電大?？啤毒W(wǎng)絡(luò)應(yīng)用服務(wù)管理》網(wǎng)絡(luò)核心課實訓(xùn)5配置數(shù)字證書服務(wù)試題及答案

1、電大?？凭W(wǎng)絡(luò)應(yīng)用服務(wù)管理網(wǎng)絡(luò)核心課實訓(xùn)5配置數(shù)字證書服務(wù)試題及答案形考任務(wù)5實訓(xùn)5配置數(shù)字證書服務(wù)試題及答案假設(shè)你是一家公司的網(wǎng)站管理員，需要你完成以下工作：1. 在DC上部署企業(yè)根CA。2. 發(fā)布證書申請網(wǎng)站。3. 在Serverl上創(chuàng)建基于SSL的網(wǎng)站。實驗?zāi)康?. 了解PKI體系2. 了解用戶進(jìn)行證書申請和CA頒發(fā)證書過程3. 掌握證書服務(wù)的安裝及配置方法4. 掌握使用數(shù)字證書配置安全站點的方法實驗原理PKI簡介PKI是Public Key Infrastructure的縮寫，通常譯為公鑰基礎(chǔ)設(shè)施。PKI通過延伸到用戶的接口為各種網(wǎng)絡(luò)應(yīng)用提 供安全服務(wù)，包括身份認(rèn)證、識別、數(shù)字簽名、加密

2、等。一方面PKI對網(wǎng)絡(luò)應(yīng)用提供廣泛而開放的支撐；另一方面, PKI系統(tǒng)的設(shè)計、開發(fā)、生產(chǎn)及管理都可以獨(dú)立進(jìn)行，不需要考慮應(yīng)用的特殊性。PKI的主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下 方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的完整性、機(jī)密性、不可否認(rèn)性。PKI組件PKI主要包括=人證中心CA=、=注冊機(jī)構(gòu)RA=、=證書服務(wù)器=、=證書庫=、=時間服務(wù)器= 和=PKI策略=等。CA用于倉ij建和發(fā)布證書，還負(fù)責(zé)維護(hù)和發(fā)布證書廢除列表CRL。根CA證書，是一種特殊的證書，它使用CA自己 的私鑰對自己的信息和公鑰進(jìn)行簽名。RA負(fù)責(zé)申請者的

3、登記和初始鑒別，在PKI體系結(jié)構(gòu)中起承上啟下的作用，一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過來的 證書申清請求，另一方面向LDAP （輕量目錄訪問協(xié)議）服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤消列 表。證書服務(wù)器負(fù)責(zé)根據(jù)注冊過程中提供的信息生成證書的機(jī)器或服務(wù)。證書庫是發(fā)布證書的地方，提供證書的分發(fā)機(jī)制。到證書庫訪問可以得到希望與之通信的實體的公鑰和查詢最新的 CRL。它一般采用LDAP目錄訪問協(xié)議，其格式符合X.500標(biāo)準(zhǔn)。時間服務(wù)器：提供單調(diào)增加的精確的時間源，并且安全的傳輸時間戳，對時間戳簽名以驗證可信時間值的發(fā)布者。PKI安全策略建立和定義了一個組織信息安全方而的指導(dǎo)方針，同時也定義了

4、密碼系統(tǒng)使用的處理方法和原則。它包 括一個組織怎樣處理密鑰和有價值的信息，根據(jù)風(fēng)險的級別定義安全控制的級別。一般情況下，在PKI中有兩種類型的策略:1. 證書策略。用于管理證書的使用，比如，可以確認(rèn)某一 CA是在Internet 的公有CA,還是某一企業(yè)內(nèi)部的私 有CA；2. CPS （Certificate Practice Statement證書操作管理規(guī)范）?，F(xiàn)在為防止CPS泄露太多的信息，準(zhǔn)備使用一種 新的文件類型，即PKI信息披露規(guī)范PDSo數(shù)字證書應(yīng)用1. 數(shù)據(jù)加密：數(shù)字證書技術(shù)利用一對互相匹配的密鑰進(jìn)行加密、解密。當(dāng)你申請證書的時候，會得到一個私鑰和一個 數(shù)字證書，數(shù)字證書中包含

5、一個公鑰。2. 數(shù)字簽名。3.web應(yīng)用：為了透明地解決Web的安全問題，在兩個實體進(jìn)行通信之前，先要建立SSL連接，以此實現(xiàn)對應(yīng)用 層透明的安全通信。SSL是一個=介于應(yīng)用層和傳輸層之間=的可選層，它在TCP之上建立了一個安全通道，提供基于證書的認(rèn)證, 信息完整性和數(shù)據(jù)保密性。SSL協(xié)議已在Internet上得到廣泛的應(yīng)用。4.5.安全電子郵件：目前發(fā)展很快的安全電子郵件協(xié)議是S/MIME,這是一個允許發(fā)送加密和有簽名郵件的協(xié)議。該 協(xié)議的實現(xiàn)也需要依賴于PKI技術(shù)。6.實驗內(nèi)容無認(rèn)證捕獲到的web通信是明文數(shù)據(jù)。5 - iuXI* AfflD g|u ：r fa aBunAa occrgi

6、，*，000EIlhm4 OQOCSFUAUl TH feet IE e ATK fW 1”.1網(wǎng)KT* Umms T443(SYN)Seq154179L000C29-3394C4172.16.0.101000C29-CC887F172.16.0.91TCP:Port4431059(SYNACK )Seq 13|口曰2000C29-CC887F 172.16.0.91000C29-3394C4172.16.0.101TCP:Port1059=443(ACK)Seq15417915捎nnnr?Q-rrAR7FTrp-Pnvfinw(krvpnw雙向認(rèn)證客戶端也需要登錄CA服務(wù)頁面，申請證書、下載安裝證書鏈，再次訪問。思考題1. 如果用戶將根證書刪除，用戶證書是否