9使用证书服务保护网络通信.ppt

学习情境 场景 1、网坚总公司与各子公司之间、各子公司的部门之间通过PKI机制进行安全通信。 2、网坚公司员工因调动、更替等导致信任关系更改，加强证书管理和控制，确保证书安全和有效。 平台 Windows Server 2003系统提供PKI安全管理机制，通过证书服务 ，确保双方安全、可靠地进行通信。 实施 本项目将基于Windows Server 2003在网坚公司的企业网络中部署企业根CA,实现企业域用户企业CA证书申请、CA证书管理和控制功能。 学习任务 任务1 安装与配置证书服务 任务描述 Windows Server 2003通过PKI安全管理机制保护用户的信息，对用户身份进行验证。企业域内用户与计算机之间相互通信，关键信息在域内网络间的传送都需要得到保护，以保证只有合法用户才可以访问这些信息，而未经授权的用户不能访问这些信息，通过使用企业CA实现数据加密和用户身份的标识，保证用户的信息在网络传输过程中的可靠性和一致性。 任务分析 公司用户访问网络通常使用账户与密码作为保证安全的手段，但是公用密码方式极容易受到网络黑客与非法入侵手段的攻击和破解，Windows Server 2003通过PKI安全管理机制保护用户的信息，对用户身份进行验证。 相关知识与技能 1. PKI基础知识 PKI（Public Key Infrastructure）基础知识 PKI即“公钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密、数字签名等服务，还提供必需的密钥和证书管理体系。PKI技术是信息安全技术的核心，PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 完整的PKI系统必须具有权威证书认证机构（Certification Authority，CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。 1. PKI基础知识 PKI提供以下功能，确保用户能够在网络上安全传送信息： 加密发送的信息 验证信息 PKI根据公开密钥密码学来提供信息加密和身份验证，用户需要有一组密钥来支持PKI功能的实现： 公开密钥（Public Key）：用户可以将自己的公开密钥发送给其它用户。 私有密钥（Private Key）：密钥为该用户私有，且存储在用户的计算机内，只有用户自己能够访问。 在PKI架构下，CA是可信任的机构，它向用户颁发有效的证书。CA主要有两类：商业CA公司和Windows自带的CA程序（称为Microsoft证书服务MCS）。 1. PKI基础知识 1. PKI基础知识 1. PKI基础知识 1. PKI基础知识 Windows Server 2003、Windows XP、Windows 2000等计算机系统默认已经信任由一些知名的CA所发放的证书。 在IE浏览器的窗口中，选择“工具”→“Internet选项”→“内容”→“证书”→“受信任的根证书颁发机构”选项可以查看受信任的根证书颁发机构，如图9-1所示。 1. PKI基础知识 微软的PKI支持结构化的CA，在该架构下CA分为以下两个级别： 根CA 从属CA 通过安装“证书服务”，可以让Windows Server 2003扮演CA的角色，可以将其设为： 企业根CA或企业从属CA 独立根CA或独立从属CA 1. PKI基础知识 1. PKI基础知识 2. 安装与配置证书服务 Windows Server 2003系统内置了证书服务组件，默认状态下没有安装证书服务，需要另外单独安装。在本案例中，我们选择IP地址0、子网掩码为的计算机作为服务器，在其上安装证书服务组件，建立企业根CA。 选择“开始”→“控制面板”→“添加或删除程序”选项，打开添加或删除程序窗口，单击“添加/删除Windows组件”，打开如图9-2所示对话框。 2. 安装与配置证书服务 选择“证书服务”选项，单击“下一步”按钮，打开如图9-3所示对话框，该对话框提示安装证书服务后，计算机名和域成员身份不能改。 选中“企业根CA”及“用自定义设置生成密钥对和CA证书”选项，单击“下一步”按钮。 2. 安装与配置证书服务 Microsoft 证书服务的默认CSP为“Microsoft Strong Cryptographic Provider”，默认散列算法为“SHA-1”，密钥长度为2048，选中“使用现有密钥”列表框中所列密钥，单击“下一步”按钮。 2. 安装与配置证书服务 设置该CA在Active Directory内公用的名称，设置CA默认的有效期限为5年，如图9-6所示。 2. 安装与配置证书服务 企业CA的设置信息会自动