Windows Server网络管理项目教程（Windows Server 2022）（微课版）课件项目6 证书服务器的配置与管理

Windows网络管理主讲人：王华兵知识引入保证数据的安全性数据机密性数据完整性身份验证不可抵赖性HTTP协议提供一种发布和接受HTML页面的方法HTTP协议设计的初衷

1996年发布HTTP1.0版本，正式成为标准。

以明文方式发送内容，不提供任何方式的数据加密，所有通信数据都在网络中明文“裸奔”，通过网络的嗅探设备及一些技术手段，就可还原HTTP报文内容。数字证书数字证书的密钥对可以用来加密和解密数据的。CA证书服务器发放和管理数字证书的服务器主讲人：王华兵THANKSWindows网络管理主讲人：王华兵数据机密性数据机密性

数据机密性是指防止数据由于被非法窃听、拦截，而导致信息泄露。

数据机密性问题，主要通过对数据进行加密来解决。数据机密性在对数据进行加密/解密的过程中使用的加解密参数称为密钥。当合法接受者收到加密数据后，进行数据解密，将密文转换成明文。数据加解密过程加密算法对称加密算法

通信双方共享同一个保密参数作为加解密的密钥，这个密钥可以是事先约定直接获得的，也可以是通过某种算法计算出来的。加密算法非对称加密算法

一个私有密钥（私钥）和一个公开密钥（公钥）。

私钥是保密的，由用户自己保存；

公钥是公诸于众的，本身不构成严格的秘密。加密算法非对称加密算法不适用于大量数据的加密，一般只用于关键数据的传输。消耗较多的系统资源，吞吐量较低主讲人：王华兵THANKSWindows网络管理主讲人：王华兵数据完整性数据完整性

数据完整性是指防止数据在传输过程中被非法篡改。

为了解决数据完整性问题，需要对数据进行完整性校验，通常使用摘要算法（HASH）。可以通过对比原始摘要值和接收到数据的摘要值是否一致来判断数据在传输过程中是否被篡改。如果原数据稍有变化，就会导致最后计算结果的摘要值不同。数据完整性数据完整性HASH算法的处理过程HASH算法具有单向性，无法根据摘要值推导出原始数据。主讲人：王华兵THANKSWindows网络管理主讲人：王华兵身份验证和不可抵赖身份验证

身份验证是指数据接受者需要某种机制来验证数据发送方是正确的发送者，还是伪造身份者。不可抵赖

不可抵赖是指在数据传输过程中，所有的数据发送、接收操作都不具有可否认性。数字签名技术

数字签名技术对待发数据进行加密处理，生成一段信息，附在原文上一起发送。签名印章数字签名技术HASH算法数字签名过程主讲人：王华兵THANKSWindows网络管理主讲人：王华兵PKI使用数字证书如何保证公钥不是伪造的呢？如何把公钥安全地分发给其他人呢？数字证书

数字证书相当于电子化的身份证明，里面有一些能够确定身份的信息资料。它将公钥与身份信息绑定在一起，由一个可信的第三方证书颁发机构对绑定后的数据进行数字签名。数字证书证书所有人的姓名证书所有人的公钥证书颁发机构名称证书颁发机构的数字签名证书序列号证书有效期等数字证书数字证书详细信息打开IE浏览器，单击“工具”按钮，在“Internet选项”菜单里找到“内容”选项卡，单击“证书”按钮，将会看到Windows操作系统中的一些数字证书，单击一个数字证书的“详细信息”选项卡。数字证书数字证书是由一个可信的第三方权威机构——证书授权中心（CentificateAuthority，CA）颁发给使用者的。发放证书规定证书有效期证书的作废等数字证书CA层级结构PKIPKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。加密数字签名数据完整性机制数字信封双重数字签名等主讲人：王华兵THANKSWindows网络管理主讲人：王华兵安装配置证书（CA）服务器任务说明

通过在服务器（00/8）上配置ActiveDirectory证书服务来完整CA服务器的安装。任务说明

安装CA服务器将会自动安装Web服务器（IIS）功能，并添加证书注册Web站点到IIS。

为了避免冲突，如果服务器上已经安装了IIS，在安装CA服务器之前建议先将IIS组件删除。主讲人：王华兵THANKSWindows网络管理主讲人：王华兵任务2SSL协议位于TCP/IP与各种应用层协议之间，为数据通信提供安全支持。SSL协议

SSL是为网络通信提供安全及数据完整性的一种安全协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议SSL记录协议

SSL记录协议（SSLRecordProtocol），它建立在可靠的TCP之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL协议SSL握手协议

SSL握手协议（SSLHandshakeProtocol），它建立在SSL记录协议之上，用于在实际的数据传输开始前，通信双方进行身份认证、协商加密算法、交换加密密钥等。HTTP80HTTPS443VS任务说明用静态HTML语言编写了一个只有一个主页面（finance.html）的简单网站（），将网站文件夹存放到已经安装了IIS的WindowsServer2022服务器上的硬盘中（C:\），然后开始配置此安全Web站点。主讲人：王华兵THANKSWindows网络管理主讲人：王琳任务3任务说明在子任务1中，我们将使用证书导出工具将本机安装的数字证书备份到其他安全的存储设备上。任务说明在子任务2中，