2022更新電大?？啤揪W(wǎng)絡(luò)應(yīng)用服務(wù)管理】網(wǎng)絡(luò)核心課實訓(xùn)5配置數(shù)字證書服務(wù)試題及答案

1、電大?？啤揪W(wǎng)絡(luò)應(yīng)用服務(wù)管理】網(wǎng)絡(luò)核心課實訓(xùn)5配置數(shù)字證書服務(wù)試題及答案形考任務(wù)5實訓(xùn)5配置數(shù)字證書服務(wù)試題及答案假設(shè)你是一家公司的網(wǎng)站管理員,需要你完成以下工作:在DC上部署企業(yè)根CA。發(fā)布證書申請網(wǎng)站。在Serverl上創(chuàng)立基于SSL的網(wǎng)站。實驗?zāi)康牧私釶KI體系了解用戶進展證書申請和CA頒發(fā)證書過程掌握證書服務(wù)的安裝及配置方法掌握使用數(shù)字證書配置安全站點的方法實驗原理PKI簡介PKI是Public Key Infrastructure的縮寫,通常譯為公鑰基礎(chǔ)設(shè)施。PKI通過延伸到用戶的接口為各種網(wǎng)絡(luò)應(yīng)用提 供安全服務(wù),包括身份認證、識別、數(shù)字簽名、加密等。一方面PKI對網(wǎng)絡(luò)應(yīng)用提供廣泛而開

2、放的支撐;另一方面, PKI系統(tǒng)的設(shè)計、開發(fā)、生產(chǎn)及管理都可以獨立進展,不需要考慮應(yīng)用的特殊性。PKI的主要目的是通過自動管理密鑰和證書,為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境,使用戶可以在多種應(yīng)用環(huán)境下 方便的使用加密和數(shù)字簽名技術(shù),從而保證網(wǎng)上數(shù)據(jù)的完整性、機密性、不可否認性。PKI組件PKI主要包括=人證中心CA=、=注冊機構(gòu)RA=、=證書服務(wù)器=、=證書庫=、=時間服務(wù)器= 和=PKI策略=等。CA用于倉ij建和發(fā)布證書,還負責(zé)維護和發(fā)布證書廢除了列表CRL。根CA證書,是一種特殊的證書,它使用CA自己 的私鑰對自己的信息和公鑰進展簽名。RA負責(zé)申請者的登記和初始鑒別,在PKI體系構(gòu)造中起

3、承上啟下的作用,一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過來的 證書申清請求,另一方面向LDAP 輕量目錄走訪協(xié)議服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書和證書撤消列 表。證書服務(wù)器負責(zé)根據(jù)注冊過程中提供的信息生成證書的機器或服務(wù)。證書庫是發(fā)布證書的地方,提供證書的分發(fā)機制。到證書庫走訪可以得到希望與之通信的實體的公鑰和查問最新的 CRL。它一般采用LDAP目錄走訪協(xié)議,其格式符合X.500標(biāo)準(zhǔn)。時間服務(wù)器:提供單調(diào)增加的準(zhǔn)確的時間源,并且安全的傳輸時間戳,對時間戳簽名以驗證可信時間值的發(fā)布者。PKI安全策略建立和定義了一個組織信息安全方而的指導(dǎo)方針,同時也定義了密碼系統(tǒng)使用的處理方法和原那么。它包 括

4、一個組織怎樣處理密鑰和有價值的信息,根據(jù)危險的級別定義安全控制的級別。一般情況下,在PKI中有兩種類型的策略:證書策略。用于管理證書的使用,比方,可以確認某一 CA是在Internet 的公有CA,還是某一企業(yè)內(nèi)部的私 有CA;CPS Certificate Practice Statement證書操作管理標(biāo)準(zhǔn)?，F(xiàn)在為防止CPS泄露太多的信息,準(zhǔn)備使用一種 新的文件類型,即PKI信息披露標(biāo)準(zhǔn)PDSo數(shù)字證書應(yīng)用數(shù)據(jù)加密:數(shù)字證書技術(shù)利用一對互相匹配的密鑰進展加密、解密。當(dāng)你申請證書的時候,會得到一個私鑰和一個 數(shù)字證書,數(shù)字證書中包含一個公鑰。數(shù)字簽名。3.web應(yīng)用:為了通明地處理Web的安

5、全問題,在兩個實體進展通信之前,先要建立SSL連接,以此實現(xiàn)對應(yīng)用 層通明的安全通信。SSL是一個=介于應(yīng)用層和傳輸層之間=的可選層,它在TCP之上建立了一個安全通道,提供基于證書的認證, 信息完整性和數(shù)據(jù)保密性。SSL協(xié)議已在Internet上得到廣泛的應(yīng)用。4.5.安全電子郵件:目前開展很快的安全電子郵件協(xié)議是S/MIME,這是一個允許發(fā)送加密和有簽名郵件的協(xié)議。該 協(xié)議的實現(xiàn)也需要依賴于PKI技術(shù)。6.實驗內(nèi)容無認證捕獲到的web通信是明文數(shù)據(jù)。Q -iuXI* AfflDu :r fa a m 4 h000EIlhm4 OQOCSFUAU1 TH feet IE e ATK fW 1.

6、1網(wǎng)KT* Umms Td UM.Ik皿 :,l, u g3JC.UJ二3mWKH,G 皿 .BU-an vrrr;i三【史,HI 】| 41#廠 L 9l 心單向認證驗證服務(wù)器身份準(zhǔn)備:CA安裝IIS和安裝Windows組件中的證書服務(wù)。服務(wù)器安裝IIS。服務(wù)器向CA申請證書,服務(wù)器下載安 裝證書。=注意:在安裝CA頒發(fā)證書后,還需要安裝CA根證書,才能使該CA頒發(fā)的證書生效。= 在服務(wù)器端設(shè)置要求安全通道SSL,并且忽略客戶端證書氣 這個時候再走訪服務(wù)器己經(jīng)通過SSL保護了。-IDI Xl j序號 00理址【目碘址000C29-CC887F 000C29-3394C4 172.16.0.9

7、1172.16.0.101000C29-3394C4000C29-CC887FPort 1059Port1059000C29-CC887F000C29-3394C41541791r?Q-rrAR7Ftcp- Pr r in:0 OC 29 33 94 C4 00 OC 29 CC 88 7F 08 00r)MAC Destination = 000C29-3394C4 Uni 邑MAC Source = 000C29-CC887F Unxc&st J EthTtyp - Length = 0800 IT Protoc 1_ Ethernet-IPv4 (InterMt Protocol version 4) DIP-jLjVersion and Header length 【Vorxion = 4-3Header length = 20 (field value_Type of service 二 00i jTotel length = 52 s=Identi ficati on = 634-J Fltgx and Frtxjntnt offset這個時候再捕獲web通信就是密文了。妹獲盲口:本增連芾:KU首文件*口 :未命名2 過德器:雙認雙向認證客戶端也需要登錄CA服務(wù)頁而,申請證書、下載安