【正文】 起。公鑰證書以非對稱密碼算法為基礎(chǔ)。非對稱密碼基于復(fù)雜數(shù)學(xué)問題構(gòu)建公鑰和私鑰的意義映射關(guān)系，公鑰是與公鑰算法一起使用的加密密鑰對的公開部分；私鑰是與公鑰算法一起使用的加密密鑰對的保密部分。使用公鑰加密數(shù)據(jù)（數(shù)據(jù)加密），只能使用對應(yīng)的私鑰解密（數(shù)據(jù)解密）；使用私鑰加密數(shù)據(jù)（數(shù)字簽名），只能使用對應(yīng)公鑰解密（簽名驗證）。 證書一般由可信的第三方 CA中心（權(quán)威授權(quán)機構(gòu)）頒發(fā)， CA對其頒發(fā)的證書進行數(shù)字答名，以保證所頒發(fā)證書的完整性和可鑒別性。 CA可以為用戶、計算機或服務(wù)等各類實體頒發(fā)證書。 數(shù)字簽名是郵件、文件或其他數(shù)字編碼信息的創(chuàng)作者用來將他們的身份綁定到信息上的方法，數(shù)字簽名在公鑰環(huán)境中使用，數(shù)字簽名者使用自己的私鑰對發(fā)送的信息進行加密，接收者使用發(fā)送者的公鑰對簽名進行驗證，接收者往往就是從公開發(fā)布的證書庫中獲得簽名者的證書及包含在證書中的公鑰信息。數(shù)字簽名提供了具有不可否認性和完整性的服務(wù)。 Windows Server 2022操作系統(tǒng)支持兩種證書服務(wù)器，分別是用于企業(yè)內(nèi)部的企業(yè)證書服務(wù)器（需要 AD的支持）和獨立證書服務(wù)。 證書服務(wù) 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 1．安裝證書服務(wù) Windows Server 2022系統(tǒng)內(nèi)置了證書服務(wù)組件，安裝該組件可以構(gòu)建自己的 CA中心，適合中小企業(yè)構(gòu)建自己的安全基礎(chǔ)設(shè)施 PKI應(yīng)用。安裝證書服務(wù)器的步驟如下： （ 1）在 【 控制面板 】 窗口中，雙擊 【 添加或刪除程序 】 圖標，打開 【 添加或刪除程序 】 對話框，單擊 【 添加或刪除 Windows組件 】 按鈕，打開 【 Windows組件向?qū)?】 對話框，選擇 【 證書服務(wù) 】 復(fù)選框。 （ 2）單擊 【 詳細信息 】 按鈕，彈出 【 證書服務(wù) 】 子組件詳細信息對話框，選擇 【 證書服務(wù) CA】 和 【 證書服務(wù) Web注冊支持 】 復(fù)選框，單擊 【 確定 】 按鈕，單擊 【 下一步 】 按鈕。 （ 3）打開 【 CA類型 】 頁，選擇 【 獨立根 】 和 【 用自定義設(shè)置生成密匙對和 CA證書 】 選項，這里我們構(gòu)建企業(yè)自己獨立的 CA服務(wù)器，單擊【 下一步 】 按鈕。 證書服務(wù) Windows Server 2022證書服務(wù) 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 （ 4）打開 【 公鑰 /私鑰對 】 頁，進行加密服務(wù)提供程序的設(shè)置，選擇散列算法（建議用 SHAI）和密匙長度（ 511024或 2048位），單擊 【 下一步 】 按鈕。 （ 5）打開 【 CA的識別信息 】 頁，在 【 CA的識別信息 】 框中輸入 CA的公用名稱，通常是單位的名稱，如 HeBei Tourism Vocational COllege，單擊【 下一步 】 按鈕。 （ 6）在 【 證書數(shù)據(jù)庫設(shè)置 】 對話框中進行證書數(shù)據(jù)庫、證書數(shù)據(jù)庫日志存儲路徑的設(shè)置，單擊 【 下一步 】 按鈕彈出詢問停止 IIS服務(wù)的對話框，單擊【 是 】 按鈕，停止 IIS服務(wù)，接下來系統(tǒng)開始安裝組件，完成后單擊 【 完成 】 按鈕。 證書服務(wù) Windows Server 2022證書服務(wù) 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 證書服務(wù)安裝完成后，在證書服務(wù)器（ CA服務(wù)器）上將增加一個共享文件夾 %SystemRoot%/ system32/certsrv/CertEnroll，下面存放 CA的根證書和撤銷列表 CRL文件。 同時，在服務(wù)器的 IIS服務(wù)中將增加證書服務(wù)的 Web服務(wù)，通過 IIS服務(wù)器管理控制臺，可以對證書 Web服務(wù)器進行管理和配置。證書 Web入口程序為 CertSrv虛擬目錄下的 。為了能夠允許用戶訪問該程序，必須設(shè)置 Web服務(wù)器允許腳本執(zhí)行。 證書服務(wù) Windows Server 2022證書服務(wù) 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 2．證書服務(wù)管理 單擊 【 開始 】 |【 程序 】 |【 管理工具 】 |【 證書頒發(fā)機構(gòu) 】 命令，打開 【 證書頒發(fā)機構(gòu) 】 控制臺窗口，顯示此計算機上已經(jīng)安裝好的證書服務(wù)，而且已經(jīng)自動啟動運行。 從圖中可以看出，證書服務(wù)器管理有四個目錄。當(dāng)用戶申請證書后，在 【 掛起的申請 】 文件夾內(nèi)出現(xiàn)用戶證書申請文件，選擇右窗口中的證書請求記錄，通過雙擊記錄查看證書請求的詳細內(nèi)容，右擊記錄，選擇 【 所有任務(wù) 】 |【 頒發(fā) 】 命令，審核通過頒發(fā)此證書，證書將出現(xiàn)在 【 頒發(fā)的證書 】 文件夾內(nèi)，同時可以將證書保存到證書文件中。 證書服務(wù) Windows Server 2022證書服務(wù) 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 CA根證書 （ 1）打開 IE瀏覽器，在地址欄中輸入 出現(xiàn) 【 Microsoft 證書服務(wù) 】 頁面。 （ 2）單擊 【 下載一個 CA證書、證書鏈或 CRL】 鏈接，進入下右圖頁面。單擊 【 下載 CA證書 】 鏈接，可以將 CA證書以文件（擴展名為 .Crt）的形式下載并保存到本地磁盤（如 D：）上。 (也可以選擇 【 安裝此 CA證書鏈 】 鏈接，自動安裝 CA證書到本地操作系統(tǒng) ) 證書服務(wù) 客戶端申請和安裝證書 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 （ 3）在 IE瀏覽器中選擇 【 工具 】 |【 Inter選項 】 命令，選擇 【 內(nèi)容 】 選項卡，單擊 【 證書 】 按鈕，打開 【 證書 】 對話框，選擇 【 受信任的根證書頒發(fā)機構(gòu) 】 選項卡，如下左圖。 （ 4）單擊 【 導(dǎo)入 】 ，打開 【 證書導(dǎo)入向?qū)?】 框中，單擊 【 下一步 】 ，打開 【 要導(dǎo)入的文件 】 頁，指定 CA證書存放位置（ D：），單擊 【 下一步 】 。 步驟（ 5）彈出 【 證書存儲 】 對話框，因為是受信任的根 CA證書，所以將其導(dǎo)入到 【 受信任的根證書頒發(fā)機構(gòu) 】 區(qū)域中，如下右圖，單擊 【 下一步 】 ，出現(xiàn)向?qū)瓿蓪υ捒驎r，單擊 【 完成 】 按鈕，完成 CA證書導(dǎo)入。 證書服務(wù) 客戶端申請和安裝證書 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 （ 1）打開 IE瀏覽器，中輸入 CA服務(wù)器的證書服務(wù)地址），出現(xiàn) 【 Microsoft 證書服務(wù) 】 頁面。單擊 【 申請一個證書 】 鏈接，進入 【 選擇一個證書類型 】 頁面。其中 【 Web瀏覽器證書 】 實現(xiàn)安全瀏覽網(wǎng)頁功能， 【 電子郵件保護證書 】 實現(xiàn)電子郵件的加密和簽名功能， 【 高級證書申請 】 允許用戶更靈活地設(shè)置證書申請選項，包括加密服務(wù)的選擇、密鑰長度高定等操作。 單擊 【 高級證書申請 】 鏈接，彈出 【 高級證書申請 】 頁面。 證書服務(wù) 客戶端申請和安裝證書 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 （ 3）單擊 【 創(chuàng)建并向此 CA提交一個申請 】 鏈接，彈出 【 識別信息 】頁面，在此頁面中輸入證書主題信息，包括姓名、公司、部門等信息，輸入完成后，單擊 【 提交 】 按鈕，服務(wù)器接受提交信息，返回 【 證書掛起 】 頁面，提示接受你申請的 ID號，并提示用此瀏覽器在 10天內(nèi)檢查證書申請，即上述申請過程申請的證書狀態(tài)只能通過該計算機查詢，在其他計算機上無法查詢。 證書服務(wù) 客戶端申請和安裝證書 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 （ 4）需要查詢申請的證書狀態(tài)，仍然使用 IE瀏覽器鏈接 CA服務(wù)器，單擊 【 查看掛起的證書申請的狀態(tài) 】 鏈接，若申請未被處理，則顯示如下左圖頁面。 （ 5）若證書頒發(fā)服務(wù)器已經(jīng)審核并接受了申請，并頒發(fā)了該證書，則顯示如下右圖頁面。此時，用戶選擇 【 安裝此證書 】 鏈接就可以安裝證書了。 證書服務(wù) 客戶端申請和安裝證書 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 IE中查看數(shù)字證書 微軟的 IE瀏覽器自帶數(shù)字證書管理器，可以查看本地計算機安裝的數(shù)字證書。操作步驟： （ 1）打開 IE瀏覽器，選擇【 工具 】 |【 Inter選項 】 命令，在打開 【 Inter選項 】對話框中，單擊 【 內(nèi)容 】 標簽，打開 【 內(nèi)容 】 選項卡。 （ 2）單擊 【 證書 】 按紐，打開 【 證書 】 對話框，查看用戶信任的當(dāng)前證書的列表。單擊 【 導(dǎo)入 】 按鈕，可以導(dǎo)入證書。 證書服務(wù) 客戶端申請和安裝證書 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 案例 1:使用證書對 Word文檔簽名 打開不再修改 Word文檔，選擇 【 工具 】 |【 選項 】 命令，打開 【 選項 】 對話框，單擊 【 安全 】 標簽，打開 【 安全 】 選項卡，單擊 【 數(shù)字簽名 】 按鈕，打開 【 數(shù)字簽名 】 對話框，單擊 【 添加 】 按鈕，提示在進行數(shù)字簽名前必須先保存文檔，確認后進入 【 選擇證書 】 對話框，選擇一個證書對文檔加密，然后依次選擇 【 確定 】 按鈕即可。 證書服務(wù) 加密后的文檔，再次打開時會在標題欄中出現(xiàn) “ 已簽名 ”字樣，用戶不修改，一但修改，數(shù)字簽名將消失，說明文件內(nèi)容不可信。 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 案例 2:使用證書發(fā)送簽名的 EMail （ 1）運行 Outlook Express ，單擊 【 工具 】 |【 帳戶 】 命令，打開 【 郵件 】 選項卡，單擊 【 添加 】 按鈕按提示添加用戶，如下左圖。單擊 【 屬性 】 按鈕，打開 【 帳戶屬性 】 對話框，單擊 【 安全 】 標簽，打開【 安全 】 對話框，如下右圖，分別在 【 簽署證書 】 和 【 加密首選項 】 兩欄中，單擊 【 選擇 】 按鈕，選擇讀者的數(shù)字證書，單擊 【 確定 】 按鈕，完成郵箱與證書的綁定，單擊 【 確定 】 按鈕。 證書服務(wù) 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 （ 3）發(fā)送加密的電子郵件 在 Outlook 口中，打開帶有對方的數(shù)字標識的郵件，單擊 【 答復(fù) 】 按鈕，打開答復(fù)郵件對話框，同時按下右上方的 【 加密 】 按鈕，單擊 【 發(fā)送 】 按鈕，加密郵件發(fā)送成功。 證書服務(wù) （ 2）發(fā)送簽名的電子郵件 在 Outlook ，單擊 【 創(chuàng)建郵件 】 按鈕，打開 【 新郵件 】 對話框，可以撰寫新郵件。同時按下右上方的 【 簽名 】 按鈕，單擊【 發(fā)送 】 按鈕，簽名郵件發(fā)送成功。當(dāng)收件人收到并打開有數(shù)字簽名的郵件時，將看到 【 數(shù)字簽名郵件 】 的提示信息，按 【 繼續(xù) 】 按鈕后，才可閱讀到該郵件的內(nèi)容。 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 實訓(xùn)時間： 4小時 實訓(xùn)目標： 通過對服務(wù)器進行各項安全配置，使學(xué)生了解安全模板，掌握安全配置和分析，安全配置向?qū)В笆褂媒M策略配置用戶、配置計算機及配置軟件的具體實例操作。 綜合實訓(xùn) 8: 安全配置 實訓(xùn)內(nèi)容 操作 1：安全配置和分析 步驟（ 1）打開數(shù)據(jù)庫 ,導(dǎo)入安全模板。 步驟（ 2）安全分析 , 查看安全分析結(jié)果。 步驟（ 3）配置系統(tǒng)安全機制。 操作 2：安全配置向?qū)? 步驟（ 1）新建一個“安全策略”。 步驟（ 2）輕松配置“角色”： Web服務(wù)器。 步驟（ 3）配置網(wǎng)絡(luò)安全。 步驟（ 4）注冊表設(shè)置。 步驟（ 5）啟用審核策略。 步驟（ 6）增強 IIS安全。 目錄 首頁 實訓(xùn)案例 1 實訓(xùn)案例 2 操作 3：配置 Windows防火墻 啟用 Windows防火墻，對 Windows防火墻進行標準服務(wù)的設(shè)置、 ICMP協(xié)議設(shè)置。 操作 4： IP安全設(shè)置 創(chuàng)建 IP安全策略 : 名稱為“禁止 Ping”，在 【 選擇協(xié)議類型 】 下拉列表中選擇 【 ICMP】 項。 操作 5：證書服務(wù) 步驟（ 1）安裝證書服務(wù)。 步驟（ 2）申請并安裝客戶證書。 步驟（ 3）在 IE中查看數(shù)字證書。 步驟（ 2）使用證書對 Word文檔簽名及使用證書發(fā)送簽名的 EMail。 綜合實訓(xùn) 8: 安全配置