2022更新电大专科【网络应用服务管理】网络核心课实训5配置数字证书服务试题及答案

1、电大专科【网络应用服务管理】网络核心课实训5配置数字证书服务试题及答案形考任务5实训5配置数字证书服务试题及答案假设你是一家公司的网站管理员,需要你完成以下工作:在DC上部署企业根CA。发布证书申请网站。在Serverl上创立基于SSL的网站。实验目的了解PKI体系了解用户进展证书申请和CA颁发证书过程掌握证书服务的安装及配置方法掌握使用数字证书配置安全站点的方法实验原理PKI简介PKI是Public Key Infrastructure的缩写,通常译为公钥基础设施。PKI通过延伸到用户的接口为各种网络应用提 供安全服务,包括身份认证、识别、数字签名、加密等。一方面PKI对网络应用提供广泛而开

2、放的支撑;另一方面, PKI系统的设计、开发、生产及管理都可以独立进展,不需要考虑应用的特殊性。PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下 方便的使用加密和数字签名技术,从而保证网上数据的完整性、机密性、不可否认性。PKI组件PKI主要包括=人证中心CA=、=注册机构RA=、=证书服务器=、=证书库=、=时间服务器= 和=PKI策略=等。CA用于仓ij建和发布证书,还负责维护和发布证书废除了列表CRL。根CA证书,是一种特殊的证书,它使用CA自己 的私钥对自己的信息和公钥进展签名。RA负责申请者的登记和初始鉴别,在PKI体系构造中起

3、承上启下的作用,一方面向CA转发安全服务器传输过来的 证书申清请求,另一方面向LDAP 轻量目录走访协议服务器和安全服务器转发CA颁发的数字证书和证书撤消列 表。证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。证书库是发布证书的地方,提供证书的分发机制。到证书库走访可以得到希望与之通信的实体的公钥和查问最新的 CRL。它一般采用LDAP目录走访协议,其格式符合X.500标准。时间服务器:提供单调增加的准确的时间源,并且安全的传输时间戳,对时间戳签名以验证可信时间值的发布者。PKI安全策略建立和定义了一个组织信息安全方而的指导方针,同时也定义了密码系统使用的处理方法和原那么。它包 括

4、一个组织怎样处理密钥和有价值的信息,根据危险的级别定义安全控制的级别。一般情况下,在PKI中有两种类型的策略:证书策略。用于管理证书的使用,比方,可以确认某一 CA是在Internet 的公有CA,还是某一企业内部的私 有CA;CPS Certificate Practice Statement证书操作管理标准。现在为防止CPS泄露太多的信息,准备使用一种 新的文件类型,即PKI信息披露标准PDSo数字证书应用数据加密:数字证书技术利用一对互相匹配的密钥进展加密、解密。当你申请证书的时候,会得到一个私钥和一个 数字证书,数字证书中包含一个公钥。数字签名。3.web应用:为了通明地处理Web的安

5、全问题,在两个实体进展通信之前,先要建立SSL连接,以此实现对应用 层通明的安全通信。SSL是一个=介于应用层和传输层之间=的可选层,它在TCP之上建立了一个安全通道,提供基于证书的认证, 信息完整性和数据保密性。SSL协议已在Internet上得到广泛的应用。4.5.安全电子邮件:目前开展很快的安全电子邮件协议是S/MIME,这是一个允许发送加密和有签名邮件的协议。该 协议的实现也需要依赖于PKI技术。6.实验内容无认证捕获到的web通信是明文数据。Q -iuXI* AfflDu :r fa a m 4 h000EIlhm4 OQOCSFUAU1 TH feet IE e ATK fW 1.

6、1网KT* Umms Td UM.Ik皿 :,l, u g3JC.UJ二3mWKH,G 皿 .BU-an vrrr;i三【史,HI 】| 41#厂 L 9l 心单向认证验证服务器身份准备:CA安装IIS和安装Windows组件中的证书服务。服务器安装IIS。服务器向CA申请证书,服务器下载安 装证书。=注意:在安装CA颁发证书后,还需要安装CA根证书,才能使该CA颁发的证书生效。= 在服务器端设置要求安全通道SSL,并且忽略客户端证书气 这个时候再走访服务器己经通过SSL保护了。-IDI Xl j序号 00理址【目碘址000C29-CC887F 000C29-3394C4 172.16.0.9

7、1172.16.0.101000C29-3394C4000C29-CC887FPort 1059Port1059000C29-CC887F000C29-3394C41541791r?Q-rrAR7Ftcp- Pr r in:0 OC 29 33 94 C4 00 OC 29 CC 88 7F 08 00r)MAC Destination = 000C29-3394C4 Uni 邑MAC Source = 000C29-CC887F Unxc&st J EthTtyp - Length = 0800 IT Protoc 1_ Ethernet-IPv4 (InterMt Protocol version 4) DIP-jLjVersion and Header length 【Vorxion = 4-3Header length = 20 (field value_Type of service 二 00i jTotel length = 52 s=Identi ficati on = 634-J Fltgx and Frtxjntnt offset这个时候再捕获web通信就是密文了。妹获盲口:本增连芾:KU首文件*口 :未命名2 过德器:双认双向认证客户端也需要登录CA服务页而,申请证书、下载安