环境搭建

基本配置：

• 配置网卡模式：vmnet1 仅主机模式
• 配置静态ip：192.168.1.1
• 为windows Server 2008的administrator设置密码
• 执行启用用户密码的命令 net user administrator /passwordreq:yes
• 执行安装活动目录的命令 dcpromo
• 执行命令： gpmc.msc
• 执行命令：gpupdate /force

开始安装

姓名拼音.com

都默认

不用管，继续走

实验内容

证书服务

一路按默认走

这里秘钥长度改1024

这里CA改 自己名字-CA

安装完成

然后打开xp，配一下网卡模式，和ip地址

尝试ping通

打开浏览器去访问 winser08

回到08

新建几个用户

比较慢

漏了几步

反正点一点，导出，你就有了一个私钥

解释证书的用途

这是一个http，是明流的，没有加密，随便被抓到就可以看到信息

数字签名

为了保护安全，我们就用的数字证书CA

他包括两个： 1、公钥 2、私钥

客户端对内容用私钥进行加密

服务端接收到私钥加密的数据，用公钥进行解密

这种方式被叫做数字签名，他具有不可抵赖性。

什么是不可抵赖，因为数据只有一个人加密，只有他能加密

而公钥是公开的，必须用公钥才能解开数据

这个数据就很有权威性

非对称加密方法（公钥加密）

一样用的数字证书CA

一样他包括两个： 1、公钥 2、私钥

用对方的公开秘钥进行加密，只有对方的私钥才能解密

防止重要数据被别人获取了

继续操作

建个域证书

完成效果

右侧菜单栏点击 绑定 ，然后添加一个443端口

注意细节： https，证书选刚才的域证书

此时，你要访问服务器，都用https

这时，我们可以用公钥加密数据，给服务器私钥解密 也可以服务器私钥加密数据，发给我们用公钥解密

玩点有意思的

把一些写好的asp.net代码丢项目根目录下

抓个包看看，账号密码有没有被加密

先装个wireshark

抓前分析

用win访问，winxp抓

关闭ssl

开始输入用户名密码

开启ssl

前缀加上https

输入用户名密码

看看抓到的包

都被加密了

思维扩展

保护你的B\S结构，保护数据不被光溜溜的抓到

为什么软件经常更新

因为没有绝对安全的加密

每隔一段时间换个密码本，就比较安全