局域网12-证书服务器管理.ppt

上传人：小飞机

文档编号：6276165

上传时间：2023-10-12

格式：PPT

页数：51

大小：637.50KB

《局域网12-证书服务器管理.ppt》由会员分享，可在线阅读，更多相关《局域网12-证书服务器管理.ppt（51页珍藏版）》请在三一办公上搜索。

1、局域网服务器架设与管理,泰州职业技术学院电子工程系计算机专业教研室 08-09-1,第12讲证书服务器配置与管理,提纲,一、数字证书概述二、证书服务器安装三、实验12-1利用数字签名加密签名电子邮件四、http和https概述五、实验12-2利用数字签名加密Web网站,提纲,一、数字证书概述二、证书服务器安装三、实验12-1利用数字签名加密签名电子邮件四、http和https概述五、实验12-2利用数字签名加密Web网站,一、数字证书概述,网络安全问题密码学原理公共密钥加密CA(Certification authority)认证中心数字证书数字签名-解决”发送消息的不可否认性”身份认证,

2、一、数字证书概述,网络安全问题信息传输的保密性发送信息的不可否认性身份认证,一、数字证书概述,密码学原理对称密码学(如DES)加密密钥KA解密密钥KB 不对称密码学(如RSA)加密密钥KA解密密钥KB,一、数字证书概述,公共密钥加密,一、数字证书概述,公共密钥加密,一、数字证书概述,在自然人交往中，信任是建立在过去交往的经验基础上的，受双方的距离的限制。当双方距离很远时，往往信任度就会降低导致不可信，这时往往可以引入第三方的概念，双方都信任第三方，第三方也信任它的用户，这时信任关系可以传递，导致双方也互相信任。,CA,Alice,Bob,说明:向下颁发证书;表示实体证书;,一、数字证书概述,C

3、A(Certification authority)认证中心,一、数字证书概述,数字证书数字证书是是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件，提供了一种在Internet上验证身份的方式，用来在网络通讯中识别通讯各方的身份。,一、数字证书概述,数字证书版本号：用来指明该证书使用的是哪种版本的X.509格式，目前使用最广的是第三版本，本论文也采用第三版本。序列号：证书签发者为证书指派的区别于它颁发的其他证书的唯一序列号。签发者签名算法：指明签发CA颁发证书时使用的签名算法。签发者：用于标识签发证书的认证机构的名字。有效期：指出该证书有效的起止日期时间。主

4、体名：证书需要证明的身份名。,一、数字证书概述,数字证书主体公钥信息：包含证书需要证明身份的公钥，并包含了该公钥的算法。签发者唯一标识：签发者名字有可能重用，因此签发者唯一标识符可以使证书签发者区别出来。主体唯一标识：主体名字有可能重用，因此主体唯一标识符可以使主体区别出来。V3扩展：允许证书签发者根据需要加入额外的信息。标准扩展由X.509定义，任何组织还可以定义私有扩展。,一、数字证书概述,数字签名-解决”发送消息的不可否认性”,备注:网上交易等用途,一、数字证书概述,身份认证,提纲,一、数字证书概述二、证书服务器安装三、实验12-1利用数字签名加密签名电子邮件四、http和https概述

5、五、实验12-2利用数字签名加密Web网站,二、证书服务器安装,安装步骤,在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页。,二、证书服务器安装,在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”,安装步骤,二、证书服务器安装,为该CA服务器起个名字(本例中的名字为DefServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。,安装步骤,二、证书服务器安装,安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,Cert

6、Control,CertEnroll,安装步骤,提纲,一、数字证书概述二、证书服务器安装三、实验12-1利用数字签名加密签名电子邮件四、http和https概述五、实验12-2利用数字签名加密Web网站,三、实验12-1利用数字签名加密和签名电子邮件,安全电子邮件利用数字签名加密电子邮件，保证电子邮件传输中的机密性，完整性和不可否认性，确保电子邮件通信的各方身份的真实性。安全电子邮件证书包含证书持有者的电子邮件地址，公钥及CA中心的签名。,三、实验12-1利用数字签名加密和签名电子邮件,实验要求搭建第11章创建电子邮件环境，在虚拟机2上安装数字证书服务，为用户user1和user2在虚拟机

7、1和虚拟机2上分别申请数字证书并安装，并在OutLook中设置使用数字签名签名和加密电子邮件。,三、实验12-1利用数字签名加密和签名电子邮件,实验步骤:完成第11章创建电子邮件环境,保证虚拟机2上pop3服务中有两个帐户user1和user2；在虚拟机2上安装证书服务器；(注意要用域管理员身份登录到DEF域上,证书服务才能启动!)在虚拟机1上为用户申请数字证书，并安装；,三、实验12-1利用数字签名加密和签名电子邮件,3-1 运行IE浏览器，在地址栏中输入“http:/。证书申请页面，输入相应的申请信息，然后点击申请一个证书；,三、实验12-1利用数字签名加密和签名电子邮件,3-2 接下来选

8、择“电子邮件证书“；3-3 填写相关信息；,三、实验12-1利用数字签名加密和签名电子邮件,3-4 系统将处理您提交的申请，此过程可能要等待10秒钟左右。,三、实验12-1利用数字签名加密和签名电子邮件,3-5 打开“管理工具”选择“证书颁发机构”，打开挂起的申请,右击-颁发,三、实验12-1利用数字签名加密和签名电子邮件,3-6 运行Internet Explorer浏览器，在地址栏中输入“http:/证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”；3-7 找到自己申请的证书；3-8 安装证书,三、实验12-1利用数字签名加密和签名电子邮件,3-9

9、安装完成后，可到IE里查看刚刚安装好的证书。,三、实验12-1利用数字签名加密和签名电子邮件,实验步骤在虚拟机1上OutLook中创建帐户，并绑定刚才安装的数字证书user1。,三、实验12-1利用数字签名加密和签名电子邮件,实验步骤在虚拟机2上为用户申请数字证书，并安装；在虚拟机2上OutLook中创建帐户，并绑定数字证书。,三、实验12-1利用数字签名加密和签名电子邮件,测试在虚拟机1上用帐户向发送电子邮件“测试1”，邮件用数字证书签名，在虚拟机2上接收,观察结果；在虚拟机1上用帐户向发送电子邮件“测试2”，邮件用数字证书签名，在真实机上创建帐户，并接收邮件，观察结果,比较与测试1的不同,

10、为什么?,三、实验12-1利用数字签名加密和签名电子邮件,测试在虚拟机1上用帐户向发送电子邮件“测试3”，邮件选择加密，在虚拟机2上接受,观察结果；在虚拟机2上用帐户向发送电子邮件“测试4”，邮件选择加密，在虚拟机1上接收,观察结果,比较与测试3的不同,为什么?在虚拟机1上用帐户向发送电子邮件“测试5”，邮件选择加密，在真实机上接收,观察结果.,提纲,一、数字证书概述二、证书服务器安装三、实验12-1利用数字签名加密签名电子邮件四、http和https概述五、实验12-2利用数字签名加密Web网站,四、http和https概述,http 默认情况下所使用的HTTP是没有任何加密措施的,所有的消

11、息都是以明文形式在网络上传送,恶意的攻击者可以通过安装监听程序来获得用户和服务器之间的通信内容.,四、http和https概述,https SSL(Security Socket Layer,安全套接层)安全机制使用数字证书。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且使用URL资源定位器时，输入https:/而不是http:/。,四、http和https概述,SSL SSL是工作在HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥的基础上的，任何用户都可以获得公共密钥来加密数据，但解密数

12、据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器就建立了一个唯一的安全通道。,提纲,一、数字证书概述二、证书服务器安装三、实验12-1利用数字签名加密签名电子邮件四、http和https概述五、实验12-2利用数字签名加密Web网站,五、实验12-2利用数字签名加密Web网站,申请服务器证书获取和安装服务器证书测试1 修改”要求客户端证书”申请Web

13、浏览器证书测试2,五、实验12-2利用数字签名加密Web网站,申请服务器证书打开IIS浏览器，选择down网站，打开属性窗口，进入目录安全性选项，选择“服务器证书”；,申请服务器证书打开IIS证书向导，选择新建证书；设置“名称和安全性设置”,五、实验12-2利用数字签名加密Web网站,申请服务器证书设置“公用名称”输入证书请求文件名,五、实验12-2利用数字签名加密Web网站,申请服务器证书提交证书申请文件 6-1 运行IE浏览器，在地址栏中输入“http:/。证书申请页面，输入相应的申请信息，然后点击申请一个证书；6-2 选择“高级证书申请”；6-3 将“certreq.txt”文

14、件内容复制到代码窗口；6-4 提交申请；6-5 到证书服务器上颁布证书。,五、实验12-2利用数字签名加密Web网站,获取和安装服务器证书运行IE浏览器，在地址栏中输入“http:/。证书申请页面，找到颁布的服务器证书并下载；打开IIS信息管理器，选择Down网站，打开属性，选择目录安全性选项，打开IIS证书向导，按步骤完成安装；,五、实验12-2利用数字签名加密Web网站,获取和安装服务器证书打开IIS管理器Down网站属性窗口，进入目录安全性选项，点击通信安全中的编辑选项，选中“要求安全通道”选项。,五、实验12-2利用数字签名加密Web网站,测试1 运行IE浏览器，在地址栏中输入ht

15、tp:/，观察运行结果；运行IE浏览器，在地址栏中输入https:/，观察运行结果。,五、实验12-2利用数字签名加密Web网站,修改”要求客户端证书”打开IIS管理器Down网站属性窗口，进入目录安全性选项，点击通信安全中的编辑选项，选中“要求安全通道”选项，并选择“要求客户端证书”。测试：运行IE浏览器，在地址栏中输入https:/，观察运行结果。,五、实验12-2利用数字签名加密Web网站,申请Web浏览器证书运行IE浏览器，在地址栏中输入“http:/。证书申请页面，输入相应的申请信息，然后点击申请一个证书；选择申请“Web浏览器证书”；填写相关信息；提交申请；到证书服务器上颁布证书；获取证书并安装。,五、实验12-2利用数字签名加密Web网站,测试2 运行IE浏览器，在地址栏中输入http:/，观察运行结果；运行IE浏览器，在地址栏中输入https:/，观察运行结果。,五、实验12-2利用数字签名加密Web网站,