《計算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第3章-任務(wù)3.5 探究數(shù)字證書和架設(shè)SSL網(wǎng)站

第3章數(shù)據(jù)加密技術(shù)3.5數(shù)字證書編著：

秦?zé)鰟诖浣?/p>

3.5數(shù)字證書

在人類社會中，身份證可以證明一個人的身份。在數(shù)字世界中，數(shù)字證書能證明公鑰的擁有者是誰，證明某個公鑰不是冒名頂替的。實現(xiàn)數(shù)字證書，需要一個安全體系PKI。3.5.1PKI對于在網(wǎng)絡(luò)上通信的雙方來說，如何綜合運(yùn)用對稱密鑰技術(shù)和非對稱密鑰技術(shù)，確保信息從源出發(fā)，安全傳送到目的地，做到數(shù)據(jù)傳輸?shù)乃矫苄裕–onfidentiality）、源認(rèn)證（Authentication）、完整性（Integrity）、不可否認(rèn)性（Non-repudiation）。都是建立在公鑰真實性的基礎(chǔ)之上的。非對稱密鑰包括公鑰和私鑰組成的密鑰對，在之前的研究中，公鑰傳送給通信的另一方的方式，是直接發(fā)送給對方，這種方式獲取公鑰并不方便，也不安全。獲取和驗證公鑰的更好方式是通過公鑰基礎(chǔ)架構(gòu)PKI來實現(xiàn)。PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)結(jié)構(gòu)）是通過非對稱密鑰技術(shù)和數(shù)字證書來驗證數(shù)字證書所有者的身份，確保系統(tǒng)信息安全的一種體系。由稱為CA的權(quán)威機(jī)構(gòu)把公鑰所有者的信息與公鑰捆綁在一起，用權(quán)威機(jī)構(gòu)的私鑰對以上捆綁的數(shù)據(jù)進(jìn)行簽名，生成公鑰所有者的證書，頒發(fā)給證書所有者。這就象公安局把公民的身份證號、姓名等捆綁在一起，用公安局的公章進(jìn)行蓋章，制成公民的身份證，頒發(fā)給該公民。數(shù)字證書的主要作用是證明公鑰擁有者的身份及公鑰的合法性。每個客戶都擁有權(quán)威機(jī)構(gòu)CA的根證書，權(quán)威機(jī)構(gòu)CA的根證書中包含有權(quán)威機(jī)構(gòu)的公鑰。同時，權(quán)威機(jī)構(gòu)CA對發(fā)送方的數(shù)字證書進(jìn)行簽名后頒發(fā)給發(fā)送方，發(fā)送方的數(shù)字證書中包含了發(fā)送方的信息以及發(fā)送方的公鑰。接收方從CA的根證書中獲取到權(quán)威機(jī)構(gòu)的公鑰，用它來解密CA在發(fā)送方數(shù)字證書上的簽名，得到發(fā)送方證書的HASH值，與接收方自己計算出的HASH值進(jìn)行比較，如果一致，就可證明發(fā)送方身份的真實性，從而確保了從發(fā)送方數(shù)字證書中獲取到的公鑰的可靠性。1.數(shù)據(jù)私密性（Confidentiality）的實現(xiàn)數(shù)據(jù)的私密性可通過對數(shù)據(jù)加密實現(xiàn)。數(shù)據(jù)加密分為對稱加密技術(shù)和非對稱加密技術(shù)。由于非對稱密鑰的加密方式占用資源較多，速度較慢，只適用于小數(shù)據(jù)量的加密；而對稱密鑰加密本身速度快，網(wǎng)絡(luò)設(shè)備整合的對稱加密硬件加速卡又進(jìn)一步提升了對稱加密的速度。因此，數(shù)據(jù)加密一般采用對稱加密技術(shù)。然而，對稱加密技術(shù)涉及到“對稱密鑰”的傳送問題，一旦“對稱密鑰”在傳送過程中被攻擊者截獲，數(shù)據(jù)也就無私密性可言了。解決“對稱密鑰“的傳送問題，可采用“非對稱密鑰“加密“對稱密鑰”后再傳送的方式。用“接收者的公鑰”加密“對稱密鑰”，傳給接收者后，接收者用自己的私鑰解密，獲得發(fā)送方和接收方共同使用的對稱密鑰。攻擊者就算截獲了加密過的對稱密鑰，由于沒有接收者的私鑰，也是無法讀取對稱密鑰的真正內(nèi)容的。2.源認(rèn)證（Authentication）的實現(xiàn)源認(rèn)證需要發(fā)送方對數(shù)據(jù)進(jìn)行數(shù)字簽名。發(fā)送者在發(fā)送前先用自己的私鑰對數(shù)據(jù)的HASH值進(jìn)行加密，再將加密后的HASH值連同數(shù)據(jù)一起傳送給接收者，接收者用發(fā)送者的公鑰解密HASH值，與自己計算出的HASH值對比，如果一致，再根據(jù)發(fā)送者是其私鑰的唯一擁有者，就證明了HASH值是發(fā)送者本人提供的。發(fā)送者用自己的私鑰對數(shù)據(jù)的HASH值進(jìn)行加密，得到的結(jié)果就是數(shù)字簽名。接收方收到發(fā)送方發(fā)來的數(shù)據(jù)及對數(shù)據(jù)的數(shù)字簽名，并通過發(fā)送方的數(shù)字證書獲取到發(fā)送方的公鑰。接收方使用發(fā)送方的公鑰，解密發(fā)送方的數(shù)字簽名，得到發(fā)送方數(shù)據(jù)的HASH值，與接收方自己計算出來的數(shù)據(jù)HASH值進(jìn)行比較，如果一致，就可證明發(fā)送方的身份，實現(xiàn)對發(fā)送方的源認(rèn)證。3.數(shù)據(jù)完整性校驗（Integrity）的實現(xiàn)要確保數(shù)據(jù)的完整性，可在數(shù)據(jù)發(fā)送前，先對數(shù)據(jù)做HASH，接收者收到后，對接收到的數(shù)據(jù)做HASH，與發(fā)送者發(fā)來的HASH值進(jìn)行比較，如果一致，就證明了數(shù)據(jù)未被篡改，確保了數(shù)據(jù)的完整性。為確保發(fā)送者計算出的HASH值在傳送給接收者的過程中沒有被篡改。需要結(jié)合源認(rèn)證來實現(xiàn)。因此，實現(xiàn)數(shù)據(jù)的完整性校驗，在PKI的基礎(chǔ)上，除了要對數(shù)據(jù)進(jìn)行HASH計算，還要結(jié)合數(shù)字簽名的源認(rèn)證功能。4.不可否認(rèn)性（Non-repudiation）的實現(xiàn)不可否認(rèn)性可從私鑰的唯一擁有特性，結(jié)合公鑰基礎(chǔ)架構(gòu)PKI、由權(quán)威機(jī)構(gòu)CA頒發(fā)的數(shù)字證書，以及數(shù)字簽名來實現(xiàn)。由此可見，在PKI的基礎(chǔ)上，數(shù)字簽名實現(xiàn)了數(shù)據(jù)的源認(rèn)證、完整性校驗、不可否認(rèn)性等功能。SSL（SecureSocketsLayer，安全套接層）是一個工作在TCP與應(yīng)用層之間的安全協(xié)議。提供私密性、信息完整性和身份認(rèn)證。這些特性主要綜合運(yùn)用了各種加密技術(shù)，如數(shù)字證書、非對稱加密算法、對稱加密算法和HMAC等實現(xiàn)?？捎糜诩用蹾TTP、郵件、VPN等。下面，通過安裝獨立根CA，架設(shè)SSL網(wǎng)站，實現(xiàn)加密技術(shù)的綜合運(yùn)用。需要啟動三臺虛擬機(jī)，PC1為win2008，用做獨立根CA；PC2為win2008，用做網(wǎng)站服務(wù)器，PC3為win7，用作客戶機(jī)。3.5.2SSL應(yīng)用一、配置CA服務(wù)器1.啟動第一臺虛擬機(jī)win2008，用做CA服務(wù)器，虛擬網(wǎng)卡連接到Vmnet1，配置IP地址為0。2.如圖3-5-1所示，打開服務(wù)管理器，點擊服務(wù)器管理器中的“角色”，再點擊“添加角色”。圖3-5-1服務(wù)器管理器添加角色

3.如圖3-5-2所示，勾選“ActiveDirectory證書服務(wù)”，點擊“下一步”，再點擊“下一步”。安裝ActiveDirectory證書服務(wù)。圖3-5-2選擇服務(wù)器角色4.如圖3-5-3所示，默認(rèn)已經(jīng)勾選“證書頒發(fā)機(jī)構(gòu)”，接著勾選“證書頒發(fā)機(jī)構(gòu)Web注冊”。

圖3-5-3選擇證書頒發(fā)機(jī)構(gòu)Web注冊5.勾選“證書頒發(fā)機(jī)構(gòu)Web注冊”后，會彈出如圖3-5-4所示的“添加角色向?qū)А?，詢問是否添加證書頒發(fā)機(jī)構(gòu)Web注冊所需的角色服務(wù)和功能，點擊“添加所需的角色服務(wù)”按鈕。

圖3-5-4

添加角色向?qū)?添加所需的角色服務(wù)6.如圖3-5-5所示，點擊“下一步”繼續(xù)。圖3-5-5添加角色向?qū)?角色服務(wù)7.如圖3-5-6所示，因沒有安裝活動目錄，所以默認(rèn)只“獨立”選項可選，點擊“下一步”。圖3-5-6指定安裝類型8.如圖3-5-7所示，這是第一臺CA，所以選“根CA”，點擊“下一步”。

圖3-5-7指定CA類型9.如圖3-5-8所示，獨立根CA需要用自己的私鑰為自己的根證書進(jìn)行簽名、在為申請者頒發(fā)證書時，也要用自己的私鑰進(jìn)行簽名，因此需要選“新建私鑰”，然后點擊“下一步”。圖3-5-8設(shè)置私鑰

10.如圖3-5-9所示，因為要生成密鑰對（含公鑰、私鑰），所以要確定使用哪種非對稱密鑰算法生成，另外，為證書做數(shù)字簽字時，需要先對證書內(nèi)容做HASH運(yùn)算，再用私鑰對HASH值進(jìn)行加密，所以要選擇所用的HASH算法。選擇好后，點擊“下一步”。圖3-5-9為CA配置加密11.如圖3-5-10所示，CA的公用名稱可自定義，這里定義為“CA1”，可分辨名稱后綴可不填寫。點擊“下一步”。圖3-5-10配置CA名稱12.如圖3-5-11所示，設(shè)置有效期為5年，然后，點擊“下一步”，隨后用默認(rèn)值，一直點擊“下一步”。

圖3-5-11設(shè)置有效期13.如圖3-5-12所示，確認(rèn)安裝選擇后，點擊“安裝”即可。圖3-5-12確認(rèn)安裝選擇二、配置WEB服務(wù)器1.啟動第二臺虛擬機(jī)win2008，虛擬網(wǎng)卡連接到Vmnet1，配置IP地址為1。2.如圖3-5-13所示，打開服務(wù)管理器，勾選“DNS服務(wù)器”和“Web服務(wù)器（IIS）”，連續(xù)點擊“下一步”，直至安裝完成。圖3-5-13

安裝DNS服務(wù)和Web服務(wù)3.在C:盤中，新建文件夾site1，用于網(wǎng)站的根目錄。4.如圖3-5-14所示，點擊資源管理器中的“組織”/“文件夾和搜索選項”。圖3-5-14資源管理器配置為顯示擴(kuò)展名5.如圖3-5-15所示，在出現(xiàn)的“文件夾選項”的“查看”選項夾中，取消對“隱藏已知文件類型的擴(kuò)展名”的勾選，以便確認(rèn)新建的首頁命名為default.htm。

圖3-5-15文件夾選項6.如圖3-5-16所示，在資源管理器的C:\site1中，新建網(wǎng)站的首頁default.htm。

圖3-5-16新建文件命名為default.htm7.如圖3-5-17所示，在IIS中，停掉默認(rèn)網(wǎng)站。

圖3-5-17停止默認(rèn)網(wǎng)站

8.如圖3-5-18所示，右擊“網(wǎng)站”，選擇“添加網(wǎng)站”。圖3-5-18添加網(wǎng)站9．如圖3-5-19所示，輸入網(wǎng)站名稱“l(fā)cvc”,選擇內(nèi)容目錄的物理路徑為“C:\site1”，點擊“確定”按鈕。

圖3-5-19添加網(wǎng)站的名稱和物理路徑三、配置DNS服務(wù)，新建域名和主機(jī)指向1。1.如圖3-5-20所示，打開服務(wù)器管理器，展開“角色”/“DNS服務(wù)器”，在DNS服務(wù)器的名稱上，右擊“正向查找區(qū)域”，選擇“新建區(qū)域”。圖3-5-20新建DNS區(qū)域

2.如圖3-5-21所示，在新建區(qū)域向?qū)е?，輸入?yún)^(qū)域名稱“”,持續(xù)點擊“下一步”，直到安裝完成。

圖3-5-21DNS區(qū)域名稱3.如圖3-5-22所示，右擊“”,選擇“新建主機(jī)”。

圖3-5-22為區(qū)域lcvc.cn新建主機(jī)

4.如圖3-5-23所示，輸入主機(jī)名稱“www”，輸入IP地址“1”，點擊“添加主機(jī)”。

圖3-5-23新建主機(jī)名稱為www四、為Web服務(wù)器獲取根證書，將CA1的根證書添加到“受信任的根證書頒發(fā)機(jī)構(gòu)”。1.如圖3-5-24所示，在WEB服務(wù)器上，打開瀏覽器，輸入0/certsrv，點擊“下載CA證書、證書鏈或CRL”。圖3-5-24選擇下載CA證書、證書鏈或CRL2.如圖3-5-25所示，點擊“下載CA證書”。圖3-5-25選擇下載CA證書3.如圖3-5-26所示，選擇“保存文件”，點擊“確定”按鈕。4.打開下載文件存放的文件夾，雙擊下載的CA證書，在如圖3-5-27所示的安全警告提示框中，點擊“打開”按鈕。

圖3-5-27打開CA證書圖3-5-27打開CA證書5.如圖3-5-28所示，點擊“安裝證書”按鈕。圖3-5-28證書信息6.如圖3-5-29所示，選擇“將所有的證書放入下列存儲”，點擊“瀏覽”按鈕，選中“受信任的根證書頒發(fā)機(jī)構(gòu)”，點擊“確定”按鈕。點擊“下一步”，點擊“完成“按鈕。

圖3-5-29安裝CA證書7．如圖3-5-30所示，系統(tǒng)彈出“安全性警告“框。實際應(yīng)用中，需進(jìn)一步通過電話等方式與權(quán)威機(jī)構(gòu)聯(lián)系，核實指紋無誤。在此點擊“是”按鈕繼續(xù)。

圖3-5-30安全性警告五、在Web服務(wù)器上，為網(wǎng)站生成密鑰對，并生成數(shù)字證書申請文件。1.在Web服務(wù)器上，如圖3-5-31所示，打開服務(wù)器管理器，點擊Internet信息服務(wù)（IIS）管理器，選中計算機(jī)名字“WIN-……”，選中“服務(wù)器證書”，點擊“打開功能”。

圖3-5-31服務(wù)器管理器圖3-5-31服務(wù)器管理器2.如圖3-5-32所示，點擊“創(chuàng)建證書申請”。

圖3-5-32創(chuàng)建證書申請3.如圖3-5-33所示，輸入網(wǎng)站的相關(guān)信息，其中，通用名稱輸入網(wǎng)站的完整域名（包括主機(jī)名www），如：，如果輸入的是，則在瀏覽器中輸入是無法訪問該網(wǎng)站的。輸入完相關(guān)信息后，點擊“下一步”按鈕。

圖3-5-33申請證書-可分辨名稱屬性4.如圖3-5-34所示，即將為網(wǎng)站產(chǎn)生密鑰對，這里選擇所需的非對稱密鑰算法為“MicrosofRSASchannelCryptographicProvider”,選擇的密鑰長度為2043。點擊“下一步”按鈕。圖3-5-34申請證書-加密服務(wù)提供程序?qū)傩?.如圖3-5-35所示，指定證書申請文件存放的位置為桌面，名字為lcvc.txt。文件中包括了剛才輸入的網(wǎng)站的信息以及剛才產(chǎn)生的網(wǎng)站的公鑰，文件內(nèi)容將用于提交給權(quán)威機(jī)構(gòu)CA進(jìn)行數(shù)字證書的申請。

圖3-5-35申請證書-文件名

6.如圖3-5-36所示，雙擊打開剛才生成的證書申請文件lcvc.txt，選擇全部內(nèi)容，右擊，選“復(fù)制”。圖3-5-36復(fù)制證書申請文件內(nèi)容六、提交網(wǎng)站的數(shù)字證書申請文件的內(nèi)容，向CA申請網(wǎng)站的數(shù)字證書。1.在Web服務(wù)器上，如圖3-5-37所示，打開瀏覽器，輸入0/certsrv,點擊“申請證書”。

圖3-5-37證書服務(wù)-申請證書2.如圖3-5-38所示，點擊“高級證書申請”。3.如圖3-5-39所示，右擊證書申請的輸入欄，點擊“粘貼”，將剛才復(fù)制的網(wǎng)站證書申請文件的內(nèi)容粘貼進(jìn)來。圖3-5-38證書服務(wù)-高級證書申請圖3-5-39證書服務(wù)-提交一個證書申請或續(xù)訂申請4.如圖3-5-40所示，點擊“提交”按鈕。

圖3-5-40粘貼證書申請文件內(nèi)容七、CA服務(wù)器頒發(fā)證書給Web服務(wù)器1.在CA服務(wù)器上，如圖3-5-41所示，打開服務(wù)管理器，選中證書服務(wù)器CA1中的“掛起的申請”。2.如圖3-5-42所示，右擊請求ID為2的掛起的申請，點擊“所有任務(wù)”/“頒發(fā)”。圖3-5-41服務(wù)器管理器-CA掛起申請圖3-5-42頒發(fā)證書

八、在WEB服務(wù)器上，獲取已頒發(fā)的證書。1.在WEB服務(wù)器上，如圖3-5-43所示，輸入0/certsrv,點擊“查看掛起的證書申請的狀態(tài)”。圖3-5-43查看掛起的證書申請的狀態(tài)2.如圖3-5-44所示，點擊“保存的申請證書”。

3.如圖3-5-45所示，點擊“下載證書”。圖3-5-44查看保存的申請證書圖3-5-45下載證書4.如圖3-5-46所示，打開下載文件夾，查看下載的證書。

圖3-5-46打開下載文件夾

八、在WEB服務(wù)器上，打開IIS完成證書申請。

1.如圖3-5-47所示，打開WEB服務(wù)器上的服務(wù)器管理器，選中IIS，選中計算機(jī)名，選中“完成證書申請”。

圖3-5-47服務(wù)器管理器2.如圖3-5-48所示，輸入剛在下載的已頒發(fā)的網(wǎng)站證書的路徑和文件名，輸入一個好記名稱，如lcvc，點擊“確定”按鈕。

圖3-5-48指