一、实验目的

  1. 了解 PKI 体系和用户进行证书申请和 CA 颁发证书过程。
  2. 掌握认证服务的安装及配置方法。
  3. 掌握使用数字证书配置安全站点的方法。

4.1 实验前准备

如果对网络和服务器方面不是特别精通,那么建议最好使用两台 windows server 2003 虚拟机当 CA 和服务端,客户端可以使用任意 windows 系列机器。不然会有超多的问题没法子解决。

  1. Windows server 2003 虚拟机安装

参考如下:

(107 条消息) 在虚拟机中安装 Windows server 2003 详细图文安装过程_ElisaBaby 的博客-CSDN 博客_虚拟机 2003 安装教程

  1. 客户端配置

需要安装好 Ethereal+WinPcap (Windows 7)记得先装 WinPcap 再装 Ethereal Window 10 使用 wireshark 抓包即可。

(107 条消息) 如何为 Windows 安装 WinPcap?_cunjiu9486 的博客-CSDN 博客 Ethereal(抓包工具) v2021.0.99 电脑版_系统之家 (xitongtiandi.net)

可以根据 packets 包数量确定我们在设置的时候 interface 选择哪一项。 抓取规则设置最好直接写你的目标主机的 IP 地址,这样最准确。

4.2 无认证(服务器和客户端均不需要身份认证)

通常在 Web 服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式进行的。

(107 条消息) Ethereal 使用入门_kevinhg 的博客-CSDN 博客_ethereal 怎么用

(1)客户端启动协议分析器,选择'文件'|'新建捕获窗口',然后单击工具栏中的按钮开始捕获; 客户端在 IE 浏览器地址栏中输入 http://服务器 IP,访问服务器 Web 服务。成功访问到服务器 Web 主页面后,单击协议分析器捕获窗口工具栏中的按钮刷新显示,在'会话分析'视图中依次展开'会话分类树'|'HTTP 会话'|'本机 IP 与同组主机 IP 地址间的会话',在端口会话中选择源或目的端口为 80 的会话,在右侧会话视图中选择名为'GET'的单次会话,并切换至'协议解析'视图。

过滤规则中:选择目的 IP 地址更好一点,80 端口无用包太多了

开始监听并访问同网段的其他主机:

结束监听,看到如下记录:

通过协议分析器对 HTTP 会话的解析中可以确定,在无认证模式下,服务器与客户端的 Web 通信过程是以明文实现的。

4.3 单向认证(仅服务器需要身份认证)

准备工作:

CA 和服务端都需要完成 ISS 服务的配置,在此之前需要 3 台虚拟机相互 ping,检测网络连接是否有问题。

如果主机相互 ping 不通,检查一下以下问题:

  1. 是否使用虚拟机都为 NAT 模式
  2. 所有虚拟机的防火墙是否都关闭,Windows server 2003 的防火墙默认关闭
  3. IP 地址是否为同一网段,网关是否相同,一般 vm 里都是正常的。

检测完后,开始配置 IIS 服务,这步非常主要,是后面实验的基础,所谓 IIS 服务,可以简单理解为搭建一个网站,我们访问 CA 或者服务器,实际上访问的是 ISS 服务搭建的这个网站,如果遇到对方拒绝连接等问题,都是因为 ISS 服务没有安装好和开启,网站没有搭起来(实际上是那个默认网站,安装好自带,不需要我们再去搭建了)。下面的安装教程只用将 一、安装 IIS 服务 完成即可,记得 CA 和服务端都需要安装配置好 IIS 服务。

(107 条消息) Windows Server 2003 安装 IIS 服务并配置 WEB 站点_码农致富的博客-CSDN 博客_server2003 配置 iis

(1)IIS 服务安装和配置全过程

勾选组件 查看应用程序服务器 查看 internet 信息服务,将那四项全部勾选

打开 ISS 服务器 可以预览下 iisstar.htm 网页内容是不是就是我们在 windows 7 上面访问时,看到的那个网页。里面内容无所谓,这个实验能访问,连上服务器和 CA 就行。 IP 地址一定要设置为自己主机的 IP 地址,这个后面其他主机访问该网站的网址。 选择主目录、点击配置,该勾选的勾选上

以下是一些个人习惯的设置,可以不看

记录一个因为手欠导致后面网页不显示应该显示界面的问题 我将文档中的 iisstart.htm 往下调了,而其他主机访问时的默认界面就是最上面位置的那个网页,最后访问的时候,显示的网页让我迷迷糊糊的,所以一定不要随意修改文档顺序。当然要是改了还能让它显示正常,那我只能为你喊 666.

接下来就是因为强迫症,看原始网页不舒服,去修改网页源代码,让访问时候的看着舒服一些,不是错误页面。在实际实验中可以不做。

原网页信息如下

删点东西看着不就舒服多了吗

在此预览,可以看到网页已经发送变化

(2)CA(主机 A)安装证书服务

正式开始实验前,使用 window 客户端分别访问 CA 和服务器,确认他们的 iss 服务正常,网站都能正常访问。

主机 A 依次选择'开始'|'设置'|'控制面板'|'添加或删除程序'|'添加/删除 Windows 组件',选中组件中的'证书服务',此时出现'Microsoft 证书服务'提示信息,单击'是',然后单击'下一步'。在接下来的安装过程中依次要确定如下信息:

CA 类型(选择独立根 CA) CA 的公用名称(userGXCA,其中 G 为组编号(1-32),X 为主机编号(A-F),如第 2 组主机 D,其使用的用户名应为 user2D) 证书数据库设置(默认)

在确定上述信息后,系统会提示要暂停 Internet 信息服务,单击'是',系统开始进行组件安装。安装过程中,在弹出的'所需文件'对话框中指定'文件复制来源'为 D:\ExpNIC\CrypApp\Tools\WindowsCA\i386 即可(若安装过程中出现提示信息,请忽略该提示继续安装)。

「注」 若安装过程中出现'Windows 文件保护'提示,单击'取消'按钮,选择'是'继续;在证书服务安装过程中若网络中存在主机重名,则安装过程会提示错误;安装证书服务之后,计算机将不能再重新命名,不能加入到某个域或从某个域中删除;要使用证书服务的 Web 组件,需要先安装 IIS(本系统中已安装 IIS)。

点击下一步后选择完成即可,即可完成 CA 证书服务的安装。

在启动'证书颁发机构'服务后,主机 A 便拥有了 CA 的角色。

(3)服务器(主机 B)证书申请

「注」 服务器向 CA 进行证书申请时,要确保在当前时间 CA 已经成功拥有了自身的角色。

提交服务器证书申请

服务器在'开始'|'程序'|'管理工具'中打开'Internet 信息服务(IIS)管理器',通过'Internet 信息服务(IIS)管理器'左侧树状结构中的'Internet 信息服务'|'计算机名(本地计算机)'|'网站'|'默认网站'打开默认网站,然后右键单击'默认网站',单击'属性'。

在'默认网站 属性'的'目录安全性'页签中单击'安全通信'中的'服务器证书',此时出现'Web 服务器证书向导',单击'下一步'。

在'选择此网站使用的方法'中,选择'新建证书',单击'下一步'

选择'现在准备证书请求,但稍后发送',单击'下一步'。

填入有关证书申请的相关信息,单击'下一步'。

在'证书请求文件名'中,指定证书请求文件的文件名和存储的位置(默认 c:\certreq.txt)。 单击'下一步'直到'完成'。

通过 Web 服务向 CA 申请证书

服务器在 IE 浏览器地址栏中输入'http://CA 的 IP/certsrv/'并确认。服务器依次单击'申请一个证书'|'高级证书申请'|'使用 base64 编码...提交一个申请'进入'提交一个证书申请或续订申请'页面。

打开证书请求文件 certreq.txt,将其内容全部复制粘贴到提交证书申请页面的'保存的申请'文本框中,然后单击'提交'。

通告 CA 已提交证书申请,等待 CA 颁发证书。

CA 为服务器颁发证书

在服务器提交了证书申请后,CA 在'管理工具'|'证书颁发机构'中单击左侧树状结构中的'挂起的申请'项,会看到服务器提交的证书申请。右键单击服务器提交的证书申请,选择'所有任务'|'颁发',为服务器颁发证书(这时'挂起的申请'目录中的申请立刻转移到'颁发的证书'目录中,双击查看为服务器颁发的证书)。

CA 收到申请:

为服务器颁发证书(3 号申请):

通告服务器查看证书。

(4)服务器(主机 B)安装证书

(5)Web 通信

实验心得与总结

本次实验主要是通过搭建 PKI 体系,了解数字证书的申请和颁发过程,并掌握认证服务的安装及配置方法,最终使用数字证书配置安全站点的方法。

在实验前的准备工作中,需要注意虚拟机的网络连接问题,确保虚拟机之间能够互相 ping 通。在安装 IIS 服务和证书服务的过程中,需要按照步骤逐一进行,以确保后续实验的正常进行。

在实验过程中,需要使用协议分析器分析客户端与服务器之间的通信过程,以便了解通信过程的具体细节。同时,在单向认证的实验中,需要先提交服务器证书申请,再通过 Web 服务向 CA 申请证书,最后安装证书并进行 Web 通信测试。

总的来说,本次实验让我对 PKI 体系和数字证书的申请和颁发过程有了更深入的了解,同时也掌握了认证服务的安装和配置方法,这对于今后的网络安全学习和实践都有很大的帮助。

PKI 体系实验:数字证书申请、颁发与安全站点配置

原文地址: https://www.cveoy.top/t/topic/oo30 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录