IIS 安裝與SSL 協(xié)議分析38060626 雍有敏 于IIS 上添加SSL 協(xié)議的方法：1. 申請(qǐng)證書(shū)：本次使用了ZXCA 《自信》數(shù)字證書(shū)工具v1.6.5來(lái)生成數(shù)字證書(shū)，省去了申請(qǐng)的過(guò)程。2.

IIS 安裝與SSL 協(xié)議分析

38060626 雍有敏 于IIS 上添加SSL 協(xié)議的方法：

1. 申請(qǐng)證書(shū)：本次使用了ZXCA 《自信》數(shù)字證書(shū)工具v1.6.5來(lái)生成數(shù)字證書(shū)，省去了申請(qǐng)的過(guò)程。

2. 安裝證書(shū)：

于服務(wù)器證書(shū)中添加。

3. 于網(wǎng)站中更改SSL 設(shè)置

刷新后生效。 客戶(hù)端登陸截圖：

SSL 協(xié)議分析：

SSL

安全加密的實(shí)現(xiàn)手段主要是依靠數(shù)字證書(shū)。其實(shí)現(xiàn)機(jī)制是：當(dāng)用

戶(hù)和web 服務(wù)器建立連接后，服務(wù)器會(huì)把數(shù)字證書(shū)與公用密鑰一同發(fā)送給客戶(hù)端；客戶(hù)端收到后會(huì)生成會(huì)話(huà)密鑰，并用公用密鑰進(jìn)行加密，然后傳遞給服務(wù)器；服務(wù)器端用私人密鑰進(jìn)行解密。這樣，客戶(hù)端和服務(wù)器端就建立了一條安全通道，只有SSL 允許的用戶(hù)才能與IIs 服務(wù)器進(jìn)行通信。具體過(guò)程如下。

(1)Client Hello：客戶(hù)端將其SSL 版本號(hào)、加密設(shè)置參數(shù)、與session 有關(guān)的數(shù)據(jù)以及其它一些必要信息(加密算法和能支持的密鑰大小) 發(fā)送服務(wù)器。

(2)Server Hello：服務(wù)器將其SSL 版本號(hào)、加密設(shè)置參數(shù)、與session 有關(guān)的數(shù)據(jù)以及其它一些必要信息發(fā)送給客戶(hù)端。

(3)Certificate(可選) ：服務(wù)器發(fā)一個(gè)證書(shū)或一個(gè)證書(shū)鏈到客戶(hù)端，證書(shū)鏈開(kāi)始于服務(wù)器公共鑰匙并結(jié)束于證明權(quán)威的根證書(shū)。該證書(shū)用于向客戶(hù)端確認(rèn)服務(wù)器的身份，該消息是可選的。如果配置服務(wù)器的SSL 需要驗(yàn)證服務(wù)器的身份，會(huì)發(fā)送該消息。多數(shù)電子商務(wù)應(yīng)用都需要服務(wù)器端作身份驗(yàn)證。

(4)Certificate Request(可選) ：如果配置服務(wù)器的SSL 需要驗(yàn)證用戶(hù)身份，還要發(fā)出請(qǐng)求要求瀏覽器提供用戶(hù)證書(shū)。多數(shù)電子商務(wù)不需要客戶(hù)端身份驗(yàn)證，不過(guò)，在支付過(guò)程中經(jīng)常需要客戶(hù)端身份驗(yàn)證。

(5)Server Key Exchange(可選) ：如果服務(wù)器發(fā)送的公共密鑰對(duì)加密密鑰的交換不是很合適，則發(fā)送一個(gè)服務(wù)器密鑰交換消息。

(6)ServerHelloDone：通知客戶(hù)端，服務(wù)器已經(jīng)完成了交流 過(guò)程的初始化。

(7)Certificate(可選) ：客戶(hù)端發(fā)送客戶(hù)端證書(shū)給服務(wù)器。僅當(dāng)服務(wù)器請(qǐng)求客戶(hù)端身份驗(yàn)證的時(shí)候會(huì)發(fā)送客戶(hù)端證書(shū)。

(8)Client Key Exchange：客戶(hù)端產(chǎn)生—個(gè)會(huì)話(huà)密鑰與服務(wù)器共享。在SSL 握手協(xié)議完成后，客戶(hù)端與服務(wù)器端通信信息的加密就會(huì)使用該會(huì)話(huà)密鑰。如果使用RSA 加密算法，客戶(hù)端將使用服務(wù)器的公鑰將會(huì)話(huà)密鑰之后再發(fā)送給服務(wù)器。服務(wù)器使用自己的私鑰對(duì)接收的消息進(jìn)行解密得到共享的會(huì)話(huà)密鑰。

(9)Ce~ificate Verify：如果服務(wù)器請(qǐng)求驗(yàn)證客戶(hù)端，則這消息允許服務(wù)器完成驗(yàn)證過(guò)程。Change cipher spec：客戶(hù)端要求服務(wù)器在后續(xù)的通信中使用加密模式。

Finished ：客戶(hù)端告訴服務(wù)器已經(jīng)準(zhǔn)備好安全通信了。

Change cipher spec：服務(wù)器要求客戶(hù)端在后續(xù)的通信中使用加密模式。 Finished ：服務(wù)器告訴客戶(hù)端它已經(jīng)準(zhǔn)備好安全通信了。SSL 握手完成的標(biāo)志。

Encrypted Data：客戶(hù)端和服務(wù)端在安全信道上進(jìn)行加密信息的交流。

在無(wú)SSL 加密下利用EthereaI 進(jìn)行分析

在捕捉到的數(shù)據(jù)集中，按照時(shí)間排序后發(fā)現(xiàn)，本地IE 瀏覽 器和服務(wù)器端首先進(jìn)行了TCP 次握手和一些數(shù)據(jù)交換，然后

直接將用戶(hù)名和密碼以明文的形式進(jìn)行傳輸。可見(jiàn)，這種沒(méi)有經(jīng)過(guò)加密的明文HTTP 傳輸是非常不安全的。

在有SSL 加密下利用Ethereal 進(jìn)行分析

在捕捉到的數(shù)據(jù)集中，按照時(shí)間排序后發(fā)現(xiàn)，本地IE 瀏覽 器和服務(wù)器端首先進(jìn)行了TCP 三次握手和一些數(shù)據(jù)交換，然后 進(jìn)行了SSL 中交換hello 包和密鑰的傳輸操作。在這種情況下， 我們抓取的全部是密文傳輸數(shù)據(jù)，如果沒(méi)有密鑰將無(wú)法解密。 與之前的無(wú)SSL 配置站點(diǎn)相比，這大大提高了用戶(hù)名和密碼傳 輸?shù)陌踩浴?/p>