實(shí)訓(xùn)指導(dǎo)2.2利用數(shù)字證書保護(hù)通信

國家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施學(xué)習(xí)情境2：實(shí)訓(xùn)任務(wù)2.2利用CA數(shù)字證書保護(hù)通信內(nèi)容介紹

任務(wù)場景及描述1任務(wù)相關(guān)工具軟件介紹2任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評價5任務(wù)總結(jié)6任務(wù)場景及描述任務(wù)相關(guān)工具軟件介紹VMWareWorkstation——虛擬單機(jī)實(shí)現(xiàn)Windows2003CA組件——CA服務(wù)器Windows2003IIS組件——WEB服務(wù)器IE瀏覽器——客戶端任務(wù)相關(guān)工具軟件介紹使用兩臺虛擬機(jī)2003系統(tǒng)分別作為：CA服務(wù)器IIS的WEB服務(wù)器物理機(jī)為IE客戶任務(wù)設(shè)計(jì)、規(guī)劃任務(wù)設(shè)計(jì)、規(guī)劃商家（WEB網(wǎng)站）客戶（IE瀏覽器）CA數(shù)字證書服務(wù)器互聯(lián)網(wǎng)BCA任務(wù)設(shè)計(jì)、規(guī)劃任務(wù)布置：學(xué)生可分為3人一組，學(xué)生機(jī)通過局域網(wǎng)互聯(lián)完成實(shí)驗(yàn)。以下圖為例，在A主機(jī)上安裝CA服務(wù)器；在C主機(jī)上安裝IIS并設(shè)置WEB服務(wù)；B主機(jī)做為瀏覽器。B主機(jī)-IE瀏覽器客戶A主機(jī)-微軟CA數(shù)字證書服務(wù)器C主機(jī)-基于IIS的WWW服務(wù)器IP：IP：商家（WEB網(wǎng)站）客戶（IE瀏覽器）任務(wù)實(shí)施及方法技巧1、證書服務(wù)器安裝與配置證書服務(wù)器或稱密鑰服務(wù)器，是允許用戶提交和獲取數(shù)字證書的數(shù)據(jù)庫。證書服務(wù)器通常提供一些管理特性，使單個公司可以維護(hù)自己的安全策略--比如，只允許符合特定要求的密鑰進(jìn)入服務(wù)器存儲。公鑰基礎(chǔ)(PublicKeyInfrastructures--PKI)PKI包含證書服務(wù)器的證書存儲功能，還提供證書管理能力(發(fā)布，回收，存儲，獲取和認(rèn)證證書)。PKI的主要特性是引入了所謂的認(rèn)證權(quán)威(CertificationAuthority--CA)，這是由人組成的實(shí)體--個人，團(tuán)體，部門，公司或其他協(xié)會--該組織有權(quán)向計(jì)算機(jī)用戶發(fā)布證書。(CA的角色類似于國家政府頒發(fā)護(hù)照的部門)。CA創(chuàng)建證書并在上面用自己的私鑰進(jìn)行數(shù)字簽名。由于CA在創(chuàng)建證書過程中的角色很重要，因此它是PKI的核心。使用CA的公鑰，想要驗(yàn)證證書真實(shí)性的任何人只要校驗(yàn)CA的數(shù)字簽名就能確定證書內(nèi)容的完整性和真實(shí)性(更為重要的是確認(rèn)了證書持有者的公鑰和身份)。（注：在安裝CA前要先安裝IIS）任務(wù)實(shí)施及方法技巧（1）基于Windows2003Server建立CA認(rèn)證中心（在A主機(jī)上完成）選擇開始-控制面板-添加刪除程序-添加刪除Windows組件：提示安裝證書服務(wù)后不能改變計(jì)算機(jī)名了，選擇是后，有四種類型的證書頒發(fā)機(jī)構(gòu)，如果本機(jī)是活動目錄，則都可選擇，如果不是則只有后兩項(xiàng)可以選擇，即獨(dú)立的根CA（CA體系中最受信任的CA。不需要ActiveDirectory。）和獨(dú)立的從屬CA（標(biāo)準(zhǔn)CA可以給任何用戶或計(jì)算機(jī)頒發(fā)證書。必須從另一個CA獲取CA證書。不需要ActiveDirectory。）這里選擇獨(dú)立的根CA。任務(wù)實(shí)施及方法技巧

接下來要求輸入CA機(jī)構(gòu)的一些信息。這些都是CA的真實(shí)信息，要得到申請者的確信。然后，會給出證書數(shù)據(jù)庫與日志的存放位置設(shè)置，默認(rèn)為C:\WINNT\system32\CertLog，系統(tǒng)目錄下。開始復(fù)制數(shù)據(jù)，要求提供WIN2000安裝文件或光盤。放入光盤或指定好位置后就可以完成CA服務(wù)的安裝了。證書的申請要通過IIS以WEB形式完成。安裝完成后會在IIS中建立兩個虛擬目錄CertControl和CertEnroll用于證書的申請與管理。

現(xiàn)在可以選擇開始-程序-管理工具-證書頒發(fā)機(jī)構(gòu)，可以查看是否有證書的申請，即待發(fā)證書，也可以對證書進(jìn)行吊銷等管理了。任務(wù)實(shí)施及方法技巧（2）數(shù)字證書的申請和簽發(fā)步驟：①申請者向某CA申請數(shù)字證書后，下載并安裝該CA的“自簽名證書”或更高級的CA向該CA簽發(fā)的數(shù)字證書，驗(yàn)證CA身份的真實(shí)性。②申請者的計(jì)算機(jī)隨機(jī)產(chǎn)生一對公私密鑰。③申請者把私鑰留下，把公鑰和申請明文用CA的公鑰加密，發(fā)送給CA。④CA受理證書申請并核實(shí)申請者提交的信息.⑤CA用自己的私鑰對頒發(fā)的數(shù)字證書進(jìn)行數(shù)字簽名，并發(fā)送給申請者。⑥經(jīng)CA簽名過的數(shù)字證書安裝在申請方的計(jì)算機(jī)上?？蓞⒁姾竺鎴D所示過程（注：CA的IP地址為，則證書申請的URL為：/Certsrv）CA認(rèn)證中心商家（WEB網(wǎng)站）客戶（IE瀏覽器）任務(wù)實(shí)施及方法技巧申請客戶證書驗(yàn)證并發(fā)放客戶證書申請服務(wù)器證書驗(yàn)證并發(fā)放服務(wù)器證書任務(wù)實(shí)施及方法技巧2、商家WEB服務(wù)器申請CA證書（在C主機(jī)上完成）（1）生成服務(wù)申請證書的文件，在IIS服務(wù)器中的WEB站點(diǎn)上右鍵屬性，目錄安全性，中選擇安全通信，服務(wù)器證書，然后下一步，在出現(xiàn)的下一個窗口中選擇“創(chuàng)建一個新證書”，下一步后出現(xiàn)，現(xiàn)在準(zhǔn)備請求…，依次選擇下一步，輸入證書名、密鑰位數(shù)、組織信息、公用名、地理信息、最后會生成一個請求文件名，默認(rèn)為：c:\certreq.txt，也可修改。任務(wù)實(shí)施及方法技巧（2）通過IE瀏覽器申請證書（在C主機(jī)上完成）在商家WEB服務(wù)器的IE瀏覽器中輸入CA服務(wù)器的URL：/Certsrv在出現(xiàn)的選擇項(xiàng)中選擇申請證書后點(diǎn)下一步。在出現(xiàn)的窗口中選擇高級申請，因?yàn)橐暾埖氖荳EB服務(wù)器證書。任務(wù)實(shí)施及方法技巧

下一步后，接下來選擇：“使用base64編碼的PKCS#10文件提交一個證書申請，或使用base64編碼的PKCS#7文件更新證書申請。”后下一步。然后選擇窗口中的瀏覽，如果出現(xiàn)提示警告，則是因?yàn)檫@里是一個ActiveX控件，IE默認(rèn)級別為中級，不允許運(yùn)行ActiveX控件，這里選擇IE右鍵屬性，在安全中把Internet的安全級別中的ActiveX設(shè)置為啟用即可。再次選擇窗口中的瀏覽，則會出現(xiàn)路徑選擇：c:\certreq.exe找到后選擇讀取。如下圖所示，點(diǎn)提交后會出現(xiàn)證書掛起，等待CA頒發(fā)。這里可通知CA服務(wù)器管理員進(jìn)行信息核實(shí)后頒發(fā)證書。任務(wù)實(shí)施及方法技巧（3）CA中心頒發(fā)證書（在A主機(jī)上完成）這時在CA的服務(wù)器上打開，CA中心證書頒發(fā)機(jī)構(gòu)。選擇待定證書，會發(fā)現(xiàn)剛才的申請，右鍵選擇所有任務(wù)中的頒發(fā)即可。任務(wù)實(shí)施及方法技巧（4）通過IE瀏覽器下載并保存證書（在C主機(jī)上完成）此時商家計(jì)算機(jī)可以通過IE瀏覽器打開申請證書時的URL：/Certsrv在窗口中選擇“檢查掛起證書”。選擇下載證書到本地計(jì)算機(jī)。（5）在IIS服務(wù)WEB站點(diǎn)上安裝此證書（在C主機(jī)上完成）再次進(jìn)入，IIS服務(wù)器中的WEB站點(diǎn)上右鍵屬性，目錄安全性中選擇安全通信，服務(wù)器證書，會發(fā)現(xiàn)有所變化。選擇處理掛起的請求并安裝證書，并找到剛才下載的證書并安裝。任務(wù)實(shí)施及方法技巧3．客戶IE瀏覽器端申請CA證書（在B主機(jī)上完成）此步驟可參考服務(wù)器端?；臼侨缦逻^程，區(qū)別是不用在IIS上生成請求文件了：（1）通過IE瀏覽器申請證書，申請時要選擇WEB瀏覽器證書。（2）CA中心頒如證書。（3）通過IE瀏覽器下載并保存證書，或選擇安裝即可。如果成功安裝了證書會在IE瀏覽器的選項(xiàng)中的內(nèi)容下的證書中看到證書的相關(guān)信息。任務(wù)實(shí)施及方法技巧1、數(shù)字證書的驗(yàn)證過程(以B、C雙方進(jìn)行安全通信時B驗(yàn)證A的數(shù)字證書為例)：①B要求C出示數(shù)字證書。②C將自己的數(shù)字證書發(fā)送給B。③B首先驗(yàn)證簽發(fā)該證書的CA是否合法。④B用CA的公鑰解密A證書的數(shù)字簽名，得到C證書的數(shù)字摘要。⑤B用摘要算法對C的證書明文制作數(shù)字摘要。⑥B將兩個數(shù)字摘要進(jìn)行對比。如相同，則說明C的數(shù)字證書合法。CA認(rèn)證中心C-商家（WEB網(wǎng)站）B-客戶（IE瀏覽器）任務(wù)實(shí)施及方法技巧客戶要求商家出示數(shù)字證書商家將自己的數(shù)字證書發(fā)送給客戶CA認(rèn)證中心C-商家（WEB網(wǎng)站）B-客戶（IE瀏覽器）任務(wù)實(shí)施及方法技巧客戶要求商家出示數(shù)字證書商家將自己的數(shù)字證書發(fā)送給客戶客戶首先驗(yàn)證簽發(fā)該證書的CA是否合法任務(wù)實(shí)施及方法技巧2、測試在數(shù)字證書保護(hù)下通信的安全性以B訪問C進(jìn)行安全通信為例：此時在B主機(jī)的瀏覽器中輸入：https//，就可以實(shí)現(xiàn)通過安全的HTTPS協(xié)議進(jìn)行網(wǎng)站的訪問了。此時可以利用Snifferpro進(jìn)行捕獲分析，可以在B或C主機(jī)上完成檢查工作。任務(wù)檢查與評價任務(wù)檢查與評價：能夠正確安裝CA服務(wù)器能夠正確在IIS的WEB服務(wù)器上申請并安裝WEB服務(wù)自己的數(shù)字證書和CA的自簽名證書能夠正確在IE瀏覽器中安裝CA的自簽名證書，以信任此CA測試HTTPS安全通信所采用的SSL協(xié)議，端口號為443，基于TCP協(xié)議傳輸任務(wù)檢查與評價任務(wù)評價：本部分內(nèi)容是在PGP應(yīng)用的基礎(chǔ)上的又一個實(shí)際應(yīng)用的實(shí)例，這個工作任務(wù)建議是由課外完成的，要求達(dá)到的目標(biāo)是：能夠建立CA服務(wù)器，學(xué)會數(shù)字證書操作的整個流程，理解HTTPS安全協(xié)議。任務(wù)2.2知識技能要點(diǎn)測評表序號測評要點(diǎn)具體目標(biāo)測評權(quán)重1知識理解理解數(shù)字證書的原理及工作流程202工具及軟件使用能正確安裝配置CA服務(wù)器，為客戶及服務(wù)器頒發(fā)數(shù)字證書，并能正確安裝證書。103任務(wù)實(shí)施能夠采用正確的方法對數(shù)字證書的保護(hù)措施進(jìn)行檢查，并能說明查驗(yàn)過程中的各步驟理論依據(jù)。204專業(yè)能力提升能對CA及PKI的實(shí)現(xiàn)有深入理解205方法能力提升利用學(xué)習(xí)資源自主進(jìn)行深入學(xué)習(xí)206社會能力提升通過小組合作分析協(xié)議結(jié)構(gòu)，提升表達(dá)、