計算機網(wǎng)絡安全管理技術項目五任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

子任務2SSL證書的應用Web應用的安全管理【任務目標】

1．熟悉SSL的概念和工作過程；2．學會正確安裝SSL證書服務的操作方法；3．學會SSL證書申請的操作方法；4．會正確申請、下載和安裝SSL證書。項目五任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

子任務2SSL證書的應用Web應用的安全管理【任務環(huán)境】1、主流PC機一臺

2、VMwareWorkstation軟件任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

【知識支撐】1、SSL的概念

SSL（SecureSocketsLayer安全套接層）是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

2、SSL的工作過程

1）服務器認證階段

客戶端向服務器發(fā)送一個開始信息以便開始一個新的會話連接；服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器回復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

2）用戶認證階段

在此之前，服務器已經(jīng)通過了客戶認證，這一階段主要完成對客戶的認證。經(jīng)認證的服務器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務器提供認證。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

3、SSL的特性SSL協(xié)議有以下三個特性：

1）機密性：SSL協(xié)議使用密鑰加密通信數(shù)據(jù)。

2）可靠性：服務器和客戶都會被認證，客戶的認證是可選的。

3）完整性：SSL協(xié)議會對傳送的數(shù)據(jù)進行完整性檢查。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

4、SSL的體系結構SSL的體系結構中包含兩個協(xié)議子層，其中底層是SSL記錄協(xié)議層（SSLRecordProtocolLayer）；高層是SSL握手協(xié)議層（SSLHandShakeProtocolLayer）。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

1）SSL記錄協(xié)議層SSL記錄協(xié)議層的作用是為高層協(xié)議提供基本的安全服務。SSL紀錄協(xié)議針對HTTP協(xié)議進行了特別的設計，使得超文本的傳輸協(xié)議HTTP能夠在SSL運行。記錄封裝各種高層協(xié)議，具體實施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關的操作。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

2）SSL握手協(xié)議層

SSL握手協(xié)議層包括SSL握手協(xié)議（SSLHandShakeProtocol）、SSL密碼參數(shù)修改協(xié)議（SSLChangeCipherSpecProtocol）、應用數(shù)據(jù)協(xié)議（ApplicationDataProtocol）和SSL告警協(xié)議（SSLAlertProtocol）。握手層的這些協(xié)議用于SSL管理信息的交換，允許應用協(xié)議傳送數(shù)據(jù)之間相互驗證，協(xié)商加密算法和生成密鑰等。SSL握手協(xié)議的作用是協(xié)調客戶和服務器的狀態(tài)，使雙方能夠達到狀態(tài)的同步。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

5、SSL證書1）概念

SSL證書是數(shù)字證書的一種，類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本。因為配置在服務器上，也稱為SSL服務器證書。SSL證書就是遵守SSL協(xié)議，由受信任的數(shù)字證書頒發(fā)機構CA，在驗證服務器身份后頒發(fā)，具有服務器身份驗證和數(shù)據(jù)傳輸加密功能。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

2）功能一個有效、可信的SSL數(shù)字證書包括一個公共密鑰和一個私用密鑰。公共密鑰用于加密信息，私用密鑰用于解譯加密的信息。因此，瀏覽器指向一個安全域時，SSL將同步確認服務器和客戶端，并創(chuàng)建一種加密方式和一個唯一的會話密鑰。一般而言，由CA業(yè)界發(fā)出的數(shù)字證書，有別于國內瀏覽器業(yè)者比對域名信息等方式，采取更為嚴格的企業(yè)及所有權驗證，為電商環(huán)境樹立更為可信的運作環(huán)境。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置3）類型SSL證書依據(jù)功能和品牌不同分類有所不同，但SSL證書作為國際通用的產品，最為重要的便是產品兼容性，因為他解決了用戶登錄網(wǎng)站的信任問題，用戶可以通過SSL證書輕松識別網(wǎng)站的真實身份。SSL證書分為如下種類：（1）擴展驗證型(EV)SSL證書（2）組織驗證型(OV)SSL證書（3）域名驗證型(DV)SSL證書任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置4）應用擴展驗證型(EV)SSL證書經(jīng)過最徹底的身份驗證，確保證書持有組織的真實性。獨有的綠色地址欄技術將循環(huán)顯示組織名稱和作為CA的GlobalSign名稱，從而最大限度上確保網(wǎng)站的安全性，樹立網(wǎng)站可信形象，不給欺詐釣魚網(wǎng)站以可乘之機。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置對線上購物者來說，綠色地址欄是驗證網(wǎng)站身份及安全性的最簡便可靠的方式。在新一代高安全瀏覽器下，使用擴展驗證型(EV)SSL證書的網(wǎng)站的瀏覽器地址欄會自動呈現(xiàn)綠色，從而清晰地告訴用戶正在訪問的網(wǎng)站是經(jīng)過嚴格認證的。此外綠色地址欄臨近的區(qū)域還會顯示網(wǎng)站所有者的名稱和頒發(fā)證書CA機構名稱，這些均向客戶傳遞同一信息，該網(wǎng)站身份可信，信息傳遞安全可靠，而非釣魚網(wǎng)站。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

【任務實施】1、實訓基本環(huán)境的搭建

1）啟動VMwareWorkstation2）開啟虛擬機WindowsServer2012

3）將WindowsServer2012的IP地址設置為/24任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

2、安裝證書服務打開服務器管理器，在管理菜單欄中選擇“添加角色和功能”選項，在其中的向導模式中選擇“ActiveDirectory證書服務”，如左圖所示。在角色服務中選擇“證書頒發(fā)機構”和“證書頒發(fā)機構Web注冊”，如右圖所示。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

3、配置證書服務1）打開配置證書服務向導，如左圖所示。2）選擇要配置的角色服務，勾選“證書頒發(fā)機構”和“證書頒發(fā)機構Web注冊”，如右圖所示。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

3）指定CA的設置類型為獨立CA，如左圖所示。4）指定CA類型為根CA，如右圖所示。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

5）指定私鑰類型為創(chuàng)建新的私鑰，如左圖所示。6）指定加密選項為默認的程序和加密算法，如右圖所示。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

7）指定CA名稱，如左圖所示。8）指定有效期，默認為5年，如右圖所示。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

9）指定數(shù)據(jù)庫位置，如圖所示。

10）配置完成后，單擊配置按鈕即開始配置證書服務。任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置項目五任務5.2SSL安全站點的配置

子任務1SSL證書的安裝與配置

子任務2SSL證書的應用Web應用的安全管理【任務環(huán)境】1、主流PC機一臺

2、VMwareWorkstation軟件任務5.2SSL安全站點的配置

子任務2SSL證書的應用

【任務實施】1、實訓基本環(huán)境的搭建

1）啟動VMwareWorkstation2）開啟虛擬機WindowsServer2012作為Web服務器端，開啟虛擬機Win7-1作為Web客戶端

3）客戶端的IP地址設置為/24，使服務器端和客戶端之間可以互通

4）服務器端架設IIS網(wǎng)站任務5.2SSL安全站點的配置

子任務2SSL證書的應用2、創(chuàng)建證書申請

1）打開IIS管理器，單擊服務器名稱，選擇服務器證書選項，如圖所示。任務5.2SSL安全站點的配置

子任務2SSL證書的應用2）在右側單擊創(chuàng)建證書申請，輸入可分辨名稱屬性，如圖所示。任務5.2SSL安全站點的配置

子任務2SSL證書的應用3）選擇加密服務提供程序和位長，如左圖所示。

4）指定文件名，如右圖所示。任務5.2SSL安全站點的配置

子任務2SSL證書的應用

3、申請證書和下載證書1）打開網(wǎng)頁瀏覽器，在地址欄中輸入http://192.168.

1.1/certsrv，在如圖所示的界面上選擇申請證書和高級證書申請。任務5.2SSL安全站點的配置

子任務2SSL證書的應用2）在如左圖所示的界面上選擇“使用base64編碼……證書申請”，打開如左圖所示的界面。3）打開剛才保存的證書申請文件test.txt，將整個文件的內容復制到右圖中保存的申請文本框中，單擊提交后彈出證書掛起的界面，關閉瀏覽器。任務5.2SSL安全站點的配置

子任務2SSL證書的應用4）在管理工具中打開證書頒發(fā)機構，在左側欄中選擇掛起的申請，在右側中找到掛起的證書，右擊該證書，選擇所有任務—頒發(fā)，如圖所示。任務5.2SSL安全站點的配置

子任務2SSL證書的應用5）再次打開網(wǎng)頁瀏覽器，在地址欄中輸入http://192.

168.1.1/certsrv，在界面上選擇查看掛起的證書申請的狀態(tài)，然后選擇選擇保存的申請證書。

6）在如圖所示的界面上選擇下載證書，將證書存儲起來。任務5.2SSL安全站點的配置

子任務2SSL證書的應用4、安裝證書

1）打開IIS管理器，單擊服務器名稱，選擇服務器證書選項，在界面上選擇完成證書申請。2）在如圖所示的界面上選擇下載的證書文件，輸入好記名稱后單擊確定按鈕，完成證書申請。任務5.2SSL安全站點的配置

子任務2SSL證書的應用3）選擇需要將https協(xié)議綁定的網(wǎng)站，單擊綁定，在界面上選擇https類型，在SSL證書中選擇相應的證書，如圖所示。任務5.2SSL安全站點的配置

子任務