基础课程PPT项目7：证书服务器的配置与应用.pdf

Windows 网络管理（Windows Server 2012版） 项目7 ：证书服务器的配置与应用 7.0 案例场景  ABC公司的财务部升级了财务系统，将所有财务业务系统 都部署到一个专用的WEB服务器上(IP ：00/8)。为 了保证财务数据传输的安全性，ABC公司的网络管理部门 计划部署证书服务器来保护财务部的专用Web服务器，并 且给财务部员工分发数字证书来鉴别员工身份。 WEB服务器 财务部员工1 Intranet 财务部员工2 …… DNS服务器 证书服务器 财务部员工n 7.1 知识引入  为了保证数据的安全性，需要解决四个主要问题：数据机 密性，数据完整性，身份验证，不可抵赖。 机密性：数据传输过程是否被窃听，拦截？ 完整性：数据是否被篡改？ 窃听 篡改 身份验证：对方身份是否合法？是否伪造？ 不可抵赖：是否发出/收到信息？ 伪造 不是我发的 抵赖 我没收到 数据机密性  数据机密性是指防止数据被非法窃听，拦截，从而导致信 息泄露。为了解决数据机密性问题，主要是通过对数据进 行加密来解决。数据加密的过程是对原来明文的数据使用 加密算法进行处理，将其变为另外一种不可读的密文数据。 当合法接受者收到加密数据后，进行数据解密，将密文转 换成明文。在对数据进行加密解密的过程中使用的加解密 参数称为密钥。加密算法根据工作方式的不同，可以分为 对称加密算法和非对称加密算法两种。 明文 密文 密文 明文 Internet 加密密钥 解密密钥 对称加密  在对称加密算法中，通信双方共享同一个保密参数作为加 解密的密钥，这个密钥可以是事先约定直接获得的，也可 以是通过某种算法计算出来的。一般情况下，这个密钥是 严格私有保密的。目前有不少对称加密算法标准，如： DES，3DES，RC4，AES等。由于对称加密算法执行效率 较高，因此对称加密算法一般适用于需要加解密数据量较 大的场合。 A Hello! 加密 解密 Hello ! B 密文 ...A@d 1? 89X8(# 窃听者 kl... 非对称加密  在非对称加密算法中，为每个用户分配一对密钥：一个私有密钥（私钥）和 一个公开密钥（公钥）。私钥是保密的，由用户自己保存。公钥是公诸于众 的，本身不构成严格的秘密。这两个密钥之间没有相互推导关系。用这两个 密钥之一加密的数据只有另外一个密钥才能解密。目前主流的非对称加密算 法有：DH，RSA，DSA等。由于对称加密算法需要消耗较多的系统资源，吞 吐量较低，因此对称加密算法不适用于大量数据的加密，一般只用于关键数 据的传输，比如，可以配合对称加密算法，通信双方先