9使用证书服务保护网络通信

服务器配置与管理项目9使用证书服务保护网络通信服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社学习情境场景1、网坚总公司与各子公司之间、各子公司的部门之间通过PKI机制进行安全通信。2、网坚公司员工因调动、更替等导致信任关系更改，加强证书管理和控制，确保证书安全和有效。平台WindowsServer2003系统提供PKI安全管理机制，通过证书服务，确保双方安全、可靠地进行通信。实施本项目将基于WindowsServer2003在网坚公司的企业网络中部署企业根CA,实现企业域用户企业CA证书申请、CA证书管理和控制功能。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社学习任务任务1安装与配置证书服务任务2管理证书服务服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社任务1安装与配置证书服务任务描述WindowsServer2003通过PKI安全管理机制保护用户的信息，对用户身份进行验证。企业域内用户与计算机之间相互通信，关键信息在域内网络间的传送都需要得到保护，以保证只有合法用户才可以访问这些信息，而未经授权的用户不能访问这些信息，通过使用企业CA实现数据加密和用户身份的标识，保证用户的信息在网络传输过程中的可靠性和一致性。任务分析公司用户访问网络通常使用账户与密码作为保证安全的手段，但是公用密码方式极容易受到网络黑客与非法入侵手段的攻击和破解，WindowsServer2003通过PKI安全管理机制保护用户的信息，对用户身份进行验证。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社相关知识与技能2.安装与配置证书服务3.域用户申请并安装证书1.PKI基础知识服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识PKI（PublicKeyInfrastructure）基础知识PKI即“公钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密、数字签名等服务，还提供必需的密钥和证书管理体系。PKI技术是信息安全技术的核心，PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威证书认证机构（CertificationAuthority，CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识PKI提供以下功能，确保用户能够在网络上安全传送信息：•加密发送的信息•验证信息PKI根据公开密钥密码学来提供信息加密和身份验证，用户需要有一组密钥来支持PKI功能的实现：•公开密钥（PublicKey）：用户可以将自己的公开密钥发送给其它用户。•私有密钥（PrivateKey）：密钥为该用户私有，且存储在用户的计算机内，只有用户自己能够访问。在PKI架构下，CA是可信任的机构，它向用户颁发有效的证书。CA主要有两类：商业CA公司和Windows自带的CA程序（称为Microsoft证书服务MCS）。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识被加密的消息通过网络进行传输23A78Alice使用Bob的公钥(PublicKey)加密消息1数据Bob使用Bob的私钥(PrivateKey)把消息解密3数据公钥加密和解密过程服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识消息通过网络进行传输2~*~*~*~Alice用她的私钥(PrivateKey)对消息进行签名1~*~*~*~~*~*~*~Bob使用Alice的公钥(PublicKey)验证来自Alice的消息3公钥认证过程服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社颁发数字签名作为安全证书来使用41.PKI基础知识计算机、用户或服务CA~*~*~*~CA接收一个认证请求1验证信息2使用私钥把数字签名发送给申请者3证书申请及使用服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识WindowsServer2003、WindowsXP、Windows2000等计算机系统默认已经信任由一些知名的CA所发放的证书。在IE浏览器的窗口中，选择“工具”→“Internet选项”→“内容”→“证书”→“受信任的根证书颁发机构”选项可以查看受信任的根证书颁发机构，如图9-1所示。图9-1“证书”对话框服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识微软的PKI支持结构化的CA，在该架构下CA分为以下两个级别：•根CA•从属CA通过安装“证书服务”，可以让WindowsServer2003扮演CA的角色，可以将其设为：•企业根CA或企业从属CA•独立根CA或独立从属CA服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识根CA从属CA从属CA从属CA信任信任信任证书等级服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社1.PKI基础知识域控制器证书服务颁发或吊销证书ActiveDirectory颁发证书具有PKI功能的应用程序域客户计算机Windows2003ServerPKISSL和IPSec服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社2.安装与配置证书服务WindowsServer2003系统内置了证书服务组件，默认状态下没有安装证书服务，需要另外单独安装。在本案例中，我们选择IP地址172.16.28.10、子网掩码为255.255.255.0的计算机作为服务器，在其上安装证书服务组件，建立企业根CA。选择“开始”→“控制面板”→“添加或删除程序”选项，打开添加或删除程序窗口，单击“添加/删除Windows组件”，打开如图9-2所示对话框。图9-2Windows组件安装向导对话框服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社2.安装与配置证书服务选择“证书服务”选项，单击“下一步”按钮，打开如图9-3所示对话框，该对话框提示安装证书服务后，计算机名和域成员身份不能改。选中“企业根CA”及“用自定义设置生成密钥对和CA证书”选项，单击“下一步”按钮。图9-3证书服务消息框图9-4设置CA类型对话框服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社2.安装与配置证书服务Microsoft证书服务的默认CSP为“MicrosoftStrongCryptographicProvider”，默认散列算法为“SHA-1”，密钥长度为2048，选中“使用现有密钥”列表框中所列密钥，单击“下一步”按钮。图9-5“公钥/私钥对”设置对话框服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社2.安装与配置证书服务设置该CA在ActiveDirectory内公用的名称，设置CA默认的有效期限为5年，如图9-6所示。图9-6CA识别信息对话框服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社2.安装与配置证书服务企业CA的设置信息会自动被存储在ActiveDirectory数据库中，如果选择图中“将配置信息”存储在共享文件夹中，则会另外将其存储到指定的共享文件夹中，如图9-7所示。图9-7证书数据库设置对话框服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社2.安装与配置证书服务在安装过程中可能出现以下各对话框，进行相关操作继续进行安装，最后单击对话框中的“完成”按钮，完成证书安装向导。图9-10“证书颁发机构”窗口完成安装“证书服务”后，选择“开始”→“管理工具”→“证书颁发机构”来管理CA，如图9-10所示。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社3．域用户申请并安装证书域用户可以使用“证书申请向导”和“Web浏览器”两种方式向企业根CA申请证书。假设域用户向企业根CA申请用来保护电子邮件的证书，企业根CA会通过ActiveDirectory自动查询该用户电子邮件账户，以便针对电子邮件账户发放电子邮件保护证书。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社3．域用户申请并安装证书（1）域用户通过“证书申请向导”申请和安装证书打开MMC控制台，选择“文件”→“添加/删除管理单元”选项，打开“添加/删除管理单元”对话框。单击“添加”按钮，打开“添加独立管理单元”对话框，在可用的独立管理单元列表中选择“证书”选项。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社3．域用户申请并安装证书单击“添加”按钮，在出现的证书管理单元对话框中选择“我的用户账户”单选按钮。单击“完成”按钮，并依次单击“关闭”和“确定”按钮，返回控制台。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社3．域用户申请并安装证书右击图中“个人”列表项，选择“所有任务”→“申请新证书”选项，选择“用户”列表项，它提供了用来将文件加密的证书、保护电子邮件安全的证书与验证客户端身份的证书。在出现的“加密服务提供程序”对话框中，选择加密服务提供程序和密钥长度。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社3．域用户申请并安装证书在出现的“证书颁发机构”对话框中，设置证书颁发机构CA，为证书起一个好记的名字，设置适当的相应描述，点击“完成”按钮关闭证书申请向导，完成证书申请。出现证书申请成功对话框，单击“安装证书”，证书将安装到本地计算机上。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社3．域用户申请并安装证书（2）域用户通过“Web浏览器”申请和安装证书启动IE浏览器，在地址栏中输入企业根CA服务器地址，本例证书服务器地址为，打开如图9-21所示窗口。图9-21申请证书窗口服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社3．域用户申请并安装证书单击“申请一个证书”链接，然后单击“申请一个证书”链接，再单击“用户证书”链接，在用户信息识别页面中，单击“提交”按钮。然后在出现的“潜在的脚本冲突”消息框中单击“是”按钮。等待服务器响应并颁发证书，当出现证书已颁发页面，单击“安装此证书”链接安装证书。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社课堂练习1.证书申请；2.证书安装；3.查看证书。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社拓展与提高安装独立根CA独立根CA不需要ActiveDirectory支持，扮演独立根CA角色的计算机可以是独立服务器、成员服务器或域控制器。无论是否为域内的用户、计算机都可向独立根CA申请证书。独立根CA的安装与企业根CA的安装过程基本相同，首先安装IIS服务，然后安装CA证书服务，在CA类型组件向导对话框中选择“独立根CA”选项。证书安装完成后，单击“开始”→“程序”→“管理工具”→“服务”，打开系统服务窗口，查看证书服务（CertificateServices）是否已经启用。服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社拓展与提高客户端向独立根CA申请证书无论是否为域用户，向独立根CA申请证书都需要利用Web浏览器，无法通过“证书申请向导”进行。颁发证书使用系统管理员账户登录到独立根CA计算机上，选择“开始”→“管理工具”→“证书颁发机构”选项，选择“待定申请”列表项，在窗口的右侧右击用户申请的证书，然后在弹出的快捷菜单中，选择“所有任务”→“颁发”选项，被颁发的证书将会被存放到“颁发的证书”文件夹中。下载与安装证书服务器配置与管理项目9使用证书服务保护网络通信中国铁道出版社任务回顾[课堂提问1]PKI主要功能是什么？项目9使用证书服务保护网络通信[课堂提问2]CA等级有哪些？服务器配置与管理项目9使用证书服务保护网络通信