實驗程序

Task1 Becoming a Certificate Authority (CA)

正規的CA證書需要付費購買,為了進行實驗,我們可以自己搭建一個root CA,首先需要進行檔案配置,openssl會使用一個默認組態檔(/usr/lib/ssl/openssl.cnf)檔案,由用戶生成證書請求檔案(certificates signature request .csr檔案),將此檔案復制到實驗檔案夾lab_pki檔案夾中,同時為根CA配置相關檔案:

隨后使用如下命令生成root CA證書檔案.crt:

openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

需要輸入相關身份資訊:

進行生成root CA的密鑰檔案ca.key和證書檔案ca.crt

ask 2: 為SEEDPKILab2020.com創建證書

配置一個SEEDPKILab2020.com 的證書總共需要三步:

1. 生成公鑰私鑰對

openssl genrsa -aes128 -out server.key 1024

將輸入的密鑰存盤到server.key檔案中

2. 生成證書簽字請求.csr檔案

openssl req -new -key server.key -out server.csr -config openssl.cnf

相關配置資訊如下:

3. 與root CA進行驗證與簽名

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key 
-config openssl.cnf

將SEEDPKILab2020.com提交的server.csr檔案給CA,CA驗證完csr檔案后,會給SEEDPKILab2020.com簽發一個X509版本的證書,本實驗忽略驗證這一步,上面命令直接將server.csr,ca.crt 以及ca.key檔案生成一個證書server.crt,注意openssl默認使用SHA256演算法了,與課本上所說默認演算法不同,不同openssl版本,可以使用如下命令查看:

openssl x509 -in server.crt -text 

發現簽名演算法為:

task 3: 使用openssl自帶服務器進行配置

使用openssl自帶服務器可以進行配置HTTPS,但是首先需要將SEEDPKILab2020.com的私鑰檔案與公鑰檔案合并到一個檔案*.pem中,使用如下命令(注意使用順序,即檔案的合并順序需要注意) :

cp server.key server.pem
cat server.crt >> server.pem

隨后,使用openssl s_server命令啟動服務器,服務器默認監聽4433埠,注意需要一直開著:

才能進行訪問指定網站,會得到如下失敗的結果:

這是因為root CA為我們自己創建的,瀏覽器不會信任,所以需要手動添加之前任務創建的ca.crt檔案到瀏覽器CA串列中:

隨后進行測驗,可以正常運行:

Q1:

1. 修改一個位于subject域的Common Name位元組資訊:
   
   保存后繼續運行得到結果如下:
   

   仍然可以正常運行.

2. 修改一個位于Private Key的位元組:
   
   保存后繼續運行得到結果如下:

   
   瀏覽器不可以訪問:
   
   結果分析:CA擁有私鑰,可以進行驗證server_copy.pem檔案是否合法,但是為什么修改subject域資訊可以通過??
   這個原因我也不太清楚…
   可能是在此程序中SSL驗證證書的合法性但是瀏覽器沒有驗證證書Commoon Name與域名的是否匹配問題,TLS有這個使用上的問題…
   不太確定…

Q2

由于瀏覽器會檢查URL中名稱域證書中Subject域資訊中域名條目Common Name是否一致,此時并不一致所以失敗,瀏覽器給出了原因,與分析基本一致:

task 4: 使用Apache配置HTTPS服務器

在task3中,我們使用openssl的s_server命令設定HTTPS服務器,主要用于除錯和演示目的，
在這個實驗中，我們基于Apache服務器建立一個真正的HTTPS web服務器，Apache服務器(已經安裝在我們的VM中)且支持HTTPS協議，
要創建一個HTTPS網站，我們只需要配置Apache服務器，這樣它就知道從哪里獲得私鑰和證書，

• 對000-default.conf使用如下配置:
  
  需要進行此配置, 不設定也沒有影響,因為會顯示默認網站,也就是我們設定的網頁界面,但是在task5任務中,網站不同,必須進行配置.
• 對default-ssl.conf檔案使用如下配置:
  

其中ServerName條目指定網站的名稱，而DocumentRoot條目指定網站檔案存盤的位置，同時我們需要告訴Apache服務器證書和私鑰存盤在哪里,后兩行為task2中證書和私鑰檔案的位置.
隨后運行一系列命令得到如下:

此時可以正常訪問:

Task 5: Launching a Man-In-The-Middle Attack

本次實驗中,我們進行偽造一個pass.sdu.edu.cn網站,真實網站資訊:

首先下載網站資訊,將網站相關檔案該名稱(為了方便操作,修改成英文名稱),移動到網頁指定存盤位置,一般為/var/www/目錄,創建一個SDU目錄,將網站相關資訊移動到此目錄中:

為了可以在本地訪問到,在/etc/hosts配置靜態映射:

隨后需要到apache2服務器位置進行組態檔配置,檔案位置:/etc/apache2/sites-available/:
檔案000-default.conf:
要添加一個HTTP網站，我們需要在檔案000-default.conf中添加一個虛擬主機條目:

否則顯示的網站仍然會是默認配置,顯示如下結果:

就不會顯示我們自己配置的網站頁面了.
檔案default-ssl.conf:而要添加一個HTTPS網站，我們則需要在同一個檔案夾的default-ssl.conf檔案中添加一個VirtualHost條目:

使用10.0.2.5主機進行測驗,訪問(https://)pass.sdu.edu.cn

在10.0.2.5主機,首先配置/etc/hosts靜態映射:

訪問pass.sdu.edu.cn得到如下結果:

而訪問https://pass.sdu.edu.cn 時,會得到如下結果:

原因分析:
經查閱資料:我們找到瀏覽器會驗證通用名稱域,在SSL握手期間,會進行兩個重要的驗證:

1. 核對接收到的證書是否有效,即確保證書中的公鑰屬于Subject域描述的主體,但不能說明證書域正在訪問的網站是否匹配.SSL庫執行
2. 瀏覽器驗證證書通用名稱是否與訪問的網站名稱匹配.瀏覽器等應用程式執行.
   在上面的實驗中:,驗證程序:

• 第一條,由于測驗主機的瀏覽器未配置ca.crt,瀏覽器不會信任此ca發布的證書,不會通過驗證.
• 第二條,由于Common Name與訪問的pass.sdu.edu.cn不匹配,也不會通過,所以出現警告資訊.

為了進一步驗證上面兩條SSL握手規則,我們回到配置Apache服務器主機(10.0.2.4)進行訪問pass.sdu.edu.cn,可以正常訪問,當時訪問https://pass.sdu.edu.cn 時,會失敗,得到如下結果:

即第一條通過SSL驗證證書成功,但是第二條不通過,瀏覽器檢查發現證書Common Name域訪問域名不匹配,出現上面的警告資訊.

實驗程序中小Tips

在使用10.0.2.5主機進行測驗,訪問apache檔案資訊時,我們發現網路斷開

• 用wireshark抓包,就發現會出現許多ARP請求報文,最后導致超時錯誤發生.
• 無法進行ping www.baidu.com , 出現unknown host錯誤警告資訊
• ping 8.8.8.8有回應.
  所以應該是DNS服務器配置錯誤,不是網路問題,配置dns,由于使用的是DHCP分配協議,所以配置dns的nameserver需要進入/etc/resolvconf/resolv.conf.d/head檔案,修改nameserver 127.0.1.1為nameserver 8.8.8.8
  

再運行sudo resolvconf -u即可上網.
但是為什么127.0.1.1不行?可是這個在其他虛擬機是可以上網的,不知道原因.???,歡迎解答

Task 6: Launching a Man-In-The-Middle Attack with a Compromised CA

服務器主機:10.0.2.4
測驗用戶主機:10.0.2.5

此實驗中,我們假設攻擊者已經知道根CA的私鑰,所以攻擊者可以通過CA的私鑰偽造一個pass.sdu.edu.cn網站的證書,具體程序如下:

在CA驗證與簽名程序中,我們需要輸入CA的密鑰:

需要注意的是,我們在生成證書程序中對Common Name欄位要填寫pass.sdu.edu.cn,這樣才可以通過task5中寫到的瀏覽器驗證階段.
得到證書檔案sdu.crt和私鑰檔案sdu.key,隨后我們需要在apache服務器檔案中進行配置相關檔案,需要將域名與證書檔案進行一一對應處理:

隨后,我們更換主機,使用另一臺主機即10.0.2.5,首先需要在此主機的瀏覽器中添加CA證書:

同時,在task5中已經設定了etc/hosts中靜態IP地址主機名映射關系:

此時,我們就可以進行實驗測驗了,在task5中訪問https://pass.sdu.edu.cn 會出現訪問警告問題,由于訪問的URL域名與證書中subject域中的Common Name不匹配,而修改了Apache中證書后,可以匹配,所以會成功訪問,不會出現安全警告問題:

實驗總結

1. 本次實驗是在期末考試臨近期間完成的,時間有些緊迫,寫的倉促.雖然任務不太復雜,但由于對Apache服務器了解不是很深,在配置Apache程序遇到了一些問題,呃…其實按照步驟走也沒出現問題,主要不理解程序,所以進行了修改部分檔案測驗,才一步一步地搞明白一點Apache各個檔案配置的作用與檔案存盤位置等資訊.
2. 兩個組態檔/etc/apache2/sites-available/:
   000-default.conf:HTTP網站默認位置,當訪問不帶https的網站地址時,apache會到這個檔案尋找域名以及對應的網站檔案根目錄DocumentRoot /var/www/**(一般為此位置),然后到網站檔案根目錄尋找網站頁面等相關檔案,回傳到發送請求的瀏覽器器中.
   一個網站如果沒有對應配置資訊,則會顯示默認界面,即:
   
   (羅嗦了,前面已經寫過這個了…自己摸索好久才搞明白的,就再寫一次吧…)
   default-ssl.conf:HTTPS網站組態檔,當訪問帶有https的網站時,到此檔案尋找相關域名,以及這個網站的證書,網頁顯示相關檔案的存盤位置根目錄DocumentRoot等資訊,并回傳給發送請求的主機的瀏覽器中,瀏覽器再進行驗證證書,域名等資訊…

• 如果一個網站配置了default-ssl.conf但沒有配置000-default.conf,則訪問https可以,訪問非https則會顯示默認網頁,不顯示指定網頁,這也很符合邏輯.

• 配置了000-default卻沒有配置default-ssl.conf,則訪問不帶https可以正常顯示,帶https則會出現安全警告:
  

  顯示證書驗證失敗資訊,其實壓根沒有配置證書檔案,也符合邏輯.

• 一個小小實驗,使用了快2天時間,還是了解的東西太少,太慢,特別時Web相關資訊,不過總算搞明白了apache檔案作業機理的一點頭緒…