教委教材样本14Word文档格式.docx

1、习题3-对应知识（2.1.9）习题4-对应知识（2.3.3）习题5-对应知识（2.2.1）习题6-对应知识（2.1.3）习题7-对应知识（2.1.7）习题8-对应知识（2.3.2）习题9-对应知识（2.3.4）习题10-对应知识（2.3.6）教学指导手册包新版幻灯片教师光盘:/Powerpnt/2823A_02.ppt多媒体视频证书链引擎习题解答/tPrep/answer/Answer2.doc先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。知识基础推荐补充网络基本概念、服务器基本应用和知识 网络常见协议的概念和使用Internet的使用和电子邮件服务常见的网络服务建议学时课堂教学

2、2课时+实验教学2课时教学过程教学提示 ：本节主要达到以下目的: 了解什么是公钥，证书的概念 如何建立一个公钥架构。如何管理证书颁发机构教学内容教学方法教学提示讲授：1、 首先用网上银行的例子引入保证数据在网络上传输的完整性和安全性的重要性。如果不能保证数据传输的完整性和安全性，就会出现非常大的损失。比如说改动一下传送的数据，存一块钱就变成了存一万块。改一下帐号，取的钱就变成了别人的。又或者在网络上传递的帐号密码，被别人所截获和窃取。2、 由银行的例子引申，发动同学们思考：如何保证数据不被篡改？3、 将学生的答案收缩，合为两个答案：数据需要进行加密，数据需要进行验证。4、 引发思考，如何保证数

3、据的完整性、安全性？使用信件和文件举例，传统信件往往使用发信者签名或者印鉴花押来表明信件的真实性。在电子时代，就可以使用电子签名。证书的一个非常重要的作用就是对信息进行签名。阅书：2.1.1幻灯：第6页 讲述注意流程的条理性。 由浅入深的介绍顺序。 简短的提问交互，不需要太长的时间。 根据学生的反馈来调节进度。针对以上的讨论内容，引入PKI的概念。主要分几个方面介绍：保密性。可以举出EFS的例子，使用证书PKI来加密文件的密钥，因而使得数据非常安全。完整性。使用了证书签名以后，可以保证邮件或者数据本身的完整性。因为修改过哪怕一个字节，也会有所体现。同时，PKI也能够通过CA结构保证自身的完整性

4、。不可抵赖性。使用了证书签名后，也就保证了数据的唯一性。可用性。CA的结构保证了某一个CA损坏之后，仍然能够通过其他的CA接替服务。讲解课本： 主要介绍保密性和完整性。 对不可抵赖性和可用性稍作介绍。可以以银行的例子来说明。简要说明一下Web Edition的Windows Server 2003不能够用来颁发证书。 简单带过PKI的组件。为了实现上述的目标，需要一整套的PKI组件来实现一个PKI架构。首先必不可少的是证书，整个PKI的架构都是为了提供可靠实用的证书。为了方便提供某一用途的证书，减少每一次定制证书的工作量，同时也是避免发出不适当的证书，需要使用证书模版来规划证书。为了管理证书，

5、还必须告知那些证书已经失效。证书本身有有效期限，但是在此期限以内要失效某个证书，需要使用证书吊销列表来表明。必须要有一个CA来发行和管理证书。所有发出的证书都将由这个CA来进行数字签名，以表明其有效性。为了提供证书和证书吊销列表给证书使用者，需要提供AIA和CDP。AIA可以告诉用户在哪里获得证书，而CDP可以告诉用户在哪里获得吊销的证书列表。AIA和CDP可以以多种形式发布出去，可以是目录服务也可以是Web。可以引导学生思考应用环境。例如目录服务可以结合Windows Server 2003的活动目录来提供，而外部用户可以通过安全的Web来提供CA信息。这样，用户就能够有效地、信任的使用CA

6、的证书系统。为了实现证书的管理和操作，一个管理工具必不可少。Windows Server 2003即提供了图形界面的管理控制台，也提供了快捷的命令行工具来管理以上的证书组件。有了以上的各种组件，CA才能够安全完整的提供证书服务。如果在授课时学生对组件印象不深，可以让学生课后在Windows Server 2003上查看有关证书的管理帮助。可以使用简图来标明几个组件之间的关系。2.1.2第7页 Windows Server2003 支持 v1 和 v2 的证书模板。v1 模板是预配置模板，不可修改；v2 模板则有许多可以控制的设置。如需了解更多有关证书模板的信息，可访问 Selecting Ce

7、rtificate Templates页面，网址是 2003 支持发布增量 CRL。如需了解更多有关信息，可访问“Whats New in Security”（新增安全功能），网址是 以上两点简要介绍，以供参考。回到最前面举的例子。我们的PKI是为了解决数据信任而诞生的。因此，需要将PKI以各种形式应用到各种环境中去。所以我们要介绍一下各种PKI应用程序。可以列举课本上的各种应用。需要引导学生注意的是，证书不仅用来表明用户帐户的身份，也用来表明计算机帐户的身份。甚至是服务帐户。可以拿802.1x协议来说明一下。2.1.3第8页 举例说明PKI如何应用于数据安全即可。从上一小节引入帐户概念。指出

8、证书对应的实体是各种帐户。2.1.4第9页 简单介绍介绍如何使用工具来管理PKI。首先介绍图形界面的管理控制台。为了实现不同的管理目的，管理控制台分为3种，分别管理证书、证书模版和证书颁发机构。可以稍作介绍，为了在一个管理控制台里管理这三个内容，可以将它们合并到一个管理控制台里。然后介绍一下命令行工具。分别介绍一下CertUtil.exe和CertReq.exe这两个工具。CertUtil用于命令行下管理CA，并且能用于脚本环境。比较适合不太方便使用图形界面或者需要大批量处理的场合。CertReq可用来生成脱机申请，方便在不同的环境下使用CA。可以适当举例，例如在商业环境下使用CA，比如说一台

9、WEB服务器需要使用证书，往往需要首先在服务器上生成一个脱机申请，然后发送给CA，由CA根据申请生成相应的证书。捎带介绍一下Windows Server 2003 Resource Kit里面的PKI工具和用于编成方面的API。2.1.5第10页 略为涉及，不用太过详细 可以让学生在课后对照书本进行一些了解通过之前的介绍，对整个PKI应该有了一个大致的了解。那么接下来就应该着重介绍证书颁发机构了。可以再次使用一些生动的例子来说明证书颁发机构的作用。例如，可以将证书颁发机构比喻成公安局。公安局负责给公民颁发身份证。首先公安局可以验证公民的身份证是否属实，是否是本人。这与CA需要验证申请者身份是一

10、致的。其次公安局可以给申请者颁发身份证，也就等同于CA能够为通过验证的申请者颁发证书。最后，公安局可以吊销某些身份证。CA也能够通过维护一个证书吊销列表来说明哪些证书不再有效。2.1.6第11页 如需了解更多有关设计证书颁发机构的信息，可参阅“Windows Server 2003 Deployment Kit”（Windows Server 2003 部署工具包）的第 16 章“Designing and Deploying Directory and Security”下的“Designing a Public Key Infrastructure”两种不同类型的CA。独立CA与企业CA的

11、区别。可以参照课本的对照表来进行讲解。最主要的区别在于两种CA对于活动目录的依赖性不同。2.1.7第12页 如果学生对哪种情况下使用哪种CA有兴趣，引导他们参考：教材配套光盘“课外读物”下的 “Best Practices for Implementing a Microsoft Windows Server2003 Public Key Infrastructure”介绍证书颁发机构设计的思路。参考课本的图，提示学生根据不同的侧重点，可以使用不同的结构设计。2.1.8第13页说明三层CA结构的必要性。解释清楚根CA、策略CA、颁发CA的概念。可以适当介绍分级CA的应用，例如可以将根CA离线保

12、护，使用从属CA进行日常的证书服务。2.1.9第14页小结：本节介绍 PKI 和 CA。PKI指使公司能保护其在 Internet 上的通信和业务事务的技术集成、基本架构和实践。PKI 提供了所有应用程序和网络安全措施的基础，其中包括对通过 Web 浏览器访问信息资源的控制，安全电子邮件和数字表单签名。2.2 安装证书颁发机构本节主要达到以下目的。 介绍如何安装CA 如何使用CAPolicy.inf来定义CA的安装 如何安装从属CA内容提示 CA安装非常简单，只需要在“添加删除组件”里面加入CA的组件即可。2.2.1第18页可以让学生课外体验介绍CAPolicy.inf对于安装CA时所起的作用

13、。简单介绍一下该文件的各个属性选项所起的作用。略为介绍描述清楚从属CA安装的步骤。最重要的地方是指出安装从属CA的时候在安装向导里面的选择不同。可以将安装从属证书的过程截图提供给学生参考。2.2.2第19页要描述清楚不同级别的CA安装的时候是不同的。说明完成从属CA的安装还需要在从属CA上安装上一级CA的证书。由于企业自行部署的CA基本上都不在操作系统安装时，自带的受信任根证书列表当中，因此需要将上一级CA保存到从属CA的受信任根节点当中去。2.2.3第20页说明安装上一级CA的证书的重要性 本节将学习如何安装企业从属 CA。在 PKI 层次结构中，根 CA 下的 CA 称为从属 CA。从属

14、CA 的证书签名密钥由另一个 CA 认证。2.3 管理证书颁发机构本节主要达到以下目的： 如何管理证书颁发机构以实现证书的应用 如何配置证书颁发机构的设置证书颁发机构需要严格的管理来实现预期的目标，即正常的提供证书服务。为了实现上述目标，需要针对PKI各个组件进行细致的管理，如颁发和吊销不再使用的证书，为了方便管理而创建证书模版，为了表明证书吊销列表而发布CRL，为了让证书用户及时获取证书和吊销列表，而确保AIA和CDP的可用性等等。2.3.1第23页结合前面提过的PKI组件，一边回忆一边引入。提问：应用程序如何确认证书是正确的可用的？Windows Server 2003系统以及应用程序，使

15、用CryptoAPI接口来进行证书有效性检查。首先是查找证书，找到证书后将会按照证书的记载查找证书链，也称路径查找，一直到查找到受信任的自签名证书，也就是根节点。在此过程中会进行证书吊销的检查，一旦链上某一节证书被吊销，即认为该证书链不再可信。可以举地下党联系的例子。所有党员单线联系，一旦发现某一人已经叛变，就不再信任这一通信渠道。说明验证过程即可为了保证证书有效性，客户端需要对证书进行验证测试。X.509本省包含了很多属性，例如证书的颁发日期、有效日期，用处、签发证书的CA、签发证书CA的密钥签名等等。这样就能够保证证书本身的完整性和有效性以及不可更改性。为了验证证书是否有效，需要进行证书的

16、验证过程。可以结合课本和之前提过的过程再次描述一遍，关键说明验证过程使用了那些手段方式证书被改动和被破坏。2.3.2第24页描述清楚证书验证的过程简单说明吊销证书的必要性，以及针对不同的吊销原因使用不同的吊销码。说明一下使用吊销码能够帮助用户和管理员清楚地理解证书状态即可。2.3.3第26页简单描述借助课本上的图说明基本CRL和增量CRL的概念可以引入备份的概念来加以说明，完整备份和增量备份。2.3.4第27页比较好理解的内容，简要说明即可简要描述CRL发布的时间间隔对整个环境的影响。2.3.5第28页回顾AIA和CRL的作用，说明提供这两种发布点的重要性。引导学生根据不同的需求使用不同的发布

17、点，并说明AIA、CRL发布点的可用性对于CA和证书验证的重要性。2.3.6第29页稍微结合前面的内容介绍说明为什么需要修改AIACRL位置。借机再次强调AIA和CRL对于CA架构和证书验证的重要性。2.3.7第30页略为带过实验：通过实验来说明AIA/CRL对于证书验证的重要性。参考实验手册完成。管理证书颁发机构是使用证书服务的重点。在规划好一个PKI架构以后，如何实现证书服务，完全取决于如何管理证书颁发机构。2.4 备份和还原证书颁发机构 如何备份和恢复CA（略讲） 如何备份恢复证书服务（稍作详讲）如何备份一个系统？如何备份系统当前的状态？使用Windows系统自带的备份软件NTBacku

18、p，可以将系统的状态备份起来，包含几乎所有服务的设置、服务的数据、IIS的配置、注册表设置等等。因此使用系统状态备份是首选的CA备份手段。2.4.1第34页根据学生的反馈，将回答引导到备份系统状态上。除了使用系统的备份工具，在不方便使用系统备份工具的时候，还可以通过CA服务本身的备份恢复功能来备份恢复CA服务配置。可以参考课本，结合实验环境，向同学讲授证书服务备份和恢复的步骤。2.4.2/2.4.32.4.2第35页可以说明证书服务备份恢复的重要性。按照实验手册完成实验2-2可以在实验的时候帮助学生回忆本节和本章的内容。为了保证CA和证书的可靠性，备份和恢复相当重要。这也是维护PKI架构一个非

19、常重要的方面。总结 经过本章的学习，我们了解了下列的知识和内容。 PKI 和证书颁发机构简介 安装证书颁发机构 管理证书颁发机构 备份和还原证书颁发机构在下一章中，我们将学习配置、部署和管理证书案例教学本章内容对应案例Windows2003部分9.3证书服务器管理和配置随堂练习1. 假设你是的安全管理员。网络由两个叫做和 的活动目录域组成。每个域存在于一个独立的活动目录林中，并且没有建立任何信任关系。每个活动目录域包含一个运行Windows Server 2003 证书服务的证书颁发机构（CA）。这些计算机被命名为shixunA和shixunB。每个 CA 属于独立和彼此隔绝的CA层次。计算机

20、仅信任在他们活动目录域中的CA。所有的计算机根据他们活动目录域中的 CA 发布为标准计算机证书。两个叫做shixun3和shixun4的Windows Server 2003计算机作为文件服务器的功能如图所示：为了保护来自两个域的用户访问shixun3和shixun4上的机密数据，你想在数据传输过程中执行 IPSec 来对文件数据加密。你使用两个服务器上的基于证书的 IPSec 身份验证来配置一个 IPSec 策略，对文件数据传输加密。你使用两个活动目录域的客户机上基于证书的 IPSec 身份验证来配置一个 IPSec 策略，对要传输到 shixun3 和 shixun4 的文件数据加密。在测

21、试期间，你注意到只有当客户机和相同活动目录域中的文件服务器进行通信的时候，客户机才可以使用 IPSec 策略。在和shixun3 和 shixun4 进行通信时，你需要使所有客户端计算机使用 IPSec 策略。你该怎么做？A使shixun3 和 shixun4 上的信任计算机委派选项有效。 向两个活动目录域中的所有计算机使用的 IPSec 策略添加活动目录默认（Kerberos V5协议）身份验证方法。B对存储在两个活动目录域中的所有计算机上的每个公钥机构（PKI）和受信任根证书颁发机构添加根 CA 证书。 对根 CA 证书的 CA 验证方法和被两个活动目录域中所有计算机使用的IPSec 策略

22、添加“使用一个证书”选项。C从 域中的 CA 上发布 域中每个计算机的IPSec 证书。发布 域中每个计算机的来自 域的一个CA 的IPSec 证书。D从 域中的 CA 上发布 域中每个计算机的IPSec 证书。发布 域中每个计算机的来自 域的一个CA 的IPSec 证书。答案: B2假设你是安全管理员。网络由一个叫做的单一活动目录域组成。域包含Windows Server 2003计算机。你管理着一个叫做shixun6的，是域成员服务器的Windows Server 2003计算机。你在shixun6上使用IIS来维护一个Internet网络站点。网络站点对一个合作公司的雇员发布信息。合作公

23、司网络由一个单一的活动目录域组成。大约有500名合作公司的雇员通过Internet 访问shixun6上的公司机密数据。所有合作公司的雇员需要访问相同的数据。合作公司的IT部门维护着一个证书颁发机构（CA）。他们使用 CA 对公司的所有员工发布验证会话证书。这些证书的复件和雇员用户帐户一起存储在合作公司的活动目录域。你需要根据公司发布的证书来验证shixun6上的用户。你想使用最少的管理精力来实现这个目标。你使shixun6上的SSL和基于证书的验证选项有效，同时把合作公司的根 CA 证书添加到shixun6上的受信任根证书颁发机构。你该执行哪三个措施？（每个正确答案代表部分解决方法。选择三个

24、）A在你的活动目录域中创建一个叫做 PartnerEmployees 的安全组，一个叫做 PartnerUser 的用户帐户。把此用户帐户添加到 PartnerEmployees 组中。B在你的活动目录域中创建一个叫做 PartnerEmployees 的安全组，为合作公司所有雇员每人创建一个用户帐户。把这些账户添加到PartnerEmployees 组中。C为 PartnerEmployees 分配对 shixun6 中需求数据的访问权限。D在 shixun6 上添加一个可以映射到 ISS 的多对一证书。创建一个映射规则来接收由合作公司的内部 CA 发布的证书。E为 shixun6 上的 IIS 中添加一个可以映射到合作公司雇员的一对一证书。 A, C, D布置作业