实训指导2.2利用数字证书保护通信剖析.ppt

专 业 务 实 学 以 致 用 计算机网络安全技术与实施 学习情境2：实训任务2.2 利用CA数字证书保护通信 内容介绍 任务场景及描述 1 任务相关工具软件介绍 2 任务设计、规划 3 任务实施及方法技巧 4 任务检查与评价 5 任务总结 6 任务场景及描述 任务相关工具软件介绍 VMWare Workstation——虚拟单机实现 Windows 2003 CA组件——CA服务器 Windows 2003 IIS组件——WEB服务器 IE浏览器——客户端 任务相关工具软件介绍 使用两台虚拟机2003系统分别作为： CA服务器 IIS的WEB服务器 物理机为IE客户 任务设计、规划 任务设计、规划 商家（WEB网站） 客户（IE浏览器） CA数字证书服务器 互联网 B C A 任务设计、规划 任务布置： 学生可分为3人一组，学生机通过局域网互联完成实验。以下图为例，在A主机上安装CA服务器；在C主机上安装IIS并设置WEB服务；B主机做为浏览器。 B主机-IE浏览器客户 A主机-微软CA 数字证书服务器 C主机-基于IIS的WWW服务器 IP： IP： 商家（WEB网站） 客户（IE浏览器） 任务实施及方法技巧 1、证书服务器安装与配置 证书服务器或称密钥服务器，是允许用户提交和获取数字证书的数据库。证书服务器通常提供一些管理特性，使单个公司可以维护自己的安全策略--比如，只允许符合特定要求的密钥进入服务器存储。 公钥基础(Public Key Infrastructures--PKI) PKI包含证书服务器的证书存储功能，还提供证书管理能力(发布， 回收，存储，获取和认证证书)。PKI的主要特性是引入了所谓的认证权威(Certification Authority--CA)，这是由人组成的实体--个人， 团体，部门，公司或其他协会--该组织有权向计算机用户发布证书。 (CA的角色类似于国家政府颁发护照的部门)。CA创建证书并在上面用自己的私钥进行数字签名。由于CA在创建证书过程中的角色很重要， 因此它是PKI的核心。使用CA的公钥，想要验证证书真实性的任何人只要校验CA的数字签名就能确定证书内容的完整性和真实性(更为重要的是确认了证书持有者的公钥和身份)。 （注：在安装CA前要先安装IIS） 任务实施及方法技巧 （1）基于Windows2003 Server 建立CA认证中心（在A主机上完成） 选择开始-控制面板-添加删除程序-添加删除Windows组件： 提示安装证书服务后不能改变计算机名了，选择是后，有四种类型的证书颁发机构，如果本机是活动目录，则都可选择，如果不是则只有后两项可以选择，即独立的根CA（CA 体系中最受信任的 CA。不需要 Active Directory。）和独立的从属CA（标准 CA 可以给任何用户或计算机颁发证书。必须从另一个 CA 获取 CA 证书。不需要 Active Directory。）这里选择独立的根CA。 任务实施及方法技巧 接下来要求输入CA机构的一些信息。这些都是CA的真实信息，要得到申请者的确信。 然后，会给出证书数据库与日志的存放位置设置，默认为C:\WINNT\system32\CertLog，系统目录下。开始复制数据，要求提供WIN2000安装文件或光盘。放入光盘或指定好位置后就可以完成CA服务的安装了。证书的申请要通过IIS以WEB形式完成。安装完成后会在IIS中建立两个虚拟目录CertControl和CertEnroll用于证书的申请与管理。 现在可以选择开始-程序-管理工具-证书颁发机构，可以查看是否有证书的申请，即待发证书，也可以对证书进行吊销等管理了。 任务实施及方法技巧 （2）数字证书的申请和签发步骤： ①申请者向某CA申请数字证书后，下载并安装该CA的“自签名证书”或更高级的CA向该CA签发的数字证书，验证CA身份的真实性。 ②申请者的计算机随机产生一对公私密钥。 ③申请者把私钥留下，把公钥和申请明文用CA的公钥加密，发送给CA。 ④CA受理证书申请并核实申请者提交的信息. ⑤CA用自己的私钥对颁发的数字证书进行数字签名，并发送给申请者。 ⑥经CA签名过的数字证书安装在申请方的计算机上。 可参见后面图所示过程 （注：CA的IP地址为，则证书申请的URL为：/Certsrv） CA认证中心 商家（WEB网站） 客户（IE浏览器） 任务实施及方法技巧 申请客户证书 验证并发放客户证书 申请服务器证书 验证并发放服务器证书 任务实施及方法技巧 2、商家WEB服务器申请CA证书（在C主机上完成） （1）生成服务申请证书的文件，在IIS服务器中的WEB站点上右键属性，目录安全性