9使用证书服务保护网络通信.pptx

学习情境场景1、网坚总公司与各子公司之间、各子公司的部门之间通过PKI机制进行安全通信。 2、网坚公司员工因调动、更替等导致信任关系更改，加强证书管理和控制，确保证书安全和有效。平台 Windows Server 2003系统提供PKI安全管理机制，通过证书服务 ，确保双方安全、可靠地进行通信。实施 本项目将基于Windows Server 2003在网坚公司的企业网络中部署企业根CA,实现企业域用户企业CA证书申请、CA证书管理和控制功能。项目9 使用证书服务保护网络通信中国铁道出版社任务2 管理证书服务任务1 安装与配置证书服务学习任务项目9 使用证书服务保护网络通信中国铁道出版社任务1 安装与配置证书服务 任务描述 Windows Server 2003通过PKI安全管理机制保护用户的信息，对用户身份进行验证。企业域内用户与计算机之间相互通信，关键信息在域内网络间的传送都需要得到保护，以保证只有合法用户才可以访问这些信息，而未经授权的用户不能访问这些信息，通过使用企业CA实现数据加密和用户身份的标识，保证用户的信息在网络传输过程中的可靠性和一致性。 任务分析 公司用户访问网络通常使用账户与密码作为保证安全的手段，但是公用密码方式极容易受到网络黑客与非法入侵手段的攻击和破解，Windows Server 2003通过PKI安全管理机制保护用户的信息，对用户身份进行验证。项目9 使用证书服务保护网络通信中国铁道出版社相关知识与技能1. PKI基础知识 2.安装与配置证书服务 3.域用户申请并安装证书 项目9 使用证书服务保护网络通信中国铁道出版社1. PKI基础知识 PKI（Public Key Infrastructure）基础知识 PKI即“公钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密、数字签名等服务，还提供必需的密钥和证书管理体系。PKI技术是信息安全技术的核心，PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威证书认证机构（Certification Authority，CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。 项目9 使用证书服务保护网络通信中国铁道出版社1. PKI基础知识PKI提供以下功能，确保用户能够在网络上安全传送信息： 加密发送的信息验证信息 PKI根据公开密钥密码学来提供信息加密和身份验证，用户需要有一组密钥来支持PKI功能的实现： 公开密钥（Public Key）：用户可以将自己的公开密钥发送给其它用户。 私有密钥（Private Key）：密钥为该用户私有，且存储在用户的计算机内，只有用户自己能够访问。在PKI架构下，CA是可信任的机构，它向用户颁发有效的证书。CA主要有两类：商业CA公司和Windows自带的CA程序（称为Microsoft证书服务MCS）。 项目9 使用证书服务保护网络通信中国铁道出版社2被加密的消息通过网络进行传输3A781Alice 使用 Bob 的公钥 (Public Key) 加密消息数据3Bob 使用 Bob 的私钥 (Private Key) 把消息解密1. PKI基础知识数据公钥加密和解密过程项目9 使用证书服务保护网络通信中国铁道出版社2消息通过网络进行传输~*~*~*~1Alice 用她的私钥 (Private Key) 对消息进行签名3Bob 使用 Alice 的公钥 (Public Key) 验证来自 Alice 的消息1. PKI基础知识~*~*~*~~*~*~*~公钥认证过程项目9 使用证书服务保护网络通信中国铁道出版社1CA 接收一个认证请求2验证信息3使用私钥把数字签名发送给申请者4颁发数字签名作为安全证书来使用1. PKI基础知识计算机、用户或服务~*~*~*~CA证书申请及使用项目9 使用证书服务保护网络通信中国铁道出版社1. PKI基础知识Windows Server 2003、Windows XP、Windows 2000等计算机系统默认已经信任由一些知名的CA所发放的证书。在IE浏览器的窗口中，选择“工具”→“Internet选项”→“内容”→“证书”→“受信任的根证书颁发机构”选项可以查看受信任的根证书颁发机构，如图9-1所示。图9-1 “证书”对话框 项目9 使用证书服务保护网络通信中国铁道出版社1. PKI基础知识微软的PKI支持结构化的CA，在该架构下CA分为以下两个级别： 根CA从属CA 通过安装“证书服务”，可以让Windows Server 2003扮演CA的角色，可以将其设为：企业根CA或企业从属CA 独立根CA或独立从属CA 项目9 使用证书