《教委教材样本word版》由会员分享,可在线阅读,更多相关《教委教材样本word版(16页珍藏版)》请在金锄头文库上搜索。
1、第2章 安装、配置和管理证书颁发机构本章概述在信息互连的当今时代,一个公司的网络可能由 Intranet、Internet 站点和 Extranet 组成。所有这些都可能会被不怀好意、企图查看或篡改企业数字信息资产的未经授权者访问。因此,拥有确保企业数据和通信安全的手段是十分重要的。为了保证通信安全,有必要了解实现安全通信的系统的基本概念。PKI(Public Key Infrastructure,公钥基本架构)就是这样一种可以在网络上进行安全通信的方法,它可提供用户身份验证、不可抵赖性、数据保密性和数据完整性。 本章概要说明了CA、PKI的概念和指导方针,同时说明了备份和还原CA的方法。教学
2、目标l 掌握 PKIl 掌握 PKI 中使用的应用程序和组件l 能够安装CA(Certification Authority,证书颁发机构)l 能够创建并发布证书吊销列表和AIAl 能够备份和还原证书颁发机构教学重点l PKI 和证书颁发机构:概念、组件、应用程序、工具、证书颁发机构l 安装证书颁发机构:企业从属 CA、安装证书l 管理证书颁发机构:状态、验证、吊销、CRLl 备份和还原证书颁发机构:备份和还原证书服务教学难点l 本章需要PKI方面的基本知识l 不能停留于抽象的证书概念,教师需要讲解证书的应用1 / 16教学资源课本知识点2.1 PKI和证书颁发机构简介2.2安装证书颁发机构2
3、.3管理证书颁发机构2.4备份和还原证书颁发机构习题习题1-对应知识(2.1.7)习题2-对应知识(2.1.5)习题3-对应知识(2.1.9)习题4-对应知识(2.3.3)习题5-对应知识(2.2.1)习题6-对应知识(2.1.3)习题7-对应知识(2.1.7)习题8-对应知识(2.3.2)习题9-对应知识(2.3.4)习题10-对应知识(2.3.6)教学指导手册包新版幻灯片教师光盘:/Powerpnt/2823A_02.ppt多媒体视频证书链引擎习题解答教师光盘:/tPrep/answer/Answer2.doc先修知识在正式开始学习本章内容以前,学生须具备下列知识基础。知识基础推荐补充网络
4、基本概念、服务器基本应用和知识http:/ 网络常见协议的概念和使用http:/ Internet的使用和电子邮件服务http:/ 常见的网络服务http:/ 建议学时课堂教学2课时+实验教学2课时教学过程2.1 PKI和证书颁发机构简介教学提示 :本节主要达到以下目的:l 了解什么是公钥,证书的概念l 如何建立一个公钥架构。如何管理证书颁发机构教学内容教学方法教学提示讲授:1、 首先用网上银行的例子引入保证数据在网络上传输的完整性和安全性的重要性。如果不能保证数据传输的完整性和安全性,就会出现非常大的损失。比如说改动一下传送的数据,存一块钱就变成了存一万块。改一下帐号,取的钱就变成了别人的。
5、又或者在网络上传递的帐号密码,被别人所截获和窃取。2、 由银行的例子引申,发动同学们思考:如何保证数据不被篡改?3、 将学生的答案收缩,合为两个答案:数据需要进行加密,数据需要进行验证。4、 引发思考,如何保证数据的完整性、安全性?使用信件和文件举例,传统信件往往使用发信者签名或者印鉴花押来表明信件的真实性。在电子时代,就可以使用电子签名。证书的一个非常重要的作用就是对信息进行签名。阅书:2.1.1幻灯:第6页l 讲述注意流程的条理性。l 由浅入深的介绍顺序。l 简短的提问交互,不需要太长的时间。l 根据学生的反馈来调节进度。讲授:针对以上的讨论内容,引入PKI的概念。主要分几个方面介绍:保密
6、性。可以举出EFS的例子,使用证书PKI来加密文件的密钥,因而使得数据非常安全。l 主要介绍保密性和完整性。l 对不可抵赖性和可用性稍作介绍。可以以银行的例子来说明。完整性。使用了证书签名以后,可以保证邮件或者数据本身的完整性。因为修改过哪怕一个字节,也会有所体现。同时,PKI也能够通过CA结构保证自身的完整性。不可抵赖性。使用了证书签名后,也就保证了数据的唯一性。可用性。CA的结构保证了某一个CA损坏之后,仍然能够通过其他的CA接替服务。讲解课本:2.1.1讲授:简要说明一下Web Edition的Windows Server 2003不能够用来颁发证书。l 简单带过讲授:PKI的组件。为了
7、实现上述的目标,需要一整套的PKI组件来实现一个PKI架构。首先必不可少的是证书,整个PKI的架构都是为了提供可靠实用的证书。为了方便提供某一用途的证书,减少每一次定制证书的工作量,同时也是避免发出不适当的证书,需要使用证书模版来规划证书。为了管理证书,还必须告知那些证书已经失效。证书本身有有效期限,但是在此期限以内要失效某个证书,需要使用证书吊销列表来表明。必须要有一个CA来发行和管理证书。所有发出的证书都将由这个CA来进行数字签名,以表明其有效性。为了提供证书和证书吊销列表给证书使用者,需要提供AIA和CDP。AIA可以告诉用户在哪里获得证书,而CDP可以告诉用户在哪里获得吊销的证书列表。
8、AIA和CDP可以以多种形式发布出去,可以是目录服务也可以是Web。可以引导学生思考应用环境。例如目录服务可以结合Windows Server 2003的活动目录来提供,而外部用户可以通过安全的Web来提供CA信息。阅书:2.1.2幻灯:第7页l Windows Server2003 支持 v1 和 v2 的证书模板。v1 模板是预配置模板,不可修改;v2 模板则有许多可以控制的设置。如需了解更多有关证书模板的信息,可访问 Selecting Certificate Templates页面,网址是 http:/ Windows Server2003 这样,用户就能够有效地、信任的使用CA的证书
9、系统。为了实现证书的管理和操作,一个管理工具必不可少。Windows Server 2003即提供了图形界面的管理控制台,也提供了快捷的命令行工具来管理以上的证书组件。有了以上的各种组件,CA才能够安全完整的提供证书服务。如果在授课时学生对组件印象不深,可以让学生课后在Windows Server 2003上查看有关证书的管理帮助。可以使用简图来标明几个组件之间的关系。讲解课本:2.1.2支持发布增量 CRL。如需了解更多有关信息,可访问“Whats New in Security”(新增安全功能),网址是 http:/ 以上两点简要介绍,以供参考。讲授:回到最前面举的例子。我们的PKI是为了
10、解决数据信任而诞生的。因此,需要将PKI以各种形式应用到各种环境中去。所以我们要介绍一下各种PKI应用程序。可以列举课本上的各种应用。需要引导学生注意的是,证书不仅用来表明用户帐户的身份,也用来表明计算机帐户的身份。甚至是服务帐户。可以拿802.1x协议来说明一下。讲解课本:2.1.3阅书:2.1.3幻灯:第8页l 举例说明PKI如何应用于数据安全即可。讲授:从上一小节引入帐户概念。指出证书对应的实体是各种帐户。讲解课本:2.1.4阅书:2.1.4幻灯:第9页l 简单介绍讲授:介绍如何使用工具来管理PKI。首先介绍图形界面的管理控制台。为了实现不同的管理目的,管理控制台分为3种,分别管理证书、
11、证书模版和证书颁发机构。可以稍作介绍,为了在一个管理控制台里管理这三个内容,可以将它们合并到一个管理控制台里。阅书:2.1.5幻灯:第10页l 略为涉及,不用太过详细l 可以让学生在课后对照书本进行一些了解然后介绍一下命令行工具。分别介绍一下CertUtil.exe和CertReq.exe这两个工具。CertUtil用于命令行下管理CA,并且能用于脚本环境。比较适合不太方便使用图形界面或者需要大批量处理的场合。CertReq可用来生成脱机申请,方便在不同的环境下使用CA。可以适当举例,例如在商业环境下使用CA,比如说一台WEB服务器需要使用证书,往往需要首先在服务器上生成一个脱机申请,然后发送
12、给CA,由CA根据申请生成相应的证书。捎带介绍一下Windows Server 2003 Resource Kit里面的PKI工具和用于编成方面的API。讲解课本:2.1.5讲授:通过之前的介绍,对整个PKI应该有了一个大致的了解。那么接下来就应该着重介绍证书颁发机构了。可以再次使用一些生动的例子来说明证书颁发机构的作用。例如,可以将证书颁发机构比喻成公安局。公安局负责给公民颁发身份证。首先公安局可以验证公民的身份证是否属实,是否是本人。这与CA需要验证申请者身份是一致的。其次公安局可以给申请者颁发身份证,也就等同于CA能够为通过验证的申请者颁发证书。最后,公安局可以吊销某些身份证。CA也能够
13、通过维护一个证书吊销列表来说明哪些证书不再有效。讲解课本:2.1.6阅书:2.1.6幻灯:第11页l 如需了解更多有关设计证书颁发机构的信息,可参阅“Windows Server 2003 Deployment Kit”(Windows Server 2003 部署工具包)的第 16 章“Designing and Deploying Directory and Security”下的“Designing a Public Key Infrastructure”讲授:两种不同类型的CA。独立CA与企业CA的区别。可以参照课本的对照表来进行讲解。最主要的区别在于两种CA对于活动目录的依赖性不同。阅书:2.1.7幻灯:第12页l 如果学生对哪种情况下使用哪种CA有兴趣,引导他们参考:教材配套光盘“课外读物”下的 “Best Practices for Implemen
