实验一：配置数字证书实现Web安全通信

2， 双击展开“个人”*“证书”项，现在你应该可以在右窗格中看到刚才安装的服务器证书。 3， 展开“受信任的根证书颁发机构”，右击“证书”项，选择“所有任务”*“导入”，导入你 保存到 D 盘上的 CA 根证书（默认情况下这是一个*.cer 的文件），导入完成后你应该检 查 CA 根证书是否已在此证书区域存在。
此时可以看到正确页面
2、填写相关信息并提交后点击“安装证书”
三、 将根证书和证书链添加到客户端：
1、登陆 CA（CA 的 IP 地址/certsrv），选择“下载一个 CA 证书，证书链或 CRL”，然 后在页面中选择“下载 CA 证书”，将证书保存在 D 盘，然后选择“CA 证书链”，将证书 链保存在 D 盘。
2、在“运行”中输入 mmc，在“文件”中点击“添加/删除管理单元”,在相应的对话框 中 点 击 “ 添 加 ”， 选 择 “ 证 书 ” 管 理 插 件 ， 并 选 择 “ 计 算 机 帐 户 ” 和 “ 本 地 计 算 机 ” 项 。
4， 然后再右击“中级证书颁发机构”下的“证书”项，导入保存在 D 盘上的 CA 证书链 （certnew.p7b），导入完成后同样要检查证书是否已在此区域存在。
3． 登陆。此时再以 http://127.0.0.1 的形式访问站点时，网页提示“必须通过安全频道 查看”，如下图所示。
以 https:/127.0.0.1/的形式登录后，弹出系统提示窗口，如下图，点击确定继续。 接下来弹出窗口显示目前用户所拥有的有效的客户端验证证书，如下图所示， 选择相应证书，点击确定继续。
2.9 在 SSL Web Site 属性窗口中，点击 Web 站点属性页，在 SSL 端口中填写 443。至此整个安装配置过程到此结束，你已经建立配置了一个 SSL 加密站点，用 户在登录该站点时必须出示客户端验证证书。

网络安全与管理实验报告实验名称：配置GREVPN实现通信学院：计算机学院专业班级：计算机科学与技术四班学号：姓名：指导教师：完成日期： 2017年 3月 31日实验一配置数字证书实现Web安全通信实验目的：利用虚拟机上运行的几个操作系统来配置数字证书来实现web安全通信。

实验步骤：一．创建web服务器，创建一个网站。

首先，选择角色，新建。

Web服务器搭建完成，然后创建一个网站，节省创建网页的时间，我在客户机上直接打开搜狐的主页然后保存在本地。

添加为默认文档，可以看到webserver默认站点已经将搜狐的网页设置为首页。

二．安装证书服务和DNS服务。

安装证书服务：安装DNS服务：创建证书申请：点击“WebServer“，点击”服务器证书“。

点击创建证书申请三．访问证书颁发机构的网站，申请证书（高级申请）打开IE浏览器，输入证书颁发机构的网站http://192.168.79.130/certsrv，在打开的页面中点击申请证书。

打开保存的web服务器证书申请记事本，选择所有的内容复制添加到保存的申请中。

四．颁发证书。

在CA服务器上，以管理员身份登录，进入证书颁发。

五．下载证书。

在服务器上下载web证书，并配置网站使用证书。

六．在IIS里安装证书。

添加端口绑定。

打开DefaultWebSite可以看到该网站有两种访问方式http和https七．信任根证书颁发机构。

在客户机上下载证书安装证书:八．测试。

在客户计算机上，更改本地连接TCP/IP属性，将首选的DNS配置使用dns服务器，打开命令行界面，ping 发现能够解析到WebServer服务器的IP地址。

在次打开IE浏览器，使用https://访问，能够正常访问实验总结：这节课程，学会了DNS的配置，web服务器的搭建，基本掌握了配置数字证书实现web安全通信。

学习数字证书的申请、安装过程。

利用数字证书建立一个安全通信，为应用安全站点提供安全保障。

web安全简明实验教程Web安全实验教程实验一：Web安全实践实验步骤1：准备阶段确保已安装好所需的工具，如CA（Certificate Authority）证书和浏览器等。

步骤2：CA给浏览器厂商发公钥确保CA证书已经安装在浏览器中。

步骤3：阿里把公钥给CA，CA用自己的私钥加密阿里的公钥，返回给阿里使用阿里提供的公钥和CA的私钥进行加密，并将加密后的信息返回给阿里。

步骤4：用户用浏览器访问阿里的网站，阿里把用CA的私钥加密过的自己的公钥给用户用户在浏览器中输入阿里的网址，访问阿里的网站。

阿里将用CA的私钥加密过的公钥发送给用户。

步骤5：用户用浏览器中的CA公钥解密阿里公钥，正确配对则信任访问的网站用户在浏览器中使用CA的公钥对阿里公钥进行解密，如果解密成功且信息正确，则表示用户信任该网站。

实验二：Fiddler修改HTTP请求步骤1：打开Fiddler软件，并确保已经捕获到所需的HTTP请求。

步骤2：在菜单栏中单击“Rules”＞“Automatic Breakpoint”＞“Disable”，以禁用自动断点。

步骤3：在Fiddler界面中，找到并选中需要修改的HTTP请求。

步骤4：在右侧的“Inspectors”面板中，选择“Raw”选项卡，以查看请求的原始内容。

步骤5：根据需要对HTTP请求进行修改，如修改请求头、请求体或URL 等。

步骤6：修改完成后，重新发送请求以查看效果。

实验三：Fiddler修改HTTP响应——修改网页标题步骤1：打开Fiddler软件，并确保已经捕获到所需的HTTP响应。

步骤2：在Fiddler界面中，找到并选中需要修改的HTTP响应。

步骤3：在右侧的“Inspectors”面板中，选择“Raw”选项卡，以查看响应的原始内容。

步骤4：根据需要修改响应的内容，如网页标题、正文内容等。

步骤5：修改完成后，重新发送响应以查看效果。

如所示。
提交
按钮，完成证书申请，
13.证书服务器为客户计算机颁发证书
14.客户计算机下载WEB证书
14.客户计算机下载WEB证书
（1）在证书服务器上查看申请的证书状态
14.客户计算机下载WEB证书
（2）选择“web浏览器证书…”，打开如所示的网页。
14.客户计算机下载WEB证书
（4）输入证书名称，设置密码长度，单击
下一步
按钮，打

开“单位信息”窗口，如所示。
4. WEB服务器产生SSL证书申请文件名
（5）输入单位信息，单击
称”窗口，如所示。
下一步
按钮，打开“站点公用名
4. WEB服务器产生SSL证书申请文件名
（6）输入公用名称，单击

窗口，如所示。
下一步
按钮，打开“地理信息”
（4）单击“使用base64编码…”链接，打开“提交一个
证书申请或续订申请”网页，找到前面保存的证书申请 文件“certreq.txt”，将文件内容全部复制到文本框中 ，如所示。
5.向证书服务器提交证书申请
（5）单击
按钮，完成证书的申请，如所示， 证书被挂起等待审批。
提交 下一步
6.证书服务器颁发证书
”标签，单击 如所示。
编辑
按钮，在打开窗口中选择
，
10.测试HTTPS
10.测试HTTPS
（1）使用HTTP方式访问站点，结果如所示。
10.测试HTTPS
（2）使用HTTPS方式访问站点，结果如所示。
11. IIS服务器端设置“要求客户端证书”
11. IIS服务器端设置“要求客户端证书”
实训拓扑
实训设备

一、实训名称：使用SSL确保Web服务器通信安全二、实训目的：1、使用SSL加强网络安全，使客户机在服务器端做验证，即Web服务器上配置SSL。

三、实训设备与材料：准备一台Win2003和一台XP四、实训内容与步骤：4.1、W eb服务器上配置SSL1、安装CA证书服务。

打开【添加新组件】，勾选【证书服务】，点击【下一步】。

因为是第一次安装CA证书服务，所以选择【独立根】，点击【下一步】。

在【此CA的公用名称】处输入CA服务的名称，点击【下一步】，直至结束。

2、申请证书（CSR）打开IIS，选中【默认站点】并打开属性对话框，点击【目录安全性】选项卡。

点击【服务器证书】，选择【新建证书】。

为新证书命名，这里输入My SSL Web。

点击【下一步】，输入证书中显示的单位和部门信息（这些信息会出现在证书中。

）点击【下一步】，输入CA 服务的公用名称。

如果服务器位于公网上，用有效的DNS。

如果服务器位于局域网内，使用NetBIOS名。

点击【下一步】继续填写证书相关信息。

点击【下一步】选择新证书申请材料的存放地。

这里选择C盘。

点击【下一步】直至完成，这样就生产了一个证书请求。

3、提交证书申请4、颁发证书打开【管理工具|证书颁发机构】。

定位【挂起的申请】，选中刚创建的申请，然后颁发证书。

5、在Web服务器上安装证书打开CA的主页面，点击【查看挂起的证书申请的状态】。

点击【下载证书】，然后将证书保存在桌面上，双击可查看。

进入IIS，选中默认网站，定位【目录安全性】选项卡，点击【服务器证书】。

选择【处理挂起的请求并安装证书】。

点击【下一步】，选择刚下载的证书的路径。

点击【下一步】，直至完成。

6、将资源配置为要求SSL访问。

仍打开默认网站属性对话框，点击【目录安全性】选项卡。

定位到【安全通信】，点击【编辑】勾选【要求安全通道】，确定即可。

数字证书实验报告数字证书实验报告引言随着互联网的快速发展，我们的生活越来越离不开网络。

然而，网络安全问题也日益突出。

为了保障网络通信的安全性和可信度，数字证书应运而生。

本文将对数字证书进行实验研究，探讨其原理、应用以及存在的问题。

一、数字证书的原理和作用数字证书是一种用于证明公钥的合法性和身份的电子文件。

它由数字签名机构（Certificate Authority，简称CA）颁发，具有以下几个重要的作用：1. 身份验证：数字证书能够验证通信双方的身份，确保通信的安全性。

通过数字证书，我们可以确认对方是否真实可信，避免遭受网络攻击。

2. 数据完整性：数字证书使用数字签名技术，能够确保数据在传输过程中不被篡改。

接收方可以通过验证数字签名，判断数据是否被篡改。

3. 加密通信：数字证书可以用于建立安全的加密通信通道，保护数据的机密性。

通信双方可以通过数字证书交换密钥，并利用密钥进行加密和解密操作。

二、数字证书的实验过程和结果在本次实验中，我们使用了OpenSSL工具来生成和验证数字证书。

具体步骤如下：1. 生成私钥：首先，我们使用OpenSSL生成一个私钥文件，该文件用于生成数字证书的签名。

2. 生成证书请求：接下来，我们使用私钥生成一个证书请求文件，并填写相关的证书信息，如组织名称、域名等。

3. 向CA申请证书：我们将证书请求文件发送给CA，申请数字证书。

CA会对我们的身份进行验证，并签发相应的数字证书。

4. 安装数字证书：一旦我们收到CA签发的数字证书，我们就可以将其安装到服务器或客户端上，以便进行安全通信。

通过实验，我们成功生成了数字证书，并成功安装到服务器上。

在安全通信过程中，我们验证了数字证书的有效性，确保通信的安全性和可信度。

三、数字证书存在的问题和挑战尽管数字证书在保障网络通信安全方面发挥着重要作用，但仍然存在一些问题和挑战：1. CA的可信度：数字证书的可信度依赖于签发机构（CA）的可信度。

《网络应用服务管理》形考任务-实训5：配置数字证书服务实训5：配置数字证书服务实训环境1．一台Windows Server 2016 DC，主机名为DC。

•2．一台Windows Server 2016服务器并加入域，主机名为Server1。

•3．一台Windows 10客户端并加入域，主机名为Win10。

•实训操作假设你是一家公司的网站管理员，需要你完成以下工作：•1．在DC上部署企业根CA。

打开“服务器管理器”，单击“添加角色和功能”，打开“添加角色和功能向导”窗口。

逐步单击“下一步”，在“服务器角色”界面中，勾选“Active Directory证书服务”复选框，然后单击“下一步”。

在“AD CS角色服务”界面中，勾选“证书颁发机构”和“证书颁发机构Web注册”复选框，然后单击“下一步”。

其中“证书颁发机构Web注册”角色，可以实现通过浏览器向CA举行证书申请的网站功能。

4．最后在“确认”界面中，单击“安装”，开始安装证书服务。

完成安装后，单击“配置方针服务器上的Active Directory证书服务”。

在“ADCS配置”向导中的“角色服务”界面，勾选“证书颁发机构”和“证书颁发机构Web注册”。

在“AD CS配置”向导中的“设置类型”界面，选择“企业CA”。

在“AD CS配置”向导中的“CA类型”界面，选择“根CA”。

全部保持默认设置并单击“下一步”，最后单击“配置”按钮，完成证书服务的配置“证书服务”安装完成后，可以在“服务器管理器”的“工具”菜单中，打开“证书颁发机构”管理工具进行查看。

当域内的用户向企业根CA申请证书时，企业根CA 会通过ActiveDirectory得知用户的相关息，并自动核准、发放用户所要求的证书。

企业根CA默许的证书品种很多，而且是根据“证书模板”来发放证书的。

例如，图中右方的“用户”模板内提供了能够用于将文件加密的证书、保护电子邮件平安的证书与考证客户端身份的证书。

4.任务实施方法与技巧（可截图附后说明）
注：将操作中的关键步骤及要点加以说明，可把关键的点截图加以说明，特别是本任务中的关键操作过程……
心
得
体
会
与
经
验
总
结
很多规范的企业要求员工撰写每天的工作总结或每周的工作报告，通过本报告的撰写，让学生掌握报告撰写的能力。
教
师
评
语
任务名称
实训任务3利用数字证书保护通信
所属专业
班级
撰写人
学号
合作者
地点
学期
完成时间
XXXX年XX月XX日星期X
技
术
要
点
记
录
1.工具软件使用
基于虚拟机配置WIN2003CA服务，可以强化对PKI技术理解
2.知识பைடு நூலகம்原理重难点
非对称加密与数字证书……
3.如何设计与规划任务
利用数字证书实施安全的HTTPS通信……

第1篇一、实验目的本次实验旨在让学生深入了解网络安全通信的基本原理，掌握安全通信技术在实际应用中的配置与使用方法，提高学生对网络安全防护的认识和实际操作能力。

通过本次实验，学生应能够：1. 理解安全通信的基本概念和原理。

2. 掌握SSL/TLS等安全通信协议的使用方法。

3. 学会使用VPN技术实现远程安全访问。

4. 了解防火墙和入侵检测系统在安全通信中的作用。

5. 能够对安全通信系统进行配置和调试。

二、实验环境1. 操作系统：Windows 102. 网络设备：路由器、交换机、防火墙3. 软件工具：SSL/TLS客户端、VPN客户端、防火墙管理软件、入侵检测系统4. 实验拓扑：根据实验需求设计相应的网络拓扑结构。

三、实验内容1. SSL/TLS通信协议（1）实验目的：掌握SSL/TLS协议的基本原理，了解其在安全通信中的作用。

（2）实验步骤：① 在客户端和服务器端分别安装SSL/TLS客户端和服务器软件。

② 配置SSL/TLS证书，确保通信双方能够验证对方的身份。

③ 在客户端和服务器端进行通信，观察通信过程中的加密和解密过程。

④ 检查通信过程中的数据传输是否安全可靠。

2. VPN技术（1）实验目的：了解VPN技术的基本原理，掌握VPN的配置和使用方法。

（2）实验步骤：① 在客户端和服务器端分别安装VPN客户端和服务器软件。

② 配置VPN服务器，包括IP地址、子网掩码、VPN用户等。

③ 在客户端配置VPN连接，包括服务器地址、用户名、密码等。

④ 通过VPN连接进行远程访问，测试连接的稳定性和安全性。

3. 防火墙（1）实验目的：了解防火墙的基本原理，掌握防火墙的配置和使用方法。

（2）实验步骤：① 安装防火墙软件，并配置防火墙规则。

② 检查防火墙规则对网络流量的控制效果。

③ 对防火墙规则进行优化，提高网络安全性。

4. 入侵检测系统（1）实验目的：了解入侵检测系统的基本原理，掌握入侵检测系统的配置和使用方法。

数字证书实验报告数字证书实验报告一、引言数字证书是一种用于验证和保护信息安全的技术手段，广泛应用于网络通信、电子商务等领域。

本实验旨在通过实际操作和观察，深入了解数字证书的原理、功能以及应用。

二、实验准备1. 实验环境：使用一台安装有操作系统的计算机。

2. 实验材料：数字证书生成工具、浏览器。

三、实验过程1. 生成数字证书在实验环境中，我们首先使用数字证书生成工具生成一个自签名的数字证书。

通过填写相关信息，生成证书的私钥和公钥，并将其保存在计算机中。

2. 安装数字证书接下来，我们将生成的数字证书安装到计算机的证书存储区中。

这样，计算机就能够识别和验证该数字证书。

3. 测试数字证书在浏览器中，我们尝试访问使用该数字证书保护的网站。

浏览器会自动检测并加载该数字证书，验证网站的真实性和完整性。

如果数字证书有效，浏览器将显示安全连接的标志，否则会给出警告提示。

四、实验结果通过实验，我们观察到以下现象和结果：1. 数字证书有效性验证：浏览器能够正确加载和验证数字证书，判断网站的真实性和完整性。

2. 安全连接标志：当数字证书有效时，浏览器会显示安全连接的标志，用户可以放心进行网站访问和交互操作。

3. 警告提示：如果数字证书无效或过期，浏览器会给出警告提示，提醒用户潜在的风险。

五、实验分析1. 数字证书的作用：数字证书通过公钥加密和数字签名等技术手段，确保信息在传输过程中的安全性和可信性。

它可以防止信息被篡改、窃取或冒充，有效保护用户的隐私和权益。

2. 数字证书的原理：数字证书基于非对称加密算法，使用公钥加密和私钥解密的方式进行信息传输和验证。

公钥由证书颁发机构签名，私钥由证书持有者保管，确保信息的安全性和可信性。

3. 数字证书的应用：数字证书广泛应用于网络通信、电子商务等领域。

它可以用于网站的身份验证、数据加密传输、电子邮件签名等场景，提供安全可靠的服务。

六、实验总结通过本次实验，我们深入了解了数字证书的原理、功能以及应用。

件的创建 。
注意 ：站点公共名稍泌 须是用户 访问该网站的域名 。
用 户访 问该站点的时候 必须使用 Ｈｔｓ／ ｗｗｉｅ ． ｍ 并 ｔ ：ｗ ． ｇｃ ｐ／ ｈ ｏ 且能够看到该 网站的证书。
步嗽 钮 ，接着选择 Ｃ Ａ类型。这里选择咧泣 根 Ｃ Ａ ，点击 吓
一
步蜘
， 自己的 Ｃ 为 Ａ服务器 取个名字 ， 设置证书的有效期
限， 最后指定征书数据库和证书数据库 日志的位置 ， 就可完成 证书服 务的安装。
收稿 日期：２ ０． ７０ ０６ ０ － ２ － － 作者简介：曹文娟 （ ９Ｏ １ ７一 ） 。女，河北肃宁人 ，海丰船舶燃料公司工作人员。
・
５ ・ ６
维普资讯
点击“ 制面板 ・ 控 管理工 具”运行‘ 书颁发机构” 在主窗 ， 证 。
口中展开树状 目录 ，点击“ 挂起的 申请” 项 找到 刚才 申请的证书 ， 然后右键点击该项 ， 选择‘ 有任务 所
・ 颁发” 。
４ ．下载颁发的证书 再次登陆证书 申请主页 ，点击 “ 查看挂起的证书 申请 的状 态 ” ，能够看到刚才颁发的证书 ，点击该下载该证书 。 ５ ．安装服务器证书 重新进入 Ｈ Ｓ管理器的。 目录安全性” 标签页 ，点击。 务器 服 证书” ， 按钮 弹出‘ 起 的证 书请求” ‘ ｊ 圭 对话框 ， 选择。 处理挂起 的请
求并安装证书” ， 选项 点击吓 一步” ， 按钮 指定刚才导 出的服务
三 、配置 Ｓ Ｌ网站 Ｓ
１ ．创建请求证书文件
器证书文件的位置 ， 着设置 ＳＬ 端 口， 接 Ｓ 使用默认的＂ ３ ４ ” ４ 即 可 ，最后 点击。 完成” 。 按钮
重新进入 Ｈ Ｓ管理器的。 目录安全性 进 页 ， 点击 “ 编辑” ， 选中 “ 要求安全通道 ” 要求 １８位加密” ，“ ２ ， ，这样用 户访 问必 须使用 Ｓ Ｌ加密 。 Ｓ

国家开放大学最新《网络应用服务管理》形考任务（实训1-5）试题及答案解析形考实训一实训1：使用IIS搭建Web服务器（第1章，占12%，需要批阅）本次实训计入形成性考核成绩，请你按照要求认真完成。

本次实训以实验报告的形式提交，需要你将操作过程截图来完成，页面下方有具体的要求，请你注意仔细查看。

•1．一台Windows Server 2016 DC，主机名为DC。

•2．一台Windows Server 2016服务器并加入域，主机名为Server1。

•3．一台Windows 10客户端并加入域，主机名为Win10。

假设你是一家公司的网站管理员，需要你完成以下工作：•1．在Server1中部署Web服务（IIS）。

•2．创建一个网站，并使用虚拟目录。

•3．在网站中添加新的默认文档。

答案：•1．一台Windows Server 2016 DC，主机名为DC。

•2．一台Windows Server 2016服务器并加入域，主机名为Server1。

•3．一台Windows 10客户端并加入域，主机名为Win10。

•1．在Server1中部署Web服务（IIS）。

••••••2．创建一个网站，并使用虚拟目录。

•••••3．在网站中添加新的默认文档。

•形考实训二实验2 MySQL数据库对象管理（预备知识：第3章；分值：16分；需辅导教师评分）1. 实验目的理解数据字典、表、索引、视图的作用，掌握数据字典的操纵方式，掌握库、表、索引、视图的操作方法。

2. 实验内容【实验2-1】查看INFORMATION_SCHEMA.SCHEMATA 表中的信息。

【实验2-2】查看INFORMATION_SCHEMA.TABLES 表中的信息。

【实验2-3】查看INFORMATION_SCHEMA.COLUMNS 表中的信息。

【实验2-4】查看INFORMATION_SCHEMA.STATISTICS 表中的信息。

【实验2-5】查看INFORMATION_SCHEMA.CHARACTER_SETS 表中的信息。

使用证书服务，建立SSL保护的web站点一、实训说明现在，国外电子商务网站都是这样做的，但国内绝大部分的网站却没有提供https加密传输。

提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。

通常来说，一个网站只需要一台服务器（就是说一个域名）拥有一个证书就足够了。

本实训模拟一个CA，并从该CA申请数字证书，来对我们的web站点提供SSL加密保护。

二、实训环境与准备工作由两台计算机完成实训项目。

可以让两个同学组成一个小组完成，也可以一个同学在本机和虚拟机组成的局域网环境下完成。

1、虚拟机（windows 2003 server）IP地址：192.168.0.1，子网掩码：255.255.255.0，在虚拟机上配置证书服务器。

2、计算机（本机）IP地址：192.168.0.2，子网掩码：255.255.255.0，作为一个站点服务器。

三、实训步骤第一步，在计算机中安装虚拟机。

第二步，在虚拟机中安装windows 2003 server。

第三步，设置虚拟机的IP地址：192.168.0.1，子网掩码：255.255.255.0。

第四步，在虚拟机中安装IIS。

（添加或删除程序>添加/删除windows组件>应用程序服务）第五步，在虚拟机中安装与配置证书服务。

1、在“控制面板”窗口中双击“添加或删除程序”选项，打开“添加或删除程序”窗口。

然后在左窗格中单击“添加/删除Windows组件”按钮，打开“Windows组件向导”对话框。

2、在“组件”列表中找到并选中“证书服务”选项，然后单击“详细信息”按钮，在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构（CA）”复选框。

依次单击“确定”→“下一步”按钮，如图所示。

3、在打开的“CA类型”对话框中选中“独立根（CA）”单选框，单击“下一步”按钮，如图所示。

4、打开“CA识别信息”对话框，输入CA名称等标识信息（如“qhw2012”<<可以自己随便命名>>）。

在IIS上面布置SSL实现web安全通信首先介绍一下什么是SSL？SSL已成为应用最广泛的互连网安全协议了，有必要对其理解,但是由于篇幅所限对其实现过程中涉及的算法等复杂原理就不做过多的进解，只能用通俗的语言进行一下简单的介绍。

SSL（Security Socket Layer）的中文全称是“加密套接字协议层”，是由Netscape公司推出的一种安全通信协议，它位于HTTP协议层和TCP协议层之间，能够对信用卡和个人信息提供较强的保护。

SSL在客户和服务器之间建立一条加密通道，确保所传输的数据不被非法窃取，SSL安全加密机制功能是依靠使用数字证书来实现的。

SSL介于HTTP协议与TCP之间，结构如下：HTTPSSLTCPIPSSL传输过程用到的端口是443SSL会话过程应用了SSL加密机制后，IIS服务器的数据通信过程如下：首先客户端与IIS服务器建立通信连接，接着IIS把数字证书与公用密钥发给客户端。

然后客户端使用这个公共密钥对客户端的会话密钥进行加密后，传递给IIS服务器，服务器端接收后用私人密钥进行解密，这时就在客户端和IIS服务器间创建了一条安全数据通道，只有被IIS服务器允许的客户才能与它进行通信。

原理就讲解到这里下面介绍如何在IIS5.0上实现SSLWindows网络操作系统内置的IIS是大家最常用的Web服务器。

但在系统默认配置下，IIS使用的是“HTTP协议”以明文形式传输数据，没有采用任何加密手段，传输的重要数据很容易被窃取，如果用S niffer pro这类的软件就能从抓的数据包上反映出来。

这对于一些安全性要求高的网站来说，是远远不够的。

为了保证重要数据的万无一失，IIS也提供了SSL安全加密机制，下面就向大家介绍如何在IIS服务器中使用SSL安全加密机制。

笔者以Windows Server 2000（简称Windows 2000）系统为例，介绍如何在IIS5.0服务器中应用SSL安全加密机制功能。

实验：基于CA的安全Web访问(可以直接使用，可编辑实用优秀文档，欢迎下载）天津理工大学实验报告学院(系)名称:计算机与通信工程学院姓名吕帅霖学号20215872 专业网络工程班级1班实验题目实验2：基于CA的安全Web访问课程名称网络安全课程代码实验时间2021 实验地点7-219 批改意见成绩教师签字:一、实验目的1．掌握证书服务的安装，理解证书的发放过程2．掌握在Web服务器上配置SSL，使用HTTPS协议访问网站以验证结果二、实验环境三台PC 一台交换机三、操作步骤（1）安装证书服务CA输入CA识别信息，此处可随意取名。

保证证书数据库及日志信息的位置默认值：开始安装：在开始—管理工具中单击证书颁发机构，打开证书颁发机构：使用IIS管理器，观察默认网站下有certsrv等虚拟目录。

在虚拟目录certsrv属性-目录安全性-身份验证和访问控制-启用匿名访问，以便允许Internet来宾账户通过访问此站点提交证书申请。

（2）在Web服务器上配置WWW服务（真实机里已有IIS），如下图所示：安装完成后，打开并设置来宾用户的访问权限：配置网站，可通过客户端IE浏览网站。

（3）接下来为web网站申请证书，打开web服务器，属性—目录安全性，选择服务器证书：选择新建证书：接着选择下一步输入名称：输入地理信息，单击下一步：按提示完成certreq.txt证书申请文件。

（4）web方式提交证书申请：打开IE浏览器，(这是运行证书服务的计算机的IP地址)选择申请一个证书，下一步：选择高级证书申请：在这里选择的是用base64编码：复制certreq.txt文件内容到下拉列表框，提交。

出现如下图所示，证书挂起：（5）手工颁发证书：打开证书颁发机构，可以查看到挂起的证书，右击所有任务—颁发证书：可以看到已经颁发了的证书：（6）下载证书：打开IE浏览器，(这是运行证书服务的计算机的IP地址)，选择查看挂起的证书申请的状况：选择保存的申请证书，选择下载证书：下载证书到本地：（7）为WEB服务器安装证书，打开web服务器，属性-选择目录安全—服务器证书：选择处理挂起的请求并安装证书：浏览到刚才下载到本地的证书：保持默认端口443：查看证书：（8）下载ca证书到本地添加到信任的证书机构：打开IE浏览器，(这是运行证书服务的计算机的IP地址)在这里选择下载一个ca证书，证书链或CRL接下来下载ca证书到本地在运行里输入 mmc打开管理控制台：选择添加/删除管理单元—选择添加—选择证书：选择计算机帐户：保持默认，完成展开管理控制台，选择证书，右击出现所有任务选择导入：如下图：导入刚下载ca的证书，如下图：查看刚才打红叉的证书，现在正常了，如下图：（9）在web服务器上启用安全通道，如图选择编辑：勾选“要求安全通道（SSL）”。

《NCIE培培你》-----------------------------商宏图投稿2005.1.6◆每周一讲在Windows下利用证书服务实现与WEB服务的安全通讯（NCSE二级内容）□主讲：NCIE考试管理中心课程策划、教学督导 商宏图（shanght@）在当今这样一个信息时代，互联网已经深入每一个人的生活。

可以说每天的学习、工作、生活和娱乐都离不开Internet。

互联网给人们带来了很多的好处，使得每一个人都可以随心所欲的访问外面的世界。

可是反过来讲互联网也带来了很大的危险性，那就是它可以让任何一个外界的用户能够看到你的计算机。

所以当访问一个Web站点时，人们经常关心的一个问题就是如何能够安全的访问一个Web站点。

本文所要讨论的内容就是如何在Windows下利用证书服务实现对WEB站点的安全访问。

当使用http协议访问Web站点时，客户端和Web服务器之间的数据是以明文方式进行传输的。

要想实现用户访问Web站点的安全性，可以对客户端和Web服务器的数据传输进行加密，利用Windows 2000所提供的证书服务可以实现数据加密。

有关证书服务和加密的基础知识请读者参阅NCNE培培你第90期的每周一讲《在Windows 2000下利用证书服务实现邮件加密和签名—商宏图》一文，在此不再缀述。

下面是如何利用证书服务实现Web站点的安全访问的过程。

z安装证书服务1．首先在网络中的一台Windows 2000 Server计算机上安装证书服务。

在“控制面板”中选择“添加/删除程序”Æ“添加/删除Windows组件”，在“Windows组件向导”对话框中选择“证书服务”，如图1-1所示。

图1-1 Windows组件向导对话框2．选中“证书服务”后单击“下一步”按钮，出现如图1-2所示对话框，提示安装证书服务后计算机不能重命名，不能加入域或从域中删除。

图1-2 Windows提示对话框3．单击“是”按钮，出现如图1-3所示对话框，在此选择CA的类型。

数字证书配置实验一、目的通过上机练习，掌握独立CA的安装、数字证书的申请颁发和安装、SSL配置二、实验环境1个Windows Server 2003虚拟机。

三、实验任务搭建独立CA，为网站和客户端颁发数字证书以实现SSL安全通信。

四、实验步骤1、安装独立CA分两步：先安装IIS，然后安装证书服务。

（1）管理您的服务器-》添加/删除服务器角色-》应用程序服务器，依次点击下一步直至完成。

新建网站nwtraders，要输入网站的主机头值www.nwtraders.msft，如图：设置首页：右击网站nwtraders-》属性-》文档-》添加首页名称index.html并将其上移至顶部。

（2）开始-》控制面板-》添加或删除程序-》添加/删除Windows组件-》证书服务，弹出警告，点击“是”，如图：点击下一步-》选择“独立根CA”，如图：下一步-》输入CA的公用名称：MYCA（不分大小写），如图：默认有效期为5年，2015-11-17截止，该CA所颁发的证书截止时间不会超过这个时间。

下一步，选择证书库的存放位置，如图：下一步，弹出警告，要求停止IIS，点击“是”，开始安装。

安装过程会弹出警告框，要求启用ASP，点击“是”，如图：安装完成后，IIS的默认网站就会添加证书服务的相关内容，如图：2、配置DNS和网站的主机头值为了方便访问，为默认网站（CA）和要保护的网站配置DNS区域和名称，默认网站的区域名称为，要保护网站的区域名称为nwtraders.msft，分别添加主机记录（A），主机名www，ip为服务器的ip。

默认网站-》属性-》网站-》高级，编辑主机头值，如图：设置tcp/ip属性，将首选DNS服务器ip设为本服务器的ip。

3、申请服务器证书（1）生成证书申请文件右击网站nwtraders-》属性-》目录安全性-》服务器证书-》弹出向导，点击下一步-》选择“新建证书”，如图：下一步，选择“现在准备证书请求，但稍后发送”，如图：下一步，输入证书名称和密钥长度，如图：下一步，输入单位信息，如图：下一步，输入网站的公用名称，www.nwtraders.msft，注意阅读向导提示，如图：下一步，输入国家和地区信息，如图：下一步，选择申请文件的存放路径，如图：下一步确认，点击下一步完成。