第9章 证书服务器.ppt

《第9章 证书服务器.ppt》由会员分享，可在线阅读，更多相关《第9章 证书服务器.ppt（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 第9章证书服务器与网络安全应用主编：姚华婷2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材本章学习导航本章学习导航本章学习导航本章学习导航 2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材本章学习要点本章学习要点（1）公钥基础结构公钥基础结构概述概述（2）证书服务器证书服务器组建与管理组建与管理（3）SSL网络安全应用网络安全应用（4）S/MIME安全电子邮件安全电子邮件 建议课时：建议课时：4课时课时2022/12/20高高 职职 高高

2、 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.1 9.1 公钥基础结构概述公钥基础结构概述 l 网络通信和电子交易的安全需求网络通信和电子交易的安全需求n 信息保密信息传输的机密性，防止未授权用户访问，内容不会被未授权的第三方所知n 身份验证确认对方的身份n 抗否认信息的不可抵赖性，确保发送方不能否认已发送的信息，要承担相应的责任n 完整性控制保证信息传输时不被修改、破坏，不能被未授权的第三方篡改或伪造网络安全需求网络安全需求2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教

3、材材9.1 9.1 公钥基础结构概述公钥基础结构概述 l 对称加密模式对称加密模式 l 非对称加密模式非对称加密模式公钥加密技术公钥加密技术2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.1 9.1 公钥基础结构概述公钥基础结构概述 l 公钥基础结构概念公钥基础结构概念n 一套基于公钥加密技术，为电子商务、电子政务等提供安全服务的技术和规范n 主要目的是通过自动管理密钥和数字证书，为用户建立起一个安全的网络运行环境l 以以PKI为为基基础础的安全的安全应应用用n 基于SSL（安全套接字层）的网络安全服务n 基于S

4、ET的电子交易系统n 基于S/MIME的安全电子邮件n 用于认证的智能卡n 软件的代码签名认证n 虚拟专用网的安全认证什么是公钥基础结构什么是公钥基础结构2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.1 9.1 公钥基础结构概述公钥基础结构概述 l 数字证书概念数字证书概念n PKI的一种密钥管理媒介（实际上是一种权威性的电子文档）n 由一对密钥（公钥和私钥）及用户信息等数据共同组成n 在网络中充当一种身份证，用于证明某一实体的身份n 数字证书格式一般采用X.509国际标准n 数字证书采用公钥密码机制，用一对互

5、相匹配的密钥进行加解密n 数字证书是由权威公正的第三方机构即认证中心签发数字证书数字证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.1 9.1 公钥基础结构概述公钥基础结构概述 l 数字数字证书类型型n 服务器身份证书n 计算机证书n 个人证书n 安全电子邮件证书n 企业证书n 代码签名证书数字证书数字证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.1 9.1 公钥基础结构概述公钥基础结构概述 l 证书颁发机构概念机构概念n

6、 专 门负责数字证书的发放和管理，以保证数字证书的真实可靠的第三方机构l 证书颁发机构职能证书颁发机构职能n 证书颁发、证书更新、证书吊销、证书和证书吊销列表（CRL）的公布、证书状态的在线查询、证书认证l 证书颁发机构证书发放方式证书颁发机构证书发放方式n 在线发放n 离线发放 证书颁发机构证书颁发机构2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.1 9.1 公钥基础结构概述公钥基础结构概述 l 分分层证书颁发体系体系n 根CA是证书颁发体系中第一个证书颁发机构，是所有信任的起源n CA层次不要太多，最多3到

7、4层 证书颁发机构证书颁发机构2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 规划划证书颁发机构机构n 面向企业内网的所有用户或计算机颁发证书，应选择企业CA，前提是要建立Active Directoryn 面向Internet，应选择独立CAn 企业内网如果没有部署Active Directory，可选择独立CAn 选择好CA类型后还要规划层次机构部署部署Windows Server 2003Windows Server 2003证书服务器证书服务器

8、2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 安装安装证书服服务组件件n 安装之前应确认计算机名称和域成员身份n Web注册必须依赖IIS组件，最好在证书服务器上安装IIS组件n 使用“添加或删除程序”工具启动证书服务安装向导进行安装部署部署Windows Server 2003Windows Server 2003证书服务器证书服务器2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品

9、教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 安装安装证书服服务组件件部署部署Windows Server 2003Windows Server 2003证书服务器证书服务器2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 证书颁发机构控制台机构控制台l 启启动或停止或停止证书颁发机构服机构服务管理证书颁发机构管理证书颁发机构2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会

10、会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 查看看证书颁发机构机构证书管理证书颁发机构管理证书颁发机构2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 设置置获取取证书吊吊销列表和列表和证书的位置的位置 管理证书颁发机构管理证书颁发机构2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器

11、的组建和管理 l 备份和份和还原原证书颁发机构机构n 证书颁发机构控制台提供了备份向导和还原向导n 备份和还原操作的目的是保护证书颁发机构及其可操作数据l 续订续订CA证书证书n CA永远不会颁发超出自己证书到期时间的证书n 当CA自身的证书达到其有效期时，它颁发的所有证书也将到期管理证书颁发机构管理证书颁发机构2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 查看已看已颁发的的证书l 审查颁发证书l 吊吊销证书n 通过证书吊销将还未过期的证书强制作废

12、管理证书颁发机构的证书管理证书颁发机构的证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 管理管理证书模版模版n 企业CA每一种证书模板代表一种用于特定目的的证书类型n 证书申请者只能根据其权限从企业CA提供的证书模板中进行选择管理证书颁发机构的证书管理证书颁发机构的证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和

13、管理 l 基于基于MMC的的证书管理管理单元元n 使用证书管理单元可以执行多种证书管理任务 管理客户端的证书管理客户端的证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 查验证书的有效性的有效性n 检查个人证书：个人证书必须获得与证书上的公钥对应的私钥n 检查受信任的根证书颁发机构管理客户端的证书管理客户端的证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2

14、 证书服务器的组建和管理证书服务器的组建和管理 l 自自动注册注册证书n 设置用于自动注册的证书模板注册证书注册证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 自自动注册注册证书n 设置用于自动注册证书的Active Directory组策略注册证书注册证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 使

15、用使用证书申申请向向导申申请证书n 只有客户端计算机作为域成员才能使用这种方式n 使用证书管理单元直接从企业CA获取证书注册证书注册证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 使用使用Web浏览器申器申请证书n 非域成员客户端。如没有加入域的Windows计算机n 需要通过NAT服务器来访问证书颁发机构的客户端计算机n 为多个不同用户申请证书n 需要特殊的定制功能，如将密钥标记为可导出、设置密钥长度、选择散列算法，或将申请保存到PKCS#10文

16、件等注册证书注册证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 使用使用Web浏览器申器申请证书注册证书注册证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.2 9.2 证书服务器的组建和管理证书服务器的组建和管理 l 使用使用Web浏览器申器申请证书注册证书注册证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会

17、会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l SSL协议n 一种建立在网络传输层TCP协议之上的安全协议标准n 采用公钥和私钥两种加密体制对服务器和客户端的通信提供保密性、数据完整性和认证SSLSSL协议简介协议简介2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l SSL安全功能安全功能n 客户端对服务器的身份确认n 服务器对客户的身份确认n 在服务器和客户之间建立安全的数据通道l SSL安全安全应用

18、用n 浏览器和服务器的验证、信息的完整性和保密性n Telnet、FTP、SMTP、POP3、NNTP等网络服务的安全n 客户端验证是可选的，有利于SSL的广泛使用SSLSSL协议简介协议简介2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l SSL网站安全目网站安全目标n 用户确认Web服务器（网站）的身份，防止假冒网站n 在Web服务器和用户之间建立安全的数据通道，确保安全地传输敏感数据，防止数据被第三方非法获取n 让Web服务器（网站）确认用户的

19、身份，防止假冒用户l SSL网站安全网站安全软件件n 大多数Web服务器软件都支持SSL，如微软的IIS、Apache、Sambarn 大多数Web浏览器软件都支持SSL 基于基于SSLSSL的安全网站解决方案的安全网站解决方案2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l SSL网站架网站架设的基本步的基本步骤n 从可信的证书颁发机构（CA）获取Web服务器证书n 在Web服务器上安装服务器证书n 在Web服务器上启用SSL功能n 如果要求对客户

20、端（浏览器端）进行身份验证，客户端需要申请和安装用户证书。如果不要求对客户端进行身份验证，客户端必须与Web服务器信任同一证书认证机构，需要安装CA证书Internet上有许多知名的第三方证书颁发机构，大都能够签发主流Web服务器的证书。自建的Windows Server 2003证书颁发机构也能颁发所需的证书。基于基于SSLSSL的安全网站解决方案的安全网站解决方案2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 注册并安装服注册并安装服务务器器证

21、书证书n 在IIS 6.0中获得、配置和更新服务器证书都可由Web服务器证书向导完成n 配置Web服务器证书的通用流程为：生成服务器证书请求文件向CA提交证书申请文件CA审查并颁发Web服务器获取Web服务器证书安装Web服务器证书n 例中直接向企业CA注册证书 在在IIS 6.0IIS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 注册并安装服注册并安装服务务器器证书证书n 启动Web服务器证书向导

22、在在IIS 6.0IIS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 注册并安装服注册并安装服务务器器证书证书n 运行Web服务器证书向导在在IIS 6.0IIS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用

23、l 注册并安装服注册并安装服务务器器证书证书n 设置SSL端口n 选择证书颁发机构在在IIS 6.0IIS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 注册并安装服注册并安装服务务器器证书证书n 成功安装Web服务器证书在在IIS 6.0IIS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精

24、品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 在在Web网站上启用网站上启用SSLn 设置SSL端口n 设置SSL安全通信选项在在IIS 6.0IIS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 在客在客户户端安装端安装CA证书证书n 服务器和浏览器两端要信任同一CAn 在客户端根证书存储区安装该证书颁发机构的CA证书链在在IIS 6.0IIS 6.0中建立中

25、建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 在客在客户户端安装端安装CA证书证书在在IIS 6.0IIS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.3 9.3 基于基于SSLSSL的网络安全应用的网络安全应用 l 测试测试基于基于SSL连连接的接的Web访问访问在在IIS 6.0I

26、IS 6.0中建立中建立SSLSSL安全网站安全网站2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 电子子邮件安全解决方案件安全解决方案n S/MIME：适合商业用途n PGP：适用于个人电子邮件安全服务l S/MIME安全规范安全规范n 依赖于安全电子邮件证书，能够实现电子邮件安全地发送和接收S/MIMES/MIME与安全电子邮件证书与安全电子邮件证书邮件的签名和验证 邮件的加密和解密 2022/12/20高高 职职 高高 专

27、专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 注册安全注册安全电子子邮件件证书n 申请安全电子邮件证书，电子邮件地址必须是使用安全邮件账户中的地址n 将证书安装到Outlook Express中配置安全电子邮件证书配置安全电子邮件证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 查验安全安全电子子邮

28、件件证书n 确认已安装的电子邮件证书具有安全电子邮件功能 配置安全电子邮件证书配置安全电子邮件证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 设置安全置安全邮件件账户配置安全电子邮件证书配置安全电子邮件证书2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 发送送

29、签名名邮件件n 只要具备自己的私钥，就可对邮件进行签名邮件的数字签名和验证邮件的数字签名和验证2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 验证签名名邮件件n 使用发件人的公钥即可验证该邮件发件人的身份邮件的加密和解密邮件的加密和解密2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安

30、全电子邮件应用 l 获取收件人的数字取收件人的数字标识n 必须获取收件人的公钥证书n 获取公钥的常用途径：让收件人发来带数字签名的邮件邮件的数字签名和验证邮件的数字签名和验证2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 发送加密送加密邮件件n 使用收件人的公钥对邮件进行加密邮件的加密和解密邮件的加密和解密2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材

31、材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 l 接收加密接收加密邮件并件并进行解密行解密n 收件人收到加密邮件后，使用自己的私钥解密邮件邮件的加密和解密邮件的加密和解密2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 邮件同时签名和加密邮件同时签名和加密对邮件同时进行签名和加密，这样既能验证身份，又能防止邮件被人篡改 2022/12/20高高 职职 高高 专专 计计 算算 机机 教教 育育 指指 导导 委委 员员 会会 精精 品品 教教 材材9.4 9.4 基于基于S/MIMES/MIME的安全电子邮件应用的安全电子邮件应用 OutlookOutlook的安全电子邮件设置的安全电子邮件设置