Windows网络服务_CHAP05_V1.0.pptVIP

内容回顾 VPN与拔号连接相比有哪些优点？ VPN服务器通过几种方式给客户机分配IP地址？ 简述网络策略的组成 简述网络策略的应用规则 技能展示 理解PKI的相关理论 理解证书的发放过程 掌握证书服务的安装 掌握企业CA的管理 掌握在WEB服务器上设置SSL 本章结构 什么是PKI Public Key Infrastructure，公钥基础结构 通过公钥技术与数字证书确保信息安全的体系 由公钥加密技术、数字证书、CA、RA等共同组成 PKI体系能够实现的功能有 身份认证 数据完整性 数据机密性 操作的不可否认性 公钥加密技术 公钥加密技术是PKI的基础 公钥（Public Key）和私钥（Private Key） 公钥和私钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密 不能根据一个密钥而推算出另外一个密钥 公钥对外公开，私钥只有私钥的持有人才知道 私钥应该由密钥的持有人妥善保管 根据实现的功能不同，可以分为数据加密和数字签名 数据加密 发送方使用接收方的公钥加密数据 接收方使用自己的私钥解密数据 数据加密能保证所发送数据的机密性 数字签名 基于PKI技术的协议 什么是证书 证书用于保证密钥的合法性 证书把公钥与拥有对应私钥的主体标识信息捆绑在一起 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 X.509是由国际电信联盟制定的数字证书标准 使用者的公钥值 使用者标识信息（如名称和电子邮件地址） 有效期（证书的有效时间） 颁发者标识信息 颁发者的数字签名 什么是证书 证书可以应用于 Web服务器身份验证 Web用户身份验证 安全电子邮件 Internet协议安全(IPSec) 数字证书由权威公正的第三方机构即CA签发 CA的作用 CA（Certificate Authority，证书颁发机构） CA的核心功能是颁发和管理数字证书 CA的作用 处理证书申请 鉴定申请者是否有资格接收证书 证书的发放 证书的更新 接收最终用户数字证书的查询、撤销 产生和发布证书吊销列表（CRL） 数字证书的归档 密钥归档 历史数据归档 证书发放过程 安装证书服务 企业根CA与企业从属CA 需要AD服务 自动颁发证书 有证书模板 独立根CA与独立从属CA 不需要AD服务 需要管理员手工颁发证书 没有证书模板 用户申请证书时，必须提供身份信息并指定所需的证书类型 用户申请证书 如果是企业CA Web浏览器申请 MMC控制台申请 如果是独立CA Web浏览器申请 小结 请思考： 什么是数据加密？ 什么是数字签名？ CA的作用是什么？ 简述证书的发放过程 案例：为Web站点启用Https BENET公司有一个Web站点，用于员工出差通过Web网站提交销售记录、客户通过Web站点提交订单，如何保证网络传输数据的安全？ 案例：为Web站点启用Https 推荐步骤 信任CA 生成证书申请 提交证书申请 安装证书 启用SSL 使用HTTPS协议访问网站 案例：为Web站点启用Https 信任CA 通信双方只有信任CA，才能信任由CA所颁发的证书 将CA证书导入客户端受信任证书颁发机构 可以设置是否需要客户端证书 忽略：客户端不需要申请证书 接受：客户端可以使用证书访问服务器，但并不是必需的 必须：客户端必须申请和安装客户端证书 案例：为Web站点启用Https 证书的导入与导出 导入与导出相当于对证书进行还原与备份 证书导出后应妥善保管 本章总结 实验案例：为Web站点启用Https 需求描述： BENET公司有一个Web站点，域名为，启用基本身份验证方式。随着业务的发展，公司想将该网站发展成网上交易平台，因此在用户访问时，需要保证用户密码和访问的数据在传输时的安全性。如何实现该功能？ 实验案例：为Web站点启用Https 阶段划分： 阶段一 为Web站点申请证书 阶段二 为Web站点启用SSL 客户端成功访问网站 阶段一：为Web站点申请证书 实现思路： 三台虚拟机完成实验（Web服务器，CA，客户机） 搭建Web站点 在DNS注册的主机记录 申请文件中网站FQDN与客户端访问的FQDN相同 阶段一：为Web站点申请证书 学员练习： 搭建Web站点 注册DNS记录 搭建CA 为Web站点成功申请证书 阶段二：为Web站点启用SSL 实现思路： 忽略客户端证书 客户端信任CA 学员练习： 为Web站点安装证书 在Web站点启用SSL 客户端通过成功访问Web站点 教师介绍本章结构，介绍时强调重点内容。 本章重点理解公钥加密技术的原理、证书服务的应用。 根据公钥与私钥的特点举例说明数据加密原理。 如A给B发送数据，A拥有自己的私钥与B的公钥，B拥有自己的私钥与A的公钥