IIS与SSL与TLS.docx

IIS安装与SSL协议分析 雍有敏 于IIS上添加SSL协议的方法： 申请证书：本次使用了ZXCA 《自信》数字证书工具v1.6.5来生成数字证书，省去了申请的过程。 安装证书： 于服务器证书中添加。 3.于网站中更改SSL设置 刷新后生效。 客户端登陆截图： SSL协议分析： SSL安全加密的实现手段主要是依靠数字证书。其实现机制是：当用户和web服务器建立连接后，服务器会把数字证书与公用密钥一同发送给客户端；客户端收到后会生成会话密钥 ，并用公用密钥进行加密，然后传递给服务器；服务器端用私人密钥进行解密。这样，客户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIs服务器进行通信。具体过程如下。 (1)Client Hello：客户端将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息(加密算法和能支持的密钥大小)发送服务器。 (2)Server Hello：服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给客户端。 (3)Certificate(可选)：服务器发一个证书或一个证书链到客户端，证书链开始于服务器公共钥匙并结束于证明权威的根证书。该证书用于向客户端确认服务器的身份，该消息是可选的。如果配置服务器的SSL需要验证服务器的身份，会发送该消息。多数电子商务应用都需要服务器端作身份验证。 (4)Certificate Request(可选)：如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。多数电子商务不需要客户端身份验证，不过，在支付过程中经常需要客户端身份验证。 (5)Server Key Exchange(可选)：如果服务器发送的公共密钥对加密密钥的交换不是很合适，则发送一个服务器密钥交换消息。 (6)ServerHelloDone：通知客户端，服务器已经完成了交流 过程的初始化。 (7)Certificate(可选)：客户端发送客户端证书给服务器。仅当服务器请求客户端身份验证的时候会发送客户端证书。 (8)Client Key Exchange：客户端产生—个会话密钥与服务器共享。在SSL握手协议完成后，客户端与服务器端通信信息的加密就会使用该会话密钥。如果使用RSA加密算法，客户端将使用服务器的公钥将会话密钥之后再发送给服务器。服务器使用自己的私钥对接收的消息进行解密得到共享的会话密钥。 (9)Ce~ificate Verify：如果服务器请求验证客户端，则这消息允许服务器完成验证过程。Change cipher spec：客户端要求服务器在后续的通信中使用加密模式。 Finished：客户端告诉服务器已经准备好安全通信了。 Change cipher spec：服务器要求客户端在后续的通信中使用加密模式。 Finished：服务器告诉客户端它已经准备好安全通信了。SSL握手完成的标志。 Encrypted Data：客户端和服务端在安全信道上进行加密信息的交流。 在无SSL加密下利用EthereaI进行分析 在捕捉到的数据集中，按照时间排序后发现，本地IE浏览 器和服务器端首先进行了TCP 次握手和一些数据交换，然后 直接将用户名和密码以明文的形式进行传输。可见，这种没有经过加密的明文HTTP传输是非常不安全的。 在有SSL加密下利用Ethereal进行分析 在捕捉到的数据集中，按照时间排序后发现，本地IE浏览 器和服务器端首先进行了TCP三次握手和一些数据交换，然后 进行了SSL中交换hello包和密钥的传输操作。在这种情况下， 我们抓取的全部是密文传输数据，如果没有密钥将无法解密。 与之前的无SSL配置站点相比，这大大提高了用户名和密码传 输的安全性。