win2003CA服务 数字证书 电子邮件保护课件.ppt

Certification Authority服务 网络安全与数字证书 网络安全与数字证书 数字证书和公钥加密技术 原理 CA的架构 用户申请电子邮件数字证书 安装pop3服务器 验证电子邮件数字证书 对于一个安全的网络，至少要具有以下三个特性： 机密性：机密性是指信息仅能够被授权的用户得到，没有被授权的用户不能得到这一信息，为了保证数据的机密性，通常是对数据进行加密。即使数据被非授权用户拦截或窃听，也无法在信息有效的时间内进行破解。 身份认证：验证通信参与者的身份与其所申明的是一致的，确保通信参与者不是冒名顶替。身份认证也可以防止数据的发送者否认曾经发送过某一数据。 完整性：确保收到的信息在传递的过程中没有被修改、插入、删除等。 单一密钥技术 公钥加密技术 数字签名 数字证书 所谓的数字证书和我们的个人身份证是类似的 数字证书原理如图，采用的是公钥机制， 数字证书 数字证书 数据的必威体育官网网址性:加密 数据的完整性:数字签名 身份鉴别:数字证书和数字签名 不可否认性:数字签名 PKI PKI（Public Key Infrastructure，公钥结构）是一个完整的颁发、吊销、管理数字证书的一个系统。 安装脚本 安装脚本步骤: 1.Internet Explorer (6.0) 从顶部的菜单中选择 工具 。 选择 Internet 选项 。 点击 安全 标签。 点击 自定义级别 。 向下滚动，直至看到标有 脚本 的部分。 在 活动脚本 下，选择 启用 并点击 确定 。 独立CA安装与证书申请 独立CA安装与证书申请 独立CA安装与证书申请 向独立CA申请数字证书 向独立CA申请数字证书 向独立CA申请数字证书 向独立CA申请数字证书 向独立CA申请数字证书 向独立CA申请数字证书 电子邮件保护证书的使用举例 构建pop3服务器的设置 安装POP3服务器 选择验证方法 建立E-mail域 建立电子信箱 在outlook上建立帐户 配置POP3服务器 配置POP3服务器 配置Outlook Express 配置Outlook Express 配置Outlook Express 配置Outlook Express 配置Outlook Express 配置Outlook Express 电子邮件保护证书的使用举例 用户A向CA申请一个电子邮件保护的证书，注意申请时邮件的地址为aa@ 用户A创建一发送给1@ 的新邮件，邮件创建完毕后；单击工具栏“签名”按钮表示要对邮件进行签名 电子邮件保护证书的使用举例 电子邮件保护证书的使用举例 用户B接收到电子邮件 证书应用二－SSL站点 证书应用二－SSL站点 用户在浏览其输入https://servername /page.html ，表示要和web服务器建立SSL连接； Web站点收到请求后，向用户传递自己的数字证书，证书中有Web站点的公钥； 客户端的浏览器和Web服务器开始协商当前会话的安全等级等与安全相关的要素，该协商可以不需要加密； Web客户端根据协商的结果产生一会话密钥，然后用Web服务器的公钥对会话密钥进行加密，把加密后的会话密钥传输给Web服务器，由于该会话密钥只有Web服务器才能解出，因此可以在互联网中安全地传输该会话密钥； 构建SSL网站 在网站上建立证书申请文件 将申请文件传送到独立CA并下载证书文件 安装证书与启用SSL 建立与网站之间的SSL连接 构建SSL网站 首先用Internet信息服务（IIS）管理器建立一新的站点 在IIS管理器中，右击创建的网站，选择“属性”菜单，打开网站的属性窗口，选择“目录安全性”选项卡 构建SSL网站 构建SSL网站 选择如何获得服务器证书，如果已经申请了服务器证书，可以从文件或备份中导入，也可以选择立即从CA申请一个证书。我们这里选择新建证书，单击“下一步” 构建SSL网站 构建SSL网站 输入站点公共名称，注意公共名应为Web服务器的域名，这里的域名应和Web客户浏览网站时输入的链接相同，否则会提示SSL站点不可靠 构建SSL网站 构建SSL网站 将申请文件传送到独立CA并下载证书文件 http://CA计算机名称/certsrv 申请一个证书 高级证书申请 使用base64 将在iis中的申请文件certreq.txt拷贝到证书申请，提交 CA计算机颁发证书 将申请文件传送到独立CA并下载证书文件 8.iis服务器下载证书 9.默认网站－属性－目录安全性－服务器证书 10.默认网站－属性－目录安全性－编辑 要求安全通道 http://CA计算机名称/certsrv 申请一个证书－高级证书申请 使用base64 将在iis中的申请文件certreq.txt拷