《电子ppt课件 任务22利用数字证书保护通信解析.ppt》由会员分享,可在线阅读,更多相关《电子ppt课件 任务22利用数字证书保护通信解析.ppt(25页珍藏版)》请在三一办公上搜索。
1、计算机网络安全技术与实施,教学课件,国家高等职业教育网络技术专业教学资源库,学习情境2:任务2.2利用数字证书保护WEB站点,2.2 任务2-目录,2.2 任务2-利用数字证书保护WEB站点2.2.1 任务描述2.2.2 引导文本-数字证书知识介绍2.2.3 规划部署数字证书服务应用环境2.2.4 基于IIS与IE浏览器实施数字证书保护2.2.5 检验数字证书保护下通信的安全性2.2.6知识技能要点测评,学习情境2任务2,任务2.2 利用数字证书保护通信,商家(WEB网站),客户(IE浏览器),CA数字证书服务器,互联网,B,C,A,2.2.1 工作任务描述(表),2.2.2 引导文本-数字证
2、书知识介绍,1、数字签名 数字签名是指发送方以电子形式签名一个消息或文件,表示签名人对该消息或文件的内容负有责任。数字签名综合使用了数字摘要和非对称加密技术,可以在保证数据完整性的同时保证数据的真实性。如下图所示,A把要发送的原文通过HASH算法得到摘要1,并用A的私钥加密得到A的数字签名。把此签名与原文一并通过公共网络发给B,B用A的公钥即可确认数据是否是由A发来的,并通过后面的摘要对比确定数据是否完整。,数字签名工作原理,2.2.2 引导文本-数字证书知识介绍,2、数字证书(1)数字证书 数字证书(Digital ID)含有证书持有者的有关信息,是在网络上证明证书持有者身份的数字标识,它由
3、权威的认证中心(CA)颁发。CA是一个专门验证交易各方身份的权威机构,它向涉及交易的实体颁发数字证书。数字证书由CA做了数字签名,任何第三方都无法修改证书内容。交易各方通过出示自己的数字证书来证明自己的身份。在电子商务中,数字证书主要有客户证书、商家证书两种。客户证书用于证明电子商务活动中客户端的身份,一般安装在客户浏览器上。商家证书签发给向客户提供服务的商家,一般安装在商家的服务器中,用于向客户证明商家的合法身份。,2.2.2 引导文本-数字证书知识介绍,(2)数字证书包含内容 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类
4、似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUTX.509国际标准。一个标准的X.509数字证书包含以下一些内容:证书的版本信息;证书的序列号,每个证书都有一个唯一的证书序列号;证书所使用的签名算法;证书的发行机构
5、名称,命名规则一般采用X.500格式;证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;证书所有人的名称,命名规则一般采用X.500格式;证书所有人的公开密钥;证书发行者对证书的签名(CA的签名)。,2.2.3 规划部署数字证书服务应用环境,1、安全认证机构功能 认证中心(Certificate Authority)是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的服务机构。CA通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中,CA可由大家都信任的一方担当。CA的职能:证书发放、证书更新、证书撤销和证书验
6、证。从功能上类似于发放身份证的公安局。2、任务构成 在本工任务中,参与的3个对象构及活动。证书颁发者:颁发与吊销证书;证书持有者:申请、安装并出示(使用)证书;证书的检验者:检查证书真实有效性。,2.2.3 规划部署数字证书服务应用环境,任务布置:学生可分为3人一组,学生机通过局域网互联完成实验。以下图为例,在A主机上安装CA服务器;在C主机上安装IIS并设置WEB服务;B主机做为浏览器。,B主机-IE浏览器客户,A主机-微软CA数字证书服务器,C主机-基于IIS的WWW服务器,数字证书服务应用环境部署,IP:192.168.1.2,IP:192.168.1.1,商家(WEB网站),客户(IE
7、浏览器),2.2.4 基于IIS与IE浏览器实施数字证书保护,1、证书服务器安装与配置 证书服务器或称密钥服务器,是允许用户提交和获取数字证书的数据库。证书服务器通常提供一些管理特性,使单个公司可以维护自己的安全策略-比如,只允许符合特定要求的密钥进入服务器存储。公钥基础(Public Key Infrastructures-PKI)PKI包含证书服务器的证书存储功能,还提供证书管理能力(发布,回收,存储,获取和认证证书)。PKI的主要特性是引入了所谓的认证权威(Certification Authority-CA),这是由人组成的实体-个人,团体,部门,公司或其他协会-该组织有权向计算机用户
8、发布证书。(CA的角色类似于国家政府颁发护照的部门)。CA创建证书并在上面用自己的私钥进行数字签名。由于CA在创建证书过程中的角色很重要,因此它是PKI的核心。使用CA的公钥,想要验证证书真实性的任何人只要校验CA的数字签名就能确定证书内容的完整性和真实性(更为重要的是确认了证书持有者的公钥和身份)。(注:在安装CA前要先安装IIS),2.2.4 基于IIS与IE浏览器实施数字证书保护,(1)基于Windows2003 Server 建立CA认证中心(在A主机上完成)选择开始-控制面板-添加删除程序-添加删除Windows组件:提示安装证书服务后不能改变计算机名了,选择是后,有四种类型的证书颁
9、发机构,如果本机是活动目录,则都可选择,如果不是则只有后两项可以选择,即独立的根CA(CA 体系中最受信任的 CA。不需要 Active Directory。)和独立的从属CA(标准 CA 可以给任何用户或计算机颁发证书。必须从另一个 CA 获取 CA 证书。不需要 Active Directory。)这里选择独立的根CA。,2.2.4 基于IIS与IE浏览器实施数字证书保护,接下来要求输入CA机构的一些信息。这些都是CA的真实信息,要得到申请者的确信。然后,会给出证书数据库与日志的存放位置设置,默认为C:WINNTsystem32CertLog,系统目录下。开始复制数据,要求提供WIN200
10、0安装文件或光盘。放入光盘或指定好位置后就可以完成CA服务的安装了。证书的申请要通过IIS以WEB形式完成。安装完成后会在IIS中建立两个虚拟目录CertControl和CertEnroll用于证书的申请与管理。现在可以选择开始-程序-管理工具-证书颁发机构,可以查看是否有证书的申请,即待发证书,也可以对证书进行吊销等管理了。,2.2.4 基于IIS与IE浏览器实施数字证书保护,(2)数字证书的申请和签发步骤:申请者向某CA申请数字证书后,下载并安装该CA的“自签名证书”或更高级的CA向该CA签发的数字证书,验证CA身份的真实性。申请者的计算机随机产生一对公私密钥。申请者把私钥留下,把公钥和申
11、请明文用CA的公钥加密,发送给CA。CA受理证书申请并核实申请者提交的信息.CA用自己的私钥对颁发的数字证书进行数字签名,并发送给申请者。经CA签名过的数字证书安装在申请方的计算机上。可参见后面图所示过程,(注:CA的IP地址为192.168.1.2,则证书申请的URL为:http:/192.168.1.2/Certsrv),CA认证中心,商家(WEB网站),客户(IE浏览器),2.2.4 基于IIS与IE浏览器实施数字证书保护,申请客户证书,验证并发放客户证书,申请服务器证书,验证并发放服务器证书,2.2.4 基于IIS与IE浏览器实施数字证书保护,2、商家WEB服务器申请CA证书(在C主机
12、上完成)(1)生成服务申请证书的文件,在IIS服务器中的WEB站点上右键属性,目录安全性,中选择安全通信,服务器证书,然后下一步,在出现的下一个窗口中选择“创建一个新证书”,下一步后出现,现在准备请求,依次选择下一步,输入证书名、密钥位数、组织信息、公用名、地理信息、最后会生成一个请求文件名,默认为:c:certreq.txt,也可修改。,2.2.4 基于IIS与IE浏览器实施数字证书保护,(2)通过IE浏览器申请证书(在C主机上完成)在商家WEB服务器的IE浏览器中输入CA服务器的URL:http:/192.168.1.2/Certsrv在出现的选择项中选择申请证书后点下一步。在出现的窗口中
13、选择高级申请,因为要申请的是WEB服务器证书。,2.2.4 基于IIS与IE浏览器实施数字证书保护,下一步后,接下来选择:“使用 base64 编码的 PKCS#10 文件提交一个证书申请,或使用 base64 编码的 PKCS#7 文件更新证书申请。”后下一步。然后选择窗口中的浏览,如果出现提示警告,则是因为这里是一个ActiveX控件,IE默认级别为中级,不允许运行ActiveX控件,这里选择IE右键属性,在安全中把Internet的安全级别中的ActiveX设置为启用即可。再次选择窗口中的浏览,则会出现路径选择:c:certreq.exe找到后选择读取。如下图所示,点提交后会出现证书挂起
14、,等待CA颁发。这里可通知CA服务器管理员进行信息核实后颁发证书。,2.2.4 基于IIS与IE浏览器实施数字证书保护,(3)CA中心颁发证书(在A主机上完成)这时在CA的服务器上打开,CA中心证书颁发机构。选择待定证书,会发现刚才的申请,右键选择所有任务中的颁发即可。,2.2.4 基于IIS与IE浏览器实施数字证书保护,(4)通过IE浏览器下载并保存证书(在C主机上完成)此时商家计算机可以通过IE浏览器打开申请证书时的URL:http:/192.168.1.2/Certsrv在窗口中选择“检查挂起证书”。选择下载证书到本地计算机。(5)在IIS服务WEB站点上安装此证书(在C主机上完成)再次
15、进入,IIS服务器中的WEB站点上右键属性,目录安全性中选择安全通信,服务器证书,会发现有所变化。选择处理挂起的请求并安装证书,并找到刚才下载的证书并安装。,2.2.4 基于IIS与IE浏览器实施数字证书保护,3客户IE浏览器端申请CA证书(在B主机上完成)此步骤可参考服务器端。基本是如下过程,区别是不用在IIS上生成请求文件了:(1)通过IE浏览器申请证书,申请时要选择WEB浏览器证书。(2)CA中心颁如证书。(3)通过IE浏览器下载并保存证书,或选择安装即可。如果成功安装了证书会在IE浏览器的选项中的内容下的证书中看到证书的相关信息。,2.2.5 检验数字证书保护下通信的安全性,1、数字证
16、书的验证过程(以B、C双方进行安全通信时B验证A的数字证书为例):B要求C出示数字证书。C将自己的数字证书发送给B。B首先验证签发该证书的CA是否合法。B用CA的公钥解密A证书的数字签名,得到C证书的数字摘要。B用摘要算法对C的证书明文制作数字摘要。B将两个数字摘要进行对比。如相同,则说明C的数字证书合法。,CA认证中心,C-商家(WEB网站),B-客户(IE浏览器),2.2.5 检验数字证书保护下通信的安全性,客户要求商家出示数字证书,商家将自己的数字证书发送给客户,CA认证中心,C-商家(WEB网站),B-客户(IE浏览器),2.2.5 检验数字证书保护下通信的安全性,客户要求商家出示数字证书,商家将自己的数字证书发送给客户,客户首先验证签发该证书的CA是否合法,2.2.5 检验数字证书保护下通信的安全性,2、测试在数字证书保护下通信的安全性 以B访问C进行安全通信为例:此时在B主机的浏览器中输入:https/192.168.1.1,就可以实现通过安全的HTTPS协议进行网站的访问了。此时可以利用Sniffer pro进行捕获分析,可以在B或C主机上完成检查工作。,2.2.6 知识技能要点测评,本部分内容是在PGP应用的基础上的又一个实际应用的实例,这个工作任务建议是由课外完成的,要求达到的目标是:能够建立CA服务器,学会数字证书操作的整个流程,理解HTTPS安全协议。,
