《局域網(wǎng)12-證書服務(wù)器管理》由會(huì)員分享,可在線閱讀,更多相關(guān)《局域網(wǎng)12-證書服務(wù)器管理(51頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、局域網(wǎng) 服務(wù)器架設(shè)與管理,泰州職業(yè)技術(shù)學(xué)院電子工程系 計(jì)算機(jī)專業(yè)教研室 08-09-1,第12講 證書服務(wù)器配置與管理,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,一、數(shù)字證書概述,網(wǎng)絡(luò)安全問題 密碼學(xué)原理 公共密鑰加密 CA( Certification authority )認(rèn)證中心 數(shù)字證書 數(shù)字簽名-解決”
2、發(fā)送消息的不可否認(rèn)性” 身份認(rèn)證,一、數(shù)字證書概述,網(wǎng)絡(luò)安全問題 信息傳輸?shù)谋C苄?發(fā)送信息的不可否認(rèn)性 身份認(rèn)證,一、數(shù)字證書概述,密碼學(xué)原理 對(duì)稱密碼學(xué)(如DES) 加密密鑰KA解密密鑰KB 不對(duì)稱密碼學(xué)(如RSA) 加密密鑰KA解密密鑰KB,一、數(shù)字證書概述,公共密鑰加密,一、數(shù)字證書概述,公共密鑰加密,一、數(shù)字證書概述,在自然人交往中,信任是建立在過(guò)去交往的經(jīng)驗(yàn)基礎(chǔ)上的,受雙方的距離的限制。當(dāng)雙方距離很遠(yuǎn)時(shí),往往信任度就會(huì)降低導(dǎo)致不可信,這時(shí)往往可以引入第三方的概念,雙方都信任第三方,第三方也信任它的用戶,這時(shí)信任關(guān)系可以傳遞,導(dǎo)致雙方也互相信任。,CA,,,Alice,Bob,
3、說(shuō)明: 向下頒發(fā)證書; 表示實(shí)體證書;,,,一、數(shù)字證書概述,CA( Certification authority )認(rèn)證中心,一、數(shù)字證書概述,數(shù)字證書 數(shù)字證書是是一個(gè)經(jīng)證書認(rèn)證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的數(shù)據(jù)文件,提供了一種在Internet上驗(yàn)證身份的方式,用來(lái)在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份。,一、數(shù)字證書概述,數(shù)字證書 版本號(hào):用來(lái)指明該證書使用的是哪種版本的X.509格式,目前使用最廣的是第三版本,本論文也采用第三版本。 序列號(hào):證書簽發(fā)者為證書指派的區(qū)別于它頒發(fā)的其他證書的唯一序列號(hào)。 簽發(fā)者簽名算法:指明簽發(fā)CA頒發(fā)證書時(shí)使用的簽名算法。
4、簽發(fā)者:用于標(biāo)識(shí)簽發(fā)證書的認(rèn)證機(jī)構(gòu)的名字。 有效期:指出該證書有效的起止日期時(shí)間。 主體名:證書需要證明的身份名。,一、數(shù)字證書概述,數(shù)字證書 主體公鑰信息:包含證書需要證明身份的公鑰,并包含了該公鑰的算法。 簽發(fā)者唯一標(biāo)識(shí):簽發(fā)者名字有可能重用,因此簽發(fā)者唯一標(biāo)識(shí)符可以使證書簽發(fā)者區(qū)別出來(lái)。 主體唯一標(biāo)識(shí):主體名字有可能重用,因此主體唯一標(biāo)識(shí)符可以使主體區(qū)別出來(lái)。 V3擴(kuò)展:允許證書簽發(fā)者根據(jù)需要加入額外的信息。標(biāo)準(zhǔn)擴(kuò)展由X.509定義,任何組織還可以定義私有擴(kuò)展。,一、數(shù)字證書概述,數(shù)字簽名-解決”發(fā)送消息的不可否認(rèn)性”,備注:網(wǎng)上交易等用途,一、數(shù)字證書概述,身份認(rèn)證,提綱,一、數(shù)字證書
5、概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,二、證書服務(wù)器安裝,安裝步驟,在“控制面板”中運(yùn)行“添加或刪除程序”,切換到“添加/刪除Windows組件”頁(yè)。,二、證書服務(wù)器安裝,在“Windows組件向?qū)А睂?duì)話框中,選中“證書服務(wù)”選項(xiàng),接下來(lái)選擇CA類型,這里選擇“獨(dú)立根CA”,安裝步驟,二、證書服務(wù)器安裝,為該CA服務(wù)器起個(gè)名字(本例中的名字為DefServer),設(shè)置證書的有效期限,建議使用默認(rèn)值“5年”即可,最后指定證書數(shù)據(jù)庫(kù)和證書數(shù)據(jù)庫(kù)日志的位置后,就完成了證書服務(wù)的安裝。,安裝步驟
6、,二、證書服務(wù)器安裝,安裝完成后,系統(tǒng)會(huì)自動(dòng)在IIS的默認(rèn)站點(diǎn),建幾個(gè)虛擬目錄CertSrc,CertControl,CertEnroll,安裝步驟,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,安全電子郵件 利用數(shù)字簽名加密電子郵件,保證電子郵件傳輸中的機(jī)密性,完整性和不可否認(rèn)性,確保電子郵件通信的各方身份的真實(shí)性。 安全電子郵件證書包含證書持有者的電子郵件地址,公鑰及CA中心的簽名。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名
7、電子郵件,實(shí)驗(yàn)要求 搭建第11章創(chuàng)建電子郵件環(huán)境,在虛擬機(jī)2上安裝數(shù)字證書服務(wù),為用戶user1和user2在虛擬機(jī)1和虛擬機(jī)2上分別申請(qǐng)數(shù)字證書并安裝,并在OutLook中設(shè)置使用數(shù)字簽名簽名和加密電子郵件。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,實(shí)驗(yàn)步驟: 完成第11章創(chuàng)建電子郵件環(huán)境,保證虛擬機(jī)2上pop3服務(wù)中有兩個(gè)帳戶user1和user2; 在虛擬機(jī)2上安裝證書服務(wù)器;(注意要用域管理員身份登錄到DEF域上,證書服務(wù)才能啟動(dòng)!!) 在虛擬機(jī)1上為用戶申請(qǐng)數(shù)字證書,并安裝;,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-1 運(yùn)行IE瀏覽器,在地址欄中輸入“,三、實(shí)驗(yàn)
8、12-1利用數(shù)字簽名加密和簽名電子郵件,3-2 接下來(lái)選擇“電子郵件證書“; 3-3 填寫相關(guān)信息 ;,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-4 系統(tǒng)將處理您提交的申請(qǐng),此過(guò)程可能要等待10秒鐘左右。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-5 打開“管理工具”選擇“證書頒發(fā)機(jī)構(gòu)”,打開掛起的申請(qǐng),右擊--頒發(fā),三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-6 運(yùn)行Internet Explorer瀏覽器,在地址欄中輸入“http://證書服務(wù)器IP/CertSrv/default.asp”,選擇“查看掛起的證書申請(qǐng)狀態(tài)”; 3-7 找到自己申請(qǐng)的證書;
9、3-8 安裝證書,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,3-9 安裝完成后,可到IE里查看剛剛安裝好的證書。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,實(shí)驗(yàn)步驟 在虛擬機(jī)1上OutLook中創(chuàng)建帳戶,并綁定剛才安裝的數(shù)字證書user1。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,實(shí)驗(yàn)步驟 在虛擬機(jī)2上為用戶申請(qǐng)數(shù)字證書,并安裝; 在虛擬機(jī)2上OutLook中創(chuàng)建帳戶,并綁定數(shù)字證書。,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,測(cè)試 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試1”,郵件用數(shù)字證書簽名,在虛擬機(jī)2上接收,觀察結(jié)果; 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試2”
10、,郵件用數(shù)字證書簽名,在真實(shí)機(jī)上創(chuàng)建帳戶,并接收郵件,觀察結(jié)果,比較與測(cè)試1的不同,為什么?,三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密和簽名電子郵件,測(cè)試 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試3”,郵件選擇加密,在虛擬機(jī)2上接受,觀察結(jié)果; 在虛擬機(jī)2上用帳戶向發(fā)送電子郵件“測(cè)試4”,郵件選擇加密,在虛擬機(jī)1上接收,觀察結(jié)果,比較與測(cè)試3的不同,為什么? 在虛擬機(jī)1上用帳戶向發(fā)送電子郵件“測(cè)試5”,郵件選擇加密,在真實(shí)機(jī)上接收,觀察結(jié)果.,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站
11、,四、http和https概述,http 默認(rèn)情況下所使用的HTTP是沒有任何加密措施的,所有的消息都是以明文形式在網(wǎng)絡(luò)上傳送,惡意的攻擊者可以通過(guò)安裝監(jiān)聽程序來(lái)獲得用戶和服務(wù)器之間的通信內(nèi)容.,四、http和https概述,https SSL( Security Socket Layer,安全套接層)安全機(jī)制使用數(shù)字證書。建立了SSL安全機(jī)制后,只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信,并且使用URL資源定位器時(shí),輸入https://而不是http://。,四、http和https概述,SSL SSL是工作在HTTP層和TCP層之間,建立用戶與服務(wù)器之間的加密通信,確保
12、所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰的基礎(chǔ)上的,任何用戶都可以獲得公共密鑰來(lái)加密數(shù)據(jù),但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí),首先客戶端與服務(wù)器建立連接,服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端,客戶端隨機(jī)生成會(huì)話密鑰,用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密,并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器,而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密,這樣,客戶端和服務(wù)器就建立了一個(gè)唯一的安全通道。,提綱,一、數(shù)字證書概述 二、證書服務(wù)器安裝 三、實(shí)驗(yàn)12-1利用數(shù)字簽名加密簽名電子郵件 四、http和https概述 五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,五、
13、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 獲取和安裝服務(wù)器證書 測(cè)試1 修改”要求客戶端證書” 申請(qǐng)Web瀏覽器證書 測(cè)試2,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 打開IIS瀏覽器,選擇down網(wǎng)站,打開屬性窗口,進(jìn)入目錄安全性選項(xiàng),選擇“服務(wù)器證書”;,申請(qǐng)服務(wù)器證書 打開IIS證書向?qū)?,選擇新建證書 ; 設(shè)置“名稱和安全性設(shè)置”,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 設(shè)置“公用名稱” 輸入證書請(qǐng)求文件名,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)服務(wù)器證書 提交證書申請(qǐng)文件 6-1 運(yùn)行IE瀏覽器,在地址欄中輸入“ 6-2
14、選擇“高級(jí)證書申請(qǐng)”; 6-3 將“certreq.txt”文件內(nèi)容復(fù)制到代碼窗口; 6-4 提交申請(qǐng); 6-5 到證書服務(wù)器上頒布證書。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,獲取和安裝服務(wù)器證書 運(yùn)行IE瀏覽器,在地址欄中輸入“ 打開IIS信息管理器,選擇Down網(wǎng)站,打開屬性,選擇目錄安全性選項(xiàng),打開IIS證書向?qū)В床襟E完成安裝;,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,獲取和安裝服務(wù)器證書 打開IIS管理器Down網(wǎng)站屬性窗口,進(jìn)入目錄安全性選項(xiàng),點(diǎn)擊通信安全中的編輯選項(xiàng),選中“要求安全通道”選項(xiàng)。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,測(cè)試1 運(yùn)行IE瀏覽器,在地
15、址欄中輸入,觀察運(yùn)行結(jié)果; 運(yùn)行IE瀏覽器,在地址欄中輸入,觀察運(yùn)行結(jié)果。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,修改”要求客戶端證書” 打開IIS管理器Down網(wǎng)站屬性窗口,進(jìn)入目錄安全性選項(xiàng),點(diǎn)擊通信安全中的編輯選項(xiàng),選中“要求安全通道”選項(xiàng),并選擇“要求客戶端證書”。 測(cè)試: 運(yùn)行IE瀏覽器,在地址欄中輸入,觀察運(yùn)行結(jié)果。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,申請(qǐng)Web瀏覽器證書 運(yùn)行IE瀏覽器,在地址欄中輸入“ 選擇申請(qǐng)“Web瀏覽器證書”; 填寫相關(guān)信息; 提交申請(qǐng); 到證書服務(wù)器上頒布證書; 獲取證書并安裝。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,測(cè)試2 運(yùn)行IE瀏覽器,在地址欄中輸入,觀察運(yùn)行結(jié)果; 運(yùn)行IE瀏覽器,在地址欄中輸入,觀察運(yùn)行結(jié)果。,五、實(shí)驗(yàn)12-2利用數(shù)字簽名加密Web網(wǎng)站,