《局域網12-證書服務器管理》由會員分享，可在線閱讀，更多相關《局域網12-證書服務器管理（51頁珍藏版）》請在裝配圖網上搜索。

1、局域網 服務器架設與管理,泰州職業(yè)技術學院電子工程系 計算機專業(yè)教研室 08-09-1,第12講 證書服務器配置與管理,提綱,一、數字證書概述 二、證書服務器安裝 三、實驗12-1利用數字簽名加密簽名電子郵件 四、http和https概述 五、實驗12-2利用數字簽名加密Web網站,提綱,一、數字證書概述 二、證書服務器安裝 三、實驗12-1利用數字簽名加密簽名電子郵件 四、http和https概述 五、實驗12-2利用數字簽名加密Web網站,一、數字證書概述,網絡安全問題 密碼學原理 公共密鑰加密 CA( Certification authority )認證中心 數字證書 數字簽名-解決”

2、發(fā)送消息的不可否認性” 身份認證,一、數字證書概述,網絡安全問題 信息傳輸的保密性 發(fā)送信息的不可否認性 身份認證,一、數字證書概述,密碼學原理 對稱密碼學(如DES) 加密密鑰KA解密密鑰KB 不對稱密碼學(如RSA) 加密密鑰KA解密密鑰KB,一、數字證書概述,公共密鑰加密,一、數字證書概述,公共密鑰加密,一、數字證書概述,在自然人交往中，信任是建立在過去交往的經驗基礎上的，受雙方的距離的限制。當雙方距離很遠時，往往信任度就會降低導致不可信，這時往往可以引入第三方的概念，雙方都信任第三方，第三方也信任它的用戶，這時信任關系可以傳遞，導致雙方也互相信任。,CA,,,Alice,Bob,

3、說明: 向下頒發(fā)證書; 表示實體證書;,,,一、數字證書概述,CA( Certification authority )認證中心,一、數字證書概述,數字證書 數字證書是是一個經證書認證中心（CA）數字簽名的包含公開密鑰擁有者信息以及公開密鑰的數據文件，提供了一種在Internet上驗證身份的方式，用來在網絡通訊中識別通訊各方的身份。,一、數字證書概述,數字證書 版本號：用來指明該證書使用的是哪種版本的X.509格式，目前使用最廣的是第三版本，本論文也采用第三版本。 序列號：證書簽發(fā)者為證書指派的區(qū)別于它頒發(fā)的其他證書的唯一序列號。 簽發(fā)者簽名算法：指明簽發(fā)CA頒發(fā)證書時使用的簽名算法。

4、簽發(fā)者：用于標識簽發(fā)證書的認證機構的名字。 有效期：指出該證書有效的起止日期時間。 主體名：證書需要證明的身份名。,一、數字證書概述,數字證書 主體公鑰信息：包含證書需要證明身份的公鑰，并包含了該公鑰的算法。 簽發(fā)者唯一標識：簽發(fā)者名字有可能重用，因此簽發(fā)者唯一標識符可以使證書簽發(fā)者區(qū)別出來。 主體唯一標識：主體名字有可能重用，因此主體唯一標識符可以使主體區(qū)別出來。 V3擴展：允許證書簽發(fā)者根據需要加入額外的信息。標準擴展由X.509定義，任何組織還可以定義私有擴展。,一、數字證書概述,數字簽名-解決”發(fā)送消息的不可否認性”,備注:網上交易等用途,一、數字證書概述,身份認證,提綱,一、數字證書

5、概述 二、證書服務器安裝 三、實驗12-1利用數字簽名加密簽名電子郵件 四、http和https概述 五、實驗12-2利用數字簽名加密Web網站,二、證書服務器安裝,安裝步驟,在“控制面板”中運行“添加或刪除程序”，切換到“添加/刪除Windows組件”頁。,二、證書服務器安裝,在“Windows組件向導”對話框中，選中“證書服務”選項，接下來選擇CA類型，這里選擇“獨立根CA”,安裝步驟,二、證書服務器安裝,為該CA服務器起個名字(本例中的名字為DefServer)，設置證書的有效期限，建議使用默認值“5年”即可，最后指定證書數據庫和證書數據庫日志的位置后，就完成了證書服務的安裝。,安裝步驟

6、,二、證書服務器安裝,安裝完成后，系統會自動在IIS的默認站點，建幾個虛擬目錄CertSrc,CertControl,CertEnroll,安裝步驟,提綱,一、數字證書概述 二、證書服務器安裝 三、實驗12-1利用數字簽名加密簽名電子郵件 四、http和https概述 五、實驗12-2利用數字簽名加密Web網站,三、實驗12-1利用數字簽名加密和簽名電子郵件,安全電子郵件 利用數字簽名加密電子郵件，保證電子郵件傳輸中的機密性，完整性和不可否認性，確保電子郵件通信的各方身份的真實性。 安全電子郵件證書包含證書持有者的電子郵件地址，公鑰及CA中心的簽名。,三、實驗12-1利用數字簽名加密和簽名

7、電子郵件,實驗要求 搭建第11章創(chuàng)建電子郵件環(huán)境，在虛擬機2上安裝數字證書服務，為用戶user1和user2在虛擬機1和虛擬機2上分別申請數字證書并安裝，并在OutLook中設置使用數字簽名簽名和加密電子郵件。,三、實驗12-1利用數字簽名加密和簽名電子郵件,實驗步驟: 完成第11章創(chuàng)建電子郵件環(huán)境,保證虛擬機2上pop3服務中有兩個帳戶user1和user2； 在虛擬機2上安裝證書服務器；(注意要用域管理員身份登錄到DEF域上,證書服務才能啟動!!) 在虛擬機1上為用戶申請數字證書，并安裝；,三、實驗12-1利用數字簽名加密和簽名電子郵件,3-1 運行IE瀏覽器，在地址欄中輸入“,三、實驗

8、12-1利用數字簽名加密和簽名電子郵件,3-2 接下來選擇“電子郵件證書“； 3-3 填寫相關信息 ；,三、實驗12-1利用數字簽名加密和簽名電子郵件,3-4 系統將處理您提交的申請，此過程可能要等待10秒鐘左右。,三、實驗12-1利用數字簽名加密和簽名電子郵件,3-5 打開“管理工具”選擇“證書頒發(fā)機構”，打開掛起的申請,右擊--頒發(fā),三、實驗12-1利用數字簽名加密和簽名電子郵件,3-6 運行Internet Explorer瀏覽器，在地址欄中輸入“http://證書服務器IP/CertSrv/default.asp”,選擇“查看掛起的證書申請狀態(tài)”； 3-7 找到自己申請的證書；

9、3-8 安裝證書,三、實驗12-1利用數字簽名加密和簽名電子郵件,3-9 安裝完成后，可到IE里查看剛剛安裝好的證書。,三、實驗12-1利用數字簽名加密和簽名電子郵件,實驗步驟 在虛擬機1上OutLook中創(chuàng)建帳戶，并綁定剛才安裝的數字證書user1。,三、實驗12-1利用數字簽名加密和簽名電子郵件,實驗步驟 在虛擬機2上為用戶申請數字證書，并安裝； 在虛擬機2上OutLook中創(chuàng)建帳戶，并綁定數字證書。,三、實驗12-1利用數字簽名加密和簽名電子郵件,測試 在虛擬機1上用帳戶向發(fā)送電子郵件“測試1”，郵件用數字證書簽名，在虛擬機2上接收,觀察結果； 在虛擬機1上用帳戶向發(fā)送電子郵件“測試2”

10、，郵件用數字證書簽名，在真實機上創(chuàng)建帳戶，并接收郵件，觀察結果,比較與測試1的不同,為什么?,三、實驗12-1利用數字簽名加密和簽名電子郵件,測試 在虛擬機1上用帳戶向發(fā)送電子郵件“測試3”，郵件選擇加密，在虛擬機2上接受,觀察結果； 在虛擬機2上用帳戶向發(fā)送電子郵件“測試4”，郵件選擇加密，在虛擬機1上接收,觀察結果,比較與測試3的不同,為什么? 在虛擬機1上用帳戶向發(fā)送電子郵件“測試5”，郵件選擇加密，在真實機上接收,觀察結果.,提綱,一、數字證書概述 二、證書服務器安裝 三、實驗12-1利用數字簽名加密簽名電子郵件 四、http和https概述 五、實驗12-2利用數字簽名加密Web網站

11、,四、http和https概述,http 默認情況下所使用的HTTP是沒有任何加密措施的,所有的消息都是以明文形式在網絡上傳送,惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得用戶和服務器之間的通信內容.,四、http和https概述,https SSL( Security Socket Layer,安全套接層)安全機制使用數字證書。建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且使用URL資源定位器時，輸入https://而不是http://。,四、http和https概述,SSL SSL是工作在HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保

12、所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰的基礎上的，任何用戶都可以獲得公共密鑰來加密數據，但解密數據必須要通過相應的私人密鑰。使用SSL安全機制時，首先客戶端與服務器建立連接，服務器把它的數字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網絡上傳遞給服務器，而會話密鑰只有在服務器端用私人密鑰才能解密，這樣，客戶端和服務器就建立了一個唯一的安全通道。,提綱,一、數字證書概述 二、證書服務器安裝 三、實驗12-1利用數字簽名加密簽名電子郵件 四、http和https概述 五、實驗12-2利用數字簽名加密Web網站,五、

13、實驗12-2利用數字簽名加密Web網站,申請服務器證書 獲取和安裝服務器證書 測試1 修改”要求客戶端證書” 申請Web瀏覽器證書 測試2,五、實驗12-2利用數字簽名加密Web網站,申請服務器證書 打開IIS瀏覽器，選擇down網站，打開屬性窗口，進入目錄安全性選項，選擇“服務器證書”；,申請服務器證書 打開IIS證書向導，選擇新建證書 ； 設置“名稱和安全性設置”,五、實驗12-2利用數字簽名加密Web網站,申請服務器證書 設置“公用名稱” 輸入證書請求文件名,五、實驗12-2利用數字簽名加密Web網站,申請服務器證書 提交證書申請文件 6-1 運行IE瀏覽器，在地址欄中輸入“ 6-2

14、選擇“高級證書申請”； 6-3 將“certreq.txt”文件內容復制到代碼窗口； 6-4 提交申請； 6-5 到證書服務器上頒布證書。,五、實驗12-2利用數字簽名加密Web網站,獲取和安裝服務器證書 運行IE瀏覽器，在地址欄中輸入“ 打開IIS信息管理器，選擇Down網站，打開屬性，選擇目錄安全性選項，打開IIS證書向導，按步驟完成安裝；,五、實驗12-2利用數字簽名加密Web網站,獲取和安裝服務器證書 打開IIS管理器Down網站屬性窗口，進入目錄安全性選項，點擊通信安全中的編輯選項，選中“要求安全通道”選項。,五、實驗12-2利用數字簽名加密Web網站,測試1 運行IE瀏覽器，在地

15、址欄中輸入，觀察運行結果； 運行IE瀏覽器，在地址欄中輸入，觀察運行結果。,五、實驗12-2利用數字簽名加密Web網站,修改”要求客戶端證書” 打開IIS管理器Down網站屬性窗口，進入目錄安全性選項，點擊通信安全中的編輯選項，選中“要求安全通道”選項，并選擇“要求客戶端證書”。 測試： 運行IE瀏覽器，在地址欄中輸入，觀察運行結果。,五、實驗12-2利用數字簽名加密Web網站,申請Web瀏覽器證書 運行IE瀏覽器，在地址欄中輸入“ 選擇申請“Web瀏覽器證書”； 填寫相關信息； 提交申請； 到證書服務器上頒布證書； 獲取證書并安裝。,五、實驗12-2利用數字簽名加密Web網站,測試2 運行IE瀏覽器，在地址欄中輸入，觀察運行結果； 運行IE瀏覽器，在地址欄中輸入，觀察運行結果。,五、實驗12-2利用數字簽名加密Web網站,