Windows Server網(wǎng)絡(luò)管理項目教程（Windows Server 2022）（微課版）課件項目6 證書服務(wù)器的配置與管理

Windows網(wǎng)絡(luò)管理主講人：王華兵知識引入保證數(shù)據(jù)的安全性數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性身份驗證不可抵賴性HTTP協(xié)議提供一種發(fā)布和接受HTML頁面的方法HTTP協(xié)議設(shè)計的初衷

1996年發(fā)布HTTP1.0版本，正式成為標(biāo)準(zhǔn)。

以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，所有通信數(shù)據(jù)都在網(wǎng)絡(luò)中明文“裸奔”，通過網(wǎng)絡(luò)的嗅探設(shè)備及一些技術(shù)手段，就可還原HTTP報文內(nèi)容。數(shù)字證書數(shù)字證書的密鑰對可以用來加密和解密數(shù)據(jù)的。CA證書服務(wù)器發(fā)放和管理數(shù)字證書的服務(wù)器主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵數(shù)據(jù)機(jī)密性數(shù)據(jù)機(jī)密性

數(shù)據(jù)機(jī)密性是指防止數(shù)據(jù)由于被非法竊聽、攔截，而導(dǎo)致信息泄露。

數(shù)據(jù)機(jī)密性問題，主要通過對數(shù)據(jù)進(jìn)行加密來解決。數(shù)據(jù)機(jī)密性在對數(shù)據(jù)進(jìn)行加密/解密的過程中使用的加解密參數(shù)稱為密鑰。當(dāng)合法接受者收到加密數(shù)據(jù)后，進(jìn)行數(shù)據(jù)解密，將密文轉(zhuǎn)換成明文。數(shù)據(jù)加解密過程加密算法對稱加密算法

通信雙方共享同一個保密參數(shù)作為加解密的密鑰，這個密鑰可以是事先約定直接獲得的，也可以是通過某種算法計算出來的。加密算法非對稱加密算法

一個私有密鑰（私鑰）和一個公開密鑰（公鑰）。

私鑰是保密的，由用戶自己保存；

公鑰是公諸于眾的，本身不構(gòu)成嚴(yán)格的秘密。加密算法非對稱加密算法不適用于大量數(shù)據(jù)的加密，一般只用于關(guān)鍵數(shù)據(jù)的傳輸。消耗較多的系統(tǒng)資源，吞吐量較低主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵數(shù)據(jù)完整性數(shù)據(jù)完整性

數(shù)據(jù)完整性是指防止數(shù)據(jù)在傳輸過程中被非法篡改。

為了解決數(shù)據(jù)完整性問題，需要對數(shù)據(jù)進(jìn)行完整性校驗，通常使用摘要算法（HASH）?？梢酝ㄟ^對比原始摘要值和接收到數(shù)據(jù)的摘要值是否一致來判斷數(shù)據(jù)在傳輸過程中是否被篡改。如果原數(shù)據(jù)稍有變化，就會導(dǎo)致最后計算結(jié)果的摘要值不同。數(shù)據(jù)完整性數(shù)據(jù)完整性HASH算法的處理過程HASH算法具有單向性，無法根據(jù)摘要值推導(dǎo)出原始數(shù)據(jù)。主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵身份驗證和不可抵賴身份驗證

身份驗證是指數(shù)據(jù)接受者需要某種機(jī)制來驗證數(shù)據(jù)發(fā)送方是正確的發(fā)送者，還是偽造身份者。不可抵賴

不可抵賴是指在數(shù)據(jù)傳輸過程中，所有的數(shù)據(jù)發(fā)送、接收操作都不具有可否認(rèn)性。數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)對待發(fā)數(shù)據(jù)進(jìn)行加密處理，生成一段信息，附在原文上一起發(fā)送。簽名印章數(shù)字簽名技術(shù)HASH算法數(shù)字簽名過程主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵PKI使用數(shù)字證書如何保證公鑰不是偽造的呢？如何把公鑰安全地分發(fā)給其他人呢？數(shù)字證書

數(shù)字證書相當(dāng)于電子化的身份證明，里面有一些能夠確定身份的信息資料。它將公鑰與身份信息綁定在一起，由一個可信的第三方證書頒發(fā)機(jī)構(gòu)對綁定后的數(shù)據(jù)進(jìn)行數(shù)字簽名。數(shù)字證書證書所有人的姓名證書所有人的公鑰證書頒發(fā)機(jī)構(gòu)名稱證書頒發(fā)機(jī)構(gòu)的數(shù)字簽名證書序列號證書有效期等數(shù)字證書數(shù)字證書詳細(xì)信息打開IE瀏覽器，單擊“工具”按鈕，在“Internet選項”菜單里找到“內(nèi)容”選項卡，單擊“證書”按鈕，將會看到Windows操作系統(tǒng)中的一些數(shù)字證書，單擊一個數(shù)字證書的“詳細(xì)信息”選項卡。數(shù)字證書數(shù)字證書是由一個可信的第三方權(quán)威機(jī)構(gòu)——證書授權(quán)中心（CentificateAuthority，CA）頒發(fā)給使用者的。發(fā)放證書規(guī)定證書有效期證書的作廢等數(shù)字證書CA層級結(jié)構(gòu)PKIPKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。

PKI為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。加密數(shù)字簽名數(shù)據(jù)完整性機(jī)制數(shù)字信封雙重數(shù)字簽名等主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵安裝配置證書（CA）服務(wù)器任務(wù)說明

通過在服務(wù)器（00/8）上配置ActiveDirectory證書服務(wù)來完整CA服務(wù)器的安裝。任務(wù)說明

安裝CA服務(wù)器將會自動安裝Web服務(wù)器（IIS）功能，并添加證書注冊Web站點到IIS。

為了避免沖突，如果服務(wù)器上已經(jīng)安裝了IIS，在安裝CA服務(wù)器之前建議先將IIS組件刪除。主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵任務(wù)2SSL協(xié)議位于TCP/IP與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。SSL協(xié)議

SSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議SSL記錄協(xié)議

SSL記錄協(xié)議（SSLRecordProtocol），它建立在可靠的TCP之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL協(xié)議SSL握手協(xié)議

SSL握手協(xié)議（SSLHandshakeProtocol），它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。HTTP80HTTPS443VS任務(wù)說明用靜態(tài)HTML語言編寫了一個只有一個主頁面（finance.html）的簡單網(wǎng)站（），將網(wǎng)站文件夾存放到已經(jīng)安裝了IIS的WindowsServer2022服務(wù)器上的硬盤中（C:\），然后開始配置此安全Web站點。主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王琳任務(wù)3任務(wù)說明在子任務(wù)1中，我們將使用證書導(dǎo)出工具將本機(jī)安裝的數(shù)字證書備份到其他安全的存儲設(shè)備上。任務(wù)說明在子任務(wù)2中，