2017-2018-1 20155308&20155321&20155330《信息安全技术》实验三——数字证书应用1

实验目的

了解PKI体系
了解用户进行证书申请和CA颁发证书过程
掌握认证服务的安装及配置方法
掌握使用数字证书配置安全站点的方法

实验过程

首先确认三台机器互相连通

在终端上输入ipconfig查看自己的电脑ip地址。然后互相ping IP地址，看是否能连通。ping xxx

无认证（服务器和客户端均不需要身份认证）

通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。通过wireshark捕获WEB通信查看。

单向认证（仅服务器需要身份认证）

安装IIS
CA（主机A）安装证书服务
安装Windows组件中的“证书服务”。
在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。

服务器（主机B）证书申请

提交服务器证书申请
通过Web服务向CA申请证书
CA为服务器颁发证书

服务器（主机B）安装证书

服务器下载、安装由CA颁发的证书。

证书信息描述：无法将这个证书验证到一个受信任的证书颁发机构

颁发者： user8A

查看CA的根证书，查看其是否存在：否

服务器下载、安装CA根证书
再次查看服务器证书，回答下列问题：

证书信息描述：这个证书的目的如下保证远程计算机身份

颁发者：user8A

查看CA的根证书，查看其是否存在：是

Web通信
客户端重启IE浏览器，在地址栏输入http://服务器IP/并确认，此时访问的Web页面出现如图所示信息。

3．双向认证（服务器和客户端均需身份认证）

服务器要求客户端身份认证
客户端访问服务器
客户端（主机C）证书申请
客户端查看颁发证书
客户端再次通过https访问服务器

思考题

如果用户将根证书删除，用户证书是否还会被信任？
根证书是整个证书体系安全的根本，若根证书不再可信，那么所有被根证书信任的证书也都不被信任了。

所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。

对比两次协议分析器捕获的会话有什么差异？

在无认证模式下，服务器与客户端的Web通信过程是以明文实现的。而在认证模式下，通信内容是以密文实现的。

总结

本次实验是关于数字证书应用的依次实验，主要考察了我们对CA的建立，以及客户端、服务器对证书的申请以及使用。在实验过程中，我们整体来说比较顺利。通过实验之前对实验指导的学习，以及实验中的动手，让我们更好的了解了这次实验的内容，并且更好地掌握了关于证书方面的问题。