1、电大专科《网络应用服务管理》网络核心课实训5配置数字证书服务试题及答案
形考任务5
实训5配置数字证书服务试题及答案
假设你是一家公司的网站管理员,需要你完成以下工作:
1. 在DC上部署企业根CA。
2. 发布证书申请网站。
3. 在Serverl上创建基于SSL的网站。
实验目的
1. 了解PKI体系
2. 了解用户进行证书申请和CA颁发证书过程
3. 掌握证书服务的安装及配置方法
4. 掌握使用数字证书配置安全站点的方法
实验原理
PKI简介
PKI是Public Key Infrastructure的缩写,通常译为公钥基础设施。PKI通过延伸到用户的接口为各
2、种网络应用提 供安全服务,包括身份认证、识别、数字签名、加密等。一方面PKI对网络应用提供广泛而开放的支撑;另一方面, PKI系统的设计、开发、生产及管理都可以独立进行,不需要考虑应用的特殊性。
PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下 方便的使用加密和数字签名技术,从而保证网上数据的完整性、机密性、不可否认性。
PKI组件
PKI主要包括==[人证中心CA==、==注册机构RA==、==证书服务器==、==证书库==、==时间服务器== 和==PKI策略==等。
CA用于仓ij建和发布证书,还负责维护和发布证书废除列表C
3、RL。根CA证书,是一种特殊的证书,它使用CA自己 的私钥对自己的信息和公钥进行签名。
RA负责申请者的登记和初始鉴别,在PKI体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的 证书申清请求,另一方面向LDAP (轻量目录访问协议)服务器和安全服务器转发CA颁发的数字证书和证书撤消列 表。
证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。
证书库是发布证书的地方,提供证书的分发机制。到证书库访问可以得到希望与之通信的实体的公钥和查询最新的 CRL。它一般采用LDAP目录访问协议,其格式符合X.500标准。
时间服务器:提供单调增加的精确的时间源,并且安全的传
4、输时间戳,对时间戳签名以验证可信时间值的发布者。
PKI安全策略建立和定义了一个组织信息安全方而的指导方针,同时也定义了密码系统使用的处理方法和原则。它包 括一个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控制的级别。
一般情况下,在PKI中有两种类型的策略:
1. 证书策略。用于管理证书的使用,比如,可以确认某一 CA是在Internet ±的公有CA,还是某一企业内部的私 有CA;
2. CPS (Certificate Practice Statement证书操作管理规范)。现在为防止CPS泄露太多的信息,准备使用一种 新的文件类型,即PKI信息披露规范PDSo
数字
5、证书应用
1. 数据加密:数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时候,会得到一个私钥和一个 数字证书,数字证书中包含一个公钥。
2. 数字签名。
3.
web应用:为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用 层透明的安全通信。
SSL是一个==介于应用层和传输层之间==的可选层,它在TCP之上建立了一个安全通道,提供基于证书的认证, 信息完整性和数据保密性。SSL协议已在Internet上得到广泛的应用。
4.
5.
安全电子邮件:目前发展很快的安全电子邮件协议是S/MIME,这是一个允许发送加密和有签名
6、邮件的协议。该 协议的实现也需要依赖于PKI技术。
6.
实验内容
无认证
捕获到的web通信是明文数据。
5— - iu ・
XI*© AfflD g|»
u :r fa a
BunAa— occrgi,*,
000EIlhm<"4 OQOCSFUAUl TH feet IE e ■ ATK fW 1”.1・・・・网KT* Umms T«7、三—・[史,—Hl ]| ■ 42#厂 L £ 9^ 心
单向认证(验证服务器身份)
准备:CA安装IIS和安装Windows组件中的''证书服务〃。服务器安装IIS。服务器向CA申请证书,服务器下载安 装证书。
==注意:在安装CA颁发证书后,还需要安装CA根证书,才能使该CA颁发的证书生效。==
在服务器端设置''要求安全通道SSL",并且''忽略客户端证书气 这个时候再访问服务器己经通过SSL保护了。
这个时候再捕获web通信就是密文了。
_序号
融址
[目的地址
[概要
□ 00
□ B1
000C29-CC887F 172.16.0.91
000
8、C29-3394C4 172.16.0.101
TCP:
Port
1059
»>
443
(SYN
)Seq
154179L
000C29-3394C4
172.16.0.101
000C29-CC887F
172.16.0.91
TCP:
Port
443
1059
(SYN
ACK )
Seq 13»|
口曰2
000C29-CC887F 172.16.0.91
000C29-3394C4
172.16.0.101
TCP:
Port
1059
=>
443
(ACK
)Seq
1541791
5捎
nnnr?Q-rrAR7F
Trp-
Pnvf
inw
(krv
pnw
双向认证
客户端也需要登录CA服务页面,申请证书、下载安装证书链,再次访问。
思考题
1. 如果用户将根证书删除,用户证书是否还会被信任?
实验内容中己经提到,必须导入根证书后,用户证书才会被信任。
2. 对比两次协议分析器捕获的会话有什么差异? 第一次无认证状态下捕获的是明文信息,第二次单项认证状态下捕获的是密文信息。
浙ICP备2021020529号-1 | 浙B2-20240490 
