Windows服务配置--PKI 与证书服务应用

PKI技术说明书
PKI，全称为公钥基础设施，是一种电子安全技术。

它提供了一种可靠的方式来识别和认证不同的网络实体，包括个人、组织和设备。

PKI使用一种加密机制来确保通信的保密性和完整性。

PKI技术的基础是公钥加密。

每个用户都会有一个配对的公钥和私钥。

公钥可以公开分享，而私钥是保密的。

通过使用公钥加密，消息可以被安全地传输，只有私钥持有者才能解密并获得消息内容。

PKI通过认证机构(CA)来实现身份验证。

CA是一个可信的实体，它颁发数字证书来证明特定实体的身份。

数字证书包含公钥、实体信息和CA的签名。

当一个实体和另一个实体通信时，它可以使用数字证书来验证另一个实体的身份，从而确保通信的安全性和可靠性。

PKI技术的优点包括：
1. 安全性：PKI技术提供了一种可靠的方式来确保通信的机密性和完整性。

通过使用数字证书来验证身份，PKI可以防止未经授权的访问和欺骗。

2. 可扩展性：PKI技术可以扩展到大型组织和系统，包括跨国
企业和政府机构。

3. 可信性：由于数字证书是由可信的第三方机构颁发的，因此PKI技术是可信的。

PKI技术的应用包括电子邮件加密、安全网站访问、虚拟私人网络(VPN)等。

随着在线交易和电子商务的快速增长，PKI技术的需求将继续增长。

陈家琪网络安全技术－第3章公钥基础设施(PKI)
Windows 2000中，获得密钥对和证书
陈家琪网络安全技术－第3章公钥基础设施(PKI)17陈家琪网络安全技术－第3章公钥基础设施(PKI)18
PKI中的证书
Ø证书(certificate)，有时候简称为cert
ØPKI适用于异构环境中，所以证书的格式在所使
用的范围内必须统一
Ø证书是一个机构颁发给一个安全个体的证明，所
法以证书的权威性取决于
网络安全技术－第3章公钥基础设施(PKI)20
网络安全技术－第3章公钥基础设施(PKI)21
证书的主要内容
：
证书的CA的X.500 DN名字。

包括、组织机构、单位部门和通用
，包括证书开始生效的日期和日期和时间。

每次
使用证书时，在有效期内。

网络安全技术－第3章公钥基础设施
CA层次结构
于一个运行CA的大型权威机构而言作不能仅仅由一个CA来完成
以建立一个CA层次结构
根CA
陈家琪网络安全技术－第3章公钥基础设施(PKI)31
网络安全技术－第3章公钥基础设施(PKI)
33
陈家琪网络安全技术－第3章公钥基础设施(PKI)
申请一个证书PKCS#10
陈家琪网络安全技术－第3章公钥基础设施(PKI)。

实验目的1. 了解 PKI 体系2.了解用户进行证书申请和 CA 颁发证书过程3.掌握证书服务的安装及配置方法4.掌握使用数字证书配置安全站点的方法实验原理PKI 简介PKI 是 Public Key Infrastructure 的缩写，通常译为公钥基础设施。

PKI 通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。

一方面 PKI 对网络应用提供广泛而开放的支撑:另一方面， PKI 系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。

PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。

PKI 组件PKI 主要包括==认证中心 CA==、==注册机构 RA==、==证书服务器==、==证书库==、==时间服务器==和==PKI 策略==等。

CA 用于创建和发布证书，还负责维护和发布证书废除列表 CRL。

根CA 证书，是一种特殊的证书，它使用 CA 自己的私钥对自己的信息和公钥进行签名。

RA 负责申请者的登记和初始鉴别，在 PKI体系结构中起承上启下的作用，一方面向 CA 转发安全服务器传输过来的证书申请请求，另一方面向 LDAP(轻量目录访问协议)服务器和安全服务器转发 CA 颁发的数字证书和证书撤消列表。

证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。

证书库是发布证书的地方，提供证书的分发机制。

到证书库访问可以得到希望与之通信的实体的公钥和查询最新的 CRL。

它一般采用LDAP 目录访问协议，其格式符合 X.500 标准。

时间服务器:提供单调增加的精确的时间源，并且安全的传输时间戳，对时间戳签名以验证可信时间值的发布者。

PKI 安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

Windows 网络服务期末考试题（选择题：每题2分）1) Internet 上的Web站点可以为用户提供丰富多彩的不同信息，网站服务的主要功能有Web服务软件提供，则下列可以提供网站服务功能的软件是（）（选择两项）A ApacheB IISC FrontPageD Dreamweaver2) 某公司在Windows Server2008 服务器上搭建了DHCP服务。

由于硬件故障，导致服务器宕机。

此时最佳的恢复DHCP服务的方式是（）（选择一项）A 使用DHCP数据库备份信息在另一台服务器上恢复服务B 将其它计算机上的操作系统全盘拷贝到宕机的服务器上，然后重新安装DHCP服务C 通过安全模式进入到操作系统中，然后启动DHCP服务继续提供服务D 没有办法，只能等待更换新的服务器。

然后重新安装操作系统和服务3）Benet公司使用Wiindows Server 2008 搭建了DNS服务器。

管理员希望定期刷新DNS 的缓存，可以使用的命令是（）（选择一项）A ipconfig/allB ipconfig/flushdnsC ipocnfig/releaseD ipconfig/displaydns4）Benet 公司的管理员接到员工BOB 反映，在输入的URL地址时，无法访问到网站信息。

而其他员工都可以正常访问，造成这种情况的原因是（）（选择一项）A 员工BOB 的客户机指定了错误的DNS服务器地址B 公司的防火墙阻止了对的访问C 网站的服务器出现了故障，导致无法访问D 员工BOB的客户机没有启用路由和远程访问服务5) 以下对Windows Server 2008 证书服务的描述正确的是（）。

（选择一项）A）独立CA需要活动目录服务的支持B）安装证书服务后，输入http://证书服务器IP/certsvr可以申请证书C）企业CA在接到证书申请后会自动颁发证书D）独立CA在接到证书申请后会自动颁发证书6）在创建完Windows Server 2008 域时，默认有两个GPO，他们分别是（）。

第九章证书身份验证机制
9.1 PKI（公共密钥基础结构）
PKI是一个提供强大的开放数据加密和支持加密服务的方法。

9.2 证书服务-----CA
证书服务提供可自定义的服务，用以颁发和管理在使用公钥技术的软件安全系统中所用的证书。

可在Windows 操作系统中使用证书服务来创建证书颁发机构（CA），该颁发机构负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表。

9.3 安装和配置证书服务
在Server1上打开控制面板-添加/删除程序-添加/删除Windows组件(A)-证书服务
右击计算机-管理-IIS-默认网站-
在Server2上的浏览器中输入：192.168.0.10/certsrv -申请一个证书
在server1管理工具-证书颁发机构-颁发的证书中可以看到server2提交的证书
重点三：证书的备份和恢复以及CA的备份和恢复。

PKI实验报告二级学院：年级、专业：20xx计算机科学与技术学生姓名：学号：0099874556764指导教师：xx老师实验一实验目的熟悉DES加密算法，熟悉加密体制的概念，了解加密算法的使用。

二、实验原理DES加密是对称加密机制中的一种方式，是单钥算法，是一种按分组方式工作的加密方式，是两种基本的加密组块替代和换位的结构。

它通过反复依次应用这两项技术来提高强度，经过16轮的替代和换位的变换，使得其他人无法获得该算法一般特性以外更多的信息。

三、所用仪器、材料个人计算机一台、VC6.0开发环境四、实验内容1. 选择试验平台本人采用VC++开发平台。

2. 设计数据结构和程序结构根据DES算法，设计相应的数据结构和程序结构，并设计相应的界面。

3. 实现算法对设计好的程序结构和数据结构，在相应的平台下进行实现，对程序进行调试。

DES算法设计流程图如下：实验结果：经过加密数据时hello时经过加密、解密后的信息如下。

实验三 PGP应用实验1 PGP的安装一、实验目的：掌握PGP的安装PGP加密软件最新版本是8.0.2。

至少安装8.1版本。

二、实验注意：PGP的安装一般选择默认选项。

在下图的user type中要选择“no，I’m a new user”.2 用PGP生成密钥对一、实验目的：了解加密工具PGP的原理及简单配置方法二、实验步骤：１、打开开始菜单>程序>PGP>PGPkeys，启动PGPkeys２、在Key Generation Winzrad提示向导下，点击Next，开始创建密钥对３、输入全名和邮件地址(sfzyhuanghai@)，4、在PGP密码输入框中输入8位以上的密码并确认。

牢记输入的密码将作为解密的密码。

5、然后PGP会自动产生PGP密钥3导出ＰＧＰ公钥及对签名一、实验目的：掌握公钥的导出及数字签名的原理二、实验步骤：１、打开PGPkeys２、右键单击公钥项，选取Export３、在Export Key to File 对话框中，保持默认文件名并保存自己所创建的文件名下。

第六章PKI证书服务的应用实验名称：在域环境下配置CA并应用到web服务器和客户端实验环境：实验步骤：1．安装IIS和CA。

（因为安装CA时要向默认网站里新建相应的虚拟目录，用来申请证书时使用。

）开始-设置-控制面板-添加/删除程序-添加/删除windows组件选择相应的服务，单击“下一步”。

选择“企业根”，单击“下一步”。

注意：域环境下CA的类型有四种，在工作组环境下只有独立根可以建立。

输入相应的ca的名称（一般与计算机名相同），单击“下一步”。

保持默认的路径，单击“下一步”。

现在已经开始安装了。

CA已经成功的完成了。

2．配置web服务器。

开始-程序-管理工具-Internet信息管理右击“网站”，选择“新建网站”。

输入相应的web站点的描述，单击“下一步”。

输入相应的站点的ip地址和端口号，单击“下一步”。

输入相应的主目录的路径，单击“下一步”。

设置相应的权限，单击“下一步”。

单击“完成”。

3．查看站点是否可以成功的访问。

启动IE，输入http://192.168.1.11可以成功的访问。

4．给web服务器申请证书。

因为CA被写入了默认网站的虚拟目录里，所以我们申请证书时要注意，将web先暂停一下，启用默认网站的配置。

但是在那之前，先要web服务器上填写一个证书申请表。

右击web，选择“属性”。

选择“目录安全性”，单击“服务器证书”。

单击“下一步”。

选择“新建证书”，单击“下一步”。

单击“下一步”。

单击“下一步”。

输入相应的单位和部门，单击“下一步”。

单击“下一步”。

输入相应的配置，单击“下一步”。

选择证书申请表的目录，单击“下一步”。

单击“完成”，这时证书申请表已经成功的填写完成了。

5．给web服务器申请证书启动IE，在地址栏输入http://192.168.1.11/certsrv。

输入相应的用户名和密码，单击“确定”。

单击“添加”，添加相应的网站到相应的访问目录。

单击“申请一个证书”。

Windows PKI技术CA证书服务搭建
WEB服务器客户端
DNS服务器
CA证书服务器
1、证书服务器搭建
在“控制面板”——“添加删除程序”——“添加删除windows组件”——“证书服务”。

选择“独立根CA”。

CA标识信息中只要添加CA名称即可。

2、配置WEB服务器和DNS域名解析
3、配置客户端，DNS指向WEB服务器
4、申请WEB服务器证书
在证书服务器中，使用浏览器输入证书申请服务的网址IP/certsrv
将刚才生成的certreq.txt文件内容复制进去，点击“提交”。

颁发证书：点“开始”——“程序”——“管理工具”——“证书颁发机构”。

选择证书并“颁发”。

下载挂起证书
完成证书导入到WEB服务器中
将刚才下载的证书导入进去
查看证书
5、设置SSL访问，要求客户端身份验证
6、客户端申请WEB浏览证书
“颁发”证书
7、在服务器端，将客户端证书导出并导入至WEB服务器的证书——个人目录中
将ID为3的证书复制到文件
在客户端浏览器安装证书
在证书服务器双击，安装证书
8、客户端进行https://访问。

实训5：配置数字证书服务实训环境1．一台Windows Server 2016 DC，主机名为DC。

2．一台Windows Server 2016服务器并加入域，主机名为Server1。

3．一台Windows 10客户端并加入域，主机名为Win10。

实训操作假设你是一家公司的网站管理员，需要你完成以下工作：1．在DC上部署企业根CA。

2．发布证书申请网站。

3．在Server1上创建基于SSL的网站。

实验原理PKI是Public Key Infrastructure的缩写，通常译为公钥基础设施。

PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字名、加密等。

一方面PKI对网络应用提供广泛而开放的支撑，另一方面，PKI系统的设计、开发、生产及管理都可以独互进行，不需要考虑应用的特殊性。

PKI的主要目的是通过自动管理密钥和证书，为用户建互起个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字名技术，从而保证网上数据的完整性、机密性、不可否认性。

PKI组件PKI主要包括==认证中心CA==注册机构RA==证书服务器==证书库==时间服务器==和PKI策略==等。

CA用于创建和发布证书，还负责维护和发布证书废除列表CRL。

根CA证书，是种特殊的证书，它使用CA自己的私钥对自己的信息和公钥进行签名。

RA负责申请者的登记和初始鉴别，在PKI体系结构中起承上启下的作用，方面向CA转发安全服务器传输过来的证书申请请求，另方面向LDAP（轻量目录访问协议）服务器和安全服务器转发CA颁发的数字证书和证书撤消列证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。

证书库是发布证书的地方，提供证书的分发机制。

到证书库访问可以得到希望与之通信的实体的公钥和查询最新的CRL。

它一般采用LDAP目录访问协议，其格式符合X.500标准。

时间服务器：提供单调增加的精确的时间源，并且安全的传输时间戳，对时间戳签名以验证可信时间值的发布者。

《网络服务器安装和配置》课程标准专业名称：计算机网络技术培养层次：高级工学制年限：高中毕业生起点三年制课时数：80一、培养目标面向计算机网络管理员，信息系统维护员，能够根据企业需求完成服务器的安装配置。

二、综合职业能力1．职业素养（1）能严格遵守职业操守，对技术方案设计严格保密。

（2）能严格按照企业管理制度进行现场管理；（3）能根据工作需求收集，归类，整理相关资料和信息；（4）能积极与企业沟通并提供技术咨询，并进行有效沟通；（5）能根据配置过程中出现的问题进行分析，调试；（6）能与相关部门进行工作协调，完成组织，总结工作；（7）能了解相关需求文档，标书，相关专业术语基本定义；2．方法能力（1）自主学习获取信息的能力；（2）决策与规划的能力；（3）需求分析与实施管理的能力；（4）测试调试的能力。

3．社会能力（1）很强的团队精神；（2）善于发现问题、解决问题；（3）踏实肯干、耐心细致；（4）有责任心;；（5）思路清晰；（6）独立性强；（7）诚信可靠，具备良好的服务意识。

三、就业方向及对应职业资格在中小企业内网或数据中心维护企业服务器，取得计算机网络管理员高级职业资格证书（三级）。

四、与前后课程的联系1、与前续课程的联系本课程的前导课程主要有：《计算机硬件组装与维修》，《计算机应用基础》、《计算机网络技术基础》等，学生在掌握，计算机硬件组装与维修，计算机网络技术基础知识，计算机应用基础，能为本课程学习奠定良好的基础。

2、与后续课程的关系是《LINUX系统服务配置与管理》等课程的基础。

五、课程描述六、教学内容与学时分配课程依据企业网络服务的实际需求，按照“搭建—应用—安全管理”的思路设计了3个学习项目，包括了windows2008服务的基本配与应用，本课程教学内容与学时分配如下表1所示。

表1 课程项目结构与课时分配表七、学习资源的选用1、教材选取的原则以培养实践能力、动手能力和创业能力为指导思想，强调理论与实践结合、教材与实际结合、操作与管理结合的理论实践一体化教材，教学内容要占教材篇幅的80%以上。