網(wǎng)絡(luò)安全與管理實(shí)驗(yàn)參考

SSL實(shí)踐《網(wǎng)絡(luò)安全與管理實(shí)驗(yàn)參考》一、實(shí)驗(yàn)要求在Windows2000/XP上建立支持SSL的Web服務(wù)器客戶端使用瀏覽器能與該服務(wù)器使用SSL協(xié)議通信使用OPENVPN建立自己的CA并生成X.509證書二、SSL簡介HTTP是個(gè)純文本協(xié)議，任何想要偵聽網(wǎng)絡(luò)的人都能夠讀取整個(gè)會(huì)話安全套接字層(SecureSocketsLayer，SSL)，它會(huì)加密客戶和服務(wù)器之間發(fā)送的所有數(shù)據(jù)基于數(shù)字證書的SSL，對(duì)在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密同時(shí)可以保證數(shù)據(jù)的完整性和可信性SSL簡介（續(xù)）從OSI七層模型來看，該協(xié)議處于應(yīng)用層和傳輸層之間，依賴于面向連接的可靠的傳輸協(xié)議（如：TCP等）三、實(shí)驗(yàn)環(huán)境硬件環(huán)境：IntelCeleron(R)1.70GHz處理器，256MB內(nèi)存，10/100兆自適應(yīng)網(wǎng)卡軟件環(huán)境：Windows2000/XP使用軟件：ApacheFriends1.4.13，OpenVPN-2.0.7,IE瀏覽器本次實(shí)驗(yàn)中，是在WindowsXP下ApacheFriends＋OpenVPN的實(shí)驗(yàn)環(huán)境下完成的。ApacheFriends1.4.13下載地址：6/pub/xampp-win32-1.4.13.exeOrftp://stduent:ctec@70/teacher/open_platform/apache/Windows/apache_1_3_14_win32_r2.exexampp-win32-1.4.13.exeOpenVPN2.0.7下載地址：6/pub/openvpn-2.0.7-install.exeOrftp://student:ctec@70/teacher/Network/security/openvpn-2.0.9-install.exeApacheFreinds安裝注意事項(xiàng)ApacheFriends必須安裝任意盤符的根目錄下，例如d:\xamppApache+MySQL啟動(dòng)作業(yè)為d:\xampp\xampp_start.bat服務(wù)器測(cè)試地址：http://localhost或ApacheFriends目錄ApacheFriends啟動(dòng)成功Q&A:我的AF為何何不啟動(dòng)動(dòng)?檢查原因因：在dos下下，鍵入入d:\xampp\xampp_start.bat常見原因因：C:\>netstat––nb檢檢查端口口占用80端口口被占用用（使用用控制面面板-服服務(wù)，關(guān)關(guān)閉IIS）配置文件件修改有有誤，改改正錯(cuò)誤誤Q&A:我發(fā)的的中文網(wǎng)網(wǎng)頁見亂亂碼？請(qǐng)修改C:\xampp\apache\conf\httpd.conf將：AddDefaultCharSet=ISO-1024改為：AddDefaultCharSet=GB2312ApacheFriends（HTTP測(cè)試））檢查Apachefriends的的端口四、安裝OpenVPN這是一個(gè)虛虛擬專網(wǎng)工工具，能在在windows或或linux,BSD下制制作CA根根、服務(wù)器器、客戶端端證書。四、安裝OpenVPN(續(xù)續(xù))四、安裝OpenVPN(續(xù)續(xù))安裝完畢后后，開始-程序-附附件-命令令提示符，，進(jìn)到openvpn的easy-rsa目錄錄，比如：：C:\ProgramFiles\OpenVPN\easy-rsa，輸入:init-configvarsclean-all四、安裝OpenVPN(續(xù)續(xù))五、建立CA證書進(jìn)入目錄./openvpn-2.0.7/easy-rsa，，編輯vars文件件修改參數(shù)數(shù)如下：setKEY_COUNTRY=CNsetKEY_PROVINCE=ShaanxisetKEY_CITY=XiansetKEY_ORG=CTEC@XJTUsetKEY_EMAIL=ctec@五、建立CA證書（（續(xù)）五、建立CA證書（（續(xù)）建立CA證證書（續(xù)））在工作目錄錄下，(DOS)輸輸入：varsbuild-ca一般在制作作證書的過過程中會(huì)要要求輸入如如下內(nèi)容：：CountryName(2letter

code)[CN]:State

orProvince

Name

(fullname)

[Shaanxi]:LocalityName

(eg,

city)[Xi’’an]:OrganizationName

(eg,

company)[XJTU]:Organizational

UnitName(eg,

section)

[CTEC]:Common

Name(eg,your

name

or

your

server'shostname)

[CTEC@XJTU]:Email

Address

[ctec@]:CA根證書書制作完成成！在keys目錄錄下就會(huì)產(chǎn)產(chǎn)生CA根根證書ca.crt和CA的的私鑰是ca.key建立CA證證書（續(xù)））CA證書和和私鑰六、制作服服務(wù)器證書書在工作目錄錄下，輸入入：build-key-server

myapache注意：這時(shí)時(shí)CommonName(e.g.cxq

or

CTEC)[]:可以以輸入服務(wù)務(wù)器的域名名或IP，，比如12，與httpd.conf和ssl.conf里的設(shè)設(shè)置對(duì)應(yīng)服務(wù)器證書書制作完成成。在keys目錄錄下就會(huì)產(chǎn)產(chǎn)生server.crt（（證書）和和server.key（私私鑰）制作服務(wù)器器證書過程程（一）制作服務(wù)器器證書過程程（二）服務(wù)器證書書和私鑰七、服務(wù)器器安裝證書書將服務(wù)器的的證書和公公鑰放置到到位Apache的配配置文件修改配置文文件把httpd.conf和ssl.conf中中將ServerName后后面改為‘‘ServerName’為為主機(jī)IP地址(如如：12)ssl.conf中中的改動(dòng)的的其他配置置如下：SSLMutexdefaultSSLCertificateFile"/xampp/apache/conf/ssl.crt/myapache.crt"SSLCertificateKeyFile"/xampp/apache/conf/ssl.key/myapache.key"SSLCertificateChainFile"/xampp/apache/conf/ssl.crt/ca.crt"SSLCACertificateFile"/xampp/apache/conf/ssl.crt/ca.crt"DocumentRoot"/xampp/htdocs"測(cè)試服務(wù)器證證書之后以/xampp/xampp_restart.bat命令重新新啟動(dòng)apache服服務(wù)器，此時(shí)時(shí)apache服務(wù)器已已經(jīng)支持與SSL相關(guān)的的服務(wù)器證書書建議在DOS下啟動(dòng)xampp_start.bat,以以便及時(shí)觀觀察服務(wù)器出出錯(cuò)信息，并并對(duì)配置文件件進(jìn)行調(diào)整在瀏覽器輸入入,并觀察證書書使用和安裝裝測(cè)試服務(wù)器證證書（續(xù)）測(cè)試服務(wù)器證證書（續(xù)）將服務(wù)器證書書存入瀏覽器器安裝服務(wù)器證證書到本地瀏瀏覽器目錄中中測(cè)試服務(wù)器證證書（續(xù)）服務(wù)器證書存存入瀏覽器（（續(xù)）通過瀏覽器的的“Internet選選項(xiàng)-證書-其他人”可可以檢查保存存在瀏覽器上上的服務(wù)器證證書測(cè)試服務(wù)器證證書（完）保存完畢服務(wù)務(wù)器證書后，，再次訪問該該SSL網(wǎng)頁頁時(shí)，不會(huì)再再出現(xiàn)警告信信息。八、制作客戶戶端證書在工作目錄下下，輸入：varsbuild-keyie客戶端證書制制作完成。在在keys目目錄下就會(huì)產(chǎn)產(chǎn)生ie.crt（客戶戶端證書）和和ie.key（私鑰））但是crt的的客戶端證書書是不能使用用的,必須把把它轉(zhuǎn)化為.pfx格式式的文件在命令提示符符下,輸入：：openssl回回車，看到openssl>對(duì)話話框，輸入下下列指令：客戶端證書制制作過程（一一）客戶端證書制制作過程（二二）客戶端證書制制作過程（三三）pkcs12-export-inkeys/ie.crt-inkeykeys/ie.key-outkeys/ie.pfxEnterexport

password:要求你建建立客戶端證證書的輸出密密碼verifying-Enterexport

password：再確認(rèn)一一遍在keys目目錄下就會(huì)產(chǎn)產(chǎn)生ie.pfx（客戶戶端證書）客戶端證書制制作過程（四四）客戶端證書九、客戶端證證書安裝打開internetexplorer(IE)，工具具-internet選選項(xiàng)-內(nèi)容-證書，點(diǎn)選選‘個(gè)人’，，再點(diǎn)擊導(dǎo)導(dǎo)入,把客戶戶端證書ie.pfx導(dǎo)導(dǎo)入到個(gè)人組組里(別忘了了擴(kuò)展名是pfx)這里還要輸入入剛才建立的的輸出密碼接著，點(diǎn)選'受信任的根根證書頒發(fā)機(jī)機(jī)構(gòu)'，點(diǎn)擊擊導(dǎo)入，把CA根證書ca.crt導(dǎo)入到受信信任的根證書書頒發(fā)機(jī)構(gòu)里里客戶端證書安安裝安裝安裝到瀏覽器器受信任的根證證書安裝位置置根證書安裝警警告根證書安裝到到瀏覽器十、進(jìn)行測(cè)試試在地址欄里輸輸入http//或者IP地址，彈出出個(gè)窗口要選選擇個(gè)人的數(shù)數(shù)字證書如果服務(wù)器證證書的commonname填寫寫正確的話，，就可以直接接進(jìn)入網(wǎng)站了了，看到右下下角的小鎖頭頭（可靠的SSL128位）測(cè)試畫面（一一）測(cè)試畫面