PKI与证书服务应用培训资料

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,BENET3.0第一学期课程, 理论部分,第五章 PKI与证书服务应用,本资料由-,大学生创业,|,创业,|,创业网, Key Infrastructure，公钥基础结构,通过公钥技术与数字证书确保信息安全的体系,由公钥加密技术、数字证书、CA、RA等共同组成,PKI体系能够实现的功能有,身份认证,数据完整性,数据机密性,操作的不可否认性,5,公钥加密技术,公钥加密技术是PKI的基础,公钥（Public Key）和私钥（Private Key）,公钥和私钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密,不能根据一个密钥而推算出另外一个密钥,公钥对外公开，私钥只有私钥的持有人才知道,私钥应该由密钥的持有人妥善保管,根据实现的功能不同，可以分为数据加密和数字签名,6,数据加密,发送方使用接收方的公钥加密数据,接收方使用自己的私钥解密数据,数据加密能保证所发送数据的机密性,7,数字签名,发送方,对,原始数据执行HASH算法得到摘要值,发送方用自己私钥加密摘要值,将加密的摘要值与原始数据发送给接收方,接收方,用发送方公钥解密摘要值；同时对收到的原始数据同样执行,HASH,产生另一摘要值,将解密的摘要值与产生的摘要值对比,数字签名保证数据完整性、身份验证和不可否认,8,基于PKI技术的协议,SSL,认证用户和服务器，确保数据发送到正确的客户机和服务器,加密数据以防止数据中途被窃取,维护数据的完整性，确保数据在传输过程中不被改变,Https,使用SSL来实现安全的通信,IPSec,目前已经成为最流行的VPN解决方案,9,什么是证书,证书用于保证密钥的合法性,证书把公钥与拥有对应私钥的主体标识信息捆绑在一起,证书的主体可以是用户、计算机、服务等,证书格式遵循X.509标准,X.509是由国际电信联盟制定的数字证书标准,使用者的公钥值,使用者标识信息（如名称和电子邮件地址）,有效期（证书的有效时间）,颁发者标识信息,颁发者的数字签名,10,什么是证书,证书可以应用于,Web服务器身份验证,Web用户身份验证,安全电子邮件,Internet协议安全(IPSec),数字证书由权威公正的第三方机构即CA签发,11,CA的作用,CA（Certificate Authority，证书颁发机构）,CA的核心功能是颁发和管理数字证书,CA,的作用,处理证书申请,鉴定申请者是否有资格接收证书,证书的发放,证书的更新,接收最终用户数字证书的查询、撤销,产生和发布证书,吊销列表（CRL）,数字证书的归档,密钥归档,历史数据归档,12,证书发放过程,用户,RA,CA,1,证书申请,2,RA确认用户,3,处理策略,4,RA提交申请信息到CA,证书目录,5,6,CA将证书传给RA,7,RA将证书传给用户/用户自己取回,证书验证,13,安装证书服务,企业根CA与企业从属CA,需要AD服务,自动颁发证书,有证书模板,独立根CA与独立从属CA,不需要AD服务,需要管理员手工颁发证书,没有证书模板,用户申请证书时，必须提供身份信息并指定所需的证书类型,教员演示操作过程,14,用户申请证书,如果是企业CA,Web浏览器申请,MMC控制台申请,如果是独立CA,Web浏览器申请,教员演示操作过程,15,小结,请思考：,什么是数据加密？,什么是数字签名？,CA,的作用是什么？,简述证书的发放过程,16,案例：为Web站点启用Https,BENET公司有一个Web站点，用于员工出差通过Web网站提交销售记录、客户通过Web站点提交订单，如何保证网络传输数据的安全？,客户端,Web服务器,Internet,17,案例：为Web站点启用Https,推荐步骤,信任CA,生成证书申请,提交证书申请,安装证书,启用SSL,使用HTTPS协议访问网站,18,案例：为Web站点启用Https,信任CA,通信双方只有信任CA，才能信任由CA所颁发的证书,将CA证书导入客户端受信任证书颁发机构,可以设置是否需要客户端证书,忽略：客户端不需要申请证书,接受：客户端可以使用证书访问服务器，但并不是必需的,必须：客户端必须申请和安装客户端证书,教员演示操作过程,19,案例：为Web站点启用Https,客户端,使用Https访问网站,教员演示操作过程,20,证书的导入与导出,导入与导出相当于对证书进行还原与备份,证书导出后应妥善保管,教员演示操作过程,21,本章总结,公钥基础结构（PKI）,证书颁发机构（CA）,PKI与证书服务应用,证书的申请与颁发,什么是PKI,证书的安装与使用,公钥加密技术,使用PKI的协议,证书服务的应用,证书的导入与导出,什么是证书,CA的作用,证书的发放过程,安装证书服务,22,BENET3.0第一学期课程, 上机部分,第五章 PKI与证书服务应用,实验案例：为Web站点启用Https,需求,描述：,BENET公司有一个Web站点，域名为，启用基本身份验证方式。随着业务的发展，公司想将该网站发展成网上交易平台，因此在用户访问时，需要保证用户密码和访问的数据在传输时的安全性。如何实现该功能？,24,实验案例：为Web站点启用Https,阶段划分：,阶段一,为Web站点申请证书,阶段二,为Web站点启用SSL,客户端成功访问网站,25,阶段一：为Web站点申请证书,实现思路：,三台虚拟机完成实验（Web服务器，CA，客户机）,搭建Web站点,在DNS注册的主机记录,申请文件中网站FQDN与客户端访问的FQDN相同,26,阶段一：为Web站点申请证书,学员练习：,搭建Web站点,注册DNS记录,搭建CA,为Web站点成功申请证书,40分钟完成,27,阶段二：为Web站点启用SSL,实现思路：,忽略客户端证书,客户端信任CA,学员练习：,为Web站点安装证书,在Web站点启用SSL,客户端通过成功访问Web站点,40分钟完成,本资料由-,大学生创业,|,创业,|,创业网,