国开网络应用服务管理实训513216

实验目的.了解PKI体系.了解用户进行证书申请和CA颁发证书过程.掌握证书服务的安装及配置方法.掌握使用数字证书配置安全站点的方法实验原理PKI简介PKI是PublicKeyInfrastructure的缩写，通常译为公钥基础设施。PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。一方面PKI对网络应用提供广泛而开放的支撑:另一方面，PKI系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。PKI组件PKI主要包括==认证中心CA==、==注册机构RA==、==证书服务器==、==证书库==、==时间服务器==和==PKI策略二=等。CA用于创建和发布证书，还负责维护和发布证书废除列表CRLo根CA证书，是一种特殊的证书，它使用CA自己的私钥对自己的信息和公钥进行签名。RA负责申请者的登记和初始鉴别，在PKI体系结构中起承上启下的作用，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP（轻量目录访问协议）服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。证书库是发布证书的地方，提供证书的分发机制。到证书库访问可以得到希望与之通信的实体的公钥和查询最新的CRLo它一般采用LDAP目录访问协议，其格式符合X.500标准。时间服务器:提供单调增加的精确的时间源，并且安全的传输时间戳，对时间戳签名以验证可信时间值的发布者。PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。一般情况下，在PKI中有两种类型的策略：1.书策略。用于管理证书的使用，比如，可以确认某一CA是在Internet上的公有CA,还是某一企业内部的私有CA:CPS（CertificatePracticeStatement证书操作管理规范）。现在为防止CPS泄露太多的信息，准备使用一种新的文件类型，即PKI信息披露规范PDS。数字证书应用.数据加密:数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时候，会得到一个私钥和一个数字证书，数字证书中包含一个公钥。.数字签名。web应用:为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。4.SSL是一个==介于应用层和传输层之间==的可选层，它在TCP之上建立了一个安全通道，提供基于证书的认证，信息完整性和数据保密性。SSL协议已在Internet上得到广泛的应用。5.安全电子邮件：目前发展很快的安全电子邮件协议是S/MIME，这是一个允许发送加密和有签名邮件的协议。该协议的实现也需要依赖于PKI技术。实验内容无认证捕获到的web通信是明文数据。式障：EJ⅛K⅛SBllβαs⅛⅛,的彝当田∣J⅛⅛ ∣E⅛⅛⅛殳阳F。时亡却Mee30-1扣口之。TCPs172IiifiJGUQLI7⅞.l^fl.i091MTTJ口聃CS⅛7制8&X强37才SH¢4TCP：J72.i⅛aħ.lθ⅞>172n16.Q.14iJfπJ08C!*7MC⅛iiMeCNA3*4“ICPltm"TAtT?g:ETU=Z)S⅛τWQ172∣i⅛.∣Qn109172.1S.Q.L41IfnjlJ⅛φ⅛XIetlΓt⅞b≤l≥LJX9tOC41lFK:,中■=>理(U1困£J如qMl∣']⅛T∣exlesτTtafiMEEixow7⅛ljF⅞fEC->itJr⅞，*琼ISfdj3C1LXEP∣-⅛Jtypex:IesiTIafinbeJkomkoIjCj∣τ-haiJr- ⅛1E≡Σ::cftt%;l.>XjLirMbI:J>iltik∣Jlλ

Bmj⅛.iflT⅛Kyptt'TικtTtfdEtKFhr=KiblJΛcc^LLhΓlj*h∣1U2⅞3L1仙⅞UΛfllil-：l⅛-CPU.MFgldd-

fd=

FikLd-

f4=

Faald-

明山=

PifcLdj

r∣>L4=ΛeE4L"lħEd-lib∣t⅞Eiφ.bJxbγ-A^⅛γ∣l⅛o-clL1k∣'i4ES⅛ifL75]fiQU的t∣flUΦ:酬∙⅝ιa⅛:a3⅛⅛⅜ l⅝⅛⅛⅛**∙ 肯件*密：诃寸M闻∙-YrlMtCΛV⅛三.∣Z4,4Π⅛时生..I.j⅛⅛¾B∣f⅛..I0⅛⅜⅛wt⅛..]⅜j⅛⅛⅛⅛r⅛....∣也w⅛bJl⅝⅛..Il®HlIt⅝H⅛,, 修I息N16整单向认证（验证服务器身份）准备:CA安装HS和安装Windows组件中的"证书服务”。服务器安装HS。服务器向CA申请证书，服务器下载安装证书。=注意:在安装CA颁发证书后，还需要安装CA根证书，才能使该CA颁发的证书生效。==在服务器端设置〃要求安全通道SSL〃，并且〃忽略客户端证书”。这个时候再访问服务器已经通过SSL保护了。∣⅛⅛⅛t∣Hft⅛r∙(Ba⅛，-ItImEMr∙∏∙rtBHTED*A>E∣Λ*ιf>HRNM?ZAIDWJt⅛ι≡HJ2^ISStSΛF'IMliM∣⅞⅛⅜Wl电I&a：HR 3∣i3to≠l**R3课Ui⅛潮》仇笠金酒瀛料第siwww:tɪwms⅛⅛r∏t∣s≡l∣≡tτfli*-⅛rJc⅛r>∣t：■TESfiflRHltttmLKh4⅞κJ∕≡∏?him.ITtrIt鼻碘，一覃止E灯：IilSlH翻JSLBE^≡⅛[≡*E"信白盛旨OS)*料到皿r.."^⅛¾⅞⅜ff!⅜⅛⅛a⅝-¾τπ∙8⅝-MrmkJE.*STff*ΠSMB-£«TEHEMHLvlyl中这闩」-≠*r⅛⅛^β.⅛≡⅞干!⅛--HiS⅛≠*lβ≡LrB-XfH⅞^⅛⅛B⅜t^ffτ≡⅛i二■iκħrm:*开⅝⅜4q3a∣El⅜-加'I」酒ii⅞⅛*⅜⅜jfI口IlgR顺网0 IAm用丹*帝・上前日前行^μE⅞⅛t∙3ee∣L舟.u：3i这个时候再捕获web通信就是密文了。双向认