任务5.2 SSL安全站点的配置

计算机网络安全管理技术项目五任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

子任务2SSL证书的应用Web应用的安全管理【任务目标】

1．熟悉SSL的概念和工作过程；2．学会正确安装SSL证书服务的操作方法；3．学会SSL证书申请的操作方法；4．会正确申请、下载和安装SSL证书。项目五任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

子任务2SSL证书的应用Web应用的安全管理【任务环境】1、主流PC机一台

2、VMwareWorkstation软件任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

【知识支撑】1、SSL的概念

SSL（SecureSocketsLayer安全套接层）是为网络通信提供安全及数据完整性的一种安全协议。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

2、SSL的工作过程

1）服务器认证阶段

客户端向服务器发送一个开始信息以便开始一个新的会话连接；服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的信息时将包含生成主密钥所需的信息；客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

2）用户认证阶段

在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

3、SSL的特性SSL协议有以下三个特性：

1）机密性：SSL协议使用密钥加密通信数据。

2）可靠性：服务器和客户都会被认证，客户的认证是可选的。

3）完整性：SSL协议会对传送的数据进行完整性检查。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

4、SSL的体系结构SSL的体系结构中包含两个协议子层，其中底层是SSL记录协议层（SSLRecordProtocolLayer）；高层是SSL握手协议层（SSLHandShakeProtocolLayer）。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

1）SSL记录协议层SSL记录协议层的作用是为高层协议提供基本的安全服务。SSL纪录协议针对HTTP协议进行了特别的设计，使得超文本的传输协议HTTP能够在SSL运行。记录封装各种高层协议，具体实施压缩解压缩、加密解密、计算和校验MAC等与安全有关的操作。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

2）SSL握手协议层

SSL握手协议层包括SSL握手协议（SSLHandShakeProtocol）、SSL密码参数修改协议（SSLChangeCipherSpecProtocol）、应用数据协议（ApplicationDataProtocol）和SSL告警协议（SSLAlertProtocol）。握手层的这些协议用于SSL管理信息的交换，允许应用协议传送数据之间相互验证，协商加密算法和生成密钥等。SSL握手协议的作用是协调客户和服务器的状态，使双方能够达到状态的同步。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

5、SSL证书1）概念

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。SSL证书就是遵守SSL协议，由受信任的数字证书颁发机构CA，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

2）功能一个有效、可信的SSL数字证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。因此，浏览器指向一个安全域时，SSL将同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。一般而言，由CA业界发出的数字证书，有别于国内浏览器业者比对域名信息等方式，采取更为严格的企业及所有权验证，为电商环境树立更为可信的运作环境。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置3）类型SSL证书依据功能和品牌不同分类有所不同，但SSL证书作为国际通用的产品，最为重要的便是产品兼容性，因为他解决了用户登录网站的信任问题，用户可以通过SSL证书轻松识别网站的真实身份。SSL证书分为如下种类：（1）扩展验证型(EV)SSL证书（2）组织验证型(OV)SSL证书（3）域名验证型(DV)SSL证书任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置4）应用扩展验证型(EV)SSL证书经过最彻底的身份验证，确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的GlobalSign名称，从而最大限度上确保网站的安全性，树立网站可信形象，不给欺诈钓鱼网站以可乘之机。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置对线上购物者来说，绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在新一代高安全浏览器下，使用扩展验证型(EV)SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称，这些均向客户传递同一信息，该网站身份可信，信息传递安全可靠，而非钓鱼网站。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

【任务实施】1、实训基本环境的搭建

1）启动VMwareWorkstation2）开启虚拟机WindowsServer2012

3）将WindowsServer2012的IP地址设置为/24任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

2、安装证书服务打开服务器管理器，在管理菜单栏中选择“添加角色和功能”选项，在其中的向导模式中选择“ActiveDirectory证书服务”，如左图所示。在角色服务中选择“证书颁发机构”和“证书颁发机构Web注册”，如右图所示。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

3、配置证书服务1）打开配置证书服务向导，如左图所示。2）选择要配置的角色服务，勾选“证书颁发机构”和“证书颁发机构Web注册”，如右图所示。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

3）指定CA的设置类型为独立CA，如左图所示。4）指定CA类型为根CA，如右图所示。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

5）指定私钥类型为创建新的私钥，如左图所示。6）指定加密选项为默认的程序和加密算法，如右图所示。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

7）指定CA名称，如左图所示。8）指定有效期，默认为5年，如右图所示。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

9）指定数据库位置，如图所示。

10）配置完成后，单击配置按钮即开始配置证书服务。任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置项目五任务5.2SSL安全站点的配置

子任务1SSL证书的安装与配置

子任务2SSL证书的应用Web应用的安全管理【任务环境】1、主流PC机一台

2、VMwareWorkstation软件任务5.2SSL安全站点的配置

子任务2SSL证书的应用

【任务实施】1、实训基本环境的搭建

1）启动VMwareWorkstation2）开启虚拟机WindowsServer2012作为Web服务器端，开启虚拟机Win7-1作为Web客户端

3）客户端的IP地址设置为/24，使服务器端和客户端之间可以互通

4）服务器端架设IIS网站任务5.2SSL安全站点的配置

子任务2SSL证书的应用2、创建证书申请

1）打开IIS管理器，单击服务器名称，选择服务器证书选项，如图所示。任务5.2SSL安全站点的配置

子任务2SSL证书的应用2）在右侧单击创建证书申请，输入可分辨名称属性，如图所示。任务5.2SSL安全站点的配置

子任务2SSL证书的应用3）选择加密服务提供程序和位长，如左图所示。

4）指定文件名，如右图所示。任务5.2SSL安全站点的配置

子任务2SSL证书的应用

3、申请证书和下载证书1）打开网页浏览器，在地址栏中输入http://192.168.

1.1/certsrv，在如图所示的界面上选择申请证书和高级证书申请。任务5.2SSL安全站点的配置

子任务2SSL证书的应用2）在如左图所示的界面上选择“使用base64编码……证书申请”，打开如左图所示的界面。3）打开刚才保存的证书申请文件test.txt，将整个文件的内容复制到右图中保存的申请文本框中，单击提交后弹出证书挂起的界面，关闭浏览器。任务5.2SSL安全站点的配置

子任务2SSL证书的应用4）在管理工具中打开证书颁发机构，在左侧栏中选择挂起的申请，在右侧中找到挂起的证书，右击该证书，选择所有任务—颁发，如图所示。任务5.2SSL安全站点的配置

子任务2SSL证书的应用5）再次打开网页浏览器，在地址栏中输入http://192.

168.1.1/certsrv，在界面上选择查看挂起的证书申请的状态，然后选择选择保存的申请证书。

6）在如图所示的界面上选择下载证书，将证书存储起来。任务5.2SSL安全站点的配置

子任务2SSL证书的应用4、安装证书

1）打开IIS管理器，单击服务器名称，选择服务器证书选项，在界面上选择完成证书申请。2）在如图所示的界面上选择下载的证书文件，输入好记名称后单击确定按钮，完成证书申请。任务5.2SSL安全站点的配置

子任务2SSL证书的应用3）选择需要将https协议绑定的网站，单击绑定，在界面上选择https类型，在SSL证书中选择相应的证书，如图所示。任务5.2SSL安全站点的配置

子任务