1、BENET3.0第一学期课程, 理论部分,第五章 PKI与证书服务应用,2,内容回顾,VPN与拔号连接相比有哪些优点? VPN服务器通过几种方式给客户机分配IP地址? 简述网络策略的组成 简述网络策略的应用规则,3,技能展示,理解PKI的相关理论 理解证书的发放过程 掌握证书服务的安装 掌握企业CA的管理 掌握在WEB服务器上设置SSL,4,本章结构,公钥基础结构(PKI),证书颁发机构(CA),PKI与证书服务应用,证书的申请与颁发,什么是PKI,证书的安装与使用,公钥加密技术,使用PKI的协议,证书服务的应用,证书的导入与导出,什么是证书,CA的作用,证书的发放过程,安装证书服务,5,什么
2、是PKI,Public Key Infrastructure,公钥基础结构 通过公钥技术与数字证书确保信息安全的体系 由公钥加密技术、数字证书、CA、RA等共同组成 PKI体系能够实现的功能有 身份认证 数据完整性 数据机密性 操作的不可否认性,6,公钥加密技术,公钥加密技术是PKI的基础 公钥(Public Key)和私钥(Private Key) 公钥和私钥是成对生成的,这两个密钥互不相同,两个密钥可以互相加密和解密 不能根据一个密钥而推算出另外一个密钥 公钥对外公开,私钥只有私钥的持有人才知道 私钥应该由密钥的持有人妥善保管 根据实现的功能不同,可以分为数据加密和数字签名,7,数据加密,
3、发送方使用接收方的公钥加密数据 接收方使用自己的私钥解密数据数据加密能保证所发送数据的机密性,8,数字签名,发送方 对原始数据执行HASH算法得到摘要值 发送方用自己私钥加密摘要值 将加密的摘要值与原始数据发送给接收方 接收方 用发送方公钥解密摘要值;同时对收到的原始数据同样执行HASH产生另一摘要值 将解密的摘要值与产生的摘要值对比数字签名保证数据完整性、身份验证和不可否认,9,基于PKI技术的协议,SSL 认证用户和服务器,确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性,确保数据在传输过程中不被改变 Https 使用SSL来实现安全的通信 IPSec 目
4、前已经成为最流行的VPN解决方案,10,什么是证书,证书用于保证密钥的合法性 证书把公钥与拥有对应私钥的主体标识信息捆绑在一起 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 X.509是由国际电信联盟制定的数字证书标准 使用者的公钥值 使用者标识信息(如名称和电子邮件地址) 有效期(证书的有效时间) 颁发者标识信息 颁发者的数字签名,11,什么是证书,证书可以应用于 Web服务器身份验证 Web用户身份验证 安全电子邮件 Internet协议安全(IPSec) 数字证书由权威公正的第三方机构即CA签发,12,CA的作用,CA(Certificate Authority,证书
5、颁发机构) CA的核心功能是颁发和管理数字证书 CA的作用 处理证书申请 鉴定申请者是否有资格接收证书 证书的发放 证书的更新 接收最终用户数字证书的查询、撤销 产生和发布证书吊销列表(CRL) 数字证书的归档 密钥归档 历史数据归档,13,证书发放过程,用户,RA,CA,1,证书申请,2,RA确认用户,3,处理策略,4,RA提交申请信息到CA,证书目录,5,6,CA将证书传给RA,7,RA将证书传给用户/用户自己取回,证书验证,14,安装证书服务,企业根CA与企业从属CA 需要AD服务 自动颁发证书 有证书模板 独立根CA与独立从属CA 不需要AD服务 需要管理员手工颁发证书 没有证书模板
6、用户申请证书时,必须提供身份信息并指定所需的证书类型,15,用户申请证书,如果是企业CA Web浏览器申请 MMC控制台申请 如果是独立CA Web浏览器申请,16,小结,请思考: 什么是数据加密? 什么是数字签名? CA的作用是什么? 简述证书的发放过程,17,案例:为Web站点启用Https,BENET公司有一个Web站点,用于员工出差通过Web网站提交销售记录、客户通过Web站点提交订单,如何保证网络传输数据的安全?,客户端,Web服务器,Internet,18,案例:为Web站点启用Https,推荐步骤 信任CA 生成证书申请 提交证书申请 安装证书 启用SSL 使用HTTPS协议访问
7、网站,19,案例:为Web站点启用Https,信任CA 通信双方只有信任CA,才能信任由CA所颁发的证书 将CA证书导入客户端受信任证书颁发机构 可以设置是否需要客户端证书 忽略:客户端不需要申请证书 接受:客户端可以使用证书访问服务器,但并不是必需的 必须:客户端必须申请和安装客户端证书,20,案例:为Web站点启用Https,客户端使用Https访问网站,21,证书的导入与导出,导入与导出相当于对证书进行还原与备份 证书导出后应妥善保管,22,本章总结,公钥基础结构(PKI),证书颁发机构(CA),PKI与证书服务应用,证书的申请与颁发,什么是PKI,证书的安装与使用,公钥加密技术,使用P
8、KI的协议,证书服务的应用,证书的导入与导出,什么是证书,CA的作用,证书的发放过程,安装证书服务,BENET3.0第一学期课程, 上机部分,第五章 PKI与证书服务应用,24,实验案例:为Web站点启用Https,需求描述: BENET公司有一个Web站点,域名为,启用基本身份验证方式。随着业务的发展,公司想将该网站发展成网上交易平台,因此在用户访问时,需要保证用户密码和访问的数据在传输时的安全性。如何实现该功能?,25,实验案例:为Web站点启用Https,阶段划分: 阶段一 为Web站点申请证书 阶段二 为Web站点启用SSL 客户端成功访问网站,26,阶段一:为Web站点申请证书,实现思路: 三台虚拟机完成实验(Web服务器,CA,客户机) 搭建Web站点 在DNS注册的主机记录 申请文件中网站FQDN与客户端访问的FQDN相同,27,阶段一:为Web站点申请证书,学员练习: 搭建Web站点 注册DNS记录 搭建CA 为Web站点成功申请证书,40分钟完成,28,阶段二:为Web站点启用SSL,实现思路: 忽略客户端证书 客户端信任CA 学员练习: 为Web站点安装证书 在Web站点启用SSL 客户端通过https:/成功访问Web站点,40分钟完成,29,
