SSL证书交互过程抓包分析.doc

滁州学院课程设计报告课程名称： 网络安全与管理 设计题目： SSL证书交互过程抓包分析 系 别： 计算机科学与技系 专 业： 网络工程 组 别： 第八组 起止日期: 2011年5月30 日2011年 6月2日 指导教师: 谷胜伟 组长高山学号2008210814班级08级系别计算机科学与技术系专业网络工程组员李影 李伟 戚宏飞 张栓 徐义明指导教师谷胜伟课程设计目的通过SSL实现Client和Server交互并了解其交互过程课程设计所需环境VMware Workstation win2003 两台课程设计任务要求（1）为web浏览器生成相应证书，并安装。（2）部署一个要求https访问的web站点；并要求服务器和客户端在交互过程中均要提交证书。（3）环境部署完成后，使用Ethereal将Client和Server交互过程中的数据包保存下来，作为该课程设计的附件。（4）重点将交互过程体现到设计中课程设计工作进度计划序号起止日期工 作 内 容分工情况一、2011.05.30-2011.05.31选择课题，听取指导老师意见，明确设计要求与步奏共同听取老师意见与指导二、2011.05.31-2011.06.01根据要求制定设计计划于具体分工，划分部分块设计高山、李影负责服务器的配置及总体课程设计内容划分，其他人负责资料收集三、2011.06.01-2011.06.02完成各部分工作李伟、张栓、戚宏飞、徐义明负责环境的搭建，虚拟机的安装及系统文件的下载及安装工作，高山、李影负责服务器的配置四、2011.06.02-201106.03完成课程设计报告高山负责内容填写，李影负责报告排版，其他人负责打印上交工作指导教师签字： 年 月 日教研室审核意见：教研室主任签字： 年 月 日课程设计任务书目录1需求分析41.1服务器的配置介绍41.2课程设计内容42概要设计42.1虚拟机的安装和win2003.iso镜像的安装42.2服务器的配置53详细设计113.1证书的下载和安装114测试结果204.1客户端测试204.2 Ethereal抓包测试225分析包并说明交互过程236课程设计总结23参考文献23SSL证书交互过程抓包分析1需求分析1.1服务器的配置介绍在此实验室需要虚拟机和两台安装win2003的服务器，并且把其中的一台作为web服务器，并在web服务器上安装CA。另一台作为客户端，并且在客户端上安装为DNS服务器（作为解析网址）。1.2课程设计内容（1）为web浏览器生成相应证书，并安装。（2）部署一个要求https访问的web站点；并要求服务器和客户端在交互过程中均要提交证书。（3）环境部署完成后，使用Ethereal将Client和Server交互过程中的数据包保存下来，作为该课程 设计的附件。（4）重点将交互过程体现到设计中。2概要设计2.1虚拟机的安装和win2003.iso镜像的安装安装过程省略，最后得到界面，如图2-1图 2-1 界面其中SUSE Linux 作为web服务器和CA，win2003作为客户端和DNS服务器。2.2服务器的配置（1）首先在SUSE 中安装 web服务器和CA：点击控制面板，打开添加删除程序，选中添加或删除windows组件.在windows组件向导中选中应用程序服务器并且选中internet 信息服务和启用网络COM+访问（注：com+微软开发的一款分布式中间件，用来提供透明的分布式服务）.点击下一步完成安装。如图2-2图2-2（2）在开始菜单内选中配置您的服务器向导，如图2-3图2-3点击下一步并在服务器角色对话框中选中 应用程序服务器（IIS,ASP.NET）安装IIS。然后选择下一步。如图2-4图2-4 在点击下一步完成安装，然后在计算机管理里面可以在服务与应用程序一栏中看见 Internet信息服务管理器，如图2-5。如图2-5至此SUSE 的 IIS环境已经搭建完成。（3）Web服务器的搭建：在开始菜单内选中Internet 信息服务管理器打开本机收缩栏图2-6打开web服务扩展，选中扩展服务图2-7选中网站点击右键选择新建网站，在向导内完成网站域名的配置和ip地址的配置，最后输入网站目录的路径并完成网站的建立。图2-8（注：本课程设计中网站的域名为 ）（4）测试完成后在本机下测试网站的可用性，点击网站右击选中浏览。图2-8在另一台主机上测试：图2-9CA服务器 的搭建在控制面板中选中添加和删除程序选项，选中windows组件向导中选中证书服务图2-10在选择CA类型时，选择独立根，并为CA输入识别信息，最后选中证书安放路径，（建议不要放在同一个目录下，出于安全考虑）.最后完成CA的搭建。图2-11（注：客户端的DNS服务器配置省略）选中证书服务器的属性，在证书管理器限制条目中 选择限制证书管理员。并在策略模块的属性中选中 将证书请求状态设置挂起。管理员必须明确的颁发证书。3详细设计3.1证书的下载和安装Web服务器的证书下载和安装选中网站属性，在目录安全性下选中服务器证书，图3-1一直点击下一步，完成服务器的证书申请的颁发，并且把颁发的证书申请内容复制下来图3-2打开浏览器输入/certsrv/图3-3选择申请一个证书图3-4选择提交一个 高级证书申请图3-5选择使用base64编码的CMC或PKCS#10文件提交一个证书申请，并且把刚刚复制的证书申请文本内容粘贴到申请中图3-6点击提交打开证书颁发机构，查看挂起的证书申请文件夹图3-7选中申请的证书，右击所有任务，选择颁发.（如果要自动的办法证书，可在证书颁发机构的属性中修改）再次打开浏览器输入/certsrv/，选择查看挂起的证书申请状态图3-8点击保存的申请证书图3-9选择下载证书，并为证书选择一个路径，最后完整服务器证书的颁发安装服务器证书在次打开IIS管理器，选中网站的属性，打开目录安全性并且选择服务器证书图3-10点击下一步图3-11选择刚刚下载的证书的存放路径，点击下一步图3-12输入443（默认），点击下一步，最后完成证书的安装图3-13客户端的证书的申请和导入在客户端的浏览器中输入CA机器的证书地址图3-14选择申请一个证书图3-15客户端下此处选择证书类型为web浏览器证书图3-16输入相应的信息，点击提交图3-17在CA服务器上为此客户端的申请办法证书，再次输入CA证书服务器的地址下载证书图3-18点击安装此证书图3-19点击是完成客户端的证书的安装，完成后可以在浏览器的Internet选项中的内容中查看证书图3-204测试结果4.1客户端测试在测试之前要在网站的安全通信的规则中选择SSL并且接受客户端的证书图4-1在客户端上测试打开浏览器输入web服务器网站/图4-2此时不能访问web服务器，因为客户端没有启用安全的SSL通信模式所以访问被拒绝，但此没有涉及证书的提交过程（注：抓包数据见附件）输入网址/出现安全警报图4-3当选择SSL通信模式时通访问被允许选择确定图4-4此时服务器需要客户端出示安全的证书，如果不能提交安全的证书，访问将被拒绝图4-54.2 Ethereal抓包测试客户端在访问服务器的整个过程当没有用SSL安全通信所抓的包当然启用了SSL安全通道后抓包结果5分析包并说明交互过程从上图可以看出 客户机（）当没有启用SSL用http访问服务器（）而服务器用安全的https回应，在第十条中被禁止访问并断开连接。从第二十四条可以看出，客户机用安全的https来建立TCP连接，服务器也用https来回应，通过三次握手后TCP建立，从第三十一条可以看出，客户端通过TLS（SSL）访问服务器，服务器也用TLS（SSL）来回应来交换证书，当证书交换完成后，服务器和客户机通过https来交换数据。6课程设计总结十分感谢学校能给我们这次锻炼的机会，也感谢谷胜伟老师在实验中对我们的指导，通过此次SSL证书交互过程抓包分析的课程设计，真正达到了学与用的结合，增强了对计算机网络方面应用的理解，对自己今后参与网络维护积累了不少经验。在实验过程中，从设备选型到服务器配置分析，从需求分析到服务器详细配置，懂得了不少有关服务器安全配置的知识。总之，此次设计给我们提供了一个既动手又动脑、自学、独立实践的机会，使我们养成了勤翻阅各种相关资料的习惯，将书本上的理论知识和实际有机地结合起来，锻炼了实际分析问题和解决问题的能力，提高了适应实际、实践编程的能力，为今后的学习和实践打下了良好的基础。参考文献1(美)