第6章 PKISSL.pptVIP

第六章 PKI、SSL网站与邮件安全 故事背景 麦兜开通了自己的网上银行，他可以在上面进行查询工资，转账以及网上消费等等操作。一天麦兜在网上银行提交了用户名和密码，查询了一下自己的工资情况之后就退出了。第二天一早麦兜来到银行准备转账，可是银行工作人员告诉他说：账户中没有钱了。这是在怎么回事。通过排查发现问题就在于输入账户和密码时没有进行有效的保护，那么通过什么方式，可以杜绝此类事情的发生呢？ 本章要点 PKI概述 CA概述与CA的安装 实例演练:SSL网站证书 实例演练:电子邮件保护证书 子级CA的安装 证书的管理 PKI概述 PKI(Public Key Infrastructure，公钥基础设施)可以确保电子邮件,电子商务,文件传送等数据发送的安全。它是一个平台，根据Public Key Cryptography提供数据加密，身份认证与确保数据完整性的功能。 公钥加密 公钥认证 SSL网站安全连接 公钥加密（public key encryption） Encrypted Message is Sent Over Network 2 3A78 Alice Encrypts Message with Bob’s Public Key. 1 Data 3A78 Data Bob Decrypts Message with Bob’s Private Key. 3 公钥认证（public key authentication） Message is Sent Over Network 2 ~*~*~*~ Alice Signs Message with Her Private Key. 1 ~*~*~*~ ~*~*~*~ Bob Validates Message is From Alice with Alice’s Public Key. 3 SSL网站安全连接 发送网站的证书（内含公钥） 双方协调安全等级 Client创建session key,由网站公钥加密后发送到网站 网站利用其私钥将session key 解密 双方利用会话密钥将加解密数据 访问网站的客户端 证书颁发机构CA与根CA的安装 无论是邮件保护还是SSL网站安全连接，都必须先申请证书，才可以使用公钥与私钥来执行数据加密与数据认证，证书发放机构叫做CA。 CSP中存储了证书申请人的信息，并自动创建一对密钥，然后把私钥存储到申请计算机的注册表中，然后把证书申请数据和公钥一起发到CA。CA用私钥到证书签名，发放给用户，用户将其装到计算机中。 CA的信任 在PKI架构下，当用户使用某CA发放的证书来发送一封签名的电子邮件或连接SSL 网站时，收件人的计算机应任任此CA发放的证书。 您可以向权威的CA申请证书，如Verisign。但如果只是想用于内部网络，完全可以自行架设CA，发放给员工，客户，供应商等，通过设置使受信任。 我们可以在IE中“受信任的根证书颁发机构”来查看被信任的CA。 AD CS 的CA种类 企业根CA 需要AD域，您可以将企业根CA安装到域控制器或成员服务器中，主要用来发证书给子CA。 企业子级CA 也需要AD域，必须向其父CA取得证书。 独立根CA 类似于企业根CA，但不用域环境 独立子级CA 安装AD CS 与架设根CA 我们需要通过添加AD证书服务角色的方式将企业根CA或独立根CA安装到server 2008。 如果是域环境,可以通过组策略让域内的所有用户与计算机自动信任，但如果是独立根CA，或不想用组策略信任企业CA，可以通过下载，保存，导入证书的方式来实现。 实例演练：SSL网站证书 通过本例，我们可以利用自行架设的CA，按一定的步骤来介绍SSL网站的设置。 Web1设置IP:/24 DNS: DNS1＆独立CA IP:/24 DNS: Client 设置IP:/24 DNS: 让网站与浏览器计算机信任CA 在网站上创建证书申请文件 申请证书与下载证书 安装证书并进行SSL连接测试 实例演练：电子邮件保护证书 以下我们将说明如何申请电子邮件保护证书，并通过此证书来介绍电子邮件的签名与加密。假设用户是向前面所架设的企业根CA或独立根CA申请证书，我们将介绍三种不同的证书申请方法。 证书申请向导向企业CA申请 Web浏览器向企业CA申请 Web浏览器向独立CA申请 证书申请(WEB服务器需信任CA)： 1、选择服务器证书，创建申请 2、打开浏览器申请证书：IP地址+certsrv 3、在IIS管理器上选择证书，完成申请 Lab：添加独立子CA Use If a Parent CA Is Online Use If a Parent CA Is Offline 管理证书模板 吊销证书与CRL CA也负责