9使用证书服务保护网络通信.ppt

* 教学提示： 颁发证书的基本步骤： 第一步，生成密钥：申请人生成公钥和密钥，或申请人机构中的某个颁发机构分配一对密钥，有点像我们申请户口。 第二步，收集所需信息：申请人收集并提供 CA 颁发证书所需的一切信息。CA 定位分为高、中、低三个层次。 第三步，申请证书：申请人向 CA 发送一个证书申请。 第四步，验证信息：CA 使用一个策略模块来处理申请人的证书申请。 第五步，创建证书：CA 创建一份数字文档并且用它自己的私钥签名。 第六步，发送或公布证书：在国外如果因为证书问题导致的相关经济损失会由CA进行相关赔偿的。 第七步，证书吊销。 * 教学参考： 证书是由CA颁发，CA是建立在层层认证的认证链的基础上。CA将认证链当成信任链，将层层证明的认证链认为是信任的推移。实际上信任和认证是两个不同概念。 认证的传递关系是成立的，举个例子A=B, B=C, 可以推导A=C，而在信任链上，传递性不一定成立，例如A信任B，B信任C，不能得出A一定信任C的结论。 信任好比是“血缘”关系，可以分为父子血缘，兄弟血缘，堂兄血缘，类推。 谁来颁发证书，就是CA(证书颁发机构)的等级。 * * 教学提示： Windows 2003 Server PKI安全机制 * 教学提示： 注意安装安装证书服务器前需要事先安装IIS组件。 掌握根证书和子CA证书服务器安装 。 了解企业根CA证书服务器和子CA证书服务器之间的区别，这对后续概念理解特别重要。 * 教学提示： 安装证书服务步骤： （1）选择 CA 类型 （2）设置高级属性 （3）输入确认信息 （4）指定数据库，日志文件以及共享文件夹 * 课堂演示： 演示证书申请和证书颁发的流程。 * 教学提示： 用户也可以通过“Web浏览器”申请和安装证书。 * * 参考答案： 课堂提问1： PKI提供对发送的信息加密及验证信息功能，确保用户能够在网络上安全传送信息。 课堂提问2：根CA 、从属CA 。 * 教学提示： 任务描述介绍了本任务的任务场景及任务完成的目标。 * 教学提示： 任务分析介绍了实现目标涉及的知识、技能点，以及任务的具体要求。 * 教学提示： 管理证书服务主要包括： （1）启动、停止证书服务 （2）备份、还原CA （3）导入、导出CA （4）吊销证书 * 教学提示： 教师演示证书备份与还原过程并解释相关知识。 * 教学提示： 通过命令 certsrv -z以诊断模式运行证书服务。 * 课堂演示： 演示如何还原，同时查看证书还原存放在哪里。 * 课堂演示： 演示如何吊销用户的申请，同时查看吊销后的证书存放在哪里。 * 课堂演示： 演示如何进行证书的导入和导出。 * 课堂演示： 演示如何发行证书吊销列表。 * 课堂演示： 演示如何下载证书吊销列表。 * 教学提示： CRL文件是被存放在CA的%systemroot%\system32\Certsrv\CertEnroll共享文件夹内，文件夹的共享名为CertEnroll，用户也可直接连接到此共享文件夹，然后下载CRL文件。 * 参考答案： 课堂提问1： 安装CA证书的服务器。 课堂提问2：使用事件日志查看器和服务器诊断模式验证服务器运行情况，也可以通过命令 certsrv -z以诊断模式运行证书服务。 项目9 使用证书服务保护网络通信 中国铁道出版社 任务回顾 [课堂提问1] PKI主要功能是什么？ 项目9 使用证书服务保护网络通信 [课堂提问2] CA等级有哪些？ 项目9 使用证书服务保护网络通信 中国铁道出版社 任务2 管理证书服务 任务描述 网坚公司员工因业务关系时常发生人员调动与更替，在某些情况下，用户操作不当或误操作可能造成证书信任关系损毁，因此，必须加强对证书进行管理和控制，确保证书安全和有效。 项目9 使用证书服务保护网络通信 中国铁道出版社 任务2 管理证书服务 任务分析 公司因业务和发展需求，时常发生员工调动与更新，新员工需要进行证书申请，对调离员工所持的证书可能需要吊销。在某些情况下，用户操作不当或误操作可能造成证书信任关系损毁，必须对证书进行必要地备份和恢复。通过Windows Server 2003 管理工具可以对证书进行管理和控制，确保证书安全和有效。 项目9 使用证书服务保护网络通信 中国铁道出版社 任务2 管理证书服务 管理证书服务需要满足以下要求： 服务器必须安装使用能够提供证书服务的Windows版本，如Windows Server 2003企业版（Enterprise）、标准版（Standard）等。 服务器的IP地址应是静态的，即IP地址、子网掩码、默认网关等TCP/IP属性均需手工设置。 管理证书服务需要具有系统管理员的权限。 项目9 使用证