《计算机网络安全防护技术（第二版）》 课件 第3章-任务3.5 探究数字证书和架设SSL网站

第3章数据加密技术3.5数字证书编著：

秦燊劳翠金

3.5数字证书

在人类社会中，身份证可以证明一个人的身份。在数字世界中，数字证书能证明公钥的拥有者是谁，证明某个公钥不是冒名顶替的。实现数字证书，需要一个安全体系PKI。3.5.1PKI对于在网络上通信的双方来说，如何综合运用对称密钥技术和非对称密钥技术，确保信息从源出发，安全传送到目的地，做到数据传输的私密性（Confidentiality）、源认证（Authentication）、完整性（Integrity）、不可否认性（Non-repudiation）。都是建立在公钥真实性的基础之上的。非对称密钥包括公钥和私钥组成的密钥对，在之前的研究中，公钥传送给通信的另一方的方式，是直接发送给对方，这种方式获取公钥并不方便，也不安全。获取和验证公钥的更好方式是通过公钥基础架构PKI来实现。PKI（PublicKeyInfrastructure，公钥基础结构）是通过非对称密钥技术和数字证书来验证数字证书所有者的身份，确保系统信息安全的一种体系。由称为CA的权威机构把公钥所有者的信息与公钥捆绑在一起，用权威机构的私钥对以上捆绑的数据进行签名，生成公钥所有者的证书，颁发给证书所有者。这就象公安局把公民的身份证号、姓名等捆绑在一起，用公安局的公章进行盖章，制成公民的身份证，颁发给该公民。数字证书的主要作用是证明公钥拥有者的身份及公钥的合法性。每个客户都拥有权威机构CA的根证书，权威机构CA的根证书中包含有权威机构的公钥。同时，权威机构CA对发送方的数字证书进行签名后颁发给发送方，发送方的数字证书中包含了发送方的信息以及发送方的公钥。接收方从CA的根证书中获取到权威机构的公钥，用它来解密CA在发送方数字证书上的签名，得到发送方证书的HASH值，与接收方自己计算出的HASH值进行比较，如果一致，就可证明发送方身份的真实性，从而确保了从发送方数字证书中获取到的公钥的可靠性。1.数据私密性（Confidentiality）的实现数据的私密性可通过对数据加密实现。数据加密分为对称加密技术和非对称加密技术。由于非对称密钥的加密方式占用资源较多，速度较慢，只适用于小数据量的加密；而对称密钥加密本身速度快，网络设备整合的对称加密硬件加速卡又进一步提升了对称加密的速度。因此，数据加密一般采用对称加密技术。然而，对称加密技术涉及到“对称密钥”的传送问题，一旦“对称密钥”在传送过程中被攻击者截获，数据也就无私密性可言了。解决“对称密钥“的传送问题，可采用“非对称密钥“加密“对称密钥”后再传送的方式。用“接收者的公钥”加密“对称密钥”，传给接收者后，接收者用自己的私钥解密，获得发送方和接收方共同使用的对称密钥。攻击者就算截获了加密过的对称密钥，由于没有接收者的私钥，也是无法读取对称密钥的真正内容的。2.源认证（Authentication）的实现源认证需要发送方对数据进行数字签名。发送者在发送前先用自己的私钥对数据的HASH值进行加密，再将加密后的HASH值连同数据一起传送给接收者，接收者用发送者的公钥解密HASH值，与自己计算出的HASH值对比，如果一致，再根据发送者是其私钥的唯一拥有者，就证明了HASH值是发送者本人提供的。发送者用自己的私钥对数据的HASH值进行加密，得到的结果就是数字签名。接收方收到发送方发来的数据及对数据的数字签名，并通过发送方的数字证书获取到发送方的公钥。接收方使用发送方的公钥，解密发送方的数字签名，得到发送方数据的HASH值，与接收方自己计算出来的数据HASH值进行比较，如果一致，就可证明发送方的身份，实现对发送方的源认证。3.数据完整性校验（Integrity）的实现要确保数据的完整性，可在数据发送前，先对数据做HASH，接收者收到后，对接收到的数据做HASH，与发送者发来的HASH值进行比较，如果一致，就证明了数据未被篡改，确保了数据的完整性。为确保发送者计算出的HASH值在传送给接收者的过程中没有被篡改。需要结合源认证来实现。因此，实现数据的完整性校验，在PKI的基础上，除了要对数据进行HASH计算，还要结合数字签名的源认证功能。4.不可否认性（Non-repudiation）的实现不可否认性可从私钥的唯一拥有特性，结合公钥基础架构PKI、由权威机构CA颁发的数字证书，以及数字签名来实现。由此可见，在PKI的基础上，数字签名实现了数据的源认证、完整性校验、不可否认性等功能。SSL（SecureSocketsLayer，安全套接层）是一个工作在TCP与应用层之间的安全协议。提供私密性、信息完整性和身份认证。这些特性主要综合运用了各种加密技术，如数字证书、非对称加密算法、对称加密算法和HMAC等实现。可用于加密HTTP、邮件、VPN等。下面，通过安装独立根CA，架设SSL网站，实现加密技术的综合运用。需要启动三台虚拟机，PC1为win2008，用做独立根CA；PC2为win2008，用做网站服务器，PC3为win7，用作客户机。3.5.2SSL应用一、配置CA服务器1.启动第一台虚拟机win2008，用做CA服务器，虚拟网卡连接到Vmnet1，配置IP地址为0。2.如图3-5-1所示，打开服务管理器，点击服务器管理器中的“角色”，再点击“添加角色”。图3-5-1服务器管理器添加角色

3.如图3-5-2所示，勾选“ActiveDirectory证书服务”，点击“下一步”，再点击“下一步”。安装ActiveDirectory证书服务。图3-5-2选择服务器角色4.如图3-5-3所示，默认已经勾选“证书颁发机构”，接着勾选“证书颁发机构Web注册”。

图3-5-3选择证书颁发机构Web注册5.勾选“证书颁发机构Web注册”后，会弹出如图3-5-4所示的“添加角色向导”，询问是否添加证书颁发机构Web注册所需的角色服务和功能，点击“添加所需的角色服务”按钮。

图3-5-4

添加角色向导-添加所需的角色服务6.如图3-5-5所示，点击“下一步”继续。图3-5-5添加角色向导-角色服务7.如图3-5-6所示，因没有安装活动目录，所以默认只“独立”选项可选，点击“下一步”。图3-5-6指定安装类型8.如图3-5-7所示，这是第一台CA，所以选“根CA”，点击“下一步”。

图3-5-7指定CA类型9.如图3-5-8所示，独立根CA需要用自己的私钥为自己的根证书进行签名、在为申请者颁发证书时，也要用自己的私钥进行签名，因此需要选“新建私钥”，然后点击“下一步”。图3-5-8设置私钥

10.如图3-5-9所示，因为要生成密钥对（含公钥、私钥），所以要确定使用哪种非对称密钥算法生成，另外，为证书做数字签字时，需要先对证书内容做HASH运算，再用私钥对HASH值进行加密，所以要选择所用的HASH算法。选择好后，点击“下一步”。图3-5-9为CA配置加密11.如图3-5-10所示，CA的公用名称可自定义，这里定义为“CA1”，可分辨名称后缀可不填写。点击“下一步”。图3-5-10配置CA名称12.如图3-5-11所示，设置有效期为5年，然后，点击“下一步”，随后用默认值，一直点击“下一步”。

图3-5-11设置有效期13.如图3-5-12所示，确认安装选择后，点击“安装”即可。图3-5-12确认安装选择二、配置WEB服务器1.启动第二台虚拟机win2008，虚拟网卡连接到Vmnet1，配置IP地址为1。2.如图3-5-13所示，打开服务管理器，勾选“DNS服务器”和“Web服务器（IIS）”，连续点击“下一步”，直至安装完成。图3-5-13

安装DNS服务和Web服务3.在C:盘中，新建文件夹site1，用于网站的根目录。4.如图3-5-14所示，点击资源管理器中的“组织”/“文件夹和搜索选项”。图3-5-14资源管理器配置为显示扩展名5.如图3-5-15所示，在出现的“文件夹选项”的“查看”选项夹中，取消对“隐藏已知文件类型的扩展名”的勾选，以便确认新建的首页命名为default.htm。

图3-5-15文件夹选项6.如图3-5-16所示，在资源管理器的C:\site1中，新建网站的首页default.htm。

图3-5-16新建文件命名为default.htm7.如图3-5-17所示，在IIS中，停掉默认网站。

图3-5-17停止默认网站

8.如图3-5-18所示，右击“网站”，选择“添加网站”。图3-5-18添加网站9．如图3-5-19所示，输入网站名称“lcvc”,选择内容目录的物理路径为“C:\site1”，点击“确定”按钮。

图3-5-19添加网站的名称和物理路径三、配置DNS服务，新建域名和主机指向1。1.如图3-5-20所示，打开服务器管理器，展开“角色”/“DNS服务器”，在DNS服务器的名称上，右击“正向查找区域”，选择“新建区域”。图3-5-20新建DNS区域

2.如图3-5-21所示，在新建区域向导中，输入区域名称“”,持续点击“下一步”，直到安装完成。

图3-5-21DNS区域名称3.如图3-5-22所示，右击“”,选择“新建主机”。

图3-5-22为区域lcvc.cn新建主机

4.如图3-5-23所示，输入主机名称“www”，输入IP地址“1”，点击“添加主机”。

图3-5-23新建主机名称为www四、为Web服务器获取根证书，将CA1的根证书添加到“受信任的根证书颁发机构”。1.如图3-5-24所示，在WEB服务器上，打开浏览器，输入0/certsrv，点击“下载CA证书、证书链或CRL”。图3-5-24选择下载CA证书、证书链或CRL2.如图3-5-25所示，点击“下载CA证书”。图3-5-25选择下载CA证书3.如图3-5-26所示，选择“保存文件”，点击“确定”按钮。4.打开下载文件存放的文件夹，双击下载的CA证书，在如图3-5-27所示的安全警告提示框中，点击“打开”按钮。

图3-5-27打开CA证书图3-5-27打开CA证书5.如图3-5-28所示，点击“安装证书”按钮。图3-5-28证书信息6.如图3-5-29所示，选择“将所有的证书放入下列存储”，点击“浏览”按钮，选中“受信任的根证书颁发机构”，点击“确定”按钮。点击“下一步”，点击“完成“按钮。

图3-5-29安装CA证书7．如图3-5-30所示，系统弹出“安全性警告“框。实际应用中，需进一步通过电话等方式与权威机构联系，核实指纹无误。在此点击“是”按钮继续。

图3-5-30安全性警告五、在Web服务器上，为网站生成密钥对，并生成数字证书申请文件。1.在Web服务器上，如图3-5-31所示，打开服务器管理器，点击Internet信息服务（IIS）管理器，选中计算机名字“WIN-……”，选中“服务器证书”，点击“打开功能”。

图3-5-31服务器管理器图3-5-31服务器管理器2.如图3-5-32所示，点击“创建证书申请”。

图3-5-32创建证书申请3.如图3-5-33所示，输入网站的相关信息，其中，通用名称输入网站的完整域名（包括主机名www），如：，如果输入的是，则在浏览器中输入是无法访问该网站的。输入完相关信息后，点击“下一步”按钮。

图3-5-33申请证书-可分辨名称属性4.如图3-5-34所示，即将为网站产生密钥对，这里选择所需的非对称密钥算法为“MicrosofRSASchannelCryptographicProvider”,选择的密钥长度为2043。点击“下一步”按钮。图3-5-34申请证书-加密服务提供程序属性5.如图3-5-35所示，指定证书申请文件存放的位置为桌面，名字为lcvc.txt。文件中包括了刚才输入的网站的信息以及刚才产生的网站的公钥，文件内容将用于提交给权威机构CA进行数字证书的申请。

图3-5-35申请证书-文件名

6.如图3-5-36所示，双击打开刚才生成的证书申请文件lcvc.txt，选择全部内容，右击，选“复制”。图3-5-36复制证书申请文件内容六、提交网站的数字证书申请文件的内容，向CA申请网站的数字证书。1.在Web服务器上，如图3-5-37所示，打开浏览器，输入0/certsrv,点击“申请证书”。

图3-5-37证书服务-申请证书2.如图3-5-38所示，点击“高级证书申请”。3.如图3-5-39所示，右击证书申请的输入栏，点击“粘贴”，将刚才复制的网站证书申请文件的内容粘贴进来。图3-5-38证书服务-高级证书申请图3-5-39证书服务-提交一个证书申请或续订申请4.如图3-5-40所示，点击“提交”按钮。

图3-5-40粘贴证书申请文件内容七、CA服务器颁发证书给Web服务器1.在CA服务器上，如图3-5-41所示，打开服务管理器，选中证书服务器CA1中的“挂起的申请”。2.如图3-5-42所示，右击请求ID为2的挂起的申请，点击“所有任务”/“颁发”。图3-5-41服务器管理器-CA挂起申请图3-5-42颁发证书

八、在WEB服务器上，获取已颁发的证书。1.在WEB服务器上，如图3-5-43所示，输入0/certsrv,点击“查看挂起的证书申请的状态”。图3-5-43查看挂起的证书申请的状态2.如图3-5-44所示，点击“保存的申请证书”。

3.如图3-5-45所示，点击“下载证书”。图3-5-44查看保存的申请证书图3-5-45下载证书4.如图3-5-46所示，打开下载文件夹，查看下载的证书。

图3-5-46打开下载文件夹

八、在WEB服务器上，打开IIS完成证书申请。

1.如图3-5-47所示，打开WEB服务器上的服务器管理器，选中IIS，选中计算机名，选中“完成证书申请”。

图3-5-47服务器管理器2.如图3-5-48所示，输入刚在下载的已颁发的网站证书的路径和文件名，输入一个好记名称，如lcvc，点击“确定”按钮。

图3-5-48指