實(shí)訓(xùn)指導(dǎo)2.2利用數(shù)字證書(shū)保護(hù)通信

國(guó)家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)教學(xué)資源庫(kù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施學(xué)習(xí)情境2：實(shí)訓(xùn)任務(wù)2.2利用CA數(shù)字證書(shū)保護(hù)通信內(nèi)容介紹

任務(wù)場(chǎng)景及描述1任務(wù)相關(guān)工具軟件介紹2任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評(píng)價(jià)5任務(wù)總結(jié)6任務(wù)場(chǎng)景及描述任務(wù)相關(guān)工具軟件介紹VMWareWorkstation——虛擬單機(jī)實(shí)現(xiàn)Windows2003CA組件——CA服務(wù)器Windows2003IIS組件——WEB服務(wù)器IE瀏覽器——客戶(hù)端任務(wù)相關(guān)工具軟件介紹使用兩臺(tái)虛擬機(jī)2003系統(tǒng)分別作為：CA服務(wù)器IIS的WEB服務(wù)器物理機(jī)為IE客戶(hù)任務(wù)設(shè)計(jì)、規(guī)劃任務(wù)設(shè)計(jì)、規(guī)劃商家（WEB網(wǎng)站）客戶(hù)（IE瀏覽器）CA數(shù)字證書(shū)服務(wù)器互聯(lián)網(wǎng)BCA任務(wù)設(shè)計(jì)、規(guī)劃任務(wù)布置：學(xué)生可分為3人一組，學(xué)生機(jī)通過(guò)局域網(wǎng)互聯(lián)完成實(shí)驗(yàn)。以下圖為例，在A主機(jī)上安裝CA服務(wù)器；在C主機(jī)上安裝IIS并設(shè)置WEB服務(wù)；B主機(jī)做為瀏覽器。B主機(jī)-IE瀏覽器客戶(hù)A主機(jī)-微軟CA數(shù)字證書(shū)服務(wù)器C主機(jī)-基于IIS的WWW服務(wù)器IP：IP：商家（WEB網(wǎng)站）客戶(hù)（IE瀏覽器）任務(wù)實(shí)施及方法技巧1、證書(shū)服務(wù)器安裝與配置證書(shū)服務(wù)器或稱(chēng)密鑰服務(wù)器，是允許用戶(hù)提交和獲取數(shù)字證書(shū)的數(shù)據(jù)庫(kù)。證書(shū)服務(wù)器通常提供一些管理特性，使單個(gè)公司可以維護(hù)自己的安全策略--比如，只允許符合特定要求的密鑰進(jìn)入服務(wù)器存儲(chǔ)。公鑰基礎(chǔ)(PublicKeyInfrastructures--PKI)PKI包含證書(shū)服務(wù)器的證書(shū)存儲(chǔ)功能，還提供證書(shū)管理能力(發(fā)布，回收，存儲(chǔ)，獲取和認(rèn)證證書(shū))。PKI的主要特性是引入了所謂的認(rèn)證權(quán)威(CertificationAuthority--CA)，這是由人組成的實(shí)體--個(gè)人，團(tuán)體，部門(mén)，公司或其他協(xié)會(huì)--該組織有權(quán)向計(jì)算機(jī)用戶(hù)發(fā)布證書(shū)。(CA的角色類(lèi)似于國(guó)家政府頒發(fā)護(hù)照的部門(mén))。CA創(chuàng)建證書(shū)并在上面用自己的私鑰進(jìn)行數(shù)字簽名。由于CA在創(chuàng)建證書(shū)過(guò)程中的角色很重要，因此它是PKI的核心。使用CA的公鑰，想要驗(yàn)證證書(shū)真實(shí)性的任何人只要校驗(yàn)CA的數(shù)字簽名就能確定證書(shū)內(nèi)容的完整性和真實(shí)性(更為重要的是確認(rèn)了證書(shū)持有者的公鑰和身份)。（注：在安裝CA前要先安裝IIS）任務(wù)實(shí)施及方法技巧（1）基于Windows2003Server建立CA認(rèn)證中心（在A主機(jī)上完成）選擇開(kāi)始-控制面板-添加刪除程序-添加刪除Windows組件：提示安裝證書(shū)服務(wù)后不能改變計(jì)算機(jī)名了，選擇是后，有四種類(lèi)型的證書(shū)頒發(fā)機(jī)構(gòu)，如果本機(jī)是活動(dòng)目錄，則都可選擇，如果不是則只有后兩項(xiàng)可以選擇，即獨(dú)立的根CA（CA體系中最受信任的CA。不需要ActiveDirectory。）和獨(dú)立的從屬CA（標(biāo)準(zhǔn)CA可以給任何用戶(hù)或計(jì)算機(jī)頒發(fā)證書(shū)。必須從另一個(gè)CA獲取CA證書(shū)。不需要ActiveDirectory。）這里選擇獨(dú)立的根CA。任務(wù)實(shí)施及方法技巧

接下來(lái)要求輸入CA機(jī)構(gòu)的一些信息。這些都是CA的真實(shí)信息，要得到申請(qǐng)者的確信。然后，會(huì)給出證書(shū)數(shù)據(jù)庫(kù)與日志的存放位置設(shè)置，默認(rèn)為C:\WINNT\system32\CertLog，系統(tǒng)目錄下。開(kāi)始復(fù)制數(shù)據(jù)，要求提供WIN2000安裝文件或光盤(pán)。放入光盤(pán)或指定好位置后就可以完成CA服務(wù)的安裝了。證書(shū)的申請(qǐng)要通過(guò)IIS以WEB形式完成。安裝完成后會(huì)在IIS中建立兩個(gè)虛擬目錄CertControl和CertEnroll用于證書(shū)的申請(qǐng)與管理。

現(xiàn)在可以選擇開(kāi)始-程序-管理工具-證書(shū)頒發(fā)機(jī)構(gòu)，可以查看是否有證書(shū)的申請(qǐng)，即待發(fā)證書(shū)，也可以對(duì)證書(shū)進(jìn)行吊銷(xiāo)等管理了。任務(wù)實(shí)施及方法技巧（2）數(shù)字證書(shū)的申請(qǐng)和簽發(fā)步驟：①申請(qǐng)者向某CA申請(qǐng)數(shù)字證書(shū)后，下載并安裝該CA的“自簽名證書(shū)”或更高級(jí)的CA向該CA簽發(fā)的數(shù)字證書(shū)，驗(yàn)證CA身份的真實(shí)性。②申請(qǐng)者的計(jì)算機(jī)隨機(jī)產(chǎn)生一對(duì)公私密鑰。③申請(qǐng)者把私鑰留下，把公鑰和申請(qǐng)明文用CA的公鑰加密，發(fā)送給CA。④CA受理證書(shū)申請(qǐng)并核實(shí)申請(qǐng)者提交的信息.⑤CA用自己的私鑰對(duì)頒發(fā)的數(shù)字證書(shū)進(jìn)行數(shù)字簽名，并發(fā)送給申請(qǐng)者。⑥經(jīng)CA簽名過(guò)的數(shù)字證書(shū)安裝在申請(qǐng)方的計(jì)算機(jī)上?？蓞⒁?jiàn)后面圖所示過(guò)程（注：CA的IP地址為，則證書(shū)申請(qǐng)的URL為：/Certsrv）CA認(rèn)證中心商家（WEB網(wǎng)站）客戶(hù)（IE瀏覽器）任務(wù)實(shí)施及方法技巧申請(qǐng)客戶(hù)證書(shū)驗(yàn)證并發(fā)放客戶(hù)證書(shū)申請(qǐng)服務(wù)器證書(shū)驗(yàn)證并發(fā)放服務(wù)器證書(shū)任務(wù)實(shí)施及方法技巧2、商家WEB服務(wù)器申請(qǐng)CA證書(shū)（在C主機(jī)上完成）（1）生成服務(wù)申請(qǐng)證書(shū)的文件，在IIS服務(wù)器中的WEB站點(diǎn)上右鍵屬性，目錄安全性，中選擇安全通信，服務(wù)器證書(shū)，然后下一步，在出現(xiàn)的下一個(gè)窗口中選擇“創(chuàng)建一個(gè)新證書(shū)”，下一步后出現(xiàn)，現(xiàn)在準(zhǔn)備請(qǐng)求…，依次選擇下一步，輸入證書(shū)名、密鑰位數(shù)、組織信息、公用名、地理信息、最后會(huì)生成一個(gè)請(qǐng)求文件名，默認(rèn)為：c:\certreq.txt，也可修改。任務(wù)實(shí)施及方法技巧（2）通過(guò)IE瀏覽器申請(qǐng)證書(shū)（在C主機(jī)上完成）在商家WEB服務(wù)器的IE瀏覽器中輸入CA服務(wù)器的URL：/Certsrv在出現(xiàn)的選擇項(xiàng)中選擇申請(qǐng)證書(shū)后點(diǎn)下一步。在出現(xiàn)的窗口中選擇高級(jí)申請(qǐng)，因?yàn)橐暾?qǐng)的是WEB服務(wù)器證書(shū)。任務(wù)實(shí)施及方法技巧

下一步后，接下來(lái)選擇：“使用base64編碼的PKCS#10文件提交一個(gè)證書(shū)申請(qǐng)，或使用base64編碼的PKCS#7文件更新證書(shū)申請(qǐng)?！焙笙乱徊健Ｈ缓筮x擇窗口中的瀏覽，如果出現(xiàn)提示警告，則是因?yàn)檫@里是一個(gè)ActiveX控件，IE默認(rèn)級(jí)別為中級(jí)，不允許運(yùn)行ActiveX控件，這里選擇IE右鍵屬性，在安全中把Internet的安全級(jí)別中的ActiveX設(shè)置為啟用即可。再次選擇窗口中的瀏覽，則會(huì)出現(xiàn)路徑選擇：c:\certreq.exe找到后選擇讀取。如下圖所示，點(diǎn)提交后會(huì)出現(xiàn)證書(shū)掛起，等待CA頒發(fā)。這里可通知CA服務(wù)器管理員進(jìn)行信息核實(shí)后頒發(fā)證書(shū)。任務(wù)實(shí)施及方法技巧（3）CA中心頒發(fā)證書(shū)（在A主機(jī)上完成）這時(shí)在CA的服務(wù)器上打開(kāi)，CA中心證書(shū)頒發(fā)機(jī)構(gòu)。選擇待定證書(shū)，會(huì)發(fā)現(xiàn)剛才的申請(qǐng)，右鍵選擇所有任務(wù)中的頒發(fā)即可。任務(wù)實(shí)施及方法技巧（4）通過(guò)IE瀏覽器下載并保存證書(shū)（在C主機(jī)上完成）此時(shí)商家計(jì)算機(jī)可以通過(guò)IE瀏覽器打開(kāi)申請(qǐng)證書(shū)時(shí)的URL：/Certsrv在窗口中選擇“檢查掛起證書(shū)”。選擇下載證書(shū)到本地計(jì)算機(jī)。（5）在IIS服務(wù)WEB站點(diǎn)上安裝此證書(shū)（在C主機(jī)上完成）再次進(jìn)入，IIS服務(wù)器中的WEB站點(diǎn)上右鍵屬性，目錄安全性中選擇安全通信，服務(wù)器證書(shū)，會(huì)發(fā)現(xiàn)有所變化。選擇處理掛起的請(qǐng)求并安裝證書(shū)，并找到剛才下載的證書(shū)并安裝。任務(wù)實(shí)施及方法技巧3．客戶(hù)IE瀏覽器端申請(qǐng)CA證書(shū)（在B主機(jī)上完成）此步驟可參考服務(wù)器端?；臼侨缦逻^(guò)程，區(qū)別是不用在IIS上生成請(qǐng)求文件了：（1）通過(guò)IE瀏覽器申請(qǐng)證書(shū)，申請(qǐng)時(shí)要選擇WEB瀏覽器證書(shū)。（2）CA中心頒如證書(shū)。（3）通過(guò)IE瀏覽器下載并保存證書(shū)，或選擇安裝即可。如果成功安裝了證書(shū)會(huì)在IE瀏覽器的選項(xiàng)中的內(nèi)容下的證書(shū)中看到證書(shū)的相關(guān)信息。任務(wù)實(shí)施及方法技巧1、數(shù)字證書(shū)的驗(yàn)證過(guò)程(以B、C雙方進(jìn)行安全通信時(shí)B驗(yàn)證A的數(shù)字證書(shū)為例)：①B要求C出示數(shù)字證書(shū)。②C將自己的數(shù)字證書(shū)發(fā)送給B。③B首先驗(yàn)證簽發(fā)該證書(shū)的CA是否合法。④B用CA的公鑰解密A證書(shū)的數(shù)字簽名，得到C證書(shū)的數(shù)字摘要。⑤B用摘要算法對(duì)C的證書(shū)明文制作數(shù)字摘要。⑥B將兩個(gè)數(shù)字摘要進(jìn)行對(duì)比。如相同，則說(shuō)明C的數(shù)字證書(shū)合法。CA認(rèn)證中心C-商家（WEB網(wǎng)站）B-客戶(hù)（IE瀏覽器）任務(wù)實(shí)施及方法技巧客戶(hù)要求商家出示數(shù)字證書(shū)商家將自己的數(shù)字證書(shū)發(fā)送給客戶(hù)CA認(rèn)證中心C-商家（WEB網(wǎng)站）B-客戶(hù)（IE瀏覽器）任務(wù)實(shí)施及方法技巧客戶(hù)要求商家出示數(shù)字證書(shū)商家將自己的數(shù)字證書(shū)發(fā)送給客戶(hù)客戶(hù)首先驗(yàn)證簽發(fā)該證書(shū)的CA是否合法任務(wù)實(shí)施及方法技巧2、測(cè)試在數(shù)字證書(shū)保護(hù)下通信的安全性以B訪問(wèn)C進(jìn)行安全通信為例：此時(shí)在B主機(jī)的瀏覽器中輸入：https//，就可以實(shí)現(xiàn)通過(guò)安全的HTTPS協(xié)議進(jìn)行網(wǎng)站的訪問(wèn)了。此時(shí)可以利用Snifferpro進(jìn)行捕獲分析，可以在B或C主機(jī)上完成檢查工作。任務(wù)檢查與評(píng)價(jià)任務(wù)檢查與評(píng)價(jià)：能夠正確安裝CA服務(wù)器能夠正確在IIS的WEB服務(wù)器上申請(qǐng)并安裝WEB服務(wù)自己的數(shù)字證書(shū)和CA的自簽名證書(shū)能夠正確在IE瀏覽器中安裝CA的自簽名證書(shū)，以信任此CA測(cè)試HTTPS安全通信所采用的SSL協(xié)議，端口號(hào)為443，基于TCP協(xié)議傳輸任務(wù)檢查與評(píng)價(jià)任務(wù)評(píng)價(jià)：本部分內(nèi)容是在PGP應(yīng)用的基礎(chǔ)上的又一個(gè)實(shí)際應(yīng)用的實(shí)例，這個(gè)工作任務(wù)建議是由課外完成的，要求達(dá)到的目標(biāo)是：能夠建立CA服務(wù)器，學(xué)會(huì)數(shù)字證書(shū)操作的整個(gè)流程，理解HTTPS安全協(xié)議。任務(wù)2.2知識(shí)技能要點(diǎn)測(cè)評(píng)表序號(hào)測(cè)評(píng)要點(diǎn)具體目標(biāo)測(cè)評(píng)權(quán)重1知識(shí)理解理解數(shù)字證書(shū)的原理及工作流程202工具及軟件使用能正確安裝配置CA服務(wù)器，為客戶(hù)及服務(wù)器頒發(fā)數(shù)字證書(shū)，并能正確安裝證書(shū)。103任務(wù)實(shí)施能夠采用正確的方法對(duì)數(shù)字證書(shū)的保護(hù)措施進(jìn)行檢查，并能說(shuō)明查驗(yàn)過(guò)程中的各步驟理論依據(jù)。204專(zhuān)業(yè)能力提升能對(duì)CA及PKI的實(shí)現(xiàn)有深入理解205方法能力提升利用學(xué)習(xí)資源自主進(jìn)行深入學(xué)習(xí)206社會(huì)能力提升通過(guò)小組合作分析協(xié)議結(jié)構(gòu)，提升表達(dá)、