《局域網(wǎng)12-證書服務(wù)器管理》由會(huì)員分享，可在線閱讀，更多相關(guān)《局域網(wǎng)12-證書服務(wù)器管理（51頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、局域網(wǎng) 服務(wù)器架設(shè)與管理,泰州職業(yè)技術(shù)學(xué)院電子工程系 計(jì)算機(jī)專業(yè)教研室 08-09-1,第12講 證書服務(wù)器配置與管理,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,一、數(shù)字證書概述,網(wǎng)絡(luò)安全問(wèn)題 密碼學(xué)原理 公共密鑰加密 CA( Certification authority )認(rèn)證中心 數(shù)字證書 數(shù)字簽名-解決”

2、發(fā)送消息的不可否認(rèn)性” 身份認(rèn)證,一、數(shù)字證書概述,網(wǎng)絡(luò)安全問(wèn)題 信息傳輸?shù)谋Ｃ苄?發(fā)送信息的不可否認(rèn)性 身份認(rèn)證,一、數(shù)字證書概述,密碼學(xué)原理 對(duì)稱密碼學(xué)(如DES) 加密密鑰KA解密密鑰KB 不對(duì)稱密碼學(xué)(如RSA) 加密密鑰KA解密密鑰KB,一、數(shù)字證書概述,公共密鑰加密,一、數(shù)字證書概述,公共密鑰加密,一、數(shù)字證書概述,在自然人交往中，信任是建立在過(guò)去交往的經(jīng)驗(yàn)基礎(chǔ)上的，受雙方的距離的限制。當(dāng)雙方距離很遠(yuǎn)時(shí)，往往信任度就會(huì)降低導(dǎo)致不可信，這時(shí)往往可以引入第三方的概念，雙方都信任第三方，第三方也信任它的用戶，這時(shí)信任關(guān)系可以傳遞，導(dǎo)致雙方也互相信任。,CA,,,Alice,Bob,

3、說(shuō)明: 向下頒發(fā)證書; 表示實(shí)體證書;,,,一、數(shù)字證書概述,CA( Certification authority )認(rèn)證中心,一、數(shù)字證書概述,數(shù)字證書 數(shù)字證書是是一個(gè)經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的數(shù)據(jù)文件，提供了一種在Internet上驗(yàn)證身份的方式，用來(lái)在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份。,一、數(shù)字證書概述,數(shù)字證書 版本號(hào)：用來(lái)指明該證書使用的是哪種版本的X.509格式，目前使用最廣的是第三版本，本論文也采用第三版本。 序列號(hào)：證書簽發(fā)者為證書指派的區(qū)別于它頒發(fā)的其他證書的唯一序列號(hào)。 簽發(fā)者簽名算法：指明簽發(fā)CA頒發(fā)證書時(shí)使用的簽名算法。

4、簽發(fā)者：用于標(biāo)識(shí)簽發(fā)證書的認(rèn)證機(jī)構(gòu)的名字。 有效期：指出該證書有效的起止日期時(shí)間。 主體名：證書需要證明的身份名。,一、數(shù)字證書概述,數(shù)字證書 主體公鑰信息：包含證書需要證明身份的公鑰，并包含了該公鑰的算法。 簽發(fā)者唯一標(biāo)識(shí)：簽發(fā)者名字有可能重用，因此簽發(fā)者唯一標(biāo)識(shí)符可以使證書簽發(fā)者區(qū)別出來(lái)。 主體唯一標(biāo)識(shí)：主體名字有可能重用，因此主體唯一標(biāo)識(shí)符可以使主體區(qū)別出來(lái)。 V3擴(kuò)展：允許證書簽發(fā)者根據(jù)需要加入額外的信息。標(biāo)準(zhǔn)擴(kuò)展由X.509定義，任何組織還可以定義私有擴(kuò)展。,一、數(shù)字證書概述,數(shù)字簽名-解決”發(fā)送消息的不可否認(rèn)性”,備注:網(wǎng)上交易等用途,一、數(shù)字證書概述,身份認(rèn)證,提綱,一、數(shù)字證書

5、概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,二、證書服務(wù)器安裝,安裝步驟,在“控制面板”中運(yùn)行“添加或刪除程序”，切換到“添加/刪除Windows組件”頁(yè)。,二、證書服務(wù)器安裝,在“Windows組件向?qū)А睂?duì)話框中，選中“證書服務(wù)”選項(xiàng)，接下來(lái)選擇CA類型，這里選擇“獨(dú)立根CA”,安裝步驟,二、證書服務(wù)器安裝,為該CA服務(wù)器起個(gè)名字(本例中的名字為DefServer)，設(shè)置證書的有效期限，建議使用默認(rèn)值“5年”即可，最后指定證書數(shù)據(jù)庫(kù)和證書數(shù)據(jù)庫(kù)日志的位置后，就完成了證書服務(wù)的安裝。,安裝步驟

6、,二、證書服務(wù)器安裝,安裝完成后，系統(tǒng)會(huì)自動(dòng)在IIS的默認(rèn)站點(diǎn)，建幾個(gè)虛擬目錄CertSrc,CertControl,CertEnroll,安裝步驟,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,安全電子郵件 利用數(shù)字簽名加密電子郵件，保證電子郵件傳輸中的機(jī)密性，完整性和不可否認(rèn)性，確保電子郵件通信的各方身份的真實(shí)性。 安全電子郵件證書包含證書持有者的電子郵件地址，公鑰及CA中心的簽名。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名

7、電子郵件,實(shí)驗(yàn)要求 搭建第11章創(chuàng)建電子郵件環(huán)境，在虛擬機(jī)2上安裝數(shù)字證書服務(wù)，為用戶user1和user2在虛擬機(jī)1和虛擬機(jī)2上分別申請(qǐng)數(shù)字證書并安裝，并在OutLook中設(shè)置使用數(shù)字簽名簽名和加密電子郵件。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,實(shí)驗(yàn)步驟: 完成第11章創(chuàng)建電子郵件環(huán)境,保證虛擬機(jī)2上pop3服務(wù)中有兩個(gè)帳戶user1和user2； 在虛擬機(jī)2上安裝證書服務(wù)器；(注意要用域管理員身份登錄到DEF域上,證書服務(wù)才能啟動(dòng)!!) 在虛擬機(jī)1上為用戶申請(qǐng)數(shù)字證書，并安裝；,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-1 運(yùn)行IE瀏覽器，在地址欄中輸入“,三、實(shí)驗(yàn)

8、12-1利用數(shù)字簽名加密和簽名電子郵件,3-2 接下來(lái)選擇“電子郵件證書“； 3-3 填寫相關(guān)信息 ；,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-4 系統(tǒng)將處理您提交的申請(qǐng)，此過(guò)程可能要等待10秒鐘左右。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-5 打開(kāi)“管理工具”選擇“證書頒發(fā)機(jī)構(gòu)”，打開(kāi)掛起的申請(qǐng),右擊--頒發(fā),三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-6 運(yùn)行Internet Explorer瀏覽器，在地址欄中輸入“http://證書服務(wù)器IP/CertSrv/default.asp”,選擇“查看掛起的證書申請(qǐng)狀態(tài)”； 3-7 找到自己申請(qǐng)的證書；

9、3-8 安裝證書,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-9 安裝完成后，可到IE里查看剛剛安裝好的證書。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,實(shí)驗(yàn)步驟 在虛擬機(jī)1上OutLook中創(chuàng)建帳戶，并綁定剛才安裝的數(shù)字證書user1。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,實(shí)驗(yàn)步驟 在虛擬機(jī)2上為用戶申請(qǐng)數(shù)字證書，并安裝； 在虛擬機(jī)2上OutLook中創(chuàng)建帳戶，并綁定數(shù)字證書。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,測(cè)試 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試1”，郵件用數(shù)字證書簽名，在虛擬機(jī)2上接收,觀察結(jié)果； 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試2”

10、，郵件用數(shù)字證書簽名，在真實(shí)機(jī)上創(chuàng)建帳戶，并接收郵件，觀察結(jié)果,比較與測(cè)試1的不同,為什么?,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,測(cè)試 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試3”，郵件選擇加密，在虛擬機(jī)2上接受,觀察結(jié)果； 在虛擬機(jī)2上用帳戶向發(fā)送電子郵件“測(cè)試4”，郵件選擇加密，在虛擬機(jī)1上接收,觀察結(jié)果,比較與測(cè)試3的不同,為什么? 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試5”，郵件選擇加密，在真實(shí)機(jī)上接收,觀察結(jié)果.,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站

11、,四、http和https概述,http 默認(rèn)情況下所使用的HTTP是沒(méi)有任何加密措施的,所有的消息都是以明文形式在網(wǎng)絡(luò)上傳送,惡意的攻擊者可以通過(guò)安裝監(jiān)聽(tīng)程序來(lái)獲得用戶和服務(wù)器之間的通信內(nèi)容.,四、http和https概述,https SSL( Security Socket Layer,安全套接層)安全機(jī)制使用數(shù)字證書。建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且使用URL資源定位器時(shí)，輸入https://而不是http://。,四、http和https概述,SSL SSL是工作在HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保

12、所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰的基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí)，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器就建立了一個(gè)唯一的安全通道。,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,五、

13、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 獲取和安裝服務(wù)器證書 測(cè)試1 修改”要求客戶端證書” 申請(qǐng)Web瀏覽器證書 測(cè)試2,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 打開(kāi)IIS瀏覽器，選擇down網(wǎng)站，打開(kāi)屬性窗口，進(jìn)入目錄安全性選項(xiàng)，選擇“服務(wù)器證書”；,申請(qǐng)服務(wù)器證書 打開(kāi)IIS證書向?qū)?，選擇新建證書 ； 設(shè)置“名稱和安全性設(shè)置”,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 設(shè)置“公用名稱” 輸入證書請(qǐng)求文件名,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 提交證書申請(qǐng)文件 6-1 運(yùn)行IE瀏覽器，在地址欄中輸入“ 6-2

14、選擇“高級(jí)證書申請(qǐng)”； 6-3 將“certreq.txt”文件內(nèi)容復(fù)制到代碼窗口； 6-4 提交申請(qǐng)； 6-5 到證書服務(wù)器上頒布證書。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,獲取和安裝服務(wù)器證書 運(yùn)行IE瀏覽器，在地址欄中輸入“ 打開(kāi)IIS信息管理器，選擇Down網(wǎng)站，打開(kāi)屬性，選擇目錄安全性選項(xiàng)，打開(kāi)IIS證書向?qū)?，按步驟完成安裝；,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,獲取和安裝服務(wù)器證書 打開(kāi)IIS管理器Down網(wǎng)站屬性窗口，進(jìn)入目錄安全性選項(xiàng)，點(diǎn)擊通信安全中的編輯選項(xiàng)，選中“要求安全通道”選項(xiàng)。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,測(cè)試1 運(yùn)行IE瀏覽器，在地

15、址欄中輸入，觀察運(yùn)行結(jié)果； 運(yùn)行IE瀏覽器，在地址欄中輸入，觀察運(yùn)行結(jié)果。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,修改”要求客戶端證書” 打開(kāi)IIS管理器Down網(wǎng)站屬性窗口，進(jìn)入目錄安全性選項(xiàng)，點(diǎn)擊通信安全中的編輯選項(xiàng)，選中“要求安全通道”選項(xiàng)，并選擇“要求客戶端證書”。 測(cè)試： 運(yùn)行IE瀏覽器，在地址欄中輸入，觀察運(yùn)行結(jié)果。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)Web瀏覽器證書 運(yùn)行IE瀏覽器，在地址欄中輸入“ 選擇申請(qǐng)“Web瀏覽器證書”； 填寫相關(guān)信息； 提交申請(qǐng)； 到證書服務(wù)器上頒布證書； 獲取證書并安裝。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,測(cè)試2 運(yùn)行IE瀏覽器，在地址欄中輸入，觀察運(yùn)行結(jié)果； 運(yùn)行IE瀏覽器，在地址欄中輸入，觀察運(yùn)行結(jié)果。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,