计算机服务器配置课程设计

PAGEPAGEI呼伦贝尔学院计算机科学与技术学院网络应用服务课程设计题目：呼伦贝尔学院的网络设计规划学生姓名：高智学号：201212104042专业班级：计算机科学与技术本科四班指导教师：刘仁山完成时间：2014年10月29日目录摘要 IAbstract I第1章客户需求分析 11.1了解学校需求 11.1.1分析管理目标与需求 11.1.2分析技术目标与需求 11.1.3了解网络现状 21.2分析管理目标与需求 21.2.1学校的服务目的 21.2.2学校的组织结构 21.2.3决策者的建设思路与预算 31.3分析技术目标与需求 31.3.1可扩展性 31.3.2技术兼容性 31.3.3网络性能要求 31.3.4安全性 41.3.5可管理型 41.3.6易用性、适应性、可购买性 4第2章设备选型 42.1.1网络设备分类 42.1.2UPS选型 92.1.3网络存储设备选型 102.2设备选型需要参考的因素 112.2.1设备选型原则 11第3章公钥基础设施PKI技术 113.1PKI技术基础 113.1.1PKI的概念 113.1.2PKI的组成 123.1.3PKI所提供的三种主要的安全服务 123.1.4PKI运行模型 123.1.5PKI在WEB安全中的应用 133.2PKI技术功能的实现 133.2.1SSL协议的介绍 133.2.2SSL的技术原理 13第4章CA证书 144.1证书的概述 144.2CA的作用 154.3证书的发放过程 16第5章服务器安全设计方案 165.1安装证书服务组件 165.2生成服务器证书请求文件 175.3申请服务器证书 205.4安装服务器证书 215.5设置Web服务器的安全通信 225.6安装浏览器的根CA证书及测试SSL连接 235.7SSL客户的验证 24结论 26参考文献 26致谢 28PAGEII摘要随着网络建设的逐步普及，大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择，高校校园网网络系统是一个非常庞大而复杂的系统，它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且，能够使教育、教学、科研三位一体，提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势,为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。[关键词]

校园网；网络设备；局域网技术；网络管理；数字多媒体AbstractWiththegraduallypopularizationofnetworkconstruction,theconstructionoflocalareanetworkatcollegesanduniversitiesinistoahighlevelofcollegesanduniversitiesandresearchuniversitiesgotinevitablychoice,theuniversitycampusnetworksystemisaverylargeandcomplexsystem,itnotonlytothedevelopmentofcollegesanduniversities,comprehensiveinformationmanagementandofficeautomationandsoonaseriesofappliedtoprovidebasicoperationplatform,andcanmakeeducation,teachingandscientificresearchofthetrinity,improvetheteachingqualityofeducation.Andthenetworktechnologyhasbeenappliedintheconstructionofcampusnetworkimportantbranchinthelocalareanetworktechnologytotheconstructionandmanagement,thereforethisgraduationdesigntopicwillmainlytakethecampuslocalareanetworkconstructionprocessmaybeusedvarioustechniqueandimplementationplanfordesigndirection,providetheoreticalbasisandpracticalguidancefortheconstructionofcampusnetwork.Universitycampusnetworkconstructionandnetworktechnologydevelopmentisalmostsimultaneous.Notonlybeartheteachingworkincollegesanduniversities,bearthepartofthenationalscientificresearchtasks,atthesametime,consideringthefuturedevelopmenttrendofthenetworkplatform,inordertofullysatisfythebackbonetohighspeed,intelligence,safety,certificationrequirementssuchasbilling,finallyachievedintheaspectofnetwork,betteruseofmanynetworksecuritycontrolanddataresources,atthesametimewithhighperformance,highefficiency,continuousservice,convenientforalldevicesinthenetworkandtheapplicationforeffectivecontrolandcurrentaffairsmanagementtoimprovethetransmissionefficiency,effectivelyguaranteethedistancemultimediateaching,digitallibraryandotherbusiness.KeywordsCampusnetwork;Thenetworkequipment;LANtechnology;Networkmanagement;Digitalmultimedia第28页（共30页）第1章客户需求分析1.1了解学校需求校园网络升级改造把学生公寓以及新建的教学楼都接入校园网。现有网络结构及网络设备已经不能满足学校的应用需求，其主要表现在：

1、网络覆盖范围不够。。

2、网络容量和结构不能满足信息点增长的要求。

3、网络管理难度加大手段滞后。1.1.1由于学校逐年招生的人数不断增加，以及各个教学楼与宿舍楼的新建，校园网络很多地方并未覆盖全面，现以网络中心形成了主干网，是整个校园网的总节点，并提供连接广域网和拨入服务，在主干网系统采用以太网结构。在方案中，中心机房放置着中心交换机、服务器群、路由器、机架MODEM等网络设备，这些设备以中心交换机作为中心，以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的连接，是通过根据与子网的距离，通过光纤和双绞电缆线将中心交换机和子网的交换机连接起来。1）网络设备支持基于端口的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力。

2）具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性。

3）动态监控网络流量和端口状态，及时平衡网络负载。

4）动态监控网络登录、网络代理用户数，有效、及时地防止某些非法访问。

5）对网络故障及时报警，并实现隔离。

对于网络管理系统软件，选用华为公司的网络管理软件H3C网管应用软件。1.1.2对于我校组建的网络系统来说要求是比较高的，针对我校的实际情况，对服务器硬件系统和应用软件系统的要求如下：

1、服务器硬件系统要求

整个校园网络建成以后，需要运行哪些应用系统，选配哪些应用服务器设备是我们应该为客户设想的关键问题，针对该校的具体需求，我们选配四台服务器：WEB服务器、文件服务器和FTP服务器、电子图书管理服务器。

2、应用软件系统要求

1）操作系统

WINDOWS

Server

2008在稳定性和安全性方面可靠性较高，完全适合该校的网络操作系统需求。

2）应用软件

校园应用软件要求包括如下几个部分：大学校园网办公软件、视频点播VOD软件、SQL

Server数据库软件、电子阅览室资源库等。1.1.3了解网络现状目前校园网络与新建校园区域和宿舍的网络基本不相通，而且在原有网络上老旧设备与线路需更换，在拓扑结构上需改进。校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。1.2分析管理目标与需求现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构

校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。

因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。

传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。使用双核心网络的主要目的是实现冗余的连接防止单点失效，从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点：

可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；

设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；

可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。1.2.1学校的服务目的信息交流功能

、学生学习功能、、图书馆功能，以图书馆为信息源、办公子网

、多媒体教学子网、宿舍子网

1.2.2学校的组织结构主要以教学楼、办公楼、实验楼、图书馆、宿舍楼、体育馆等组成。1.2.3决策者的建设思路与预算总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。1.3分析技术目标与需求21世纪是一个以数字化、网络化与信息化为核心的信息时代。信息技术的高速发展使得计算机网络发展的非常迅速，已经成为信息科学的一个新的分支。随着计算机网络的发展，校园网已经成为学校走向信息化时代的必然发展趋势，使我国教育管理向智能化发展。校园网络的规划设计是一项系统工程，不同的规划设计方案，可使网络存在较大的性能差异，它不仅体现在网络本身具备的技术特性和应用特点上，也体现了不同用户的各种需求，而校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用，同时提供简单、有效、便捷的理想办公、教学环境。1.3.1可扩展性校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。1.3.2技术兼容性选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。1.3.3网络性能要求骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。1.3.4安全性信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。1.3.5可管理型网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。1.3.6易用性、适应性、可购买性以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。第2章设备选型2.1.1网络设备分类呼伦贝尔学院综合布线及网络设备分类一、综合布线序号设备类型设备名称具体参数品牌单位单价总价1综合布线终端布线RJ45非屏蔽六类网线天诚箱2水晶头、护套等盒3标号管个4六类网络模块个5防尘面板（按实际用另计算）个6标准底座（按实际用另计算）个7配线部分非屏蔽跳线（2~3米）（按实际用另计算）条8标准理线架个9标准配线架（24口）个10布线PVC管槽、配件等（按实际信息点另计算）国产点11语音电话布线（采有三类线）国产点12机柜图腾42U标准机柜国产个13视频布线线材视频线RVV75-5国产米14电源线国产米15配件摄像头专用电源国产个16布线PVC管槽、配件等国产点主要设备抽象图标17网络设备（要求五年保修）三层交换机IPv4/IPv6双协议三层交换机（24FE口+4千兆端口）参数：背板带宽≥37.6G；IPv4/IPv6包转发率≥9.6M；4个SFP光接口和4个电口接口，光口和电口复用；（提供IPv6Ready第二阶段认证证书）、H3C；台18二层交换机24口智能网管交换机(带两扩展槽）参数：背板带宽≥12.8G；线速包转发率≥6.6M；台19防火墙百兆防火墙/VPN网关

物理参数：固化7个百兆端口，包括4个交换端口，性能不受规则数及会话数的影响台20服务器管理服务器四核英特尔至强处理器53352.0GHz/EM64T,1066MHz前端总线,8MBL2缓存（最大支持2个CPU）,2*1GBPC2-5300fullybufferedDIMMsDDR2ECC（最大12插槽）,0GBSAS热插拔硬盘（可内置6个硬盘）,双千兆以太网适配器,CD-RW/DVD-ROMCombo,3年免费保修huawei台21阵列卡ServeRAID-8kSASController块22硬盘146GB15K3.5”块23显示器15”台24Web服务器Intel至强双核心E3120，光驱Combo，台25代理服务器CPU：DualXeon2.8G，内存;1GB,硬盘:160GB,流量：4000GB/月，IP数：5.台26文件传输服务器WAN连接：10/100/1000Mbps*1，LAN连接：10/100/1000Mbps*1，平台：嵌入式linux系统，接口：10/100Mbps,RS232，认证;CE,FCC27邮件服务器WlAn连：10/100/1000Mbps*1(可扩展2个WAN),LAN连接：10/100/1000Mbps*1，管理：web远程管理，平台：Linux等操作系统，接口：RJ-45,RS23228网络机柜核心交换机柜（42U、加深）国产个29电源稳压电源中大10KVA精密稳压电源国产台30UPS电源APC5KVA纯在线式UPS电源（配1小时电池）国产台31录像机及分割器录像机嵌入式硬盘录像机(8路)国产台32嵌入式硬盘录像机(12路)国产台33250G硬盘（配录像机用）配套个34视频控制16路视频分割器(用于监控室)国产个354路视频切换器(用于监控室)国产个36视频设备摄像头室内红外低照度半球摄像机（进口品牌）可选：SAMRIM、SONY、三星套37室外防水低照度半球摄像机（进口品牌）套38辅助设备室外红外灯个39高保真拾音器个40监听设备监控音箱(用于监控室)国产个41显示器监控用CRT显示器(20寸)国产台4217"CRT显示器(录像机用)国产台触摸屏查询系统触摸屏触摸屏（带17“液晶）17.1英寸SGS红外智能感应触摸屏，免维护、抗光干扰、防刮防暴、性能稳定技术成熟、防尘防污防水、适应性强(款式技术要求相当于首钢环星i5060-17LB触摸一体机)台43电脑主机945GC/ICP420/512MDDRII/SATA280G(7200转)/声卡/集成百兆网卡/集成显卡/键盘/USB光电鼠标/180W电源/三年有限保修台44软件操作系统MicrosoftWindows2008操作系统（服务器标准版）Liunx操作系统套45防病毒软件Virus企业网络版杀毒软件/基于B/S架构的集中式管理/1管理中心+5服务端+30用户+1年病毒库升级服务套46网络管理控制软件套47机房装修(含空调)机房地板防静电地板（600X600钢制高承载型地板）国产㎡48地板配套支架等国产㎡49地板施工安装（含开口、钻孔等）定制㎡50地板门口封边（大理石或其它）定制项51机房天花天花吊顶（含材料、配件及安装）国产㎡52照明灯具国产项53隔墙隔墙配套（铁支架、铝塑板材料及施工）国产项54空调(格力2匹)国产台55玻璃隔墙（玻璃、配件材料及施工）国产项56防雷保护防雷系统ASPAM2/3防雷箱国产套57ASP防雷插座个机房地板地线（BVV6平方铜芯线）国产米防雷箱地线（BVV8平方铜芯线）米机房电源线（BVV6平方铜芯线）米构建该校园网络选用的防火墙是华为赛门铁克USG2220华为赛门铁克USG2220主要参数类型企业级防火墙品牌华为赛门铁克并发连接50万网络端口2个GE光电互斥接口网络吞吐量2000安全过滤600Mbps用户数限无用户数限制入侵检测Dos,DDoS适用环境工作温度:0℃～40℃;工作湿：10%~90%控制端口Console口其他性能SecowayUSG2000系列集路由、交换、安全、无线（WiFi、3G）功能于一体，1台SecowayUSG2000系列=数台传统路由器+数台传统交换机+数台传统防火墙，能有效帮助企业提高效率、降低维护复杂度，降低企业总成本TCO防火墙尺寸420*442*44.2mm电源AC:90～264V安全标准FCC,CE管理Web和命令行重量(Kg)7参考价格/商家报价￥1.48万2.1.一个典型的校园网，一般拥有以下设备：NT服务器2-3台、网管工作站一台、网络中心交换机一台、路由器、部分中低端PC服务器等，还拥有数十台的PC、若干终端，网络打印机等设备，因此在局域网中使用的UPS也有其自身的特点。

在局域网的中心机房中，采用10-20KVA中等功率的UPS集中供电的方式已被广泛接受。为了有效提高系统可靠性，一般采用双机热备份或并联供电。

一般情况下，在为网络设备选用UPS电源时，应注意：

根据负载设备的摆放位置，选用大容量的UPS集中供电方案。原因是：单台容量较大的UPS的故障率较低；UPS的每单位千伏安的价格，随着UPS容量的增大而下降；选用单台容量UPS时，有利于用户更经济合理地使用蓄电池。

根据用户的不同配送电系统选用UPS机型，以适应用户配送电系统带载能力的要求。

选用允许市电电源波动范围大的UPS机型，可以更好的适应市电电网恶劣的供电环境。

选用UPS过载能力强和具有优良抗输出短路能力的机型。只要UPS执行市电交流旁路供电与逆变器供电切换操作，就总是存在着出故障的概率。显然，UPS抗过载能力越强，客观上UPS做上述切换的机会就越少，随之而来的是UPS的故障率越低。

要有配置适当的抗瞬态浪涌抑制器，以便更好的保护网络设备。

选用UPS输出中线对地线电位低的机型，可以获得尽可能高的数据传输速率，降低数据传输的误码率。

根据用户集中监控系统不同级别的要求，组成具有不同网络控制功能的智能化UPS系统。

一般的主流UPS电源中，国产选择科士达、科华恒盛，国外选用伊顿爱克赛、施耐德、艾默生，当然在最终的选择时要具体情况下具体分析。2.1.3网络存储设备选型存储已经成为目前教育行业信息化建设的热点。从之前简单的服务器直接存储方式，到如今专用存储设备的使用，这个变化看似突然，却说明了教育信息化正从最初的基础架构的建设，开始进行应用的突破。

尤其在高校中，基础网络的建设已经完成，超过92%的高校已经拥有了校园网。在此基础上，各种应用随之丰富起来。目前，全国大部分的高校都已经建成数字图书馆，数字图书馆动辄上TB级的容量需求和每年新增加的存储容量，也使大家开始考虑升级存储空间。为了节省投入，在一些高校中出现了以远程虚拟存储的方式来解决存储容量瓶颈的个例。但从性能和安全性上来说，高校自身投资存储设备，是目前的主流方向。

教师的信息化教学冲动不可阻挡，教师们的课件资源迅速增加，这些宝贵的资源，也都对存储提出了需求——以往，大家更多地关注存储容量，随着校园网内教师、学生们网络应用方向趋于多元化，对网络存储的性能要求也越来越迫切，因此，大家也开始关注存储设备的性能。

校园信息化带来了校园内各种信息数据的存储安全问题。校园内各种管理系统储存的信息，需要高安全性、高稳定性的存储设备。2.2设备选型需要参考的因素校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。2.2.11、代表目前网络系统设备的先进水平。2、具备较强的安全性。3、具备优良的RAS性能--可靠性、可用性、可维护性。4、具备优良的可扩充性和升级能力。5、具备优良的性能价格比，根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。第3章公钥基础设施PKI技术3.1PKI技术基础3.1.1PKI（PublicKeyInfrastructure）即公钥基础设施。广义上讲，它是一套安全服务的集合，运用公钥密码的基础理论，为网络应用提供诸如认证、授权、加密、数字签证等安全服务。公钥认证机制为人们提供了一种安全、可靠的方式来获取用户的可信公钥，应用这些公钥，可以获得很多安全特性，如双向鉴别、数据完整性和交易的抗抵赖，因此公钥认证对于开放网络上的交易具有重要意义。3.1.2一个PKI系统一般有如下几部分组成：1.数字证书：PKI系统中的最基本的元素，所有安全实现都要以数字证书为基础。2.CA：CA（CertificateAuthority）即认证中心，是PKI中非常重要的角色，它是一个可信的第三方权威机构，具有验证用户证书申请、签发证书、定期发布证书实效列表、向应用证书吊销请求等功能，同时还可以为用户存储证书备份、进行密钥恢复。3.RA：相当于CA的一个代理机构，帮助CA完成证书申请的登记和审计工作，并将验证过的证书申请交由CA签发。4.目录服务：用于存储证书以便用户查询，同时发布证书失效列表等。5.证书策略：一个PKI系统可以根据实际应用的具体需要制定不同的证书策略，包括证书扩展项的选用，CA的部署，证书路径长度等。3.1.31.鉴别（认证）服务PKI提供的鉴别认证服务采用了数字签名密码技术。签名产生于以下三个方面数据的绑定值之上：①被签名的一些数据。②用户希望发送到远程设备的请求。③远程设备生成的随机挑战信息。第一项支持PKI的数据源鉴别服务，后两项支持PKI的实体鉴别服务。2.完整性服务PKI提供的完整性服务可以采用两种技术之一。第一种技术是数字签名技术。既可以提供实体鉴别，也可以保证被鉴别实体的完整性。第二种技术就是消息鉴别码（MAC）。3.机密性服务PKI提供的机密性服务采用了类似于完整性服务的机制。即：生成一个对称密钥；用对称密钥加密；将加密后的数据及公钥发送给接受者。3.1.4用户向RA提交证书申请或证书注销请求，由RA审核；RA将审核后的用户证书申请或证书注销请求提交给CA；CA最终签署并颁发用户证书，并且登记在证书库中，同时定期更新证书失效列表（CRL），供用户查询；从根CA到本地CA的存在一条链，下一级CA有上一级CA授权；CA还可能承担密钥备份及恢复工作。3.1.5P为了解决WEB的安全问题，最合适的入手点是浏览器。SSL协议（TheSecureSocketsLayer）是一个在传输层和应用层之间的安全通信层，在两个实体行的，进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全，服务器端和浏览器端分别由可信的第三方颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。需要注意的是，SSL协议本身并不能提供对不可否认性的支持，这部分的工作必须由数字证书完成。结合SSL协议和数字证书，PKI技术可以保证WEB交易多方面的安全需求，使WEB上的交易和面对面的交易一样安全。目录服务器（LD目录服务器（LDAP）RACA终端实体证书库CACRL注册发布证书发布证书和CRL注册信息和发布证书存放证书证书、CRL、登记、查询CA间管理操作图3-1PKI运行模式3.2PKI技术功能的实现3.2.1SSL（SecureSocketsLayer）安全套接层协议，是用来解决点到点数据安全传输和传输双方的身份认证而提出来的安全传输协议，该协议独立于一些较高层的应用级协议，如：HTTP、FTP、TELNET等，从OSL七层模型来看，该协议处于应用层和传输层之间，依赖于面向连接的可靠的传输协议（如：TCP等）。3.2.2如SSL的技术原理图3-2所示。一个完整的SSL连接建立过程如下：1.客户端浏览器连接到WEB服务器，发出建立安全连接通道的请求。2.服务器接受客户端请求，发送服务器证书作为响应。3.客户端验证服务器证书的有效性，如果验证通过，则用服务器证书中包含的服务器公钥加密一个会话密钥，并将加密后的数据和客户端用户证书一起发送给服务器。。4.服务器收到客户端发来的加密数据后，先验证客户端证书的有效性，如果验证通过，则用其专用的私有密钥解开加密数据，获得会话密钥。然后服务器用客户端证书中包含的公钥加密该会话密钥，并将加密后的数据发送给客户端浏览器。5.客户端在收到服务器发来的加密数据后，用其专用的私有密钥解开加密数据，把得到的会话密钥与原来发出去的会话密钥进行对比，如果两把密钥一致，说明服务器身份已经通过认证，双方将使用这把会话密钥建立安全连接通道。客户端客户端WEB服务器请求建立安全连接通道服务器发送服务器证书用服务器证书公钥加密会话密钥客户端发送用户证书用客户端证书公钥加密会话密钥建立安全连接通道图3-2SSL技术原理图第4章CA证书4.1证书的概述CA（CertificateAuthority，证书颁发机构）是PKI公钥基础结构中的核心部分。CA负责管理PKI结构下的所有用户（包括各种应用程序）的数字证书，把用户的公钥与用户的其他信息捆绑在一起，在网上验证用户的身份。在任何一个PKI中，CA都是一个可信的实体，它根据CA颁发策略负责发布、更新和取消证书。为保证网络上信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书。PKI系统中的数字证书简称证书，它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起。证书的主体可以是用户、计算机、服务等。证书可以用于很多方面，例如Web用户身份验证、Web服务器身份验证、安全电子邮件、Internet协议安全（IPSec）等。数字证书是由权威公正的第三方机构即CA签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及通信双方身份的真实性、签名信息的不可否认性，从而保障网络应用的安全性。通常，证书包含以下信息：1．使用者的公钥值。2．使用者标识信息（如名称好电子邮件地址）。3．有效期（证书的有效时间）。4．颁发者标识信息。5．颁发者的数字签名，用来证明使用者的公钥和使用者的标识信息之间的绑定关系是否有效。证书只有在指定的期限内才有效，每个证书都包含“有效起始日期”和“有效终止日期”，这两个值设置了有效期的限制。一旦到了证书的有效期，到期证书的使用者就必须申请一个新的证书。4.2CA的作用CA可以自己创建，也可以是第三方机构。在复杂的认证体系中，CA分为不同层次，各层CA按照目录结构形成一棵树。在CA体系结构中，根CA处于核心地位，功能是认证授权。CA的核心功能就是颁发和管理数字证书，具体描述如下：1．处理证书申请2．鉴定申请者是否有资格接收证书3．证书的发放：向申请者办法、拒绝颁发数字证书。4．证书的更新：接收、处理最终用户的数字证书更新请求。5．接收最终用户数字证书的查询、撤销。6．产生和发布证书吊销列表（CRL）。7．数字证书的归档。8．密钥归档。9．历史数据归档。144.3证书的发放过程14用户用户RACA证书验证处理策略证书目录235678图4-1证书发放流程图1．证书申请：用户根据个人信息填好申请证书的信息并提交证书申请信息。2．RA确认用户：在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性。3．证书策略处理：如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等。4．RA提交用户申请信息到CA：RA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的。5．CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书，这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中。6．CA将电子证书传送给批准该用户的RA。7．RA将电子证书传送给用户（或者用户主动取回）。8．用户验证CA颁发的证书：确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发。第5章服务器安全设计方案5.1安装证书服务组件1．打开“控制面板”中的“添加/删除程序”，鼠标单击“添加/删除Windows组件”，出现“Windows组件向导”操作窗口，选择“证书服务”复选框。2．单击“下一步”按钮，组件安装向导开始安装“证书服务”。在默认安装中“证书服务”组件要用Windows2000Server光盘来安装。3．出现“证书颁发机构类型”，如图5-1所示，选择“独立根CA”的安装类型。单击“下一步”按钮。图5-1证书颁发机构类型4．出现“CA标识信息”，如图5-2所示，输入标志该CA的信息（给自己的CA起一个名字），单击“下一步”按钮。接下来出现“证书数据存储位置”操作窗口，选择“证书数据库”、“证书数据库日志”和“共享文件夹”的存储路径，即可完成安装。图5-2CA标识信息“证书服务”组件安装完成后，即在“控制面板”的“管理工具”中增加了一项“证书颁发机构”组件。接下来，可以启动IIS管理器申请一个数字证书上了。5.2生成服务器证书请求文件1．打开Internet信息服务管理单元，选择相应的“Web站点”，单击鼠标右键，从快捷菜单中选择“属性一”，打开属性设置对话框，选择“目录安全性”选项卡。2．单击“安全通信”区域中的“服务器证书”按钮，打开Web服务器证书向导欢迎界面，提示Web服务器没有安装证书。3．单击“下一步”按钮，出现如图5-3所示的对话框，选择“创建一个新证书”单选钮。（若选择第二个选项，则将一个已存在的证书分配到该站点。若选择第三个选项，则直接从密钥管理器备份文件导入一个证书）图5-3证书分配的方法4．单击“下一步”按钮，出现“稍后或立即请求”对话框，选择发送证书申请的方法。单击“下一步”按钮，出现如图5-4所示对话框，设置证书“名称”和安全密钥的“长度”。图5-4名称和安全属性设置如果选择“服务器网关加密”选项，将启用服务器端网关加密（SGC，ServerGatewayCryptogram）算法（128位），SGC是SSL的扩展。服务器端网关加密不需要在客户端浏览器上运行应用程序，虽然SGC功能已经集成到IIS4.0和以后的版本中，但使用SGC时仍需要特殊的SGC证书。5．单击“下一步”按钮，出现“组织信息”对话框，设置证书的组织信息。6．单击“下一步”按钮，出现如图5-5所示对话框，设置站点的公用名称。图5-5设置站点名称站点的公用名称非常重要，可选用Web服务器的DNS域名、计算机名和IP地址。浏览器与Web服务器建立SSL连接时，需要使用该名称来识别Web服务器。例如，公用名称使用域名，在浏览器端使用IP地址来连接基于SSL的安全站点，将出现安全证书与站点名称不符的警告。一个证书只能与一个公用名称绑定。7．单击“下一步”按钮，出现“地理信息”对话框，设置CA的地理信息，默认继承根证书的有关设置值。8．单击“下一步”按钮，出现“证书请求文件名”对话框，设置要产生的证书请求文件名及路径。如图5-6所示。图5-6设置证书文件名及路径9．单击“下一步”按钮，显示证书请求文件的摘要信息。如图5-7所示。图5-7证书请求文件摘要10．单击“下一步”按钮，再单击“完成”按钮，结束证书文件的创建。可以用文本编辑器打开生成的证书请求文件，进行查看。5.3申请服务器证书Internet上有许多知名的第三方证书颁发机构，如。国内也有一些证书认证中心。不同的Web服务器类型，要求的证书也不相同，应选择能够签发所需服务器证书的证书颁发机构。一般第三方证书认证中心都能签发NetscapeWebServer，MicrosoftIISServer，JavaWebServer，IBMWebServer，LotusNotesServer和CominoServer等Web服务器的证书。完成服务器证书请求文件的设置后，接下来将刚刚生成的服务器证书提交给刚刚在本地安装的证书服务器。默认情况下“证书服务”组件完成安装后，会在本地的IIS默认的Web站点下生成“CertSrv”虚拟目录。申请服务器证书的步骤如下。1.启动服务器的浏览器，在URL栏中输入：http://locahost/CertSrv/default.asp，打开本地以下书服务的虚拟目录，出现欢迎界面。2.选择“申请证书”，单击“下一步”按钮。3.选择“高级申请”，单击“下一步”按钮。4.选择“高级证书申请”中的第二个选项，即选择使用“base64的编码”方式提交证书申请。如图5-8所示。图5-8高级证书申请5.填写申请表单。将已经生成的服务器证书请求文件的内容复制到“保存的申请”表单中，在“证书模板”下拉列表中选择“Web服务器”。如图5-9所示。图5-9申请表单6.单击“提交”按钮。提交成功后，返回一个页面给申请者，告诉证书已经成功提交，现在是挂起状态，即等待CA中心来颁发这个证书了。7.在“控制面板”中的“管理工具”中，启动“证书颁发机构”，在选定申请中找到刚刚申请的条目，然后用鼠标右键单击“颁发”即可。5.4安装服务器证书证书颁发成功后，就可以安装服务器证书了。在IIS5.0的Web站点，通过Web服务器证书向导可以方便地安装服务器证书。1.打开Internet信息服务管理单元，选择“默认Web站点”，单击鼠标右键，打开“属性”设置对话框，选择“目录安全性”选项卡。鼠标左键单击“安全通信”区域中的“服务器证书”按键，打开“欢迎使用Web服务器证书向导”界面。2.单击“下一步”按钮，出现“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”3.单击“下一步”按钮，出现“处理挂起的请求”对话框，输入证书文件的路径和文件名。单击“浏览”按钮，从磁盘上选择刚刚颁发成功的证书文件。4.单击“下一步”按钮，显示该证书的摘要信息，如图5-10所示。图5-10证书摘要5.单击“下一步”按钮，部门购买“完成Web服务器证书向导”的对话框，单击“完成”按钮，关闭服务器证书安装向导。6.回到“目录安全性”选项卡，单击“查看证书”，可进一步查看Web服务器证书，如图所示。每个Web站点只能有一个服务器证书，为安全起见，应注意及时备份服务器证书。5.5设置Web服务器的安全通信安装了服务器证书之后，还要设置Web服务器上的SSL端口和SSL安全通信，才能建立SSL安全连接。其步骤如下。1.在Internet信息服务管理单元中，选择欲启用SSL保护的“Web站点”，单击鼠标右键打开“属性”设置对话框，在“Web站点”选项卡设置“SSL端口”，默认的端口号是443。如图5-11所示。2.在图5-11中，鼠标单击“目录安全性”选项卡，鼠标单击“安全通信”区域的“编辑”按钮，出现如图5-12所示的“安全通信”对话框。如果选中“申请安全通道（SSL）”复选框，则强制浏览器与Web站点（或者目录、文件）建立SSL加密通信连接。选中“申请128位加密”复选框，则强制SSL连接使用128位加密。图5-11默认Web站点属性图5-12申请安全通道3.客户证书选项设置。一般可选用默认选项“忽略客户证书”，允许没有客户证书的用户访问该Web资源，因为大部分Web访问都是匿名的。若选用“接收客户证书”或“申请客户证书”，则只允许有客户证书的用户访问该Web资源，即禁止匿名访问。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https://，而不是http://。5.6安装浏览器的根CA证书及测试SSL连接仅有以上服务器端的设置，还不能确保SSL连接的顺利建立。当浏览器与Web服务器进行SSL连接之前，客户必须能够信任颁发服务器证书的CA，只有服务器和浏览器两端都信任同一CA，彼此之间才能协商建立SSL连接。在客户端计算机的根证书存储区安装该证书颁发机构的CA证书步骤如下。1.启动IE浏览器，打开https://locahost/CertSrv/default.asp，出现欢迎界面。2.选择“检查CA证书或证书员销列表”，鼠标单击“下一步”按钮。3.出现如图5-13所示的界面，鼠标单击“安装此CA证书路径”链接。图5-13安装CA证书路径4.出现“根证书存储”对话框，鼠标单击“是”按钮，将CA添加到浏览器的“受信任的根证书颁发机构”。5.出现界面，提示CA证书已安装。说明已将该CA证书添加到根证书存储区。此时，在IE浏览器中选择菜单“工具”→“Int