实训指导2.2利用数字证书保护通信

国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施学习情境2：实训任务2.2利用CA数字证书保护通信内容介绍

任务场景及描述1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景及描述任务相关工具软件介绍VMWareWorkstation——虚拟单机实现Windows2003CA组件——CA服务器Windows2003IIS组件——WEB服务器IE浏览器——客户端任务相关工具软件介绍使用两台虚拟机2003系统分别作为：CA服务器IIS的WEB服务器物理机为IE客户任务设计、规划任务设计、规划商家（WEB网站）客户（IE浏览器）CA数字证书服务器互联网BCA任务设计、规划任务布置：学生可分为3人一组，学生机通过局域网互联完成实验。以下图为例，在A主机上安装CA服务器；在C主机上安装IIS并设置WEB服务；B主机做为浏览器。B主机-IE浏览器客户A主机-微软CA数字证书服务器C主机-基于IIS的WWW服务器IP：IP：商家（WEB网站）客户（IE浏览器）任务实施及方法技巧1、证书服务器安装与配置证书服务器或称密钥服务器，是允许用户提交和获取数字证书的数据库。证书服务器通常提供一些管理特性，使单个公司可以维护自己的安全策略--比如，只允许符合特定要求的密钥进入服务器存储。公钥基础(PublicKeyInfrastructures--PKI)PKI包含证书服务器的证书存储功能，还提供证书管理能力(发布，回收，存储，获取和认证证书)。PKI的主要特性是引入了所谓的认证权威(CertificationAuthority--CA)，这是由人组成的实体--个人，团体，部门，公司或其他协会--该组织有权向计算机用户发布证书。(CA的角色类似于国家政府颁发护照的部门)。CA创建证书并在上面用自己的私钥进行数字签名。由于CA在创建证书过程中的角色很重要，因此它是PKI的核心。使用CA的公钥，想要验证证书真实性的任何人只要校验CA的数字签名就能确定证书内容的完整性和真实性(更为重要的是确认了证书持有者的公钥和身份)。（注：在安装CA前要先安装IIS）任务实施及方法技巧（1）基于Windows2003Server建立CA认证中心（在A主机上完成）选择开始-控制面板-添加删除程序-添加删除Windows组件：提示安装证书服务后不能改变计算机名了，选择是后，有四种类型的证书颁发机构，如果本机是活动目录，则都可选择，如果不是则只有后两项可以选择，即独立的根CA（CA体系中最受信任的CA。不需要ActiveDirectory。）和独立的从属CA（标准CA可以给任何用户或计算机颁发证书。必须从另一个CA获取CA证书。不需要ActiveDirectory。）这里选择独立的根CA。任务实施及方法技巧

接下来要求输入CA机构的一些信息。这些都是CA的真实信息，要得到申请者的确信。然后，会给出证书数据库与日志的存放位置设置，默认为C:\WINNT\system32\CertLog，系统目录下。开始复制数据，要求提供WIN2000安装文件或光盘。放入光盘或指定好位置后就可以完成CA服务的安装了。证书的申请要通过IIS以WEB形式完成。安装完成后会在IIS中建立两个虚拟目录CertControl和CertEnroll用于证书的申请与管理。

现在可以选择开始-程序-管理工具-证书颁发机构，可以查看是否有证书的申请，即待发证书，也可以对证书进行吊销等管理了。任务实施及方法技巧（2）数字证书的申请和签发步骤：①申请者向某CA申请数字证书后，下载并安装该CA的“自签名证书”或更高级的CA向该CA签发的数字证书，验证CA身份的真实性。②申请者的计算机随机产生一对公私密钥。③申请者把私钥留下，把公钥和申请明文用CA的公钥加密，发送给CA。④CA受理证书申请并核实申请者提交的信息.⑤CA用自己的私钥对颁发的数字证书进行数字签名，并发送给申请者。⑥经CA签名过的数字证书安装在申请方的计算机上。可参见后面图所示过程（注：CA的IP地址为，则证书申请的URL为：/Certsrv）CA认证中心商家（WEB网站）客户（IE浏览器）任务实施及方法技巧申请客户证书验证并发放客户证书申请服务器证书验证并发放服务器证书任务实施及方法技巧2、商家WEB服务器申请CA证书（在C主机上完成）（1）生成服务申请证书的文件，在IIS服务器中的WEB站点上右键属性，目录安全性，中选择安全通信，服务器证书，然后下一步，在出现的下一个窗口中选择“创建一个新证书”，下一步后出现，现在准备请求…，依次选择下一步，输入证书名、密钥位数、组织信息、公用名、地理信息、最后会生成一个请求文件名，默认为：c:\certreq.txt，也可修改。任务实施及方法技巧（2）通过IE浏览器申请证书（在C主机上完成）在商家WEB服务器的IE浏览器中输入CA服务器的URL：/Certsrv在出现的选择项中选择申请证书后点下一步。在出现的窗口中选择高级申请，因为要申请的是WEB服务器证书。任务实施及方法技巧

下一步后，接下来选择：“使用base64编码的PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件更新证书申请。”后下一步。然后选择窗口中的浏览，如果出现提示警告，则是因为这里是一个ActiveX控件，IE默认级别为中级，不允许运行ActiveX控件，这里选择IE右键属性，在安全中把Internet的安全级别中的ActiveX设置为启用即可。再次选择窗口中的浏览，则会出现路径选择：c:\certreq.exe找到后选择读取。如下图所示，点提交后会出现证书挂起，等待CA颁发。这里可通知CA服务器管理员进行信息核实后颁发证书。任务实施及方法技巧（3）CA中心颁发证书（在A主机上完成）这时在CA的服务器上打开，CA中心证书颁发机构。选择待定证书，会发现刚才的申请，右键选择所有任务中的颁发即可。任务实施及方法技巧（4）通过IE浏览器下载并保存证书（在C主机上完成）此时商家计算机可以通过IE浏览器打开申请证书时的URL：/Certsrv在窗口中选择“检查挂起证书”。选择下载证书到本地计算机。（5）在IIS服务WEB站点上安装此证书（在C主机上完成）再次进入，IIS服务器中的WEB站点上右键属性，目录安全性中选择安全通信，服务器证书，会发现有所变化。选择处理挂起的请求并安装证书，并找到刚才下载的证书并安装。任务实施及方法技巧3．客户IE浏览器端申请CA证书（在B主机上完成）此步骤可参考服务器端。基本是如下过程，区别是不用在IIS上生成请求文件了：（1）通过IE浏览器申请证书，申请时要选择WEB浏览器证书。（2）CA中心颁如证书。（3）通过IE浏览器下载并保存证书，或选择安装即可。如果成功安装了证书会在IE浏览器的选项中的内容下的证书中看到证书的相关信息。任务实施及方法技巧1、数字证书的验证过程(以B、C双方进行安全通信时B验证A的数字证书为例)：①B要求C出示数字证书。②C将自己的数字证书发送给B。③B首先验证签发该证书的CA是否合法。④B用CA的公钥解密A证书的数字签名，得到C证书的数字摘要。⑤B用摘要算法对C的证书明文制作数字摘要。⑥B将两个数字摘要进行对比。如相同，则说明C的数字证书合法。CA认证中心C-商家（WEB网站）B-客户（IE浏览器）任务实施及方法技巧客户要求商家出示数字证书商家将自己的数字证书发送给客户CA认证中心C-商家（WEB网站）B-客户（IE浏览器）任务实施及方法技巧客户要求商家出示数字证书商家将自己的数字证书发送给客户客户首先验证签发该证书的CA是否合法任务实施及方法技巧2、测试在数字证书保护下通信的安全性以B访问C进行安全通信为例：此时在B主机的浏览器中输入：https//，就可以实现通过安全的HTTPS协议进行网站的访问了。此时可以利用Snifferpro进行捕获分析，可以在B或C主机上完成检查工作。任务检查与评价任务检查与评价：能够正确安装CA服务器能够正确在IIS的WEB服务器上申请并安装WEB服务自己的数字证书和CA的自签名证书能够正确在IE浏览器中安装CA的自签名证书，以信任此CA测试HTTPS安全通信所采用的SSL协议，端口号为443，基于TCP协议传输任务检查与评价任务评价：本部分内容是在PGP应用的基础上的又一个实际应用的实例，这个工作任务建议是由课外完成的，要求达到的目标是：能够建立CA服务器，学会数字证书操作的整个流程，理解HTTPS安全协议。任务2.2知识技能要点测评表序号测评要点具体目标测评权重1知识理解理解数字证书的原理及工作流程202工具及软件使用能正确安装配置CA服务器，为客户及服务器颁发数字证书，并能正确安装证书。103任务实施能够采用正确的方法对数字证书的保护措施进行检查，并能说明查验过程中的各步骤理论依据。204专业能力提升能对CA及PKI的实现有深入理解205方法能力提升利用学习资源自主进行深入学习206社会能力提升通过小组合作分析协议结构，提升表达、