第五章PKI 與證書服務(wù)應(yīng)用5.1公鑰基礎(chǔ)結(jié)構(gòu)5.1.1什么是PKIPKI 是通過使用公鑰技術(shù)和數(shù)字證書來確保數(shù)字信息安全, 并負(fù)責(zé)驗證數(shù)字證書持有者身份的一種技術(shù).5.1.2公鑰加密技術(shù)1. 數(shù)據(jù)

第五章PKI 與證書服務(wù)應(yīng)用

5.1公鑰基礎(chǔ)結(jié)構(gòu)

5.1.1什么是PKI

PKI 是通過使用公鑰技術(shù)和數(shù)字證書來確保數(shù)字信息安全, 并負(fù)責(zé)驗證數(shù)字證書持有者身份的一種技術(shù).

5.1.2公鑰加密技術(shù)

1. 數(shù)據(jù)加密

2數(shù)字簽名

5.1.3 X.509

5.1.4使用PKI 的協(xié)議

1. SSL(secure socket layer)安全套接字層

2. HTTPS 安全超文本傳輸協(xié)議

3. IPSec(IP security)

5.2證書頒發(fā)機構(gòu)

5.2.1 什么是證書

5.2.2 CA的作用

5.2.3 證書的發(fā)放過程

5.2.4 安裝證書服務(wù)

步驟：

1. 在域控制器上，從“管理工具”中打開“服務(wù)器管理器”---角色，單擊“添加角色。打

開”添加向?qū)А?/p>

2. 單擊“下一步”， 進入“選擇服務(wù)器角色”窗口，選擇“active directory”證書服務(wù)“，

單擊”下一步“

3. 在“服務(wù)簡介“窗口單擊”下一步“，在”選擇角色服務(wù)“窗口中選擇”證書頒發(fā)機構(gòu)

“和證書頒發(fā)機構(gòu)web 注冊”，添加必須的角色服務(wù)，單擊“下一步”

4. 在“指定安裝類型”窗口中選擇“企業(yè)”，單擊“下一步”

5. 在“指定CA 類型”窗口i 選擇“根CA ，單擊”下一步“

6. 在“設(shè)置私鑰“窗口選擇”新建私鑰“，單擊”下一步“

7. 在“為CA 配置加密“窗口，使用默認(rèn)的加密服務(wù)提供程序、哈希算法和密鑰長度，單

擊”下一步

8. 在“配置CA 名稱“頁中，使用默認(rèn)的名稱，單擊“下一步”

9. 在“設(shè)置有效期”頁中，使用默認(rèn)五年有效期，單擊“下一步”

10. 在“配置證書數(shù)據(jù)庫”頁中，使用默認(rèn)的保存位置，單擊“下一步”

11. 在“web 服務(wù)器簡介”頁中，單擊“下一步”

12. 在“選擇角色服務(wù)”頁中，使用默認(rèn)為web 服務(wù)器添加的角色服務(wù)，單擊“下一步”

13. 單擊“安裝---關(guān)閉”，完成添加角色。

14. 安裝完成后可以從“管理工具”中選擇“certification authority“，打開證書頒發(fā)機構(gòu)管

理器，管理證書的頒發(fā)

15. 用戶可以使用web 瀏覽器訪問，申請證書,

注意：http://IP/certsrv中的IP 是證書服務(wù)器的IP 地址，也可使用證書服務(wù)器的機器名稱。訪問該目錄是需要提供用戶名和密碼，默認(rèn)情況下certsrv 使用集成windows 身份驗證

5.3 證書服務(wù)的應(yīng)用

5.3.1證書的申請與頒發(fā)

1. 生成證書申請

步驟：

1) 在web 服務(wù)器上，打開“管理工具”中的“internet 信息服務(wù)管理器”，在左側(cè)窗格

選擇服務(wù)器名稱，雙擊中間窗格的“服務(wù)器證書”

2) 單擊右側(cè)窗格的“創(chuàng)建證書申請”

3) 在“可分辨名稱屬性”窗口輸入證書的必須信息，單擊“下一步’

注意; 這里輸入的“通用名稱”應(yīng)該是站點的域名或IP 地址，如果通用名稱和站點的實際域名或IP 地址不同，則在使用中會提示訪問該站點的用戶“此網(wǎng)站的安全證書有問題

4) 在“加密服務(wù)提供的程序?qū)傩浴按翱?，使用默認(rèn)的加密程序和密鑰長度，單擊”下

一步

5) 在’“文件名”窗口，為該證書申請指定一個文件名和保存位置，單擊“完成，完

成證書申請的創(chuàng)建

6) 打開證書申請文件“c:?rtificate.txt”, 可見證書申請文件是base-64編碼，

2. 提交證書申請

可以通過瀏覽器訪問certsrv 虛擬目錄，提交申請，操作步驟：

1) 復(fù)制證書申請文件內(nèi)全部內(nèi)容

2) 使用web 瀏覽器鏈接到單擊“申請證書“

3) 在“申請一個證書“頁面中，單擊”高級證書申請“

4) 在“高及證書申請“頁面中，選擇第二項，使用base-64編碼的證書申請，

5) 在“提交一個證書申請或續(xù)訂申請“頁面，將第一步復(fù)制的證書申請內(nèi)容黏貼到”保存

的申請：“文本框中，在”證書模版“下拉列表中選擇”web 服務(wù)器“，單擊”提交“

3. 頒發(fā)證書

如果使用的使企業(yè)CA ，在提交申請后CA 會自動頒發(fā)證書。

如果是獨立CA ，則還需要人工操作頒發(fā)證書。打開獨立CA ，在左側(cè)窗格 選擇“掛起的申請“，在右側(cè)窗格右擊申請，選擇”所有任務(wù)---頒發(fā)“，為該申請頒發(fā)證書，

證書頒發(fā)完成后，在“證書已頒發(fā)“頁面，選擇”base-64編碼“，單擊”下載證書“，將證書保存到本地，

注意：本例使用的是企業(yè)CA, 提交申請后會直接進入“證書已頒發(fā)“頁面。

如果使用的是獨立CA, 則在證書頒發(fā)后需要重新單擊申請證書中的“下載CA 證書、證書鏈或CRL ”超鏈接，進入“下載CA 證書”頁面

5.3.2證書的安裝與使用

1. 在web 服務(wù)器上安裝證書

將證書下載到本地后，就可以為指定的web 站點應(yīng)用該證書。具體步驟:

1) 單擊創(chuàng)建證書申請右側(cè)窗格的“完成證書申請”

2) 在“指定證書頒發(fā)機構(gòu)響應(yīng)”窗口，輸入CA 響應(yīng)文件（已下載的數(shù)字證書文件）

的路徑和文件名，并給該文件起一個別名，單擊“確定”。完成證書的申請

2. 配置安全通道（SSL ）

當(dāng)web 服務(wù)器安裝了證書后，就可以在指定的站點啟用HTTPS 鏈接。具體步驟：

1) 展開“internet 信息服務(wù)管理器”左側(cè)窗格的節(jié)點數(shù)，選擇需要使用該證書的站點，單

擊右側(cè)操作窗格中的“綁定”

2) 在“網(wǎng)站綁定”窗口單擊“添加”

3) 在“添加網(wǎng)站綁定”窗口，選擇類型為“https ”, 選擇SSL 證書為先前安裝的證書”web ”,

使用默認(rèn)“443”端口，單擊“確定”

注意：選擇綁定類型為https 時不能指定主機頭，用戶訪問該站點是需要寫全URL 地址，如：https://www.benet.com或(也可簡寫，省略掉冒號后的雙杠) 。否則將鏈接失敗，或鏈接到其他站點

當(dāng)為站點設(shè)置https 類型的綁定后，還需要修改該站點的SSL 設(shè)置。展開“internet 信息服務(wù)管理器”左側(cè)窗格的節(jié)點數(shù)，選擇需要配置SSL 的站點，雙擊中間功能窗格中的“SSL 設(shè)置”，進入“SSL 設(shè)置”頁面

如果需要強制用戶都是用SSL 方式鏈接站點，則選擇“要求SSL ”. 選擇此項后不管站點是否有https 類型的綁定，用戶都只能以https 方式鏈接站點。選擇”要求SSL ”后可以進一步選擇“需要128位SSL ”, 使用128位密鑰加密SSL 通訊

在SSL 設(shè)置“頁面還可以設(shè)置是否需要客戶端證書

1. 忽略：無論用戶是否擁有證書，都將被授予訪問的權(quán)限?？蛻舳瞬恍枰暾埡桶?/p>

裝客戶端證書

2. 接受“用戶可以使用客戶端訪問資源，但證書并不是必須的?？蛻舳瞬恍枰暾?/p>

和安裝客戶端證書

3. 必須：服務(wù)器在將用戶與資源連接之前要驗證客戶端證書?？蛻舳吮仨毶暾埡桶?/p>

裝客戶端證書，例如“用戶證書“

3. 使用HTTPS 協(xié)議訪問網(wǎng)站

當(dāng)安裝了證書并為站點添加了https 類型的綁定后，用戶就可以使用https 方式（https://）和站點建立連接。當(dāng)用戶以https 訪問時，系統(tǒng)會彈出兩個安全警報窗口

注意：如果沒有在“SSL 設(shè)置”頁選擇“要求SSL ”, 并且站點還有https 類型的綁定，那么用戶還可以使用https 方式訪問該站點。如果選擇了”要求SSL ”當(dāng)用戶使用https 方式訪問時將會彈出錯誤提示

注意：當(dāng)證書由internet 上具有公信的CA 頒發(fā)或同一個域內(nèi)的企業(yè)CA 頒發(fā)時，不會出現(xiàn)“證書由非可信CA 頒發(fā)”的安全警報。另外，由于瀏覽器版本不同，安全警告的顯示方式可能會有所不同

確認(rèn)這兩個安全警告后即可訪問該網(wǎng)站

5.3.3證書的導(dǎo)入與導(dǎo)出

1. 導(dǎo)出證書

步驟：

1) 在web 服務(wù)器上從“管理工具“中打開”internet 信息服務(wù)管理器“，在左側(cè)

窗格選擇服務(wù)器名稱，雙擊中間窗格的”服務(wù)器證書“

2) 在中間窗格選擇目標(biāo)證書，單擊右側(cè)窗格的“導(dǎo)出“按鈕

3) 在“導(dǎo)出證書“窗口中，指定導(dǎo)出路徑、文件名及密碼，單擊”確定，完成證

書導(dǎo)出

注意：證書導(dǎo)出后小心保管，以避免因為服務(wù)器故障造成的損壞、丟失、或被他人

竊取

2. 導(dǎo)入證書

步驟：

1. 在重建的web 服務(wù)器上從“管理工具”中打開“internet 信息服務(wù)管理器”在左側(cè)

窗格選擇服務(wù)器名稱，雙擊中間窗格的“服務(wù)器證書”

2. 單擊“選擇目標(biāo)證書”的右側(cè)操作窗格的“導(dǎo)入”

3. 在“導(dǎo)入證書”窗口中，輸入證書路徑、文件名和密碼，單擊“確定”，完成證書

的導(dǎo)入，

導(dǎo)入完成后就可以繼續(xù)正常使用該證書，如為目標(biāo)站點添加https 類型的綁定等 上機實驗部分

實驗案例一：為web 站點啟用HTTPS

本章作業(yè)