项目13 使用PKI证书和VPN保障传输安全

Windows

Server2019网络组建项目化教程课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)主编：夏笠芹

“十二五”“十三五”职业教育国家规划教材教材资源清单资源下载地址：/classification.asp?sid=126

记者体验假工商银行官网随着电商时代的到来，人们在享用Interne带来的好处时,形式多样的安全威胁也越来越突出,保护传送数据的需求也越来越强烈。在今天的Internet上,最常见的安全是通过使用数字证书实现的。数字证书可以在一个不信任的网络上辨识一个客户和服务器,并且可以加密数据的传输。你的公司希望为一些员工提供对公司网络的远程访问功能，这样员工在外地出差时仍然能够访问到公司网络中允许他们访问的资源。需要在企业网内开通远程访问功能。项目背景项目13使用PKI证书与VPN保障传输安全项目13使用PKI证书与VPN保障传输安全知识目标了解：PKI的概念，数字证书的作用和意义；远程访问服务的概念、连接方式熟悉：证书的发放过程,企业CA的管理；VPN的构成与分类、VPN的安全技术及VPN的工作过程掌握：证书服务的安装,在Web服务器上设置SSL,数字证书的申请、安装及导入导出的过程；VPN服务器的搭建方法及用户连接的权限设置、访问策略的设置；VPN客户端的配置及访问方法能力目标能进行证书服务的安装,能在Web服务器上设置SSL。会申请、安装、导入和导出免费个人数字证书。会配置并启用VPN服务会设置赋予用户VPN连接的权限及远程访问策略会配置VPN客户端、使用VPN连接访问内部网络教学目标13.2

项目知识准备PKI(PublicKeyInfrastructure,公钥基础结构)是指在分布式计算环境中,根据公开密钥理论及算法,使用公钥加密、数字签名、数字证书等技术来确保网上信息的传输安全并负责验证证书持有者身份的一种安全服务体系。典型的PKI体系应该包括以下四个组件:①公钥加密技术②数字证书:用于用户的身份验证③证书颁发机构(CA):CA是一个可信任的实体,负责发布、更新和吊销证书④注册机构(RA):RA拥有接受用户的请求等功能13.2.1认识PKI(公钥基础结构)13.2

项目知识准备PKI体系能够实现的功能有:①身份验证:确认用户的身份标识。②数据完整性:是指数据在传输过程中不能被非法篡改。③数据机密性:是指数据在传输过程中,不能被非授权者偷看。④数据的有效性:是指数据不能被否认。操作的不可否认性。13.2.1认识PKI(公钥基础结构)13.2

项目知识准备1．对称密钥加密技术(传统加密技术)加密变换使用的密钥和解密变换使用的密钥相同密钥实际上是一种算法，通信发送方使用这种算法加密数据，接收方在同样的算法解密数据。优点：具有密钥较短,加密效率高,系统开销小,加解密速度快,适合于大规模和大流量数据加密等。不足：收发双方都使用相同密钥,安全性得不到保证。密钥的维护量大管理困难,使用成本较高。13.2.2信息加密技术及分类13.2

项目知识准备2．非对称密钥加密技术(公钥加密技术)加密密钥和解密密钥不是同一个优点：密钥管理很简单不足：加解密速度较慢,不适应大数据量加解密作业。根据两种密钥使用的先后顺序的不同,非对称加密技术分为数据加密和数字签名。13.2.2信息加密技术及分类13.2

项目知识准备(1)数据加密(先用公钥加密后用私钥解密)传输数据时,发送方使用接收方的公钥加密数据,并将它传送。当接收方收到数据后,使用自己的私钥解密这些数据。数据加密确保只有预期的接收者才能解密和查看原始数据,从而提供了发送数据的机密性。但是数据加密不能保证身份验证、不可否认和完整性。13.2.2信息加密技术及分类13.2

项目知识准备

(2)数字签名(先用私钥加密后用公钥解密)数字签名是通过一个单向函数对要传送的报文进行处理得到的,用以认证信息来源并核实信息是否发生变化的一个字母数字串。数字签名可以用来验证信息是否确实是由发送方发送来的(即身份验证),还可以确认信息在发送过程中是否被篡改。13.2.2信息加密技术及分类13.2

项目知识准备RSA签名的过程：①发送方对报文采用Hash算法生成一个128位的散列值(报文摘要)；②发送方用加密算法和自己的私钥对这个散列值进行加密,产生一个摘要密文,这就是发送方的数字签名；13.2.2信息加密技术及分类13.2

项目知识准备RSA签名的过程：③将这个加密后的数字签名作为报文的附件和报文一起发送给接收方:④接收方从接收到的原始报文中采用相同的摘要算法计算出128位的散列值；⑤报文的接收方用解密算法和发送方的公钥对报文附加的数字签名进行解密；⑥如果两个散列值相同,那么接收方就能确认报文是由发送方签名的。13.2.2信息加密技术及分类13.2

项目知识准备发件人使用的公钥和私钥、收件人使用的公钥均来源于证书服务,证书是密钥的载体并由权威机构颁发。由权威机构颁发的包含了公钥信息的电子文档称为数字证书(简称证书)。CA(CertificateAuthority,证书颁发机构)。颁发数字证书的权威机构就称为CA。13.2.3证书及证书颁发机构(CA)13.2

项目知识准备1.数字证书的内容及类型数字证书的格式及内容:证书的版本信息:v1、v2、v3;证书的序列号:每个证书都有一个唯一的证书序列号;证书所使用的签名算法:CA签发该证书所使用的密码算法的标识符；证书的发行机构名称；证书的有效期:是一个时间区间,包括证书有效期的起始时间和终止时间;证书所有者的名称；证书所有者的公开密钥:用来标识证书持有者公钥和相应的公钥算法;证书发行者对证书的签名。13.2.3证书及证书颁发机构(CA)13.2

项目知识准备2.CA的体系结构及作用证书类型:个人数字证书单位数字证书单位员工数字证书服务器证书VPN证书WAP证书代码签名证书表单签名证书。13.2.3证书及证书颁发机构(CA)13.2

项目知识准备2.CA的体系结构及作用一个完整的证书认证系统中,CA分为不同的层次,各层CA按其隶属关系形成一棵树型结构,如图14-5所示。13.2.3证书及证书颁发机构(CA)13.2.4

VPN远程访问服务构成与分类1.什么是远程访问服务远程访问服务（RemoteAccessService，RAS）是用来为远程办公人员、外出人员，以及监视和管理多个异地的服务器的网络管理员等远程用户，通过某种远程连接方式，对企业内部网络的共享软硬件资源实现访问的服务。13.2.4

VPN远程访问服务构成与分类远程访问连接的方式拨号网络连接：通过使用远程通信提供商提供的PSTN、ISDN、ADSL或X.25等连接方式。VPN连接（VirtualPrivateNetwork，虚拟专用网络）：这是一条穿越公用网络（如：Internet），能在异地的两台计算机或局域网之间传输加密数据并在数据包中封装了身份验证信息和一致性校验信息的信息隧道。2.VPN服务系统的组成VPN服务器:用于接收并响应远程访问客户机的连接请求,并建立连接,进而提供远程客户访问内部网络资源。VPN客户端:用于发起VPN连接请求的主机。隧道协议:是用来创建VPN客户机到VPN服务器上的安全连接。WindowsServer2012支持的协议：PPTP(Point-to-PointTunnelingProtocol,端对端隧道协议)L2TP(LayerTwoTunnelingProtocol,第二层隧道协议)SSTP(SecureSocketTunnelingProtocol,安全套接字隧道协议)IKEv2(InternetKeyExchangePrtocol,互联网密钥交换协议第二版)Internet连接:VPN服务器和客户机都必须连入Internet。13.2.4

VPN远程访问服务构成与分类3.VPN分类(1)VPN按应用环境可分为：●AccessVPN(远程访问虚拟网):远程用户主机和公司内部网之间的VPN。●

IntranetVPN(内联虚拟网):公司远程分支机构的LAN和公司总部LAN之间的VPN。●ExtranetVPN(扩展虚拟网):在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。(2)按使用的设施可分为：●软件VPN:如,Windows自带的“网络策略和远程访问”、Linux自带的poptop等。●硬件VPN:如,路由器、交换机、防火墙等网络硬件设备中嵌入的VPN功能模块,以及专用的VPN设备。13.2.4

VPN远程访问服务构成与分类13.2.5

VPN的工作过程①远端VPN客户机通过拨号等方式连接到公共网络,建立与互联网的拨号连接;②VPN客户机发起VPN连接请求,用户拨号本地NSP(网络服务提供商)的接入设备,如网络访问服务器发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户后与企业内部的VPN服务器(VPN网关)建立一条虚拟连接(VPN连接)。在建立VPN连接的过程中,双方必须确定采用何种VPN隧道协议和链接线路的路由路径等;③VPN客户机通过VPN连接建立的隧道访问企业内部网络的资源,在进入隧道前NAS对访问数据包进行加密和再封装,封装的方式根据所采用的VPN技术不同而不同;④将封装后的数据包通过隧道在公共网络上传送至接收方的VPN服务器;⑤VPN服务器收到数据包对其进行解包处理并还原成原始的数据包,核对数字签名无误后,根据所使用的VPN协议,对数据包进行解密;⑥VPN服务器将还原后的原始数据包发送至目标主机,由于原始数据包的目标地址是企业内部的某台主机的IP,所以该数据包能够被正确地发送到目标主机。13.2

项目实施13.3

项目实施任务13-1安装证书服务器13.3

项目实施1．在Web服务器端下载、安装根证书任务13-2部署基于SSL的安全的Web网站13.3

项目实施

2．在Web服务器上创建、提交SSL证书申请文件任务13-2部署基于SSL的httpsWeb网站3．在证书服务器上给Web服务器颁发SSL证书任务13-2部署基于SSL的httpsWeb网站4．在Web服务器上下载、安装颁发的证书任务13-2部署基于SSL的httpsWeb网站5．将SSL证书绑定到指定的网站任务13-2部署基于SSL的httpsWeb网站6．

在客户机上使用HTTPS协议访问加密网站任务13-2部署基于SSL的httpsWeb网站7．

证书的导出与导入导出导入任务13-2部署基于SSL的httpsWeb网站任务13-3安装、配置并启用VPN服务器任务13-4赋予用户远程访问VPN的拨入权限任务14-5使用VPN客户端访问内部网络1.在客户端创建VPN连接任务13-5使用VPN客户端访问内部网络2.从远程VPN客户端访问内部网络任务13-6通过网络策略增强VPN连接的安全性网络策略的建立与使用步骤如下:项目13使用PKI证书和VPN实现传输安全项目知识准备