國開網(wǎng)絡應用服務管理實訓513216

實驗目的.了解PKI體系.了解用戶進行證書申請和CA頒發(fā)證書過程.掌握證書服務的安裝及配置方法.掌握使用數(shù)字證書配置安全站點的方法實驗原理PKI簡介PKI是PublicKeyInfrastructure的縮寫，通常譯為公鑰基礎設施。PKI通過延伸到用戶的接口為各種網(wǎng)絡應用提供安全服務，包括身份認證、識別、數(shù)字簽名、加密等。一方面PKI對網(wǎng)絡應用提供廣泛而開放的支撐:另一方面，PKI系統(tǒng)的設計、開發(fā)、生產(chǎn)及管理都可以獨立進行，不需要考慮應用的特殊性。PKI的主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全的網(wǎng)絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便的使用加密和數(shù)字簽名技術，從而保證網(wǎng)上數(shù)據(jù)的完整性、機密性、不可否認性。PKI組件PKI主要包括==認證中心CA==、==注冊機構RA==、==證書服務器==、==證書庫==、==時間服務器==和==PKI策略二=等。CA用于創(chuàng)建和發(fā)布證書，還負責維護和發(fā)布證書廢除列表CRLo根CA證書，是一種特殊的證書，它使用CA自己的私鑰對自己的信息和公鑰進行簽名。RA負責申請者的登記和初始鑒別，在PKI體系結構中起承上啟下的作用，一方面向CA轉發(fā)安全服務器傳輸過來的證書申請請求，另一方面向LDAP（輕量目錄訪問協(xié)議）服務器和安全服務器轉發(fā)CA頒發(fā)的數(shù)字證書和證書撤消列表。證書服務器負責根據(jù)注冊過程中提供的信息生成證書的機器或服務。證書庫是發(fā)布證書的地方，提供證書的分發(fā)機制。到證書庫訪問可以得到希望與之通信的實體的公鑰和查詢最新的CRLo它一般采用LDAP目錄訪問協(xié)議，其格式符合X.500標準。時間服務器:提供單調增加的精確的時間源，并且安全的傳輸時間戳，對時間戳簽名以驗證可信時間值的發(fā)布者。PKI安全策略建立和定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。它包括一個組織怎樣處理密鑰和有價值的信息，根據(jù)風險的級別定義安全控制的級別。一般情況下，在PKI中有兩種類型的策略：1.書策略。用于管理證書的使用，比如，可以確認某一CA是在Internet上的公有CA,還是某一企業(yè)內部的私有CA:CPS（CertificatePracticeStatement證書操作管理規(guī)范）?，F(xiàn)在為防止CPS泄露太多的信息，準備使用一種新的文件類型，即PKI信息披露規(guī)范PDS。數(shù)字證書應用.數(shù)據(jù)加密:數(shù)字證書技術利用一對互相匹配的密鑰進行加密、解密。當你申請證書的時候，會得到一個私鑰和一個數(shù)字證書，數(shù)字證書中包含一個公鑰。.數(shù)字簽名。web應用:為了透明地解決Web的安全問題，在兩個實體進行通信之前，先要建立SSL連接，以此實現(xiàn)對應用層透明的安全通信。4.SSL是一個==介于應用層和傳輸層之間==的可選層，它在TCP之上建立了一個安全通道，提供基于證書的認證，信息完整性和數(shù)據(jù)保密性。SSL協(xié)議已在Internet上得到廣泛的應用。5.安全電子郵件：目前發(fā)展很快的安全電子郵件協(xié)議是S/MIME，這是一個允許發(fā)送加密和有簽名郵件的協(xié)議。該協(xié)議的實現(xiàn)也需要依賴于PKI技術。實驗內容無認證捕獲到的web通信是明文數(shù)據(jù)。式障：EJ?K?SBllβαs??,的彝當田∣J?? ∣E???殳陽F。時亡卻Mee30-1扣口之。TCPs172IiifiJGUQLI7?.l^fl.i091MTTJ口聃CS?7制8&X強37才SH￠4TCP：J72.i?a?.lθ?>172n16.Q.14iJfπJ08C!*7MC?iiMeCNA3*4“ICPltm"TAtT?g:ETU=Z)S?τWQ172∣i?.∣Qn109172.1S.Q.L41IfnjlJ?φ?XIetlΓt?b≤l≥LJX9tOC41lFK:,中■=>理(U1困￡J如qMl∣']?T∣exlesτTtafiMEEixow7?ljF?fEC->itJr?，*瓊ISfdj3C1LXEP∣-?Jtypex:IesiTIafinbeJkomkoIjCj∣τ-haiJr- ?1E≡Σ::cftt%;l.>XjLirMbI:J>iltik∣Jlλ

Bmj?.iflT?Kyptt'TικtTtfdEtKFhr=KiblJΛcc^LLhΓlj*h∣1U2?3L1仙?UΛfllil-：l?-CPU.MFgldd-

fd=

FikLd-

f4=

Faald-

明山=

PifcLdj

r∣>L4=ΛeE4L"l?Ed-lib∣t?Eiφ.bJxbγ-A^?γ∣l?o-clL1k∣'i4ES?ifL75]fiQU的t∣flUΦ:酬??ιa?:a3??? l????**? 肯件*密：訶寸M聞?-YrlMtCΛV?三.∣Z4,4Π?時生..I.j???B∣f?..I0???wt?..]?j????r?....∣也w?bJl??..Il?HlIt?H?,, 修I息N16整單向認證（驗證服務器身份）準備:CA安裝HS和安裝Windows組件中的"證書服務”。服務器安裝HS。服務器向CA申請證書，服務器下載安裝證書。=注意:在安裝CA頒發(fā)證書后，還需要安裝CA根證書，才能使該CA頒發(fā)的證書生效。==在服務器端設置〃要求安全通道SSL〃，并且〃忽略客戶端證書”。這個時候再訪問服務器已經(jīng)通過SSL保護了。∣???t∣Hft?r?(Ba?，-ItImEMr?∏?rtBHTED*A>E∣Λ*ιf>HRNM?ZAIDWJt?ι≡HJ2^ISStSΛF'IMliM∣???Wl電I&a：HR 3∣i3to≠l**R3課Ui?潮》仇笠金酒瀛料第siwww:t?wms??r∏t∣s≡l∣≡tτfli*-?rJc?r>∣t：■TESfiflRHltttmLKh4?κJ∕≡∏?him.ITtrIt鼻碘，一覃止E燈：IilSlH翻JSLBE^≡?[≡*E"信白盛旨OS)*料到皿r.."^????ff!???a?-?τπ?8?-MrmkJE.*STff*ΠSMB-￡?TEHEMHLvlyl中這閂」-≠*r??^β.?≡?干!?--HiS?≠*lβ≡LrB-XfH?^??B?t^ffτ≡?i二■iκ?rm:*開??4q3a∣El?-加'I」酒ii??*??jfI口IlgR順網(wǎng)0 IAm用丹*帝?上前日前行^μE??t?3ee∣L舟.u：3i這個時候再捕獲web通信就是密文了。雙向認