IIS与SSL和TLS

IIS 安装与SSL 协议分析38060626 雍有敏 于IIS 上添加SSL 协议的方法：1. 申请证书：本次使用了ZXCA 《自信》数字证书工具v1.6.5来生成数字证书，省去了申请的过程。2.

IIS 安装与SSL 协议分析

38060626 雍有敏 于IIS 上添加SSL 协议的方法：

1. 申请证书：本次使用了ZXCA 《自信》数字证书工具v1.6.5来生成数字证书，省去了申请的过程。

2. 安装证书：

于服务器证书中添加。

3. 于网站中更改SSL 设置

刷新后生效。 客户端登陆截图：

SSL 协议分析：

SSL

安全加密的实现手段主要是依靠数字证书。其实现机制是：当用

户和web 服务器建立连接后，服务器会把数字证书与公用密钥一同发送给客户端；客户端收到后会生成会话密钥，并用公用密钥进行加密，然后传递给服务器；服务器端用私人密钥进行解密。这样，客户端和服务器端就建立了一条安全通道，只有SSL 允许的用户才能与IIs 服务器进行通信。具体过程如下。

(1)Client Hello：客户端将其SSL 版本号、加密设置参数、与session 有关的数据以及其它一些必要信息(加密算法和能支持的密钥大小) 发送服务器。

(2)Server Hello：服务器将其SSL 版本号、加密设置参数、与session 有关的数据以及其它一些必要信息发送给客户端。

(3)Certificate(可选) ：服务器发一个证书或一个证书链到客户端，证书链开始于服务器公共钥匙并结束于证明权威的根证书。该证书用于向客户端确认服务器的身份，该消息是可选的。如果配置服务器的SSL 需要验证服务器的身份，会发送该消息。多数电子商务应用都需要服务器端作身份验证。

(4)Certificate Request(可选) ：如果配置服务器的SSL 需要验证用户身份，还要发出请求要求浏览器提供用户证书。多数电子商务不需要客户端身份验证，不过，在支付过程中经常需要客户端身份验证。

(5)Server Key Exchange(可选) ：如果服务器发送的公共密钥对加密密钥的交换不是很合适，则发送一个服务器密钥交换消息。

(6)ServerHelloDone：通知客户端，服务器已经完成了交流 过程的初始化。

(7)Certificate(可选) ：客户端发送客户端证书给服务器。仅当服务器请求客户端身份验证的时候会发送客户端证书。

(8)Client Key Exchange：客户端产生—个会话密钥与服务器共享。在SSL 握手协议完成后，客户端与服务器端通信信息的加密就会使用该会话密钥。如果使用RSA 加密算法，客户端将使用服务器的公钥将会话密钥之后再发送给服务器。服务器使用自己的私钥对接收的消息进行解密得到共享的会话密钥。

(9)Ce~ificate Verify：如果服务器请求验证客户端，则这消息允许服务器完成验证过程。Change cipher spec：客户端要求服务器在后续的通信中使用加密模式。

Finished ：客户端告诉服务器已经准备好安全通信了。

Change cipher spec：服务器要求客户端在后续的通信中使用加密模式。 Finished ：服务器告诉客户端它已经准备好安全通信了。SSL 握手完成的标志。

Encrypted Data：客户端和服务端在安全信道上进行加密信息的交流。

在无SSL 加密下利用EthereaI 进行分析

在捕捉到的数据集中，按照时间排序后发现，本地IE 浏览 器和服务器端首先进行了TCP 次握手和一些数据交换，然后

直接将用户名和密码以明文的形式进行传输。可见，这种没有经过加密的明文HTTP 传输是非常不安全的。

在有SSL 加密下利用Ethereal 进行分析

在捕捉到的数据集中，按照时间排序后发现，本地IE 浏览 器和服务器端首先进行了TCP 三次握手和一些数据交换，然后 进行了SSL 中交换hello 包和密钥的传输操作。在这种情况下， 我们抓取的全部是密文传输数据，如果没有密钥将无法解密。 与之前的无SSL 配置站点相比，这大大提高了用户名和密码传 输的安全性。