一、实验目的及要求:
- 目的:
(1)掌握对Web数据进行SSL安全传输的技术。
(2)掌握证书申请的过程。
(3)熟悉X.509 v3证书格式。
- 要求:
1. 能够综合运用专业基本理论和专业技术解决实际问题:
(1) 能够熟练使用计算机进行实验的操作;
(2) 能够完成自己的实验,并且与组员协作完成实验;
(3) 可以协助教师进行实验。
2. 本实验分为两次课,第一课搭建虚拟实验环境,第二课掌握对Web数据进行SSL安全传输的技术,掌握证书申请的过程。
3. 实验环境
(1)虚拟机A,安装操作系统为windows 7,32位;
(2)虚拟机B,安装操作系统为Windows Server 2003,32位,IIS的Web服务器和证书服务、局域网。
二、实验原理
1.SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL记录协议为SSL连接提供如下两种服务:
机密性(Confidentiality):握手协议定义一个可以用于SSL负载的传统加密共享密钥。
- 消息完整性(Message Integrity):握手协议还定义一个用于产生消息认证码(MAC)的共享密钥。
- SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
2.SSL最复杂的部分是握手协议。这一协议允许客户端和服务器相互认证,并协商加密和MAC算法,以及用于保护SSL记录中所发送数据加密密钥。握手协议在任何应用数据被传输之前使用,握手协议的过程如图所示。
SSL密码变更规格协议:密码变更规格协议是应用SSL记录协议的3个SSL规格协议之一,也是最简单的一个协议。
本协议只包含一个消息,由一个值为1的字节组成。这条消息的唯一功能是使得延迟状态改变为当前状态,该消息更新了在这一连接上应用的密码机制。
SSL报警协议:用于将与SSL相关的报警传达给对等实体。与使用SSL的其它应用一样,报警消息也要按照当前状态的规格进行压缩和加密操作。
这一协议过程中的每一条消息都由两个字节组成。其中第一个字节可以取值为警告或致命以表示消息的严重程度。如果严重程度为致命的话,SSL将立即结束当前连接。虽然该会话中的其它连接还可以继续进行,但是本次会话不允许建立新的连接。
三、实验步骤与成果
在虚拟机B上安装IIS组件,并配置Web站点。
在服务器上安装CA组件,如以下图:
四、可能出现错误
1、出现 404 报错。
可能原因:
HTTPS 和对应的 HTTPS 服务绑定的站点不统一。
站点信息配置错误。
解决方法:
成功部署证书后,通过 HTTP 协议访问资源正常,通过 HTTPS 协议无法访问资源并出现404错误提示。如您在 IIS 服务中配置了 SSL 证书,且防火墙开启了443端口,可参考以下两个方面排查问题:
HTTP 和 HTTPS 可以设置不同的网站根目录,在 IIS 服务器中,检查站点的443端口绑定情况,并确认443端口绑定的站点与期望显示的 HTTP 服务80端口绑定的站点相同。
检查端口绑定情况时,检查设置站点的 IP 地址、主机名的正确性。
1118
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
