項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全

項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全2024/3/29項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全隨著電商時代的到來，人們在享用Interne帶來的好處時,形式多樣的安全威脅也越來越突出,保護傳送數(shù)據(jù)的需求也越來越強烈。在今天的Internet上,最常見的安全是通過使用數(shù)字證書實現(xiàn)的。數(shù)字證書可以在一個不信任的網(wǎng)絡(luò)上辨識一個客戶和服務(wù)器,并且可以加密數(shù)據(jù)的傳輸。項目背景項目14使用PKI和證書實現(xiàn)傳輸安全項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全項目14使用PKI和證書實現(xiàn)傳輸安全知識目標了解：PKI的概念，數(shù)字證書的作用和意義熟悉：證書的發(fā)放過程,企業(yè)CA的管理掌握：證書服務(wù)的安裝,在Web服務(wù)器上設(shè)置SSL,數(shù)字證書的申請、安裝及導入導出的過程能力目標能進行證書服務(wù)的安裝,能在Web服務(wù)器上設(shè)置SSL。會申請、安裝、導入和導出免費個人數(shù)字證書。會用證書和outlookExpress軟件對電子郵件進行數(shù)字簽名和數(shù)據(jù)加密教學目標項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)結(jié)構(gòu))是指在分布式計算環(huán)境中,根據(jù)公開密鑰理論及算法,使用公鑰加密、數(shù)字簽名、數(shù)字證書等技術(shù)來確保網(wǎng)上信息的傳輸安全并負責驗證證書持有者身份的一種安全服務(wù)體系。典型的PKI體系應(yīng)該包括以下四個組件:①公鑰加密技術(shù)②數(shù)字證書:用于用戶的身份驗證③證書頒發(fā)機構(gòu)(CA):CA是一個可信任的實體,負責發(fā)布、更新和吊銷證書④注冊機構(gòu)(RA):RA擁有接受用戶的請求等功能14.2.1認識PKI(公鑰基礎(chǔ)結(jié)構(gòu))項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備PKI體系能夠?qū)崿F(xiàn)的功能有:①身份驗證:確認用戶的身份標識。②數(shù)據(jù)完整性:是指數(shù)據(jù)在傳輸過程中不能被非法篡改。③數(shù)據(jù)機密性:是指數(shù)據(jù)在傳輸過程中,不能被非授權(quán)者偷看。④數(shù)據(jù)的有效性:是指數(shù)據(jù)不能被否認。操作的不可否認性。14.2.1認識PKI(公鑰基礎(chǔ)結(jié)構(gòu))項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備1．對稱密鑰加密技術(shù)(傳統(tǒng)加密技術(shù))加密變換使用的密鑰和解密變換使用的密鑰相同優(yōu)點：具有密鑰較短,加密效率高,系統(tǒng)開銷小,加解密速度快,適合于大規(guī)模和大流量數(shù)據(jù)加密等。不足：收發(fā)雙方都使用相同密鑰,安全性得不到保證。密鑰的維護量大管理困難,使用成本較高。14.2.2信息加密技術(shù)及分類項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備2．非對稱密鑰加密技術(shù)(公鑰加密技術(shù))加密密鑰和解密密鑰不是同一個優(yōu)點：密鑰管理很簡單不足：加解密速度較慢,不適應(yīng)大數(shù)據(jù)量加解密作業(yè)。根據(jù)兩種密鑰使用的先后順序的不同,非對稱加密技術(shù)分為數(shù)據(jù)加密和數(shù)字簽名。14.2.2信息加密技術(shù)及分類項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備(1)數(shù)據(jù)加密(先用公鑰加密后用私鑰解密)傳輸數(shù)據(jù)時,發(fā)送方使用接收方的公鑰加密數(shù)據(jù),并將它傳送。當接收方收到數(shù)據(jù)后,使用自己的私鑰解密這些數(shù)據(jù)。數(shù)據(jù)加密確保只有預(yù)期的接收者才能解密和查看原始數(shù)據(jù),從而提供了發(fā)送數(shù)據(jù)的機密性。但是數(shù)據(jù)加密不能保證身份驗證、不可否認和完整性。14.2.2信息加密技術(shù)及分類項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備

(2)數(shù)字簽名(先用私鑰加密后用公鑰解密)數(shù)字簽名是通過一個單向函數(shù)對要傳送的報文進行處理得到的,用以認證信息來源并核實信息是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名可以用來驗證信息是否確實是由發(fā)送方發(fā)送來的(即身份驗證),還可以確認信息在發(fā)送過程中是否被篡改。14.2.2信息加密技術(shù)及分類項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備RSA簽名的過程：①發(fā)送方對報文采用Hash算法生成一個128位的散列值(報文摘要)；②發(fā)送方用加密算法和自己的私鑰對這個散列值進行加密,產(chǎn)生一個摘要密文,這就是發(fā)送方的數(shù)字簽名；14.2.2信息加密技術(shù)及分類項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備RSA簽名的過程：③將這個加密后的數(shù)字簽名作為報文的附件和報文一起發(fā)送給接收方:④接收方從接收到的原始報文中采用相同的摘要算法計算出128位的散列值；⑤報文的接收方用解密算法和發(fā)送方的公鑰對報文附加的數(shù)字簽名進行解密；⑥如果兩個散列值相同,那么接收方就能確認報文是由發(fā)送方簽名的。14.2.2信息加密技術(shù)及分類項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備發(fā)件人使用的公鑰和私鑰、收件人使用的公鑰均來源于證書服務(wù),證書是密鑰的載體并由權(quán)威機構(gòu)頒發(fā)。由權(quán)威機構(gòu)頒發(fā)的包含了公鑰信息的電子文檔稱為數(shù)字證書(簡稱證書),CA(CertificateAuthority,證書頒發(fā)機構(gòu))。頒發(fā)數(shù)字證書的權(quán)威機構(gòu)就稱為CA14.2.3證書及證書頒發(fā)機構(gòu)(CA)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備1.數(shù)字證書的內(nèi)容及類型數(shù)字證書的格式及內(nèi)容:證書的版本信息:v1、v2、v3;證書的序列號:每個證書都有一個唯一的證書序列號;證書所使用的簽名算法:CA簽發(fā)該證書所使用的密碼算法的標識符；證書的發(fā)行機構(gòu)名稱；證書的有效期:是一個時間區(qū)間,包括證書有效期的起始時間和終止時間;證書所有者的名稱；證書所有者的公開密鑰:用來標識證書持有者公鑰和相應(yīng)的公鑰算法;證書發(fā)行者對證書的簽名。14.2.3證書及證書頒發(fā)機構(gòu)(CA)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備2.CA的體系結(jié)構(gòu)及作用證書類型:個人數(shù)字證書單位數(shù)字證書單位員工數(shù)字證書服務(wù)器證書VPN證書WAP證書代碼簽名證書表單簽名證書。14.2.3證書及證書頒發(fā)機構(gòu)(CA)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目知識準備2.CA的體系結(jié)構(gòu)及作用一個完整的證書認證系統(tǒng)中,CA分為不同的層次,各層CA按其隸屬關(guān)系形成一棵樹型結(jié)構(gòu),如圖12-5所示。14.2.3證書及證書頒發(fā)機構(gòu)(CA)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.2

項目實施項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.3

項目實施由于證書申請要通過IIS提交,需先安裝IIS的Web服務(wù)組件，再安裝證書服務(wù)組件。任務(wù)14-1證書服務(wù)器的安裝項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.3

項目實施1．為使用SSL安全機制的Web網(wǎng)站創(chuàng)建證書申請文件任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)步驟1:在事先已安裝的另一臺Web服務(wù)器→右擊要使用SSL的網(wǎng)站(如“迅達公司網(wǎng)站”)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全2．CA服務(wù)器配置為HTTPS任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全3．在Web服務(wù)器上向CA服務(wù)器提交證書申請任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全4．在CA服務(wù)器向Web服務(wù)器頒發(fā)證書任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全5．在Web服務(wù)器上下載、安裝CA服務(wù)器頒發(fā)的證書任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全6．使用HTTPS協(xié)議訪問網(wǎng)站任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全7．證書的導出與導入●導出證書的步驟如下:任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全7．證書的導出與導入●導入證書的步驟如下:任務(wù)14-2使用證書實現(xiàn)SSLWeb服務(wù)項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全14.3

項目實施任務(wù)14-3使用證書實現(xiàn)郵件簽名和加密1．數(shù)字證書的申請與下載下面以中國數(shù)字認證網(wǎng)提供的免費證書為例,說明證書申請、下載和安裝的步驟如下:步驟1:進入中國數(shù)字認證網(wǎng)()主頁→下載根證書項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全1．數(shù)字證書的申請與下載安裝根證書在中國數(shù)字認證網(wǎng)注冊會員申請、下載、安裝證書查看導入的證書任務(wù)14-3使用證書實現(xiàn)郵件簽名和加密項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全2．在OutlookExpress中設(shè)置郵箱賬號登錄、設(shè)置QQ郵箱任務(wù)14-3使用證書實現(xiàn)郵件簽名和加密項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全2．在OutlookExpress中設(shè)置郵箱賬號在OutlookExpress設(shè)置郵箱帳號任務(wù)14-3使用證書實現(xiàn)郵件簽名和加密項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全3．在OutlookExpress中設(shè)置數(shù)字證書任務(wù)14-3使用證書實現(xiàn)郵件簽名和加密項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全4．用OutlookExpress發(fā)送、接收數(shù)字簽名郵件任務(wù)14-3使用證書實現(xiàn)郵件簽名和加密項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全5．用OutlookExpress發(fā)送、接收加密郵件任務(wù)14-3使用證書實現(xiàn)郵件簽名和加密項目14使用PKI和證書服務(wù)實現(xiàn)傳輸安全項目14使用PKI與證