内容发布更新时间 : 2024/9/20 5:31:07星期一 下面是文章的全部内容请认真阅读。
一、 实验目的
1.掌握使用OpenSSL生成数字证书的方法
2.掌握在Linux平台下使用Apache+OpenSSL组合实现网络安全通信 3.了解SSL的握手过程
二、 实验内容与步骤 证书的生成与颁发:
(1)利用OpenSSL为客户生成证书的总体流程 1.利用OpenSSL为CA创建一个RSA私钥;
2.利用CA的RSA私钥创建一个自签名的CA根证书; 3.生成服务器/客户端证书请求; 4.CA签发服务器/客户端证书;
5.将服务器/客户端证书及客户私钥包成pfx文件格式。
(2)利用OpenSSL为客户生成证书的基本流程的详细步骤 1.利用OpenSSL为CA创建一个RSA私钥。
2.创建自签名CA根证书
运行上面的命令后,接下来会要求输入一系列的证书请求信息 3.生成服务器证书请求
4.CA签发服务器证书
5.将服务器证书和私钥打包成pfx文件格式
6.CA签发客户端证书
7.配置并重启服务器ssl服务
修改SSL服务配置文件( vim /etc/httpd/conf.d/ssl.conf): 1.第112行,指定服务器证书位置:
SSLCertificateFile /opt/ExpNIS/HostSec-Lab/Tools/pki/server.crt 2.第119行,指定服务器证书key位置:
SSLCertificateKeyFile /opt/ExpNIS/HostSec-Lab/Tools/pki/server.key 3.第134行,去掉“#”,指定根证书位置:
SSLCACertificateFile /opt/ExpNIS/HostSec-Lab/Tools/pki/ca.crt 4.第141行,去掉“#”,要求对客户端进行验证: SSLVerifyClient require
5.第142行,去掉“#”,设定验证深度: SSLVerifyDepth 10
8.重新启动ssl服务及http服务
(1)退出网络信息安全实验平台,在控制台中输入命令reboot,重新启动系统。
(2)当系统重启运行至图18-2-2所示的画面时,要求输入服务器私钥文件密码,键入自己设定的服务器私钥文件密码,这里是“jlcsspkiser”,输入完成继续登录。
9.主机A将客户端证书提交给主机B
10.主机B导入客户端证书
SSL会话信息交互过程的分析:
(1)启动ssldump工具,监察会话内容
(2)根据会话内容,填写下面表格
消息 client hello ServerHello C>S S>C 方向 内容 客户端SSL版本号 随机值序列32位 会话ID32位 Certificate ServerKeyExchange CertificateRequest ServerHelloDone S>C S>C S>C S>C 服务器向客户端出示证书 服务器是否请求密钥交换 服务器请求客户端发送证书 客服双方握手过程中的hello消息交换阶段完成,服务器等待客户的响应
客户端向服务器出示证书 客户端是否请求密钥交换 客户端请服务器验证客户证书的正确性 客户端通知服务器后续报文将采用协商好的密钥和加密套件 Finished ChangeCipherSpec C>S S>C 客户端应用新协商的算法和密钥 服务器通知客户端后续报文将采用协商好的密钥和加密套件 Finished S>C 服务器应用新协商的算法和密钥 Certificate ClientKeyExchange CertificateVerify ChangeCipherSpec C>S C>S C>S C>S 握手过程完成,客户端与服务器开始传送应用层数据
三. 实验总结
通过以上学习,基本掌握了利用SSL实现安全数据传输。学习数字证书的申请、安装过程。SSL协议是目前应用最广泛的安全传输协议之一。通过在TCP之上建立一个安全通道,为应用数据的传输提供安全保障。本实验涉及到了数字证书的申请、安装过程,这些操作是我们在实现安全数据传输时经常用到的,是我们对利用SSL进行高级配置的前提,所以一定要熟练掌握,反复的练习,不要忽视对基础命令的理解