07-PKI、SSL网站与邮件安全要点分析.ppt

PKI、SSL网站安全 数字证书和公钥加密技术 原理 CA的架构 用户申请SSL数字证书 用户申请电子邮件数字证书 安装pop3服务器 验证电子邮件数字证书 6.1 PKI概述 网络安全的特性： 机密性：数据加密 身份认证：数据是否是发方本人发送 完整性：数据是否被篡改 PKI（Public Key Infrastructure公钥结构）的密钥对： 公钥：用户公开给其它用户的 私钥：用户自己使用的 单一密钥技术 公钥加密技术 数字签名 发件人将电子邮件签名与发送流程 6.2 证书颁发机构(Certification Authority) 所谓的数字证书和我们的个人身份证是类似的 数字证书原理如图，采用的是公钥机制，颁发证书时证书中心会对公钥进行签名。 证书管理：控制台 证书管理：控制台 数字证书 PKI PKI是一个完整的颁发、吊销、管理数字证书的一个系统。 独立根CA的安装 独立根CA的安装 独立根CA的安装 独立根CA的安装 独立根CA的安装 独立根CA的安装 独立根CA的安装 6.3 证书的使用 6.3.1 SSL网站用证书保护web网站 构建SSL网站 让web服务器和客户端都信任独立根CA（IE ESC禁用） 在网站上建立证书申请文件 将申请文件传送到独立CA并下载证书文件 安装证书与启用SSL 建立与网站之间的SSL连接 手动信任独立根CA 手动信任独立根CA 手动信任独立根CA 在网站上(1号机)建立证书申请文件 证书申请 证书申请 申请证书与下载证书 申请证书与下载证书 申请证书与下载证书 CA服务器颁布证书 Web服务器下载证书 安装证书 测试结果 6.3.2 FTP over SSL用证书保护FTP FTP站点新建申请文件 FTP站点向CA服务器申请CA,并下载CA CA服务器颁发证书 FTP站点安装证书 FTP SSL Setting FTP客户端使用： CuteFTP验证 FTP 客户端使用IE验证 FTP客户端使用CuteFTP验证 6.3.3 用证书保护电子邮件 电子邮件原理 实验拓扑 电子邮件保护证书的使用举例 实验步骤 2号安装邮件服务器winmail （） 在邮件服务器上创建两个邮箱u1@ u2@ 1、3号机安装邮件客户端软件foxmail分别连接u1@和u2@ 下载 1、3号机向2号机电子邮件申请数字证书 u1@向u2@发数字签名的邮件 u2@向u1@发加密邮件 Winmail安装步骤 全部使用缺省值安装。 从开始菜单中找到“服务器程序” 从开始菜单中找到“管理端工具” 2号安装邮件服务器winmail 创建两个邮箱u1@ u2@ DNS服务器上的配置 Foxmail客户端设置 Foxmail客户端设置 Foxmail客户端设置 申请保护电子邮件的证书 CA服务器颁发电子邮件数字证书 下载证书 查看证书 IE浏览器中的“Internet选项”菜单 1号机和3号机安装电子邮件数字证书 为用户选择电子证书 使用证书保护邮件（签名） U2收到签名的邮件 使用证书保护邮件（加密） 加密邮件 U2收到加密邮件 6.4 证书管理 数字证书的管理 CA的备份 数字证书的管理 CA的还原 -----要先停止CA服务器，才能还原 3号机下载CRL 3号机下载CRL 导出和导入证书 用IE导出/导入证书 导出和导入证书 用证书管理单元导出/导入 作业： 配置独立CA服务器 向独立CA服务器申请Web网站数字证书，FTP数字证书，电子邮件数字证书。 通过Web网站/FTP站点/电子邮件验证数字证书的应用 架设独立子级CA 申请一个私钥可以导出的电子邮件数字证书 1、3号机安装邮件客户端软件foxmail分别连接u1@和u2@ U2给U1发送签名的邮件，在u1上先把U2的数字证书导入 提示：加密和签名可以同时的。 吊销证书 发布CRL（吊销证书列表） 注意：DNS上要添加记录 把txt文件的内容完整复制！ 申请证书与下载证书 安装证书 设置Web服务器要求客户端建立安全连接 S P u1@ u2@ S P CA服务器 u1@ u2@ Win2008-2 Win2008-1 Win2008-3 用户A和用户B要实现电子邮件加密和签名 PKI、SSL网站安全 Created By 杨名川 Modified By 王隆杰 网卡1 网卡1 /24 Web Server邮件客户端 DNS /24 独立根CA邮件服务器 网卡1 /24 邮件客户端 1 2 3 对称密钥技术算法简单，加、解密迅速，而且密文的加密性强。如何传递密钥 ？ 用户A用自己的私钥对数字签名，用户B收到数据后用用户A的公钥来验证数据。如果数据一致就证明数据没有被动过手脚，这就