PKI-Lab

已于 2022-08-13 11:42:10 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: 计算机网络 文章标签: https 网络安全 ssl
于 2022-08-11 21:46:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43050680/article/details/126293767
版权

PKI-Lab

Task 1: Becoming a Certificate Authority (CA)

文件配置:

  1. 将usr/lib/ssl下的openssl.cnf复制到自己的CA文件夹下并将unique_subject这行的注释取消掉,并在CA文件夹中创建一个空文件index.txt,并创建一个含有数字1000的文件serial,以及创建一系列文件

        

  1. 执行命令,生成私钥文件ca.key和公钥证书ca.cry

openssl req -config openssl.cnf -x509 -newkey rsa:4096 -sha256 -days 3650 -keyout ca.key -out ca.crt

        

  1. 分别执行以下命令

openssl x509 -in ca.crt -text -noout

得到证书相关信息

        

openssl rsa -in ca.key -text -noout

随后输入生成时设置的密码dongda得到私钥相关信息

        

针对实验手册中提出的问题,我们回答如下:

  1. What part of the certificate indicates this is a CA’s certificate?

        

        这里CA:TRUE表明这是一个CA证书

  1. What part of the certificate indicates this is a self-signed certificate?

        

        这里的Issuer和Subject信息相同说明这是一个自签名证书

  1. In the RSA algorithm, we have a public exponent e, a private exponent d, a modulus n, and two secret numbers p and q, such that n = pq. Please identify the values for these elements in your certificate and key files

        公钥指数e:

                

              模数n:

                    

              私钥指数d:

                    

              p:

                    

              q:

                    

综上综述,通过执行以上操作,我们完成了生成CA证书、密钥的任务

Task 2: Generating a Certificate Request for Your Web Server

使用以下命令生成:

openssl req -newkey rsa:2048 -sha256 -keyout server.key -out server.csr -subj "/CN=www.HZH2022.com/O=HZH2022 Inc./C=CN" -passout pass:dees

再利用以下两个命令查询:

openssl req -in server.csr -text -noout

        

openssl rsa -in server.key -text -noout

        

添加拓展域名/Adding Alternative names:

直接在生成证书的命令后添加

-addext "subjectAltName=DNS:www.HZH2022.com, DNS:www.HZH2022A.com, DNS:www.HZH2022B.com"

查看发现拓展域名已添加

        

Task 3: Generating a Certificate for your server

使用task2中的证书申请与之前生成的CA证书为服务器创建证书

openssl ca -config my_openssl.cnf -policy policy_anything -md sha256 -days 3650 -in server.csr -out server.crt -batch -cert ca.crt -keyfile ca.key

之后CA文件夹内生成了一些新文件

        

使用命令openssl x509 -in sever.crt -text -noout发现并未生成拓展域名,因此将copy过来的cnf文件的下面这行取消注释

        

重新签署证书,并使用命令openssl x509 -in sever.crt -text -noout,可知拓展域名已写入

        

Task 4: Deploying Certificate in an Apache-Based HTTPS Website

  1. 根据模板修改HZH2022_apache_ssl.conf以及Dockerfile,并将对应各种文件移入相应位置

          

在etc/hosts中添加我们的域名

        

之后在虚拟机执行dcbuild

执行dcup启动container

  1. 进入container中,在docker10.9.0.80使用以下命令启动ssl服务

a2enmod ssl

a2ensite HZH2022_apache_ssl

接着执行service apache2 start

输入密码dees之后在Ubuntu firefox游览器成功访问https://www.hzh2022.com

      

  1. VM和container的共享文件夹

创建完container后,在VM中的volumes中添加文件share_test,在container中进入volumes中ls可看到添加的share_test文件,说明文件共享功能正常

        

  1. 我们发现,在访问时游览器提示访问不安全,这是因为游览器中并无我们的CA证书,因而需要添加证书,打开firefox游览器的设置,在Privary&Security中找到Certificate,导入我们原先生成的ca.crt,之后重新访问发现警告提示消失,说明游览器已经信任来自我们的证书。

        

  1. Task 5: Launching a Man-In-The-Middle Attack

  1. 我们的www.lib.seu.edu.cn是东南大学图书馆的网站,我们在/etc/hosts中将DNS缓存改成了10.9.0.80 www.lib.seu.edu.cn,因而所有要访问 www.lib.seu.edu.cn的用户都被劫持到我们的 10.9.0.80这个地方

        

  1. 我们通过修改index.html的内容来模仿东南大学图书馆的网站,则用户访问时将被定位到我们仿造的网站

        

Task 6: Launching a Man-In-The-Middle Attack with a Compromised CA

  1. 不严格来说,通过前面的步骤已经完成了这个任务,但由于网站证书是用的还是www.HZH2022.com,因此在访问时游览器还会提醒网站证书存在问题。

        

  1. 假设我们得到了被破坏的CA的私钥,同以上几个步骤利用这个私钥为所要伪造的网站创建新的证书

修改一系列配置文件,重新构建container并启动ssl

访问网站可发现网站以定位到我们伪造的网站,且游览器没有进行任何拦截

        

至此完成了MITM Attack

江夏哲
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PKI-CA体系介绍.zip
01-19
PKI/CA工作原理及架构介绍
PKI Lab(Public-Key Infrastructure Lab)seed实验Ubuntu20.04
l4kjih3gfe2dcba1的博客
08-09 4863
本实验基于当前最新seed2.0实验,使用Ubuntu2004版本虚机。安装教程略过。
SEEDLAB2.0-PKI lab
Yale的博客
04-16 2377
PKI Lab 证书生成任务在ubuntu中进行,web server运行在容器中 在本次实验中,我们使用www.bank32.com为例介绍如何设置https web server。 我们将这个名字和容器的ip绑定,这一步在hosts中进行。 拉取镜像,创建实验环境 Task1成为CA CA是用于签发数字证书的可信实体 一些商业CA被称作根CA(root CA),VeriSign是最大的CA 根CA是自签名的self-signed。根CA证书通常预先加载到大多数操作系统、浏览器、已经其他依赖PKI
seedlabPKI LAB
gungir_的博客
09-09 1793
seedlabPKI lab实验
Odyssi PKI-开源
05-03
Odyssi PKI旨在成为一个完整的用Java编写的PKI套件,并且从头开始设计时就考虑到了安全性。 完成后,它将完全符合PKIX,XKMS,OCSP和其他PKI标准。
Java Card PKI-开源
05-13
ISO7816和相关PKI标准的开源Java / Java卡实现。
pki-ca-10.5.18-14.el7_9.noarch.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
Web PKI-crx插件
04-03
语言:English,español,italiano 扩展以在网页中使用数字证书 WebPKI是基于Web的组件,支持文档数字签名,签名验证和文档加密。 开发该产品以使浏览器能够使用用户的数字证书对文档进行签名,并且Web浏览器支持该...
客户端验证 证书解析
m0_66993332的博客
05-18 755
关于数字证书和CA机构的一些介绍和个人理解
总结 HTTPS 的加密流程
weixin_73775528的博客
05-21 578
http是为了解决http存在的问题而在http基础上加入了SSL/TSL,在HTTP/2中TCP三次握手后会进入SSL/TSL握手,当SSL/TSL建立链接后,才会进行报文的传输。
如何从http免费升级到https
2401_84891336的博客
05-21 406
使用https协议开头是为了在用户访问网站时提供更安全的网络环境。相比http,使用https有数据加密、身份验证、保护隐私、搜索引擎优化等优势。一般获取https证书,则需要支付费用给证书颁发机构(CA)。还有一些免费的证书证书颁发机构,例如JoySSL。JoySSL作为国内一家知名的网络安全服务提供商,不仅提供商业级的SSL证书服务,同时也推出了免费https证书,以满足广大网站所有者的基本安全需求。这些免费证书在安全性方面同样严格遵循国际标准,能够为用户提供可靠的数据加密保护。
HTTP vs HTTPS:网络通信的双重视角
最新发布
w651428055的博客
05-23 698
HTTP和HTTPS各有其优缺点,但在安全性要求日益提高的今天,HTTPS已经成为网络通信的首选协议。对于那些涉及敏感信息传输的网站和应用,如在线银行、电子商务网站和政府服务平台,使用HTTPS是必须的。然而,随着网络安全威胁的不断演变,即使是静态网站也逐渐转向使用HTTPS,以提供更好的用户体验和数据保护。此外,HTTPS还提供了更好的身份验证机制,使得用户能够确认他们正在与正确的服务器进行通信,从而防止中间人攻击。在数字化的浪潮中,HTTP和HTTPS作为网络通信的基石,各自扮演着不可或缺的角色。
HTTP 和 HTTPS 的区别 + SSL协议
Iamme
05-17 966
服务端用私钥解密后,得到了客户端传过来的随机值(对称秘钥),然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。这种方法看起来不错,但是也存在问题,如果在发送的时候被拦截下来,密钥就会泄露给中间人,此时中间人就可以通过密钥来对之后的数据进行解密,此时也就失去了加密的意义这时,就引入了非对称加密。SSL确保安全性的同时,在客户端和服务端都要进行。
HTTPS证书——网站如何实现HTTPS访问?
JoySSL230907的博客
05-20 459
同时,浏览网站各页面,确保所有内部链接和资源均使用HTTPS加载,解决可能出现的混合内容问题。- 操作:根据你的Web服务器类型(如Apache、Nginx、IIS等)和CA提供的指南,将证书文件上传并配置到服务器上。完成以上四步后,你的网站就成功启用了HTTPS访问,为用户提供更加安全的浏览体验。你可以根据需要选择免费或付费证书。- 目的:SSL证书是实现HTTPS加密的关键,它验证了网站的身份,并提供了加密数据所需的密钥。- 目的:将获取到的证书安装到你的网站服务器上,以便服务器可以使用它来加密通信。
HTTPS 协议原理详解
qq_39454432的博客
05-17 792
HTTPS 协议原理详解
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8236
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Python实现国密GmSSL
kjprime的博客
05-21 383
首先我是找得到的gmssl库,经过实操,发现公钥与密钥不能通过pem文件得到,就是缺少导入pem文件的api。这个库的私钥与密钥是16进制的字符串编码,如果是想用这个,我就推荐几个网站吧。在线生成SM2的密钥对的网站gmssl因为我是需要需要通过pem导入的,所以这种方法不适合我。
IPSecVPN与SSLVPN
qq_61807674的博客
05-17 1019
突出验证的重要性和安全性,而sslvpn注重校验用户身份及访问权限的特点完全契合零信任体系,vpn本身对于企业办公的助力良多,而vpn自身安全保障不足,普通网络结构下的vpn存在巨大风险,容易产生盗取账号、冒用,已致内网失陷等严重安全事件,sslvpn基于高层协议的特殊性可以严格管控用户权限,摒弃了原先vpn默认可访问所有资源的老套路,防患于未然。当然了,不是说ipsecvpn就在认证上次于sslvpn,sslvpn基于应用层,高层协议的强项是对用户身份认;IPsecVPN与SSLVPN。
pki-tomcat
12-24
PKI-Tomcat是一种结合了PKI(Public Key Infrastructure,公钥基础设施)和Tomcat服务器的解决方案。PKI是一种密钥管理系统,用于确保数据的安全性和完整性,Tomcat是一个用于构建和运行Java应用程序的开源应用服务器。 PKI-Tomcat结合了PKI的密钥管理和Tomcat服务器的功能,能够为网站提供更高级别的安全性和信任。通过PKI,网站可以使用数字证书来加密和认证通信数据,确保敏感信息在传输过程中不被篡改或窃取。而Tomcat服务器提供了一个可靠的平台,用于部署和运行基于Java的Web应用程序。 借助PKI-Tomcat,用户可以确保他们访问的网站是安全可信的,并且他们的通信数据不会被窃取或篡改。同时,网站管理员也可以利用PKI-Tomcat来保护他们的网站免受恶意攻击和数据泄露的威胁。该解决方案还可以帮助企业满足合规性要求,并提升其在客户和合作伙伴中的信誉度。 总之,PKI-Tomcat是一种集成了PKI和Tomcat服务器功能的解决方案,通过这种方案可以为网站提供更高级别的安全和信任,帮助公司满足合规性要求,并提升其信誉度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江夏哲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值