項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全2024/3/29項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全隨著電商時(shí)代的到來(lái)，人們?cè)谙碛肐nterne帶來(lái)的好處時(shí),形式多樣的安全威脅也越來(lái)越突出,保護(hù)傳送數(shù)據(jù)的需求也越來(lái)越強(qiáng)烈。在今天的Internet上,最常見(jiàn)的安全是通過(guò)使用數(shù)字證書(shū)實(shí)現(xiàn)的。數(shù)字證書(shū)可以在一個(gè)不信任的網(wǎng)絡(luò)上辨識(shí)一個(gè)客戶和服務(wù)器,并且可以加密數(shù)據(jù)的傳輸。項(xiàng)目背景項(xiàng)目14使用PKI和證書(shū)實(shí)現(xiàn)傳輸安全項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全項(xiàng)目14使用PKI和證書(shū)實(shí)現(xiàn)傳輸安全知識(shí)目標(biāo)了解：PKI的概念，數(shù)字證書(shū)的作用和意義熟悉：證書(shū)的發(fā)放過(guò)程,企業(yè)CA的管理掌握：證書(shū)服務(wù)的安裝,在Web服務(wù)器上設(shè)置SSL,數(shù)字證書(shū)的申請(qǐng)、安裝及導(dǎo)入導(dǎo)出的過(guò)程能力目標(biāo)能進(jìn)行證書(shū)服務(wù)的安裝,能在Web服務(wù)器上設(shè)置SSL。會(huì)申請(qǐng)、安裝、導(dǎo)入和導(dǎo)出免費(fèi)個(gè)人數(shù)字證書(shū)。會(huì)用證書(shū)和outlookExpress軟件對(duì)電子郵件進(jìn)行數(shù)字簽名和數(shù)據(jù)加密教學(xué)目標(biāo)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)結(jié)構(gòu))是指在分布式計(jì)算環(huán)境中,根據(jù)公開(kāi)密鑰理論及算法,使用公鑰加密、數(shù)字簽名、數(shù)字證書(shū)等技術(shù)來(lái)確保網(wǎng)上信息的傳輸安全并負(fù)責(zé)驗(yàn)證證書(shū)持有者身份的一種安全服務(wù)體系。典型的PKI體系應(yīng)該包括以下四個(gè)組件:①公鑰加密技術(shù)②數(shù)字證書(shū):用于用戶的身份驗(yàn)證③證書(shū)頒發(fā)機(jī)構(gòu)(CA):CA是一個(gè)可信任的實(shí)體,負(fù)責(zé)發(fā)布、更新和吊銷證書(shū)④注冊(cè)機(jī)構(gòu)(RA):RA擁有接受用戶的請(qǐng)求等功能14.2.1認(rèn)識(shí)PKI(公鑰基礎(chǔ)結(jié)構(gòu))項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備PKI體系能夠?qū)崿F(xiàn)的功能有:①身份驗(yàn)證:確認(rèn)用戶的身份標(biāo)識(shí)。②數(shù)據(jù)完整性:是指數(shù)據(jù)在傳輸過(guò)程中不能被非法篡改。③數(shù)據(jù)機(jī)密性:是指數(shù)據(jù)在傳輸過(guò)程中,不能被非授權(quán)者偷看。④數(shù)據(jù)的有效性:是指數(shù)據(jù)不能被否認(rèn)。操作的不可否認(rèn)性。14.2.1認(rèn)識(shí)PKI(公鑰基礎(chǔ)結(jié)構(gòu))項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備1．對(duì)稱密鑰加密技術(shù)(傳統(tǒng)加密技術(shù))加密變換使用的密鑰和解密變換使用的密鑰相同優(yōu)點(diǎn)：具有密鑰較短,加密效率高,系統(tǒng)開(kāi)銷小,加解密速度快,適合于大規(guī)模和大流量數(shù)據(jù)加密等。不足：收發(fā)雙方都使用相同密鑰,安全性得不到保證。密鑰的維護(hù)量大管理困難,使用成本較高。14.2.2信息加密技術(shù)及分類項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備2．非對(duì)稱密鑰加密技術(shù)(公鑰加密技術(shù))加密密鑰和解密密鑰不是同一個(gè)優(yōu)點(diǎn)：密鑰管理很簡(jiǎn)單不足：加解密速度較慢,不適應(yīng)大數(shù)據(jù)量加解密作業(yè)。根據(jù)兩種密鑰使用的先后順序的不同,非對(duì)稱加密技術(shù)分為數(shù)據(jù)加密和數(shù)字簽名。14.2.2信息加密技術(shù)及分類項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備(1)數(shù)據(jù)加密(先用公鑰加密后用私鑰解密)傳輸數(shù)據(jù)時(shí),發(fā)送方使用接收方的公鑰加密數(shù)據(jù),并將它傳送。當(dāng)接收方收到數(shù)據(jù)后,使用自己的私鑰解密這些數(shù)據(jù)。數(shù)據(jù)加密確保只有預(yù)期的接收者才能解密和查看原始數(shù)據(jù),從而提供了發(fā)送數(shù)據(jù)的機(jī)密性。但是數(shù)據(jù)加密不能保證身份驗(yàn)證、不可否認(rèn)和完整性。14.2.2信息加密技術(shù)及分類項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備

(2)數(shù)字簽名(先用私鑰加密后用公鑰解密)數(shù)字簽名是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理得到的,用以認(rèn)證信息來(lái)源并核實(shí)信息是否發(fā)生變化的一個(gè)字母數(shù)字串。數(shù)字簽名可以用來(lái)驗(yàn)證信息是否確實(shí)是由發(fā)送方發(fā)送來(lái)的(即身份驗(yàn)證),還可以確認(rèn)信息在發(fā)送過(guò)程中是否被篡改。14.2.2信息加密技術(shù)及分類項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備RSA簽名的過(guò)程：①發(fā)送方對(duì)報(bào)文采用Hash算法生成一個(gè)128位的散列值(報(bào)文摘要)；②發(fā)送方用加密算法和自己的私鑰對(duì)這個(gè)散列值進(jìn)行加密,產(chǎn)生一個(gè)摘要密文,這就是發(fā)送方的數(shù)字簽名；14.2.2信息加密技術(shù)及分類項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備RSA簽名的過(guò)程：③將這個(gè)加密后的數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方:④接收方從接收到的原始報(bào)文中采用相同的摘要算法計(jì)算出128位的散列值；⑤報(bào)文的接收方用解密算法和發(fā)送方的公鑰對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密；⑥如果兩個(gè)散列值相同,那么接收方就能確認(rèn)報(bào)文是由發(fā)送方簽名的。14.2.2信息加密技術(shù)及分類項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備發(fā)件人使用的公鑰和私鑰、收件人使用的公鑰均來(lái)源于證書(shū)服務(wù),證書(shū)是密鑰的載體并由權(quán)威機(jī)構(gòu)頒發(fā)。由權(quán)威機(jī)構(gòu)頒發(fā)的包含了公鑰信息的電子文檔稱為數(shù)字證書(shū)(簡(jiǎn)稱證書(shū)),CA(CertificateAuthority,證書(shū)頒發(fā)機(jī)構(gòu))。頒發(fā)數(shù)字證書(shū)的權(quán)威機(jī)構(gòu)就稱為CA14.2.3證書(shū)及證書(shū)頒發(fā)機(jī)構(gòu)(CA)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備1.數(shù)字證書(shū)的內(nèi)容及類型數(shù)字證書(shū)的格式及內(nèi)容:證書(shū)的版本信息:v1、v2、v3;證書(shū)的序列號(hào):每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào);證書(shū)所使用的簽名算法:CA簽發(fā)該證書(shū)所使用的密碼算法的標(biāo)識(shí)符；證書(shū)的發(fā)行機(jī)構(gòu)名稱；證書(shū)的有效期:是一個(gè)時(shí)間區(qū)間,包括證書(shū)有效期的起始時(shí)間和終止時(shí)間;證書(shū)所有者的名稱；證書(shū)所有者的公開(kāi)密鑰:用來(lái)標(biāo)識(shí)證書(shū)持有者公鑰和相應(yīng)的公鑰算法;證書(shū)發(fā)行者對(duì)證書(shū)的簽名。14.2.3證書(shū)及證書(shū)頒發(fā)機(jī)構(gòu)(CA)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備2.CA的體系結(jié)構(gòu)及作用證書(shū)類型:個(gè)人數(shù)字證書(shū)單位數(shù)字證書(shū)單位員工數(shù)字證書(shū)服務(wù)器證書(shū)VPN證書(shū)WAP證書(shū)代碼簽名證書(shū)表單簽名證書(shū)。14.2.3證書(shū)及證書(shū)頒發(fā)機(jī)構(gòu)(CA)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目知識(shí)準(zhǔn)備2.CA的體系結(jié)構(gòu)及作用一個(gè)完整的證書(shū)認(rèn)證系統(tǒng)中,CA分為不同的層次,各層CA按其隸屬關(guān)系形成一棵樹(shù)型結(jié)構(gòu),如圖12-5所示。14.2.3證書(shū)及證書(shū)頒發(fā)機(jī)構(gòu)(CA)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.2

項(xiàng)目實(shí)施項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.3

項(xiàng)目實(shí)施由于證書(shū)申請(qǐng)要通過(guò)IIS提交,需先安裝IIS的Web服務(wù)組件，再安裝證書(shū)服務(wù)組件。任務(wù)14-1證書(shū)服務(wù)器的安裝項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.3

項(xiàng)目實(shí)施1．為使用SSL安全機(jī)制的Web網(wǎng)站創(chuàng)建證書(shū)申請(qǐng)文件任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)步驟1:在事先已安裝的另一臺(tái)Web服務(wù)器→右擊要使用SSL的網(wǎng)站(如“迅達(dá)公司網(wǎng)站”)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全2．CA服務(wù)器配置為HTTPS任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全3．在Web服務(wù)器上向CA服務(wù)器提交證書(shū)申請(qǐng)任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全4．在CA服務(wù)器向Web服務(wù)器頒發(fā)證書(shū)任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全5．在Web服務(wù)器上下載、安裝CA服務(wù)器頒發(fā)的證書(shū)任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全6．使用HTTPS協(xié)議訪問(wèn)網(wǎng)站任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全7．證書(shū)的導(dǎo)出與導(dǎo)入●導(dǎo)出證書(shū)的步驟如下:任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全7．證書(shū)的導(dǎo)出與導(dǎo)入●導(dǎo)入證書(shū)的步驟如下:任務(wù)14-2使用證書(shū)實(shí)現(xiàn)SSLWeb服務(wù)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全14.3

項(xiàng)目實(shí)施任務(wù)14-3使用證書(shū)實(shí)現(xiàn)郵件簽名和加密1．?dāng)?shù)字證書(shū)的申請(qǐng)與下載下面以中國(guó)數(shù)字認(rèn)證網(wǎng)提供的免費(fèi)證書(shū)為例,說(shuō)明證書(shū)申請(qǐng)、下載和安裝的步驟如下:步驟1:進(jìn)入中國(guó)數(shù)字認(rèn)證網(wǎng)()主頁(yè)→下載根證書(shū)項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全1．?dāng)?shù)字證書(shū)的申請(qǐng)與下載安裝根證書(shū)在中國(guó)數(shù)字認(rèn)證網(wǎng)注冊(cè)會(huì)員申請(qǐng)、下載、安裝證書(shū)查看導(dǎo)入的證書(shū)任務(wù)14-3使用證書(shū)實(shí)現(xiàn)郵件簽名和加密項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全2．在OutlookExpress中設(shè)置郵箱賬號(hào)登錄、設(shè)置QQ郵箱任務(wù)14-3使用證書(shū)實(shí)現(xiàn)郵件簽名和加密項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全2．在OutlookExpress中設(shè)置郵箱賬號(hào)在OutlookExpress設(shè)置郵箱帳號(hào)任務(wù)14-3使用證書(shū)實(shí)現(xiàn)郵件簽名和加密項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全3．在OutlookExpress中設(shè)置數(shù)字證書(shū)任務(wù)14-3使用證書(shū)實(shí)現(xiàn)郵件簽名和加密項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全4．用OutlookExpress發(fā)送、接收數(shù)字簽名郵件任務(wù)14-3使用證書(shū)實(shí)現(xiàn)郵件簽名和加密項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全5．用OutlookExpress發(fā)送、接收加密郵件任務(wù)14-3使用證書(shū)實(shí)現(xiàn)郵件簽名和加密項(xiàng)目14使用PKI和證書(shū)服務(wù)實(shí)現(xiàn)傳輸安全項(xiàng)目14使用PKI與證