局域网12-证书服务器管理

三、实验12-1利用数字签名加密和签名 电子邮件
实验步骤
4.在虚拟机1上OutLook中创建user1@ 帐户，并绑定刚才安装的数字证书user1。
三、实验12-1利用数字签名加密和签名 电子邮件
实验步骤
5.在虚拟机2上为user2@用户申请数字 证书，并安装； 6.在虚拟机2上OutLook中创建user2@ 帐户，并绑定数字证书。
五、实验12-2利用数字签名加密Web网站
申请服务器证书
1. 打开IIS浏览器，选择 down网站，打开属性窗口， 进入目录安全性选项，选择 “服务器证书”；
五、实验12-2利用数字签名加密Web网站
申请服务器证书
2. 打开IIS证书向导， 选择新建证书 ；
3. 设置“名称和安全 性设置”
三、实验12-1利用数字签名加密和签名 电子邮件
测试
1. 在虚拟机1上用帐户user1@向 user2@发送电子邮件“测试1”， 邮件用数字证书签名，在虚拟机2上接收,观察结 果； 2. 在虚拟机1上用帐户user1@向 user2@发送电子邮件“测试2”， 邮件用数字证书签名，在真实机上创建帐户 user2@，并接收邮件，观察结果, 比较与测试1的不同,为什么?
版本号 序列号 签发者签名算法 签发者 有效期 主体名 主体公钥信息 签发者唯一标识 主体唯一标识 V3扩展 数字签名 签发者的私钥 散列
一、数字证书概述
数字证书
版本号：用来指明该证书使用的是哪种版本的X.509格 式，目前使用最广的是第三版本，本论文也采用第三版本。 序列号：证书签发者为证书指派的区别于它颁发的其他 证书的唯一序列号。 签发者签名算法：指明签发CA颁发证书时使用的签名算 法。 签发者：用于标识签发证书的认证机构的名字。 有效期：指出该证书有效的起止日期时间。 主体名：证书需要证明的身份名。
五、实验12-2利用数字签名加密Web网站
申请服务器证书
4. 设置“公用名称”
5. 输入证书请求文 件名
五、实验12-2利用数字签名加密Web网站
申请服务器证书
6. 提交证书申请文件 6-1 运行IE浏览器，在地址栏中输入 “/CertSrv。 证书申请页面，输入相应的申请信息，然后点 击［申请一个证书］； 6-2 选择“高级证书申请”； 6-3 将“certreq.txt”文件内容复制到代 码窗口； 6-4 提交申请； 6-5 到证书服务器上颁布证书。
一、数字证书概述
网络安全问题
1. 信息传输的保密性 2. 发送信息的不可否 认性 3. 身份认证
一、数字证书概述
密码学原理
对称密码学(如DES) 不对称密码学(如RSA) 加密密钥KA＝解密密钥KB 加密密钥KA≠解密密钥KB
一、数字证书概述
公共密钥加密
一、数字证书概述
公共密钥加密
一、数字证书概述
数字证书
主体公钥信息：包含证书需要证明身份的公钥，并包含 了该公钥的算法。 签发者唯一标识：签发者名字有可能重用，因此签发者 唯一标识符可以使证书签发者区别出来。 主体唯一标识：主体名字有可能重用，因此主体唯一标 识符可以使主体区别出来。 V3扩展：允许证书签发者根据需要加入额外的信息。标 准扩展由X.509定义，任何组织还可以定义私有扩展。
提纲
一、数字证书概述 二、证书服务器安装 三、实验12-1利用数字签名加密签名电子邮件 四、http和https概述 五、实验12-2利用数字签名加密Web网站
四、http和https概述

默认情况下所使用的HTTP是没有任何加密措施 的,所有的消息都是以明文形式在网络上传送,恶意的 攻击者可以通过安装监听程序来获得用户和服务器之 间的通信内容.
1. 在“控制面板” 中运行“添加或删 除程序”，切换到 “添加/删除 Windows组件”页。
二、证书服务器安装
安装步骤
2. 在“Windows组件向导” 对话框中，选中“证书服务” 选项，接下来选择CA类型， 这里选择“独立根CA”
二、证书服务器安装
安装步骤
3. 为该CA服务器起个名字 (本例中的名字为DefServer)， 设置证书的有效期限，建议 使用默认值“5年”即可，最 后指定证书数据库和证书数 据库日志的位置后，就完成 了证书服务的安装。
二、证书服务器安装 三、实验12-1利用数字签名加密签名电子邮件 四、http和https概述 五、实验12-2利用数字签名加密Web网站
一、数字证书概述


网络安全问题 密码学原理 公共密钥加密 CA( Certification authority )认证中心 数字证书
数字签名-解决”发送消息的不可否认性” 身份认证
提纲
一、数字证书概述 二、证书服务器安装 三、实验12-1利用数字签名加密签名电子邮件 四、http和https概述 五、实验12-2利用数字签名加密Web网站
五、实验12-2利用数字签名加密Web求客户端证书” 申请Web浏览器证书 测试2
3-3 填写相关信息 ；
三、实验12-1利用数字签名加密和签名 电子邮件
3-4 系统将处 理您提交的申请，此 过程可能要等待10秒 钟左右。
三、实验12-1利用数字签名加密和签名 电子邮件
3-5 打开“管理工具”选择“证书颁发机构”，打 开"挂起的申请",右击-->"颁发"
三、实验12-1利用数字签名加密和签名 电子邮件
3-6 运行Internet Explorer浏览器，在 地址栏中输入 “http://证书服务器 IP/CertSrv/default. asp”,选择“查看挂 起的证书申请状态”； 3-7 找到自己申请 的证书 ； 3-8 安装证书
三、实验12-1利用数字签名加密和签名 电子邮件
3-9 安装完成后，可到IE里查看刚刚安装好的证书。
三、实验12-1利用数字签名加密和签名 电子邮件
测试
3. 在虚拟机1上用帐户user1@向 user2@发送电子邮件“测试3”，邮 件选择加密，在虚拟机2上接受,观察结果； 4. 在虚拟机2上用帐户user2@向 user1@发送电子邮件“测试4”，邮 件选择加密，在虚拟机1上接收,观察结果,比较与测 试3的不同,为什么? 5. 在虚拟机1上用帐户user1@向 user2@发送电子邮件“测试5”，邮 件选择加密，在真实机上接收,观察结果.
一、数字证书概述
在自然人交往中，信任是建立在过去交往的经验基础 上的，受双方的距离的限制。当双方距离很远时，往往信 任度就会降低导致不可信，这时往往可以引入第三方的概 念，双方都信任第三方，第三方也信任它的用户，这时信 任关系可以传递，导致双方也互相信任。
CA
说明:
向下颁发证书; 表示实体证书;
Alice
五、实验12-2利用数字签名加密Web网站
获取和安装服务器证书
1. 运行IE浏览器，在地址栏中输入 “/CertSrv。 证书申请页面，找到颁布的服务器证书并下载； 2. 打开IIS信息管理器，选择Down网站，打 开属性，选择目录安全性选项，打开IIS证书 向导，按步骤完成安装；
局域网
——服务器架设与管理
泰州职业技术学院电子工程系 计算机专业教研室 08-09-1
第12讲 证书服务器配置与管理
提纲
一、数字证书概述 二、证书服务器安装 三、实验12-1利用数字签名加密签名电子邮件 四、http和https概述 五、实验12-2利用数字签名加密Web网站
提纲
一、数字证书概述
http
四、http和https概述
https
SSL( Security Socket Layer,安全套接层)安全 机制使用数字证书。建立了SSL安全机制后，只有SSL 允许的客户才能与SSL允许的Web站点进行通信，并且 使用URL资源定位器时，输入https://而不是http://。
四、http和https概述
三、实验12-1利用数字签名加密和签名 电子邮件
3-1 运行IE浏览器， 在地址栏中输入 “http://www.mark /CertSrv。 证书申请页面，输入相 应的申请信息，然后点 击［申请一个证书］；
三、实验12-1利用数字签名加密和签名 电子邮件
3-2 接下来选择 “电子邮件证书“；
三、实验12-1利用数字签名加密和签名 电子邮件
安全电子邮件
利用数字签名加密电子邮件，保证电子邮件传输中 的机密性，完整性和不可否认性，确保电子邮件通信的 各方身份的真实性。 安全电子邮件证书包含证书持有者的电子邮件地址， 公钥及CA中心的签名。
三、实验12-1利用数字签名加密和签名 电子邮件
SSL
SSL是工作在HTTP层和TCP层之间，建立用户与服务 器之间的加密通信，确保所传递信息的安全性。SSL是工 作在公共密钥和私人密钥的基础上的，任何用户都可以获 得公共密钥来加密数据，但解密数据必须要通过相应的私 人密钥。使用SSL安全机制时，首先客户端与服务器建立 连接，服务器把它的数字证书与公共密钥一并发送给客户 端，客户端随机生成会话密钥，用从服务器得到的公共密 钥对会话密钥进行加密，并把会话密钥在网络上传递给服 务器，而会话密钥只有在服务器端用私人密钥才能解密， 这样，客户端和服务器就建立了一个唯一的安全通道。
Bob
一、数字证书概述
CA( Certification authority )认证中心
一、数字证书概述
数字证书
数字证书是是一个经证书认证中心（CA）数字签名的 包含公开密钥拥有者信息以及公开密钥的数据文件，提供 了一种在Internet上验证身份的方式，用来在网络通讯中 识别通讯各方的身份。
二、证书服务器安装
安装步骤
4.安装完成后，系 统会自动在IIS的 默认站点，建几个 虚拟目录 CertSrc,CertCont rol,CertEnroll
提纲
一、数字证书概述 二、证书服务器安装 三、实验12-1利用数字签名加密签名电子邮件 四、http和https概述 五、实验12-2利用数字签名加密Web网站
实验要求
搭建第11章创建电子邮件环境，在虚拟机2上安装数字 证书服务，为用户user1和user2在虚拟机1和虚拟机2上分别 申请数字证书并安装，并在OutLook中设置使用数字签名签 名和加密电子邮件。
三、实验12-1利用数字签名加密和签名 电子邮件
实验步骤:
1. 完成第11章创建电子邮件环境,保证虚拟机2上pop3服 务中有两个帐户user1和user2； 2. 在虚拟机2上安装证书服务器；(注意要用域管理员身 份登录到DEF域上,证书服务才能启动!!) 3. 在虚拟机1上为user1@用户申请数字 证书，并安装；
五、实验12-2利用数字签名加密Web网站
获取和安装服务器证书
打开IIS管理器Down网站属性窗口，进入目 录安全性选项，点击通信安全中的编辑选项，选 中“要求安全通道”选项。
五、实验12-2利用数字签名加密Web网站
测试1
1. 运行IE浏览器，在地址栏中输入 ，观察运行 结果； 2. 运行IE浏览器，在地址栏中输入 https://，观察运行 结果。
一、数字证书概述
数字签名-解决”发送消息的不可否认性”
备注:网上交易等用途
一、数字证书概述
身份认证
提纲
一、数字证书概述
二、证书服务器安装
三、实验12-1利用数字签名加密签名电子邮件 四、http和https概述 五、实验12-2利用数字签名加密Web网站
二、证书服务器安装
安装步骤