Windows服务配置--PKI 与证书服务应用

13/33
证书的安装与使用
4.0
案例环境
BENET公司有一个Web站点 员工出差通过Web网站提交销售记录 客户通过Web站点提交订单 保证网络传输数据的安全
Internet 客户端
Web服务器
14/33
安装证书服务
4.0
添加Active Directory证书服务 选择角色服务 指定企业安装类型 指定CA类型 新建私钥 配置加密 完成角色安装并测试 根CA ：组织环境中的第一个证书服务器 企业 CA ：需要有AD服务
HTTPS
使用SSL来实现安全的通信
IPSec
目前已经成为最流行的VPN解决方案
9/33
什么是证书
4.0
证书用于保证密钥的合法性 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 数字证书包含信息
使用者的公钥值
使用者标识信息（如名称和电子邮件地址） 有效期（证书的有效时间）
3/33
本章结构
4.0
PKI 概念 公钥加密技术
公钥基础结构 X.509
PKI 协议 什么是证书 CA 的作用 PKI与证书服务应用 证书颁发机构
证书的颁发过程 安装证书服务
证书的申请和颁发
证书服务应用
证书的安装与使用 证书的导入与导出
4/33
PKI 概念
4.0
PKI
公钥基础设施（Public Key Infrastructure） 通过使用公钥技术和数字签名来确保信息安全 由公钥加密技术、数字证书、CA、RA组成
4.0
学员练习2
下载证书并安装 为Web站点配置SSL 使用HTTPS协议访问网站以验证结果
40分钟完成
25/33
第五章 PKI 与证书服务应用
—— 理论部分
课程回顾
4.0
VPN与拔号连接相比有哪些优点？ VPN有哪些组成要素？ VPN服务器通过几种方式给客户机分配IP地址？ 配置远程访问服务器主要有哪些内容？
2/33
技能展示
4.0
理解PKI的相关理论 理解证书的发放过程 掌握证书服务的安装 掌握企业CA的管理 掌握在Web服务器上设置SSL
对原始数据执行HASH算法得到摘要值 发送方用自己私钥加密摘要值 将加密的摘要值与原始数据发送给接收方
发送方A A的私钥 传输 A的公钥 接收方B
明文
密文
密文
明文
数字签名保证数据完整性、身份验证和不可否认
8/33
PKI协议
4.0
SSL
认证用户和服务器，确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性，确保数据在传输过程中不被改变
22/33
实验案例：为Web站点启用HTTPS 4-2
4.0
实现思路
安装CA证书服务 在Web服务器上生成Web证书申请 通过IE浏览器，提交证书申请 证书申请批准后，下载Web服务器证书 为Web服务器安装证书 在Web服务器上配置SSL 使用HTTPS协议访问网站以验证结果
颁发证书
企业CA自动颁发证书
独立CA颁发挂起的申请
下载证书
1百度文库/33
证书服务的应用3-3
4.0
Web服务器上安装证书
完成证书申请
配置Web证书
编辑绑定 添加网站绑定 SSL设置
查找从Web证书管理器中下载的证书
使用HTTPS协议访问网站
忽略：无论用户是否拥有证书，都将被授 予访问权限 接受：用户可以使用客户端证书访问资源， 但证书并不是必须的 必须：服务器在将用户与资源连接之前要 验证客户端证
私钥应该由密钥的持有人妥善保管
根据实现的功能不同，可分为数据加密和数字签名
6/33
数据加密
4.0
发送方使用接收方的公钥加密数据 接收方使用自己的私钥解密数据
发送方A B的公钥 传输 B的私钥 接收方B
明文
密文
密文
明文
数据加密能保证所发送数据的机密性
7/33
数字签名
4.0
发送方
11/33
证书的颁发过程
4.0
证书申请 1 用户 2 RA确认用户 7 RA将证书传给 用户/用户自己 取回 RA
RA提交申请信 息到CA 4 CA 6 CA将证书传给 RA
3
处理策略
5 证书目录
证书验证
12/33
小结
4.0
请思考
什么是数据加密？ 什么是数字签名？ CA的作用是什么？ 简述证书的发放过程？
子级 CA ：从属于组织中的另一个 CA 独立 CA ：不需要 AD服务
15/33
证书服务的应用3-1
4.0
申请证书
运行 Internet 信息服务管理器 创建证书申请 配置可分辨名称属性 指定证书文件名 证书文件内容
16/33
证书服务的应用3-2
4.0
提交申请证书
访问证书服务器并申请证书 使用高级证书申请 使用Base64编码证书申请 提交证书申请
颁发者标识信息
颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发
10/33
CA的作用
4.0
CA（Certificate Authority，证书颁发机构） CA的核心功能是颁发和管理数字证书 CA的作用
处理证书申请 发放证书 更新证书 接受最终用户数字证书的查询、撤销 产生和发布证书吊销列表（CRL） 数字证书归档 ……
证书的申请和颁发
证书服务应用
证书的安装与使用 证书的导入与导出
20/33
第五章 PKI 与证书服务应用
—— 上机部分
实验案例：为Web站点启用HTTPS 4-1
4.0
需求描述
BENET公司有一个Web站点，域名为www.benet.com 启用基本身份验证方式 保证用户密码和访问的数据在传输时的安全性 为Web站点启用HTTPS方式访问
PKI体系能够实现的功能有
身份验证 数据完整性
数据机密性
操作的不可否认性
5/33
公钥加密技术
4.0
公钥加密技术是PKI的基础 公钥与私钥关系
公钥和私钥是成对生成的，互不相同，互相加密与解密 不能根据一个密钥来推算出另一个密钥
公钥对外公开，私钥只有私钥持有人才知道
23/33
实验案例：为Web站点启用HTTPS 4-3
4.0
学员练习1
在DC服务器上安装证书服务
• 安装活动目录 • 安装证书 – 企业 – 根CA
生成证书申请
• Internet信息服务管理器中创建证书申请
提交证书申请
40分钟完成
24/33
实验案例：为Web站点启用HTTPS 4-4
18/33
选择申请的Web证书
证书的导入与导出
4.0
证书的导入与导出
导出证书 导入证书
导出时设置的密码
导入时使用，保证 证书安全性
19/33
本章总结
4.0
PKI 概念 公钥加密技术
公钥基础结构 X.509
PKI 协议 什么是证书 CA 的作用 PKI与证书服务应用 证书颁发机构
证书的颁发过程 安装证书服务