12Windows.证书服务部署安全基础框架讲稿.pptVIP

概述 公钥加密是用于电子商务、Intranet、Extranet和其它网络应用程序的核心技术，带来了巨大的军事、商业安全利益。但是，要想充分利用公钥加密带来的好处，需要基础结构的支持。 Microsoft Windows 2000/2003操作系统本身包括了一个基础结构（PKI），它从底层开始就是为充分利用Windows 2000/2003安全结构的优势而设计的。 内容安排 PKI简介 证书用途 部署Windows 证书服务 管理证书 应用证书 公钥加密 数字签名 公钥基础结构（PKI） 公钥基础结构（PKI ）既不是物理对象，也不是软件进程，而是由一套相互关联的组件提供的一组有用服务。这些组件一起为应用和用户提供了基于公钥的安全服务。 Windows Server 2003 PKI 证书颁发机构（CA） PKI简介 证书用途 部署Windows 证书服务 管理证书 应用证书 CA层次结构 证书用途 服务器验证 客户端验证 代码签名 安全电子邮件 时间戳 EFS IPSec … … 证书图例 PKI简介 证书用途 部署Windows 证书服务 管理证书 应用证书 部署Windows证书服务 证书服务CA 设置一个颁发并管理数字证书的CA 证书服务Web注册支持 允许在服务器上发布网页以提交请求并从CA检索证书 CA类型 安装证书服务 创建从属CA 备份/还原CA 部署Windows证书服务 安装证书服务 企业根CA 备份CA Demo PKI简介 证书用途 部署Windows 证书服务 管理证书 应用证书 管理证书 颁发证书 拒绝证书签名请求（CSR） 吊销证书 发布证书撤销列表（CRL） Demo PKI简介 证书用途 部署Windows 证书服务 管理证书 应用证书 应用证书 申请证书 利用证书请求向导申请证书（仅适用于企业CA ） 利用证书服务Web页面申请证书（http://CAServer name/certsrv） 检查证书申请状态 下载证书 安装证书 查看证书 导入导出证书 Demo 实验 1、安装证书服务 2、管理证书 颁发证书（申请证书） 拒绝证书签名请求（CSR） 吊销证书 发布证书撤销列表（CRL） 3、应用证书 检查证书申请状态 下载证书 查看证书 导入/导出证书 二、使用SSL确保Web服务器通信安全 概述 安全套接字层（SSL）是一套提供身份验证、保密性和数据完整性的加密技术。SSL最常用来在Web浏览器与Web服务器之间建立安全通信通道。它也可以在客户端应用程序和Web服务之间使用。 为支持SSL通信，必须为Web服务器配置SSL证书。 议程 SSL技术概览 Web服务器上SSL的设置 验证通信是否已加密 SSL技术概览 保密性 确保数据处于私有和保密状态，并且不会被可能使用网络监控软件的窃听者查看到； 通常借助加密来达到保密目的。 完整性 防止数据在传输过程中遭到意外或恶意的修改； 完整性通常是通过使用消息身份验证码MAC实现的。 （在典型的Web应用部署中） SSL技术概览 结合使用SSL、IPSec和RPC加密来保护每一个通道的安全 SSL 常用于确保浏览器与Web服务器之间的通道安全； 还可以用于保护从运行Microsoft SQL Server 的数据库服务器进出的Web服务消息和通信的安全。 能够安全通信的典型Web应用部署模型 SSL技术概览 SSL协议允许应用程序在公网上秘密的交换数据，因此防止了窃听，破坏和信息伪造。 SSL允许两个应用程序通过使用数字证书认证后在网络中进行通信。它还使用加密及信息摘要来保证数据的可靠性。 SSL是粘附在传输层协议之上的。 SSL3.0是由互联网工程任务（IETF）于1996年定义的，是当前的标准，所有浏览器都支持它，所以应用程序在使用它时不需要特殊的代码。 什么是SSL？ SSL握手说明 议程 SSL技术概览 Web服务器上SSL的设置 验证通信是否已加密 Web服务器上SSL的设置 步骤 生成证书申请（CSR） 提交证书申请 企业CA 商用CA ，如：；； 颁发证书 在Web服务器上安装证书 将资源配置为要求SSL访问 Web服务器上SSL的设置 注释 SSL要求将服务器身份验证证书安装在Web服务器上（或数据库服务器上） 应用SSL时，客户端使用HTTPS协议，而且服务器在TCP端口443进行侦听 Web服务器上SSL的设置 性能考虑 启用SSL时，应该监控应用程序的性能。 SSL使用复杂的加密功能对数据进行加密和解密，因此 对应用程序的性能有所影响 应该在使用SSL的页面中使用较少的文字