电子课件-任务2.2利用数字证书保护通信解析.ppt

1、专专 业业 务务 实实 学学 以以 致致 用用计算机网络安全技术与实施计算机网络安全技术与实施教学课件教学课件专专 业业 务务 实实 学学 以以 致致 用用2.2 2.2 任务任务2-2-目录目录2.2 2.2 任务任务2-2-利用数字证书保护利用数字证书保护WEBWEB站点站点2.2.1 2.2.1 任务描述任务描述2.2.2 2.2.2 引导文本引导文本- -数字证书知识介绍数字证书知识介绍2.2.3 2.2.3 规划部署数字证书服务应用环境规划部署数字证书服务应用环境2.2.4 2.2.4 基于基于IISIIS与与IE IE浏览器实施数字证书保护浏览器实施数字证书保护2.2.5 2.2.

2、5 检验数字证书保护下通信的安全性检验数字证书保护下通信的安全性2.2.62.2.6知识技能要点测评知识技能要点测评专专 业业 务务 实实 学学 以以 致致 用用学习情境学习情境22任务任务2 2任务任务2.2 2.2 利用数字证书保护通信利用数字证书保护通信CA数字证书服务器数字证书服务器互联网互联网BCA专专 业业 务务 实实 学学 以以 致致 用用2.2.1 2.2.1 工作任务描述（表）工作任务描述（表）学习情境学习情境学习情境2-保护数据在公网上的传输建议课外完成任务名称任务名称2.2 利用数字证书保护通信4学时（理论实践一体）工作任务描述工作任务描述目前，电子商务活动逐年增加，其中

3、电子支付为用户与商家提供方便。但基于传统HTTP协议的数据通信并不能保证数据的安全传输，因此目前出现了很多利用数据证书基于HTTPS协议实现在线交易。如当前在线支付解决方案中较成熟的是支付宝，可以通过下面的网址访问：https:/ 支付宝网站去了解更多信息。这种形式的安全访问还有很多，如对安全性要求高的网站（如银行等）都采用HTTPS协议进行安全连接。任务目标任务目标1、要保护通过IE浏览器访问某WWW服务器上的关键服务时，能同时实现数据机密性、完整性与真实性的保护。2、数字证书服务机构的实现流程。3、数字证书的申请与颁发以及吊销流程。学习场境简化与转换设计与学习任务布置学习场境简化与转换设计

4、与学习任务布置场境简化与转换设计：场境简化与转换设计：对本工作任务进行简化后如右图。学生机通过局域网互联完成实验。学习任务布置：学习任务布置：学生可分为3人一组，选择合适的技术及工具软件模拟完成工任务任中的需求。工具及软件选用工具及软件选用1、WIN2003操作系统； 2、安装CA服务器；3、IE浏览器。参考资料手册参考资料手册1、利用互联网搜索相关知识查询； 2、中国安全信息网“全面认识验证身份的数字证书”的一篇文章；3、教材中的引导文本；4、相关视频教程。学习任务操作流程学习任务操作流程课外任务，操作流程参见下面的工作任务实施过程专专 业业 务务 实实 学学 以以 致致 用用2.2.2 2

5、.2.2 引导文本引导文本- -数字证书知识介绍数字证书知识介绍1 1、数字签名、数字签名 数字签名是指发送方以电子形式签名一个消息或文件，表示签名人对该消息或文件的内容负有责任。数字签名综合使用了数字摘要和非对称加密技术，可以在保证数据完整性的同时保证数据的真实性。 如下图所示，A把要发送的原文通过HASH算法得到摘要1，并用A的私钥加密得到A的数字签名。把此签名与原文一并通过公共网络发给B，B用A的公钥即可确认数据是否是由A发来的，并通过后面的摘要对比确定数据是否完整。互联网互联网Welcome toBeiJingxxxxxxxxxxxxxxxWelcome toBeiJing黑客黑客发送

6、端发送端-A接收端接收端-B原文摘要1原文原文摘要2对比对比HASH算法算法yyyyyYyyyyyyyyyA的的私钥私钥数字签名yyyyyYyyyyyyyyy数字签名xxxxxxxxxxxxxxx摘要1xxxxxxxxxxxxxxxA的的公钥公钥HASH算法算法数字签名工作原理专专 业业 务务 实实 学学 以以 致致 用用2.2.2 2.2.2 引导文本引导文本- -数字证书知识介绍数字证书知识介绍2 2、数字证书、数字证书 （1 1）数字证书 数字证书(Digital ID) 含有证书持有者的有关信息，是在网络上证明证书持有者身份的数字标识，它由权威的认证中心(CA)颁发。 CA是一个专门验

7、证交易各方身份的权威机构，它向涉及交易的实体颁发数字证书。 数字证书由CA做了数字签名，任何第三方都无法修改证书内容。交易各方通过出示自己的数字证书来证明自己的身份。 在电子商务中，数字证书主要有客户证书、商家证书两种。客户证书用于证明电子商务活动中客户端的身份，一般安装在客户浏览器上。商家证书签发给向客户提供服务的商家，一般安装在商家的服务器中，用于向客户证明商家的合法身份。专专 业业 务务 实实 学学 以以 致致 用用2.2.2 2.2.2 引导文本引导文本- -数字证书知识介绍数字证书知识介绍（2 2）数字证书包含内容）数字证书包含内容 数字证书就是互联网通讯中标志通讯各方身份信息的一系

8、列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA机构，又称为证书授权(Certificate Authorit y)中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权 中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循 ITUT X.509国际标准。一个标准的X.509数字证书包含以下一些内容：u 证书的版本信息；u 证

9、书的序列号，每个证书都有一个唯一的证书序列号；u 证书所使用的签名算法；u 证书的发行机构名称，命名规则一般采用X.500格式；u 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；u 证书所有人的名称，命名规则一般采用X.500格式；u 证书所有人的公开密钥；u 证书发行者对证书的签名（CA的签名）。专专 业业 务务 实实 学学 以以 致致 用用2.2.3 2.2.3 规划部署数字证书服务应用环境规划部署数字证书服务应用环境1 1、安全认证机构功能、安全认证机构功能 认证中心(Certificate Authority)是承担网上安全电子交易认证服务，能签

10、发数字证书，确认用户身份的服务机构。CA通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。在实际运作中，CA可由大家都信任的一方担当。CA的职能：证书发放、证书更新、证书撤销和证书验证。从功能上类似于发放身份证的公安局。2 2、任务构成、任务构成 在本工任务中，参与的3个对象构及活动。u证书颁发者：颁发与吊销证书； u证书持有者：申请、安装并出示（使用）证书；u证书的检验者：检查证书真实有效性。专专 业业 务务 实实 学学 以以 致致 用用2.2.3 2.2.3 规划部署数字证书服务应用环境规划部署数字证书服务应用环境任务布置：任务布置： 学生可分为3人一组，学生机

11、通过局域网互联完成实验。以下图为例，在A主机上安装CA服务器；在C主机上安装IIS并设置WEB服务；B主机做为浏览器。A主机主机-微软微软CA数字证书服务器数字证书服务器数字证书服务应用环境部署IP：192.168.1.2IP：192.168.1.1专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护1 1、证书服务器安装与配置、证书服务器安装与配置 证书服务器或称密钥服务器，是允许用户提交和获取数字证书的数据库。证书服务器通常提供一些管理特性，使单个公司可以维护自己的安全策略-比如，只允许符合特定要

12、求的密钥进入服务器存储。 公钥基础(Public Key Infrastructures-PKI) PKI包含证书服务器的证书存储功能，还提供证书管理能力(发布， 回收，存储，获取和认证证书)。PKI的主要特性是引入了所谓的认证权威(Certification Authority-CA)，这是由人组成的实体-个人， 团体，部门，公司或其他协会-该组织有权向计算机用户发布证书。 (CA的角色类似于国家政府颁发护照的部门)。CA创建证书并在上面用自己的私钥进行数字签名。由于CA在创建证书过程中的角色很重要， 因此它是PKI的核心。使用CA的公钥，想要验证证书真实性的任何人只要校验CA的数字签名就能

13、确定证书内容的完整性和真实性(更为重要的是确认了证书持有者的公钥和身份)。 （注：在安装（注：在安装CACA前要先安装前要先安装IISIIS）专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护（1）基于Windows2003 Server 建立CA认证中心（在A主机上完成） 选择开始-控制面板-添加删除程序-添加删除Windows组件： 提示安装证书服务后不能改变计算机名了，选择是后，有四种类型的证书颁发机构，如果本机是活动目录，则都可选择，如果不是则只有后两项可以选择，即独立的根CA（CA 体系中

14、最受信任的 CA。不需要 Active Directory。）和独立的从属CA（标准 CA 可以给任何用户或计算机颁发证书。必须从另一个 CA 获取 CA 证书。不需要 Active Directory。）这里选择独立的根CA。专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护 接下来要求输入CA机构的一些信息。这些都是CA的真实信息，要得到申请者的确信。 然后，会给出证书数据库与日志的存放位置设置，默认为C:WINNTsystem32CertLog，系统目录下。开始复制数据，要求提供WIN2000

15、安装文件或光盘。放入光盘或指定好位置后就可以完成CA服务的安装了。证书的申请要通过IIS以WEB形式完成。安装完成后会在IIS中建立两个虚拟目录CertControl和CertEnroll用于证书的申请与管理。 现在可以选择开始-程序-管理工具-证书颁发机构，可以查看是否有证书的申请，即待发证书，也可以对证书进行吊销等管理了。专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护（2）数字证书的申请和签发步骤：申请者向某CA申请数字证书后，下载并安装该CA的“自签名证书”或更高级的CA向该CA签发的数字

16、证书，验证CA身份的真实性。申请者的计算机随机产生一对公私密钥。申请者把私钥留下，把公钥和申请明文用CA的公钥加密，发送给CA。CA受理证书申请并核实申请者提交的信息.CA用自己的私钥对颁发的数字证书进行数字签名，并发送给申请者。经CA签名过的数字证书安装在申请方的计算机上。 可参见后面图所示过程（注：（注：CA的的IP地址为地址为192.168.1.2，则证书申请的，则证书申请的URL为：为：http:/192.168.1.2/Certsrv）专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护申请

17、客户证书申请客户证书验证并发放客户证书验证并发放客户证书申请服务器证书申请服务器证书验证并发放服务器证书验证并发放服务器证书专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护2 2、商家、商家WEBWEB服务器申请服务器申请CACA证书证书（在C主机上完成）（1）生成服务申请证书的文件，在IIS服务器中的WEB站点上右键属性，目录安全性，中选择安全通信，服务器证书，然后下一步，在出现的下一个窗口中选择“创建一个新证书”，下一步后出现，现在准备请求，依次选择下一步，输入证书名、密钥位数、组织信息、公用

18、名、地理信息、最后会生成一个请求文件名，默认为：c:certreq.txt，也可修改。专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护（2）通过IE浏览器申请证书（在C主机上完成） 在商家WEB服务器的IE浏览器中输入CA服务器的URL：http:/192.168.1.2/Certsrv在出现的选择项中选择申请证书后点下一步。 在出现的窗口中选择高级申请，因为要申请的是WEB服务器证书。专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施

19、数字证书保护浏览器实施数字证书保护 下一步后，接下来选择：“使用 base64 编码的 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件更新证书申请。”后下一步。然后选择窗口中的浏览，如果出现提示警告，则是因为这里是一个ActiveX控件，IE默认级别为中级，不允许运行ActiveX控件，这里选择IE右键属性，在安全中把Internet的安全级别中的ActiveX设置为启用即可。再次选择窗口中的浏览，则会出现路径选择：c:certreq.exe找到后选择读取。如下图所示，点提交后会出现证书挂起，等待CA颁发。这里可通知CA服务器管理员进行信息核实后颁发

20、证书。专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护（3）CA中心颁发证书（在A主机上完成） 这时在CA的服务器上打开，CA中心证书颁发机构。选择待定证书，会发现刚才的申请，右键选择所有任务中的颁发即可。专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护（4 4）通过）通过IE IE浏览器下载并保存证书浏览器下载并保存证书（在C主机上完成） 此时商家计算机可以通过IE浏览器打开申请证书时的URL：ht

21、tp:/192.168.1.2/Certsrv在窗口中选择“检查挂起证书”。选择下载证书到本地计算机。（5 5）在）在IISIIS服务服务WEBWEB站点上安装此证书站点上安装此证书（在C主机上完成） 再次进入，IIS服务器中的WEB站点上右键属性，目录安全性中选择安全通信，服务器证书，会发现有所变化。选择处理挂起的请求并安装证书，并找到刚才下载的证书并安装。专专 业业 务务 实实 学学 以以 致致 用用2.2.4 2.2.4 基于基于IISIIS与与IEIE浏览器实施数字证书保护浏览器实施数字证书保护3 3客户客户IE IE浏览器端申请浏览器端申请CACA证书证书（在B主机上完成） 此步骤可

22、参考服务器端。基本是如下过程，区别是不用在IIS上生成请求文件了：（1）通过IE浏览器申请证书，申请时要选择WEB浏览器证书。（2）CA中心颁如证书。（3）通过IE浏览器下载并保存证书，或选择安装即可。如果成功安装了证书会在IE浏览器的选项中的内容下的证书中看到证书的相关信息。专专 业业 务务 实实 学学 以以 致致 用用2.2.5 检验数字证书保护下通信的安全性1 1、数字证书的验证过程、数字证书的验证过程(以B、C双方进行安全通信时B验证A的数字证书为例 )： B要求C出示数字证书。 C将自己的数字证书发送给B。 B首先验证签发该证书的CA是否合法。 B用CA的公钥解密A证书的数字签名，得

23、到C证书的数字摘要。 B用摘要算法对C的证书明文制作数字摘要。 B将两个数字摘要进行对比。如相同，则说明C的数字证书合法。专专 业业 务务 实实 学学 以以 致致 用用2.2.5 检验数字证书保护下通信的安全性专专 业业 务务 实实 学学 以以 致致 用用2.2.5 检验数字证书保护下通信的安全性专专 业业 务务 实实 学学 以以 致致 用用2.2.5 检验数字证书保护下通信的安全性2 2、测试在数字证书保护下通信的安全性、测试在数字证书保护下通信的安全性 以B访问C进行安全通信为例： 此时在B主机的浏览器中输入：https/192.168.1.1，就可以实现通过安全的HTTPS协议进行网站的

24、访问了。 此时可以利用Sniffer pro进行捕获分析，可以在B或C主机上完成检查工作。专专 业业 务务 实实 学学 以以 致致 用用2.2.6 知识技能要点测评 本部分内容是在PGP应用的基础上的又一个实际应用的实例，这个工作任务建议是由课外完成的，要求达到的目标是：能够建立CA服务器，学会数字证书操作的整个流程，理解HTTPS安全协议。学习情境学习情境2 2任务任务2-2-知识技能要点测评表知识技能要点测评表序号序号测评要点测评要点具体目标具体目标测评权重测评权重1知识理解理解数字证书的原理及工作流程202工具及软件使用能正确安装配置CA服务器，为客户及服务器颁发数字证书，并能正确安装证书。403操作标准与规范 对数字证书的安全防护措施操作有效并符合标准与规范。204检验方法与措施能够采用正确的方法对数字证书的保护措施进行检查，并能说明查验过程中的各步骤理论依据。20