15利用公共密钥基础结构配置网络安全性

samsung605
1 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1利用公共密钥基础结构配置网络安全性52153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/15-1概述•公共密钥基础结构PKI–PublicKeyInfrastructure•用于网络安全，保护数据•2000系统包括一个本机PKI–以充分利用2000安全性体系结构的优点2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/15-2初步介绍公共密钥基础结构（PKI）•2000PKI：加密和身份验证–包括智能卡验证、EFS、IPSec•对于电子商务和要求分布式安全性的方案来说：公共密码系统是至关重要的2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•公共密钥加密技术–被加密的数据：任意形式•电子邮件、信用卡数字、网络流量–使用公钥、私钥两个密钥•二者在数学上彼此相关联2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1公共密钥加密（数字信封）加密信息通过网络发送23A78Alice加密信息用Bob的公共密钥1Data3A78Bob解密信息用Bob的私有密钥3Data2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•密钥（key）–一个随机字符串与某种算法的联合应用–私钥：要保守机密–公钥：对所有潜在的响应者完全公开–在启用了PKI功能的程序中，密钥对用户来说通常是透明的。（如：EFS）2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1公共密钥身份验证（数字签名）信息通过网络发送2~*~*~*~Alice标记信息用Alice的私有密钥1~*~*~*~~*~*~*~Bob验证信息用Alice的公共密钥32153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•数字签名：验证发送者–如签署驱动程序•数字签名采用散列算法–保证：如果单个字节发生了变化，会生成完全不同的散列，使签名无效。•用于身份验证、完整性和防重发的的散列函数–MD5，128个二进制位的密钥–SHA，160个二进制位的密钥2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1补充材料：数字签名散列算法原理•发送方–签名信息，同时创建消息摘要–并用私钥加消息摘要•接收方–（公钥解密）消息摘要–再创建一个消息摘要–二者比较，以保证数据的完整性2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1发放该证书，用做PKI内的安全性凭证4计算机，用户，或者服务CA~*~*~*~CA接受一个证书请求1确认该请求者的信息2CA用自己的私有密钥对数字证书进行签名3认证中心CA证书中包含公共密钥和一组属性2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•认证中心CA–负责提供和指派加密密钥、解密密钥和身份验证–外部的CA和内部的CA•外：大型的商用CA•内：如2000证书服务–发放证书的过程（见前页动画）–收回证书•CA负责宣告证书的无效•发布“证书撤销清单”（CRL）2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1证书层次结构使用证书，必须有公共的信任点（CA）根CA，根本权威一般不用于向终端用户发放证书下层CA下层CA下层CA信任信任信任2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1Windows2000PKI域控制器DCSSL和IPSec证书服务发放和管理数字证书活动目录用于PKI的发布服务启用PKI功能的应用程序域用户计算机如：IE、IIS、Outlook2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•安全性协议–SSL：网景Netscape开发的协议•安全套接层SSL•用于在Internet通信中确保安全性和机密性•可用于客户机、服务器、客服的身份验证–IPSec：•用于在IP层支持安全的信息包交换•证书的用途–服务器身份验证，如电子商务中验证站点–客户机身份验证，如远程访问，智能卡–EFS、IPSec2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•企业根CA•企业子CA–只有企业管理员，才能安装企业CA用于企业内部：企业CA要求请求证书的用户和计算机在AD中有一个帐号•AD、DNS、身份：企业管理组•独立根CA•独立子CA用于企业之外：独立存在的CA不要求活动目录5-3部署证书服务2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1选择CA模型企业根CA在证书层次结构中是顶级CA，利用AD确定请求者的身份，通常只为下层CA发放证书独立根CA在证书层次结构中是顶级CA，不要求AD企业下层CA获得证书从其它CA，要求AD。不是最可信任的，但可只用于特定用途，如：电子邮件、WEB、智能卡验证独立下层CA获得证书从其它CA，不要求AD。需要父CA，如一个外部的商用CA2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1安装证书服务选择一个CA类型设置高级选项输入标识信息指定数据库和日志文件的位置安装“证书服务”：添加/删除程序2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1WindowsComponentsWizardCACertificateRequestRequestthecertificateforthisCAbysendingtherequestdirectlytoaparentCAorsavingtherequesttothefileandsendingthisfiletotheCA.SendtherequestdirectlytoaCAalreadyonthenetwork.Computername:ParentCA:Savetherequesttoafile:Requestfile:C:\CAConfig\PHOENIX_User1Browse…Browse…BackNextCancel创建下层CA：得到一个“证书请求”如果一个父CA联机如果一个父CA脱机，存入软盘2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•来自父CA的文件最低限度应该包含：–下层CA的证书和完全的认证路径–实验中：独立子CA•第一步：安装此CA证书路径•过程–子CA在安装“证书服务”时提出“证书请求”–父CA颁发证书•父的管理工具—CA—待处理的请求–子CA安装证书•子的管理工具—CA—安装证书–需指定父CA的计算机名2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1备份和还原证书服务CertificateAuthorityActionViewTreeNameCertificationAuthority(Local)RevokedCertificatesSaveCAcertificatesandconfigurationWin2153ACA所有任务ViewRefreshExportList….PropertiesHelp备份CA…StartService还原CA…RenewCACertificate…StopService用来启动CA备份/恢复向导2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•备份–推荐：CA作为系统状态的组成部分予以备份–利用管理工具—CA，备份•依赖于IIS的元数据库，应保证其完好•发出的证书越多，越应该及时备份2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1•请求证书：–“证书请求”向导（MMC—证书）•仅适用：从企业CA请求证书时•要求用户访问权力•利用证书模板向计算机发放证书•可利用公共密钥策略中的自动证书设置值–证书服务WEB页（MS的方向）•演示5-4利用证书2153A:实现Windows2000网络基础结构高培国际认证中心，版权所有，不得用于其它培训目的。2019/10/1查看证书ConsoleRoot\Certificates–CurrentUesr\TrustedRootCertificationAuthor…ConsoleWindowHelpActionViewFavoritesTreeFavoritesConsoleRootCertificates–CurrentUserPersonalTrustedRootCertificatesCertificatesEnterpriseTrustIntermediateCertificationAuthoriActiveDirectoryUserObjectIssuedToIssuedByEquifaxSecureeBusines…EquifaxSecureeBusinessCA-2EquifaxSecureGlobaleB…EquifaxSecureGlobaleBusinessEUnetInternationalRoot…EUnetInternationalRootCAFESTE,PublicNotaryCertsFESTE,PublicNotaryCertsFESTE,VerifiedCertsFESTE,VerifiedCertsFirstDataDigitalCertific…FirstDataDigitalCertificatesInc.FNMTClass2CAFNMTClass2CAGlobalSignRootCAGlobalSignRootCAGTECyberTrustGlobal…GTECyberTrustGlobalRootGTECyberTrustRootGTECyberTrustRootGTECyberTrustRootGTECyberTrustRoot://://://://://(…MicrosoftAuthenticode(tm)RooMicrosoftRootAuthorityMicrosoftRootAuthorityNetLockExpressz(Class…NetLockExpressz(ClassC)TanNetLockKozjegyzoi(Clas…NetLockKozjegyzoi(ClassA)TTrustedRootCertificationsCertificationAuthor