第二章 教委教材样本~21.doc

第11章 部署配置和管理SSL 本章概述 安全套接字层(SSL)保护着Internet上的数据传输，在很多场合企业依赖SSL验证服务器来保护重要的信息。在本章中讲解了，作为一个安全管理员，如何在Windows 2003网络中部署和管理SSL证书，并使用该协议保护Active Directory目录服务域控制器通信、数据查询和电子邮件。本章着重介绍如何使用SSL实现通信加密和Windows Server 2003 网络应用程序的完整性。域控制器上启用 SSLSQL Server 的计算机上启用 SSL 11.1安全套接字层（SSL）概述 11.2其他 SSL 应用程序 习题 习题1-对应知识（11.2.1） 习题2-对应知识（11.2.2） 习题3-对应知识（11.1.2） 教学指导手册包 新版幻灯片 教师光盘:/Powerpnt/2823A_11.ppt 多媒体视频 习题解答 先修知识 在正式开始学习本章内容以前，学生须具备下列知识基础。 知识基础 推荐补充 网络/china/windowsserver2003/sbs/evaluation/networking/default.mspx 网络常见协议的概念和使用 /china/technet/itsolutions/network/evaluate/technol/tcpipfund/tcpipfund.mspx Internet的使用和电子邮件服务 /technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/c04313a6-9a01-4508-9299-ee07809ecf0d.mspx?mfr=true 常见的网络服务 /technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/d75b5d27-96ad-45f0-8e57-59714ba94af3.mspx?mfr=true 建议学时 课堂教学2课时+实验教学1课时 教学过程 安全套接字层（SSL）概述 教学提示 ： 本节主要达到以下目的： 能够了解建立 SSL 会话的方法，这对于后续进行服务器安全配置非常重要。 根据企业需求确定 SSL 使用场景，同时掌握掌握 IPSec（IP Security IP，安全性）和 SSL 的区别 掌握如何配置了SSL，对于防火墙都需要进行哪些相关的更改。 教学内容 教学方法 教学提示 讲授： 本节在微软深层防御体系架构图中依然属于安全传输和主机加固这部分内容： 在SSL会话过程中，教师需要明确服务器证书和客户端证书之间的关系，强调SSL加密实际上就是利用相关证书加密中间传输的内容，当然也可以利用证书进行身份验证。 讲解课本：11.1.1 阅书：11.1.1 幻灯：第6页 注意： SSL会话的重要性，例如教师在访问正常使用SSL加密的网站之后取消IE浏览器对于SSL2.0 和3.0的支持就发现无法正常访问。 参考： 通常，证书包含以下信息： 主题的公钥值 主题标识符信息（如名称和电子邮件地址） 有效期（证书的有效时间） 颁发者标识符信息 颁发者的数字签名，用来证实主题的公钥和主题的标识符信息之间绑定关系的有效性 讲授： 由于前面第十章强调了IPSec 在安全传输中的重要性，所以这里需要对比SSL和IPSec 之间的区别，可以这么来说IPSec 的应用场合更加广泛，但是如果基于Web 的一些应用，那么我们推荐使用SSL，对于书中这句话：“不可能用 SSL 来加密两个主机间的所有通信.1.2 幻灯：第7页 参考： IPSec 在 IP 层（第 3 层）的战略实施启用高级保护，对于大多数应用程序、服务和高层协议是透明的。部署 IPSec 不要求对现有应用程序或操作系统进行更改，而策略可以在 Active Directory 中集中定义，也可在计算机本地管理。 第三层上实施的安全可为 TCP/IP 协议套件中所有的 IP 和高层协议（例如 TCP、UDP、ICMP 以及在 IP 层上发送通讯的自定义协议）提供保护。在较低层保护信息的主要好处是所有使用 IP 传输数据的应用程序和服务均可以通过 IPSec 得到保护，而不必修改这些应用程序和服务。 在第三层上操作的其他安全服务，如安全套接字层 (SSL)，仅为那些能使用 SSL 的应用程序（例如 Web 浏览器）提供保护。要对您的计算机上使用 SSL 的所有应用程序的通讯提供保护，必须修改每个应用程序。在第 3 层网络之下运行的安全服务（例如链路层加密）只对链路提供保护，而不必对数据路径上的所有链路提供保护。这就使得链路层加密无法适用于 In