目录
CA证书
PKI概念
PKI
PKI体系能够实现的功能
PKI协议
X.509
对称加密
非对称加密
部署CA证书实验
实验准备:安装AD域
一,添加角色和功能向导
1,“服务器角色”里面,选择“Active Directory证书服务”
2,下一步到“角色服务”,勾选“证书颁发机构”,勾选“证书颁发机构Web注册”
3,下一步到“确认”,勾选“如果需要,自动重新启动目标服务器”——安装
二,配置AD证书服务
1,找到黄色感叹号,选择“配置目标服务器上的Active Directory证书服务”
2,下一步
3,在“角色服务”,勾选“证书颁发机构”,勾选“证书颁发机构Web注册”
4,下一步到“确定”,点击“配置”
三,证书颁发机构
打开证书颁发机构管理器,可以管理证书的颁发
四,创建证书申请
1,工具———打开IIS管理器
2,打开IIS管理器后,双击窗口中的“服务器证书”
3,选择“创建证书申请”——输入证书的必须信息,点击“下一步”
4,使用默认的加密程序和密钥长度,点击“下一步”
5,为这个证书指定一个保存位置,点击“完成”
6,打开刚指定的保存位置,可以在文件里看见证书申请文件是Base64编码
五,提交证书申请
1,使用浏览器访问“http://10.10.1.190/certsrv”连接到证书服务器,在弹出的对话框中输入域管理员账号和密码
2,点击“申请证书”
3,点击“高级证书申请”(没有这个页面就重启)
4,选择“使用Base64编码的CMC或PKCS #10文件提交一个证书申请,或使用Base64编码的PKCS#7文件续订证书申请”
5,将证书申请文件中的编码粘贴到“保存的申请”文本框中
6,选择“Base64编码”,点击“下载证书”,将证书保存在本地服务器中
7,打开“下载”,可以看见刚刚下载的证书
六,在web服务器上应用证书
1,在IIS管理器窗口中,选择“完成证书申请”——选择已下载的数字证书文件,并给这个文件起一个好记的名称
七,配置SSL(安全通道)
1,打开IIS管理器,右击“网站”,选择”添加站点“
2,类型选择https,SSL证书选择开始创的好记名字
3,双击窗口中的”SSL设置“,进入SSL设置窗口
4,SSL设置,勾选”要求SSL“,客户证书选择”忽略“,点击”应用“
八,Windows 10,使用https方式访问网站,系统会弹出安全警报窗口
1,https://10.10.1.190/
CA证书
证书颁发机构(CA)签发的数字证书,是 PKI 体系的信任核心,解决网络通信中的身份认证问题。
PKI概念
PKI
•公钥基础设施(Public Key Infrastructure)
•通过使用公钥技术和数字签名来确保信息安全。
•由公钥加密技术,数字证书,CA,RA组成
PKI体系能够实现的功能
•身份验证
•数据完整性
•数据机密性
•操作的不可否认性
PKI协议
•SSL:应用层和传输层之间的安全协议,为应用层协议(HTTP、FTP)提供加密、认证
•HTTPS:网页传输加密,防止数据篡改 / 窃听
•IPSec:网络层的安全协议簇,IP 数据包加密,实现站点间 / 设备间通信安全
X.509
由ITU-Y(国际电信联盟)定制的数字证书标准
对称加密
用相同的密钥进行加密和解密,处理速度快,不安全
非对称加密
使用两个不同的密码进行加密和解密,这两个密码被称为公钥和私钥
部署CA证书实验
实验准备:安装AD域
一台Windows server 2016
一台Windows 10
一,添加角色和功能向导
1,“服务器角色”里面,选择“Active Directory证书服务”
2,下一步到“角色服务”,勾选“证书颁发机构”,勾选“证书颁发机构Web注册”
3,下一步到“确认”,勾选“如果需要,自动重新启动目标服务器”——安装
二,配置AD证书服务
1,找到黄色感叹号,选择“配置目标服务器上的Active Directory证书服务”
2,下一步
3,在“角色服务”,勾选“证书颁发机构”,勾选“证书颁发机构Web注册”
4,下一步到“确定”,点击“配置”
三,证书颁发机构
打开证书颁发机构管理器,可以管理证书的颁发
证书的应用
当Web站点需要应用证书时,必须先申请证书,标识证书应该用在什么Web站点。
四,创建证书申请
1,工具———打开IIS管理器
2,打开IIS管理器后,双击窗口中的“服务器证书”
3,选择“创建证书申请”——输入证书的必须信息,点击“下一步”
4,使用默认的加密程序和密钥长度,点击“下一步”
5,为这个证书指定一个保存位置,点击“完成”
(先创建文件夹zs,和txt文档)
6,打开刚指定的保存位置,可以在文件里看见证书申请文件是Base64编码
五,提交证书申请
我们可以通过浏览器来访问Certsrv虚拟目录,进行提交申请
1,使用浏览器访问“http://10.10.1.190/certsrv”连接到证书服务器,在弹出的对话框中输入域管理员账号和密码
2,点击“申请证书”
3,点击“高级证书申请”(没有这个页面就重启)
4,选择“使用Base64编码的CMC或PKCS #10文件提交一个证书申请,或使用Base64编码的PKCS#7文件续订证书申请”
5,将证书申请文件中的编码粘贴到“保存的申请”文本框中
下拉选择“web服务器”,点击“提交”
6,选择“Base64编码”,点击“下载证书”,将证书保存在本地服务器中
7,打开“下载”,可以看见刚刚下载的证书
六,在web服务器上应用证书
1,在IIS管理器窗口中,选择“完成证书申请”——选择已下载的数字证书文件,并给这个文件起一个好记的名称
七,配置SSL(安全通道)
当Web服务器安装好证书后,就可以在站点启用HTTPS连接。
1,打开IIS管理器,右击“网站”,选择”添加站点“
2,类型选择https,SSL证书选择开始创的好记名字
当网站使用HTTPS类型后,还需要修改这个站点的SSL设置。
3,双击窗口中的”SSL设置“,进入SSL设置窗口
4,SSL设置,勾选”要求SSL“,客户证书选择”忽略“,点击”应用“
- 忽略:无论用户是否拥有证书,都将授予访问权限。客户端不需要申请和安装客户端证书。
- 接受:用户可以使用客户端证书访问资源,但证书并不是必需的。客户端不需要申请和安装客户端证书。
- 必需:服务器在将用户与资源链接之前需要验证客户端的证书。客户端必须申请和安装客户端证书。
)
)
