实验一典型安全通信协议的配置使用(IIS).docVIP

课程名称 实验二：典型安全通信协议的配置使用(IIS) 实 验 报 告 目录 一． 实验名称 1 二． 实验目标 1 三． 实验内容 1 四． 实验步骤 1 五． 实验遇到的问题及其解决方法 13 六． 实验结论 13 实验名称 实验二：典型安全通信协议的配置使用(IIS) 实验目标 通过网络层安全通信协议和传输层通信协议的配置，理解网络安全的层次概念。 三．实验内容 结合IIS的配置了解SSL协议的使用。 SSL协议的使用过程： 两者先各自向Boss申请证书，在每次进行通信时，先有客户端与服务器端商定一个 session Key ，然后以此session key进行会话，（当然是以证书为基准的） 1.SSL握手协议：通过截包软件Wireshark，可以截获通信数据包中，client hello的https数据包。 2.更改密码规格协议:过了一段时间后，需要商定一个新的session key？ 3.SSL报警协议：即通过安全证书，SSL协议通信时，用户会得到安全通信协议的通知。 4.SSL记录协议：即记录整个加密传输过程，以便另一端解密使用 四．实验步骤 在Windows Server 2003中单击“开始——管理工具——IIS管理器”，右键单击“网站——新建——网站”，新建Web站点作为测试用Web网站（填写相关信息，并用另一块网卡98作为Web服务的IP地址） 现在给我们刚刚建立的网站颁发证书：在WebSrv上单击右键选择“属性——目录安全性——服务器证书”，选择新建证书，并导出证书申请txt到桌面，如下图 打开IE访问“97/certsrv”，点击“申请证书——高级证书申请”，将刚才txt文档中的内容复制到框内（见下图），点击提交； 在“开始——管理工具——证书颁发机构”选中“挂起的申请”，选中刚刚提交的申请右键单击，选择“颁发”； 打开浏览器，再次访问97/certsrv，选择“查看挂起的证书申请的状态”，可以看到刚才申请的证书已颁发，将证书下载到桌面； 再次回到我们的Web站点的“属性——目录的安全性——服务器证书”，将刚才保存到桌面的证书导入至Web站点中，并选择SSL的监听端口为默认的443； 下面启动另一台虚拟机Windows XP（与以上的Windows Server 2003在同一网段，IP为00），访问“97/certsrv”，点击“申请证书——Web浏览器证书”，填写相关信息并申请后后，回到Server端的证书颁发机构颁发证书，再回到XP中访问“97/certsrv”点击“查看挂起的证书申请的状态”，可看到刚才申请的证书，单击将其安装到IE浏览器中； 现在客户端和Web服务器端都有证书了，下面用Wireshark监听分析数据包测试在开启SSL服务和未开启状态下的数据包的不同，首先测试未开启SSL时，在Windows XP下打开Wireshark并使用IE访问98，可以看到成功访问到我们预设的内容“It works!”，Wirkshark截包如下，可以看到在未经SSL层加密的状态下轻易捕获并分析出上层http传输的信息“It works！”，信息是完全暴露的； 现在回到“IIS管理器”，单击“目录安全性——编辑”，选择“要求安全通道（SSL）”并勾选“要求128位加密”，选择“要求客户端证书”，点击确定更新修改； 现在再回到Windows XP下使用IE访问98，可以看到这次访问并不成功，“该页面必须通过安全通道查看”；再次打开Wireshark并使用IE访问98，这是提示我们要求出示证书，选择刚才申请的证书并单击“是”，可以看到成功访问到了“It works!”页面；再回到Wireshark界面查看截包，可以看到这次的访问多出了不少协议格式为SSLv2/3的包，并且没有出现http层解析出来的html包，可以看到经SSL加密后我们无法再截获应用层交换的实际内容（因为经过了SSL层的加密）； 五．实验遇到的问题及其解决方法 问题：在创建测试Web站点时，将“目录安全性”中的“身份验证和访问控制”中的对匿名用户的用户名和密码进行了更改为本地管理员，这致使在其它配置正确的情况下网页仍无法访问； 解决办法：简单重建网站；注意这里的用户名和密码不能更改为本地的用户，因为在Windows的安全策略中不允许网络访问能够使用本地用户甚至管理员权限来访问服务器（因为权限太大会带来安全隐患）。 问题：初始网络连接为NAT模式，致使两台虚拟机无法Ping通； 解决办法：将两台虚拟机上的网卡统一改为桥接模式。 实验结论 通过观看视频以及自己动手实践