項目14 使用PKI和證書服務實現(xiàn)傳輸安全

Windows

Server2008網(wǎng)絡組建項目化教程課程標準(教學大綱)教學設計方案(教案)PPT電子課件教材習題參考答案模擬試卷及參考答案(4套)IT認證+全國技能大賽資料知識拓展&網(wǎng)絡工程解決主編：夏笠芹方頌

“十二五”職業(yè)教育國家規(guī)劃教材選題立項

教材附帶的光盤資源隨著電商時代的到來，人們在享用Interne帶來的好處時,形式多樣的安全威脅也越來越突出,保護傳送數(shù)據(jù)的需求也越來越強烈。在今天的Internet上,最常見的安全是通過使用數(shù)字證書實現(xiàn)的。數(shù)字證書可以在一個不信任的網(wǎng)絡上辨識一個客戶和服務器,并且可以加密數(shù)據(jù)的傳輸。項目背景項目14使用PKI和證書實現(xiàn)傳輸安全項目14使用PKI和證書實現(xiàn)傳輸安全知識目標了解：PKI的概念，數(shù)字證書的作用和意義熟悉：證書的發(fā)放過程,企業(yè)CA的管理掌握：證書服務的安裝,在Web服務器上設置SSL,數(shù)字證書的申請、安裝及導入導出的過程能力目標能進行證書服務的安裝,能在Web服務器上設置SSL。會申請、安裝、導入和導出免費個人數(shù)字證書。會用證書和outlookExpress軟件對電子郵件進行數(shù)字簽名和數(shù)據(jù)加密教學目標14.2

項目知識準備PKI(PublicKeyInfrastructure,公鑰基礎結構)是指在分布式計算環(huán)境中,根據(jù)公開密鑰理論及算法,使用公鑰加密、數(shù)字簽名、數(shù)字證書等技術來確保網(wǎng)上信息的傳輸安全并負責驗證證書持有者身份的一種安全服務體系。典型的PKI體系應該包括以下四個組件:①公鑰加密技術②數(shù)字證書:用于用戶的身份驗證③證書頒發(fā)機構(CA):CA是一個可信任的實體,負責發(fā)布、更新和吊銷證書④注冊機構(RA):RA擁有接受用戶的請求等功能14.2.1認識PKI(公鑰基礎結構)14.2

項目知識準備PKI體系能夠實現(xiàn)的功能有:①身份驗證:確認用戶的身份標識。②數(shù)據(jù)完整性:是指數(shù)據(jù)在傳輸過程中不能被非法篡改。③數(shù)據(jù)機密性:是指數(shù)據(jù)在傳輸過程中,不能被非授權者偷看。④數(shù)據(jù)的有效性:是指數(shù)據(jù)不能被否認。操作的不可否認性。14.2.1認識PKI(公鑰基礎結構)14.2

項目知識準備1．對稱密鑰加密技術(傳統(tǒng)加密技術)加密變換使用的密鑰和解密變換使用的密鑰相同優(yōu)點：具有密鑰較短,加密效率高,系統(tǒng)開銷小,加解密速度快,適合于大規(guī)模和大流量數(shù)據(jù)加密等。不足：收發(fā)雙方都使用相同密鑰,安全性得不到保證。密鑰的維護量大管理困難,使用成本較高。14.2.2信息加密技術及分類14.2

項目知識準備2．非對稱密鑰加密技術(公鑰加密技術)加密密鑰和解密密鑰不是同一個優(yōu)點：密鑰管理很簡單不足：加解密速度較慢,不適應大數(shù)據(jù)量加解密作業(yè)。根據(jù)兩種密鑰使用的先后順序的不同,非對稱加密技術分為數(shù)據(jù)加密和數(shù)字簽名。14.2.2信息加密技術及分類14.2

項目知識準備(1)數(shù)據(jù)加密(先用公鑰加密后用私鑰解密)傳輸數(shù)據(jù)時,發(fā)送方使用接收方的公鑰加密數(shù)據(jù),并將它傳送。當接收方收到數(shù)據(jù)后,使用自己的私鑰解密這些數(shù)據(jù)。數(shù)據(jù)加密確保只有預期的接收者才能解密和查看原始數(shù)據(jù),從而提供了發(fā)送數(shù)據(jù)的機密性。但是數(shù)據(jù)加密不能保證身份驗證、不可否認和完整性。14.2.2信息加密技術及分類14.2

項目知識準備

(2)數(shù)字簽名(先用私鑰加密后用公鑰解密)數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理得到的,用以認證信息來源并核實信息是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名可以用來驗證信息是否確實是由發(fā)送方發(fā)送來的(即身份驗證),還可以確認信息在發(fā)送過程中是否被篡改。14.2.2信息加密技術及分類14.2

項目知識準備RSA簽名的過程：①發(fā)送方對報文采用Hash算法生成一個128位的散列值(報文摘要)；②發(fā)送方用加密算法和自己的私鑰對這個散列值進行加密,產(chǎn)生一個摘要密文,這就是發(fā)送方的數(shù)字簽名；14.2.2信息加密技術及分類14.2

項目知識準備RSA簽名的過程：③將這個加密后的數(shù)字簽名作為報文的附件和報文一起發(fā)送給接收方:④接收方從接收到的原始報文中采用相同的摘要算法計算出128位的散列值；⑤報文的接收方用解密算法和發(fā)送方的公鑰對報文附加的數(shù)字簽名進行解密；⑥如果兩個散列值相同,那么接收方就能確認報文是由發(fā)送方簽名的。14.2.2信息加密技術及分類14.2

項目知識準備發(fā)件人使用的公鑰和私鑰、收件人使用的公鑰均來源于證書服務,證書是密鑰的載體并由權威機構頒發(fā)。由權威機構頒發(fā)的包含了公鑰信息的電子文檔稱為數(shù)字證書(簡稱證書),CA(CertificateAuthority,證書頒發(fā)機構)。頒發(fā)數(shù)字證書的權威機構就稱為CA14.2.3證書及證書頒發(fā)機構(CA)14.2

項目知識準備1.數(shù)字證書的內(nèi)容及類型數(shù)字證書的格式及內(nèi)容:證書的版本信息:v1、v2、v3;證書的序列號:每個證書都有一個唯一的證書序列號;證書所使用的簽名算法:CA簽發(fā)該證書所使用的密碼算法的標識符；證書的發(fā)行機構名稱；證書的有效期:是一個時間區(qū)間,包括證書有效期的起始時間和終止時間;證書所有者的名稱；證書所有者的公開密鑰:用來標識證書持有者公鑰和相應的公鑰算法;證書發(fā)行者對證書的簽名。14.2.3證書及證書頒發(fā)機構(CA)14.2

項目知識準備2.CA的體系結構及作用證書類型:個人數(shù)字證書單位數(shù)字證書單位員工數(shù)字證書服務器證書VPN證書WAP證書代碼簽名證書表單簽名證書。14.2.3證書及證書頒發(fā)機構(CA)14.2

項目知識準備2.CA的體系結構及作用一個完整的證書認證系統(tǒng)中,CA分為不同的層次,各層CA按其隸屬關系形成一棵樹型結構,如圖12-5所示。14.2.3證書及證書頒發(fā)機構(CA)14.2

項目實施14.3

項目實施由于證書申請要通過IIS提交,需先安裝IIS的Web服務組件，再安裝證書服務組件。任務14-1證書服務器的安裝14.3

項目實施1．為使用SSL安全機制的Web網(wǎng)站創(chuàng)建證書申請文件任務14-2使用證書實現(xiàn)SSLWeb服務步驟1:在事先已安裝的另一臺Web服務器→右擊要使用SSL的網(wǎng)站(如“迅達公司網(wǎng)站”)2．CA服務器配置為HTTPS任務14-2使用證書實現(xiàn)SSLWeb服務3．在Web服務器上向CA服務器提交證書申請任務14-2使用證書實現(xiàn)SSLWeb服務4．在CA服務器向Web服務器頒發(fā)證書任務14-2使用證書實現(xiàn)SSLWeb服務5．在Web服務器上下載、安裝CA服務器頒發(fā)的證書任務14-2使用證書實現(xiàn)SSLWeb服務6．使用HTTPS協(xié)議訪問網(wǎng)站任務14-2使用證書實現(xiàn)SSLWeb服務7．證書的導出與導入●導出證書的步驟如下:任務14-2使用證書實現(xiàn)SSLWeb服務7．證書的導出與導入●導入證書的步驟如下:任務14-2使用證書實現(xiàn)SSLWeb服務14.3

項目實施任務14-3使用證書實現(xiàn)郵件簽名和加密1．數(shù)字證書的申請與下載下面以中國數(shù)字認證網(wǎng)提供的免費證書為例,說明證書申請、下載和安裝的步驟如下:步驟1:進入中國數(shù)字認證網(wǎng)()主頁→下載根證書1．數(shù)字證書的申請與下載安裝根證書在中國數(shù)字認證網(wǎng)注冊會員申請、下載、安裝證書查看導入的證書任務14-3使用證書實現(xiàn)郵件簽名和加密2．在OutlookExpress中設置郵箱賬號登錄、設置QQ郵箱任務14-3使用證書實現(xiàn)郵件簽名和加密2．在OutlookExpress中設置郵箱賬號在OutlookExpress設置郵箱帳號任務14-3使用證書實現(xiàn)郵件簽名和加密3．在OutlookExpress中設置數(shù)字證書任務14-3使用證書實現(xiàn)郵件簽名和加密4．用OutlookExpress發(fā)送、接收數(shù)字簽名郵件任務14-3使用證書實現(xiàn)郵件簽名和加密5．用OutlookExpress發(fā)送、接收加密郵件任務14-3使用證書實現(xiàn)郵件簽名和加密項目14使用PKI與證書服務實現(xiàn)傳輸安全項目知識準備認識PKI(公鑰基礎結構