第五章PKI 與證書服務(wù)應(yīng)用5.1公鑰基礎(chǔ)結(jié)構(gòu)5.1.1什么是PKIPKI 是通過使用公鑰技術(shù)和數(shù)字證書來確保數(shù)字信息安全, 并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種技術(shù).5.1.2公鑰加密技術(shù)1. 數(shù)據(jù)

第五章PKI 與證書服務(wù)應(yīng)用

5.1公鑰基礎(chǔ)結(jié)構(gòu)

5.1.1什么是PKI

PKI 是通過使用公鑰技術(shù)和數(shù)字證書來確保數(shù)字信息安全, 并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種技術(shù).

5.1.2公鑰加密技術(shù)

1. 數(shù)據(jù)加密

2數(shù)字簽名

5.1.3 X.509

5.1.4使用PKI 的協(xié)議

1. SSL(secure socket layer)安全套接字層

2. HTTPS 安全超文本傳輸協(xié)議

3. IPSec(IP security)

5.2證書頒發(fā)機(jī)構(gòu)

5.2.1 什么是證書

5.2.2 CA的作用

5.2.3 證書的發(fā)放過程

5.2.4 安裝證書服務(wù)

步驟：

1. 在域控制器上，從“管理工具”中打開“服務(wù)器管理器”---角色，單擊“添加角色。打

開”添加向?qū)А?/p>

2. 單擊“下一步”， 進(jìn)入“選擇服務(wù)器角色”窗口，選擇“active directory”證書服務(wù)“，

單擊”下一步“

3. 在“服務(wù)簡(jiǎn)介“窗口單擊”下一步“，在”選擇角色服務(wù)“窗口中選擇”證書頒發(fā)機(jī)構(gòu)

“和證書頒發(fā)機(jī)構(gòu)web 注冊(cè)”，添加必須的角色服務(wù)，單擊“下一步”

4. 在“指定安裝類型”窗口中選擇“企業(yè)”，單擊“下一步”

5. 在“指定CA 類型”窗口i 選擇“根CA ，單擊”下一步“

6. 在“設(shè)置私鑰“窗口選擇”新建私鑰“，單擊”下一步“

7. 在“為CA 配置加密“窗口，使用默認(rèn)的加密服務(wù)提供程序、哈希算法和密鑰長(zhǎng)度，單

擊”下一步

8. 在“配置CA 名稱“頁(yè)中，使用默認(rèn)的名稱，單擊“下一步”

9. 在“設(shè)置有效期”頁(yè)中，使用默認(rèn)五年有效期，單擊“下一步”

10. 在“配置證書數(shù)據(jù)庫(kù)”頁(yè)中，使用默認(rèn)的保存位置，單擊“下一步”

11. 在“web 服務(wù)器簡(jiǎn)介”頁(yè)中，單擊“下一步”

12. 在“選擇角色服務(wù)”頁(yè)中，使用默認(rèn)為web 服務(wù)器添加的角色服務(wù)，單擊“下一步”

13. 單擊“安裝---關(guān)閉”，完成添加角色。

14. 安裝完成后可以從“管理工具”中選擇“certification authority“，打開證書頒發(fā)機(jī)構(gòu)管

理器，管理證書的頒發(fā)

15. 用戶可以使用web 瀏覽器訪問，申請(qǐng)證書,

注意：http://IP/certsrv中的IP 是證書服務(wù)器的IP 地址，也可使用證書服務(wù)器的機(jī)器名稱。訪問該目錄是需要提供用戶名和密碼，默認(rèn)情況下certsrv 使用集成windows 身份驗(yàn)證

5.3 證書服務(wù)的應(yīng)用

5.3.1證書的申請(qǐng)與頒發(fā)

1. 生成證書申請(qǐng)

步驟：

1) 在web 服務(wù)器上，打開“管理工具”中的“internet 信息服務(wù)管理器”，在左側(cè)窗格

選擇服務(wù)器名稱，雙擊中間窗格的“服務(wù)器證書”

2) 單擊右側(cè)窗格的“創(chuàng)建證書申請(qǐng)”

3) 在“可分辨名稱屬性”窗口輸入證書的必須信息，單擊“下一步’

注意; 這里輸入的“通用名稱”應(yīng)該是站點(diǎn)的域名或IP 地址，如果通用名稱和站點(diǎn)的實(shí)際域名或IP 地址不同，則在使用中會(huì)提示訪問該站點(diǎn)的用戶“此網(wǎng)站的安全證書有問題

4) 在“加密服務(wù)提供的程序?qū)傩浴按翱?，使用默認(rèn)的加密程序和密鑰長(zhǎng)度，單擊”下

一步

5) 在’“文件名”窗口，為該證書申請(qǐng)指定一個(gè)文件名和保存位置，單擊“完成，完

成證書申請(qǐng)的創(chuàng)建

6) 打開證書申請(qǐng)文件“c:?rtificate.txt”, 可見證書申請(qǐng)文件是base-64編碼，

2. 提交證書申請(qǐng)

可以通過瀏覽器訪問certsrv 虛擬目錄，提交申請(qǐng)，操作步驟：

1) 復(fù)制證書申請(qǐng)文件內(nèi)全部?jī)?nèi)容

2) 使用web 瀏覽器鏈接到單擊“申請(qǐng)證書“

3) 在“申請(qǐng)一個(gè)證書“頁(yè)面中，單擊”高級(jí)證書申請(qǐng)“

4) 在“高及證書申請(qǐng)“頁(yè)面中，選擇第二項(xiàng)，使用base-64編碼的證書申請(qǐng)，

5) 在“提交一個(gè)證書申請(qǐng)或續(xù)訂申請(qǐng)“頁(yè)面，將第一步復(fù)制的證書申請(qǐng)內(nèi)容黏貼到”保存

的申請(qǐng)：“文本框中，在”證書模版“下拉列表中選擇”web 服務(wù)器“，單擊”提交“

3. 頒發(fā)證書

如果使用的使企業(yè)CA ，在提交申請(qǐng)后CA 會(huì)自動(dòng)頒發(fā)證書。

如果是獨(dú)立CA ，則還需要人工操作頒發(fā)證書。打開獨(dú)立CA ，在左側(cè)窗格 選擇“掛起的申請(qǐng)“，在右側(cè)窗格右擊申請(qǐng)，選擇”所有任務(wù)---頒發(fā)“，為該申請(qǐng)頒發(fā)證書，

證書頒發(fā)完成后，在“證書已頒發(fā)“頁(yè)面，選擇”base-64編碼“，單擊”下載證書“，將證書保存到本地，

注意：本例使用的是企業(yè)CA, 提交申請(qǐng)后會(huì)直接進(jìn)入“證書已頒發(fā)“頁(yè)面。

如果使用的是獨(dú)立CA, 則在證書頒發(fā)后需要重新單擊申請(qǐng)證書中的“下載CA 證書、證書鏈或CRL ”超鏈接，進(jìn)入“下載CA 證書”頁(yè)面

5.3.2證書的安裝與使用

1. 在web 服務(wù)器上安裝證書

將證書下載到本地后，就可以為指定的web 站點(diǎn)應(yīng)用該證書。具體步驟:

1) 單擊創(chuàng)建證書申請(qǐng)右側(cè)窗格的“完成證書申請(qǐng)”

2) 在“指定證書頒發(fā)機(jī)構(gòu)響應(yīng)”窗口，輸入CA 響應(yīng)文件（已下載的數(shù)字證書文件）

的路徑和文件名，并給該文件起一個(gè)別名，單擊“確定”。完成證書的申請(qǐng)

2. 配置安全通道（SSL ）

當(dāng)web 服務(wù)器安裝了證書后，就可以在指定的站點(diǎn)啟用HTTPS 鏈接。具體步驟：

1) 展開“internet 信息服務(wù)管理器”左側(cè)窗格的節(jié)點(diǎn)數(shù)，選擇需要使用該證書的站點(diǎn)，單

擊右側(cè)操作窗格中的“綁定”

2) 在“網(wǎng)站綁定”窗口單擊“添加”

3) 在“添加網(wǎng)站綁定”窗口，選擇類型為“https ”, 選擇SSL 證書為先前安裝的證書”web ”,

使用默認(rèn)“443”端口，單擊“確定”

注意：選擇綁定類型為https 時(shí)不能指定主機(jī)頭，用戶訪問該站點(diǎn)是需要寫全URL 地址，如：https://www.benet.com或(也可簡(jiǎn)寫，省略掉冒號(hào)后的雙杠) 。否則將鏈接失敗，或鏈接到其他站點(diǎn)

當(dāng)為站點(diǎn)設(shè)置https 類型的綁定后，還需要修改該站點(diǎn)的SSL 設(shè)置。展開“internet 信息服務(wù)管理器”左側(cè)窗格的節(jié)點(diǎn)數(shù)，選擇需要配置SSL 的站點(diǎn)，雙擊中間功能窗格中的“SSL 設(shè)置”，進(jìn)入“SSL 設(shè)置”頁(yè)面

如果需要強(qiáng)制用戶都是用SSL 方式鏈接站點(diǎn)，則選擇“要求SSL ”. 選擇此項(xiàng)后不管站點(diǎn)是否有https 類型的綁定，用戶都只能以https 方式鏈接站點(diǎn)。選擇”要求SSL ”后可以進(jìn)一步選擇“需要128位SSL ”, 使用128位密鑰加密SSL 通訊

在SSL 設(shè)置“頁(yè)面還可以設(shè)置是否需要客戶端證書

1. 忽略：無論用戶是否擁有證書，都將被授予訪問的權(quán)限?？蛻舳瞬恍枰暾?qǐng)和安

裝客戶端證書

2. 接受“用戶可以使用客戶端訪問資源，但證書并不是必須的。客戶端不需要申請(qǐng)

和安裝客戶端證書

3. 必須：服務(wù)器在將用戶與資源連接之前要驗(yàn)證客戶端證書?？蛻舳吮仨毶暾?qǐng)和安

裝客戶端證書，例如“用戶證書“

3. 使用HTTPS 協(xié)議訪問網(wǎng)站

當(dāng)安裝了證書并為站點(diǎn)添加了https 類型的綁定后，用戶就可以使用https 方式（https://）和站點(diǎn)建立連接。當(dāng)用戶以https 訪問時(shí)，系統(tǒng)會(huì)彈出兩個(gè)安全警報(bào)窗口

注意：如果沒有在“SSL 設(shè)置”頁(yè)選擇“要求SSL ”, 并且站點(diǎn)還有https 類型的綁定，那么用戶還可以使用https 方式訪問該站點(diǎn)。如果選擇了”要求SSL ”當(dāng)用戶使用https 方式訪問時(shí)將會(huì)彈出錯(cuò)誤提示

注意：當(dāng)證書由internet 上具有公信的CA 頒發(fā)或同一個(gè)域內(nèi)的企業(yè)CA 頒發(fā)時(shí)，不會(huì)出現(xiàn)“證書由非可信CA 頒發(fā)”的安全警報(bào)。另外，由于瀏覽器版本不同，安全警告的顯示方式可能會(huì)有所不同

確認(rèn)這兩個(gè)安全警告后即可訪問該網(wǎng)站

5.3.3證書的導(dǎo)入與導(dǎo)出

1. 導(dǎo)出證書

步驟：

1) 在web 服務(wù)器上從“管理工具“中打開”internet 信息服務(wù)管理器“，在左側(cè)

窗格選擇服務(wù)器名稱，雙擊中間窗格的”服務(wù)器證書“

2) 在中間窗格選擇目標(biāo)證書，單擊右側(cè)窗格的“導(dǎo)出“按鈕

3) 在“導(dǎo)出證書“窗口中，指定導(dǎo)出路徑、文件名及密碼，單擊”確定，完成證

書導(dǎo)出

注意：證書導(dǎo)出后小心保管，以避免因?yàn)榉?wù)器故障造成的損壞、丟失、或被他人

竊取

2. 導(dǎo)入證書

步驟：

1. 在重建的web 服務(wù)器上從“管理工具”中打開“internet 信息服務(wù)管理器”在左側(cè)

窗格選擇服務(wù)器名稱，雙擊中間窗格的“服務(wù)器證書”

2. 單擊“選擇目標(biāo)證書”的右側(cè)操作窗格的“導(dǎo)入”

3. 在“導(dǎo)入證書”窗口中，輸入證書路徑、文件名和密碼，單擊“確定”，完成證書

的導(dǎo)入，

導(dǎo)入完成后就可以繼續(xù)正常使用該證書，如為目標(biāo)站點(diǎn)添加https 類型的綁定等 上機(jī)實(shí)驗(yàn)部分

實(shí)驗(yàn)案例一：為web 站點(diǎn)啟用HTTPS

本章作業(yè)