项目14使用PKI和证书服务实现传输安全

项目14使用PKI和证书服务实现传输安全2024/3/29项目14使用PKI和证书服务实现传输安全随着电商时代的到来，人们在享用Interne带来的好处时,形式多样的安全威胁也越来越突出,保护传送数据的需求也越来越强烈。在今天的Internet上,最常见的安全是通过使用数字证书实现的。数字证书可以在一个不信任的网络上辨识一个客户和服务器,并且可以加密数据的传输。项目背景项目14使用PKI和证书实现传输安全项目14使用PKI和证书服务实现传输安全项目14使用PKI和证书实现传输安全知识目标了解：PKI的概念，数字证书的作用和意义熟悉：证书的发放过程,企业CA的管理掌握：证书服务的安装,在Web服务器上设置SSL,数字证书的申请、安装及导入导出的过程能力目标能进行证书服务的安装,能在Web服务器上设置SSL。会申请、安装、导入和导出免费个人数字证书。会用证书和outlookExpress软件对电子邮件进行数字签名和数据加密教学目标项目14使用PKI和证书服务实现传输安全14.2

项目知识准备PKI(PublicKeyInfrastructure,公钥基础结构)是指在分布式计算环境中,根据公开密钥理论及算法,使用公钥加密、数字签名、数字证书等技术来确保网上信息的传输安全并负责验证证书持有者身份的一种安全服务体系。典型的PKI体系应该包括以下四个组件:①公钥加密技术②数字证书:用于用户的身份验证③证书颁发机构(CA):CA是一个可信任的实体,负责发布、更新和吊销证书④注册机构(RA):RA拥有接受用户的请求等功能14.2.1认识PKI(公钥基础结构)项目14使用PKI和证书服务实现传输安全14.2

项目知识准备PKI体系能够实现的功能有:①身份验证:确认用户的身份标识。②数据完整性:是指数据在传输过程中不能被非法篡改。③数据机密性:是指数据在传输过程中,不能被非授权者偷看。④数据的有效性:是指数据不能被否认。操作的不可否认性。14.2.1认识PKI(公钥基础结构)项目14使用PKI和证书服务实现传输安全14.2

项目知识准备1．对称密钥加密技术(传统加密技术)加密变换使用的密钥和解密变换使用的密钥相同优点：具有密钥较短,加密效率高,系统开销小,加解密速度快,适合于大规模和大流量数据加密等。不足：收发双方都使用相同密钥,安全性得不到保证。密钥的维护量大管理困难,使用成本较高。14.2.2信息加密技术及分类项目14使用PKI和证书服务实现传输安全14.2

项目知识准备2．非对称密钥加密技术(公钥加密技术)加密密钥和解密密钥不是同一个优点：密钥管理很简单不足：加解密速度较慢,不适应大数据量加解密作业。根据两种密钥使用的先后顺序的不同,非对称加密技术分为数据加密和数字签名。14.2.2信息加密技术及分类项目14使用PKI和证书服务实现传输安全14.2

项目知识准备(1)数据加密(先用公钥加密后用私钥解密)传输数据时,发送方使用接收方的公钥加密数据,并将它传送。当接收方收到数据后,使用自己的私钥解密这些数据。数据加密确保只有预期的接收者才能解密和查看原始数据,从而提供了发送数据的机密性。但是数据加密不能保证身份验证、不可否认和完整性。14.2.2信息加密技术及分类项目14使用PKI和证书服务实现传输安全14.2

项目知识准备

(2)数字签名(先用私钥加密后用公钥解密)数字签名是通过一个单向函数对要传送的报文进行处理得到的,用以认证信息来源并核实信息是否发生变化的一个字母数字串。数字签名可以用来验证信息是否确实是由发送方发送来的(即身份验证),还可以确认信息在发送过程中是否被篡改。14.2.2信息加密技术及分类项目14使用PKI和证书服务实现传输安全14.2

项目知识准备RSA签名的过程：①发送方对报文采用Hash算法生成一个128位的散列值(报文摘要)；②发送方用加密算法和自己的私钥对这个散列值进行加密,产生一个摘要密文,这就是发送方的数字签名；14.2.2信息加密技术及分类项目14使用PKI和证书服务实现传输安全14.2

项目知识准备RSA签名的过程：③将这个加密后的数字签名作为报文的附件和报文一起发送给接收方:④接收方从接收到的原始报文中采用相同的摘要算法计算出128位的散列值；⑤报文的接收方用解密算法和发送方的公钥对报文附加的数字签名进行解密；⑥如果两个散列值相同,那么接收方就能确认报文是由发送方签名的。14.2.2信息加密技术及分类项目14使用PKI和证书服务实现传输安全14.2

项目知识准备发件人使用的公钥和私钥、收件人使用的公钥均来源于证书服务,证书是密钥的载体并由权威机构颁发。由权威机构颁发的包含了公钥信息的电子文档称为数字证书(简称证书),CA(CertificateAuthority,证书颁发机构)。颁发数字证书的权威机构就称为CA14.2.3证书及证书颁发机构(CA)项目14使用PKI和证书服务实现传输安全14.2

项目知识准备1.数字证书的内容及类型数字证书的格式及内容:证书的版本信息:v1、v2、v3;证书的序列号:每个证书都有一个唯一的证书序列号;证书所使用的签名算法:CA签发该证书所使用的密码算法的标识符；证书的发行机构名称；证书的有效期:是一个时间区间,包括证书有效期的起始时间和终止时间;证书所有者的名称；证书所有者的公开密钥:用来标识证书持有者公钥和相应的公钥算法;证书发行者对证书的签名。14.2.3证书及证书颁发机构(CA)项目14使用PKI和证书服务实现传输安全14.2

项目知识准备2.CA的体系结构及作用证书类型:个人数字证书单位数字证书单位员工数字证书服务器证书VPN证书WAP证书代码签名证书表单签名证书。14.2.3证书及证书颁发机构(CA)项目14使用PKI和证书服务实现传输安全14.2

项目知识准备2.CA的体系结构及作用一个完整的证书认证系统中,CA分为不同的层次,各层CA按其隶属关系形成一棵树型结构,如图12-5所示。14.2.3证书及证书颁发机构(CA)项目14使用PKI和证书服务实现传输安全14.2

项目实施项目14使用PKI和证书服务实现传输安全14.3

项目实施由于证书申请要通过IIS提交,需先安装IIS的Web服务组件，再安装证书服务组件。任务14-1证书服务器的安装项目14使用PKI和证书服务实现传输安全14.3

项目实施1．为使用SSL安全机制的Web网站创建证书申请文件任务14-2使用证书实现SSLWeb服务步骤1:在事先已安装的另一台Web服务器→右击要使用SSL的网站(如“迅达公司网站”)项目14使用PKI和证书服务实现传输安全2．CA服务器配置为HTTPS任务14-2使用证书实现SSLWeb服务项目14使用PKI和证书服务实现传输安全3．在Web服务器上向CA服务器提交证书申请任务14-2使用证书实现SSLWeb服务项目14使用PKI和证书服务实现传输安全4．在CA服务器向Web服务器颁发证书任务14-2使用证书实现SSLWeb服务项目14使用PKI和证书服务实现传输安全5．在Web服务器上下载、安装CA服务器颁发的证书任务14-2使用证书实现SSLWeb服务项目14使用PKI和证书服务实现传输安全6．使用HTTPS协议访问网站任务14-2使用证书实现SSLWeb服务项目14使用PKI和证书服务实现传输安全7．证书的导出与导入●导出证书的步骤如下:任务14-2使用证书实现SSLWeb服务项目14使用PKI和证书服务实现传输安全7．证书的导出与导入●导入证书的步骤如下:任务14-2使用证书实现SSLWeb服务项目14使用PKI和证书服务实现传输安全14.3

项目实施任务14-3使用证书实现邮件签名和加密1．数字证书的申请与下载下面以中国数字认证网提供的免费证书为例,说明证书申请、下载和安装的步骤如下:步骤1:进入中国数字认证网()主页→下载根证书项目14使用PKI和证书服务实现传输安全1．数字证书的申请与下载安装根证书在中国数字认证网注册会员申请、下载、安装证书查看导入的证书任务14-3使用证书实现邮件签名和加密项目14使用PKI和证书服务实现传输安全2．在OutlookExpress中设置邮箱账号登录、设置QQ邮箱任务14-3使用证书实现邮件签名和加密项目14使用PKI和证书服务实现传输安全2．在OutlookExpress中设置邮箱账号在OutlookExpress设置邮箱帐号任务14-3使用证书实现邮件签名和加密项目14使用PKI和证书服务实现传输安全3．在OutlookExpress中设置数字证书任务14-3使用证书实现邮件签名和加密项目14使用PKI和证书服务实现传输安全4．用OutlookExpress发送、接收数字签名邮件任务14-3使用证书实现邮件签名和加密项目14使用PKI和证书服务实现传输安全5．用OutlookExpress发送、接收加密邮件任务14-3使用证书实现邮件签名和加密项目14使用PKI和证书服务实现传输安全项目14使用PKI与证