實訓指導2.2利用數(shù)字證書保護通信_第1頁
實訓指導2.2利用數(shù)字證書保護通信_第2頁
實訓指導2.2利用數(shù)字證書保護通信_第3頁
實訓指導2.2利用數(shù)字證書保護通信_第4頁
實訓指導2.2利用數(shù)字證書保護通信_第5頁
已閱讀5頁,還剩22頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

國家高等職業(yè)教育網絡技術專業(yè)教學資源庫計算機網絡安全技術與實施學習情境2:實訓任務2.2利用CA數(shù)字證書保護通信內容介紹

任務場景及描述1任務相關工具軟件介紹2任務設計、規(guī)劃3任務實施及方法技巧4任務檢查與評價5任務總結6任務場景及描述任務相關工具軟件介紹VMWareWorkstation——虛擬單機實現(xiàn)Windows2003CA組件——CA服務器Windows2003IIS組件——WEB服務器IE瀏覽器——客戶端任務相關工具軟件介紹使用兩臺虛擬機2003系統(tǒng)分別作為:CA服務器IIS的WEB服務器物理機為IE客戶任務設計、規(guī)劃任務設計、規(guī)劃商家(WEB網站)客戶(IE瀏覽器)CA數(shù)字證書服務器互聯(lián)網BCA任務設計、規(guī)劃任務布置:學生可分為3人一組,學生機通過局域網互聯(lián)完成實驗。以下圖為例,在A主機上安裝CA服務器;在C主機上安裝IIS并設置WEB服務;B主機做為瀏覽器。B主機-IE瀏覽器客戶A主機-微軟CA數(shù)字證書服務器C主機-基于IIS的WWW服務器IP:IP:商家(WEB網站)客戶(IE瀏覽器)任務實施及方法技巧1、證書服務器安裝與配置證書服務器或稱密鑰服務器,是允許用戶提交和獲取數(shù)字證書的數(shù)據庫。證書服務器通常提供一些管理特性,使單個公司可以維護自己的安全策略--比如,只允許符合特定要求的密鑰進入服務器存儲。公鑰基礎(PublicKeyInfrastructures--PKI)PKI包含證書服務器的證書存儲功能,還提供證書管理能力(發(fā)布,回收,存儲,獲取和認證證書)。PKI的主要特性是引入了所謂的認證權威(CertificationAuthority--CA),這是由人組成的實體--個人,團體,部門,公司或其他協(xié)會--該組織有權向計算機用戶發(fā)布證書。(CA的角色類似于國家政府頒發(fā)護照的部門)。CA創(chuàng)建證書并在上面用自己的私鑰進行數(shù)字簽名。由于CA在創(chuàng)建證書過程中的角色很重要,因此它是PKI的核心。使用CA的公鑰,想要驗證證書真實性的任何人只要校驗CA的數(shù)字簽名就能確定證書內容的完整性和真實性(更為重要的是確認了證書持有者的公鑰和身份)。(注:在安裝CA前要先安裝IIS)任務實施及方法技巧(1)基于Windows2003Server建立CA認證中心(在A主機上完成)選擇開始-控制面板-添加刪除程序-添加刪除Windows組件:提示安裝證書服務后不能改變計算機名了,選擇是后,有四種類型的證書頒發(fā)機構,如果本機是活動目錄,則都可選擇,如果不是則只有后兩項可以選擇,即獨立的根CA(CA體系中最受信任的CA。不需要ActiveDirectory。)和獨立的從屬CA(標準CA可以給任何用戶或計算機頒發(fā)證書。必須從另一個CA獲取CA證書。不需要ActiveDirectory。)這里選擇獨立的根CA。任務實施及方法技巧

接下來要求輸入CA機構的一些信息。這些都是CA的真實信息,要得到申請者的確信。然后,會給出證書數(shù)據庫與日志的存放位置設置,默認為C:\WINNT\system32\CertLog,系統(tǒng)目錄下。開始復制數(shù)據,要求提供WIN2000安裝文件或光盤。放入光盤或指定好位置后就可以完成CA服務的安裝了。證書的申請要通過IIS以WEB形式完成。安裝完成后會在IIS中建立兩個虛擬目錄CertControl和CertEnroll用于證書的申請與管理。

現(xiàn)在可以選擇開始-程序-管理工具-證書頒發(fā)機構,可以查看是否有證書的申請,即待發(fā)證書,也可以對證書進行吊銷等管理了。任務實施及方法技巧(2)數(shù)字證書的申請和簽發(fā)步驟:①申請者向某CA申請數(shù)字證書后,下載并安裝該CA的“自簽名證書”或更高級的CA向該CA簽發(fā)的數(shù)字證書,驗證CA身份的真實性。②申請者的計算機隨機產生一對公私密鑰。③申請者把私鑰留下,把公鑰和申請明文用CA的公鑰加密,發(fā)送給CA。④CA受理證書申請并核實申請者提交的信息.⑤CA用自己的私鑰對頒發(fā)的數(shù)字證書進行數(shù)字簽名,并發(fā)送給申請者。⑥經CA簽名過的數(shù)字證書安裝在申請方的計算機上??蓞⒁姾竺鎴D所示過程(注:CA的IP地址為,則證書申請的URL為:/Certsrv)CA認證中心商家(WEB網站)客戶(IE瀏覽器)任務實施及方法技巧申請客戶證書驗證并發(fā)放客戶證書申請服務器證書驗證并發(fā)放服務器證書任務實施及方法技巧2、商家WEB服務器申請CA證書(在C主機上完成)(1)生成服務申請證書的文件,在IIS服務器中的WEB站點上右鍵屬性,目錄安全性,中選擇安全通信,服務器證書,然后下一步,在出現(xiàn)的下一個窗口中選擇“創(chuàng)建一個新證書”,下一步后出現(xiàn),現(xiàn)在準備請求…,依次選擇下一步,輸入證書名、密鑰位數(shù)、組織信息、公用名、地理信息、最后會生成一個請求文件名,默認為:c:\certreq.txt,也可修改。任務實施及方法技巧(2)通過IE瀏覽器申請證書(在C主機上完成)在商家WEB服務器的IE瀏覽器中輸入CA服務器的URL:/Certsrv在出現(xiàn)的選擇項中選擇申請證書后點下一步。在出現(xiàn)的窗口中選擇高級申請,因為要申請的是WEB服務器證書。任務實施及方法技巧

下一步后,接下來選擇:“使用base64編碼的PKCS#10文件提交一個證書申請,或使用base64編碼的PKCS#7文件更新證書申請?!焙笙乱徊健H缓筮x擇窗口中的瀏覽,如果出現(xiàn)提示警告,則是因為這里是一個ActiveX控件,IE默認級別為中級,不允許運行ActiveX控件,這里選擇IE右鍵屬性,在安全中把Internet的安全級別中的ActiveX設置為啟用即可。再次選擇窗口中的瀏覽,則會出現(xiàn)路徑選擇:c:\certreq.exe找到后選擇讀取。如下圖所示,點提交后會出現(xiàn)證書掛起,等待CA頒發(fā)。這里可通知CA服務器管理員進行信息核實后頒發(fā)證書。任務實施及方法技巧(3)CA中心頒發(fā)證書(在A主機上完成)這時在CA的服務器上打開,CA中心證書頒發(fā)機構。選擇待定證書,會發(fā)現(xiàn)剛才的申請,右鍵選擇所有任務中的頒發(fā)即可。任務實施及方法技巧(4)通過IE瀏覽器下載并保存證書(在C主機上完成)此時商家計算機可以通過IE瀏覽器打開申請證書時的URL:/Certsrv在窗口中選擇“檢查掛起證書”。選擇下載證書到本地計算機。(5)在IIS服務WEB站點上安裝此證書(在C主機上完成)再次進入,IIS服務器中的WEB站點上右鍵屬性,目錄安全性中選擇安全通信,服務器證書,會發(fā)現(xiàn)有所變化。選擇處理掛起的請求并安裝證書,并找到剛才下載的證書并安裝。任務實施及方法技巧3.客戶IE瀏覽器端申請CA證書(在B主機上完成)此步驟可參考服務器端?;臼侨缦逻^程,區(qū)別是不用在IIS上生成請求文件了:(1)通過IE瀏覽器申請證書,申請時要選擇WEB瀏覽器證書。(2)CA中心頒如證書。(3)通過IE瀏覽器下載并保存證書,或選擇安裝即可。如果成功安裝了證書會在IE瀏覽器的選項中的內容下的證書中看到證書的相關信息。任務實施及方法技巧1、數(shù)字證書的驗證過程(以B、C雙方進行安全通信時B驗證A的數(shù)字證書為例):①B要求C出示數(shù)字證書。②C將自己的數(shù)字證書發(fā)送給B。③B首先驗證簽發(fā)該證書的CA是否合法。④B用CA的公鑰解密A證書的數(shù)字簽名,得到C證書的數(shù)字摘要。⑤B用摘要算法對C的證書明文制作數(shù)字摘要。⑥B將兩個數(shù)字摘要進行對比。如相同,則說明C的數(shù)字證書合法。CA認證中心C-商家(WEB網站)B-客戶(IE瀏覽器)任務實施及方法技巧客戶要求商家出示數(shù)字證書商家將自己的數(shù)字證書發(fā)送給客戶CA認證中心C-商家(WEB網站)B-客戶(IE瀏覽器)任務實施及方法技巧客戶要求商家出示數(shù)字證書商家將自己的數(shù)字證書發(fā)送給客戶客戶首先驗證簽發(fā)該證書的CA是否合法任務實施及方法技巧2、測試在數(shù)字證書保護下通信的安全性以B訪問C進行安全通信為例:此時在B主機的瀏覽器中輸入:https//,就可以實現(xiàn)通過安全的HTTPS協(xié)議進行網站的訪問了。此時可以利用Snifferpro進行捕獲分析,可以在B或C主機上完成檢查工作。任務檢查與評價任務檢查與評價:能夠正確安裝CA服務器能夠正確在IIS的WEB服務器上申請并安裝WEB服務自己的數(shù)字證書和CA的自簽名證書能夠正確在IE瀏覽器中安裝CA的自簽名證書,以信任此CA測試HTTPS安全通信所采用的SSL協(xié)議,端口號為443,基于TCP協(xié)議傳輸任務檢查與評價任務評價:本部分內容是在PGP應用的基礎上的又一個實際應用的實例,這個工作任務建議是由課外完成的,要求達到的目標是:能夠建立CA服務器,學會數(shù)字證書操作的整個流程,理解HTTPS安全協(xié)議。任務2.2知識技能要點測評表序號測評要點具體目標測評權重1知識理解理解數(shù)字證書的原理及工作流程202工具及軟件使用能正確安裝配置CA服務器,為客戶及服務器頒發(fā)數(shù)字證書,并能正確安裝證書。103任務實施能夠采用正確的方法對數(shù)字證書的保護措施進行檢查,并能說明查驗過程中的各步驟理論依據。204專業(yè)能力提升能對CA及PKI的實現(xiàn)有深入理解205方法能力提升利用學習資源自主進行深入學習206社會能力提升通過小組合作分析協(xié)議結構,提升表達、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論