA 的证书申请系统->点击‘查看挂起的证书申请的状态->点击‘下载证书’,将.cer 文件保存到本地。(如果有需要也可以将‘证书链’也下载,证书链里包含CA 服务器的数字证书)
2. 返回默认网站->属性-> 目录安全性, 单击‘服务器证书’进行数字证书的
安装, 选择好刚才保存的.cer 证书文件
3. 设置SSL 的端口,默认是443
4. 单击”完成”
5、在服务器上安装“CA 根证书”的主要步骤是:
1. 键入 192.168.159.137/certsrv/certcarc.asp 即可打开网页," 下载CA 证书"
2. 开始->运行:运行打开mmc
3. 文件->添加/删除管理单元, 单击‘添加’, 找到‘证书’的管理单元,单击
‘添加’, 选择‘计算机帐户’,单击‘下一步’, 单击‘完成’, 单击‘确定’
4. 我们已经将‘证书(本地计算机)’添加到控制台。, 将其展开,展开‘受
信任的根证书颁发机构’
5. 导入证书颁发机构的数字证书。右键‘证书’导入证书, 选择我们已经保
存的CA 证书,单击‘下一步’, 单击‘完成’
安装完毕,在IE 中点击“工具|Internet 选项|内容|证书”,在“受信任的根证书颁发机构”页中查看CA 的根证书,其是否存在?_是__。
6、在服务器上,利用服务器证书启动SSL 安全WEB (单向认证),主要步
骤是:
1. 打开" 默认网站" ,右键点击" 默认网站"->属性->选择" 目录安全性" 选项卡
2. 点击" 安全通信" 部分的" 编辑", 勾选‘要求安全通道’和‘要求客户端证书’选项卡,单击确定
SSL 安全Web 的默认端口是,客户端访问该安全Web 的URL 是
启动抓包工具,观察基于SSL 的安全Web 的通信报文。此时TCP 报头是明文还是密文: 密文 ,IP 报头是明文还是密文: 密文 ,TCP 载荷是明文还是密文: 密文 。
7、自己完成双向认证(服务器和客户端均需身份认证)的SSL 安全WEB 实验。
5.4 利用Windows CA完成证书管理
1、配置CA 自动颁发证书,主要步骤是:
1. “开始”->“程序”->“管理工具”, 打开“证书颁发机构”
2. 在左侧树状结构CA 的名称上右键单击,选择“属性”单击“策略模块”->“属性”。在“请求处理”页签中选择“如果可以的话,按照证书模板的设置。否则,将自动颁发证”。单击“应用”按钮,出现重启证书服务
2、客户端以高级方式申请证书,主要步骤是:
客户端浏览器访问http://192.168.159.137/certsrv/,依次点击“申请一个证书”->“高级证书申请”->“创建并向此CA 提交一个申请”, 进入证书申请页面。
1. 在“识别信息”中填入相关信息。
2. 在“需要的证书类型”中选择“客户端身份验证证书”。
3. 在“密钥选项”中选中“标记密钥为可导出”,其它项保持默认设置。
4. 单击“提交”按钮提交信息。
5. 假设CA 已经批准,此时页面显示“证书已颁发”,客户端单击”安
装此证书”。这时出现对话框“潜在的脚本冲突”,单击“是”,这时出现对话框“安全性警告”单击“是”。证书安装完成
你所填写的识别信息是,
使用的密钥大小是 1024 bits 。证书是否被自动颁发 是 。
3、备份CA 的主要步骤是:
在“证书颁发机构”的左侧树状结构中CA 名称上右键单击->“所有任务”->“备份CA ”,出现“证书颁发机构备份向导”,单击“下一步”。
1. 在“选择要备份的项目”中选中两个选项。
2. “备份到这个位置中”选择一个新建的空目录,单击“下一步”。
3. 输入密码并确认密码,单击“下一步”直到“完成”。
4、还原CA 的主要步骤是:
在“证书颁发机构”的左侧树状结构中右键单击“CA 的名称”->“所有任
务”->“还原CA ”,此时出现“证书颁发机构还原向导”提示要立即关闭证书服务,单击“确定”。出现“证书颁发机构还原向导”,单击“下一步”。
1. 在“选择要还原的项目”中选中两个选项。“从这个位置还原”选择
CA 备份的目录,单击“下一步”。
2. 输入密码,单击“下一步”直到“完成”。
3. “证书颁发机构还原向导”提示要启动证书服务,单击“是”启动证
书服务。
5、CA 吊销证书和发布CRL 的主要步骤是:
1. 在“颁发的证书”中找到需要吊销的证书证书。右键单击此证书“所有任
务”->“吊销证书”,选择任意“理由码”,单击“确定”,
2. 在左侧树状结构中右键单击“吊销的证书”->“所有任务”->“发布”,
出现对话框“发布CRL ”,单击“确定”。
利用SSL 安全Web ,来测试证书吊销之后的访问效果。
5.5 信任模型
1、安装“独立从属CA ”的主要步骤是(主要写和安装根CA 的区别):
添加组件“证书服务”,进入向导
1. 选择CA 类型为“独立从属CA ”,单击“下一步”。
2. 在“CA 识别信息”中,给CA 取一个名字,单击“下一步”。
3. 在“证书数据库设置”中选择默认位置,单击“下一步”。
4. 在“CA 证书申请”中选择“将申请保存到一个文件”,单击“下一步”。
5. 此时提示要暂停Internet 信息服务,单击“是”,系统开始进行组件安装。
6. 出现信息“证书安装不完全... ”,则单击“确定”继续安装。
该从属CA 的名称是 IFCA ;在安装完毕后该CA 无法立刻启动,原因是: 证书服务还没有从根CA 处获得证书 。
2、自己完成根CA 为独立从属CA 颁发证书。独立从属CA 的证书的持有者是 IFCA 、颁发者是 ISCA 、有效期为2015-11-16 到 2016-11-16。
3、在独立从属CA 中安装证书的步骤是:
1. 独立从属CA 通过“证书服务主页”->“查看挂起的证书申请的状态”->“保存的申请证书”->“DER 编码”->“下载证书链”将以“.p7b ”结尾的文件下载到本地计算机的指定位置
2. 独立从属CA 在“CA 的名称”右键单击->“所有任务”->“安装CA 证书”,选择刚才下载的证书链,在“CA 的名称”上右键单击,“所有任务”->“启动服务”即可
在安装证书完毕后,该从属CA 能否正常启动 能 。
4、自己完成客户端向独立从属CA 申请证书的过程。
5、该实验中的信任模型叫个CA 和终端实体的名字,画出该信任模型的示意图: