《Windows服務(wù)器配置與管理》第頁/共7頁學(xué)習(xí)模塊模塊三網(wǎng)絡(luò)服務(wù)教學(xué)項(xiàng)目項(xiàng)目14配置與管理CA服務(wù)器-3授課學(xué)時2學(xué)時授課對象計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)大二學(xué)生授課地點(diǎn)多媒體機(jī)房課程類型理實(shí)一體課教學(xué)目標(biāo)知識目標(biāo)1.了解CA的發(fā)展現(xiàn)狀；2.熟悉CA的基本概念、CA的業(yè)務(wù)流程；3.掌握CA的基本框架。能力目標(biāo)1.具備管理和維護(hù)CA服務(wù)器的能力；2.具備在客戶端測試CA服務(wù)器的能力。思政育人目標(biāo)1.培養(yǎng)學(xué)生的安全防范意識，增強(qiáng)自我保護(hù)意識；2.培養(yǎng)學(xué)生具有網(wǎng)絡(luò)安全的責(zé)任意識。教學(xué)內(nèi)容1.CA的基本概念；2.CA的發(fā)展現(xiàn)狀；3.CA的框架模型；4.CA的業(yè)務(wù)流程。教學(xué)任務(wù)1.管理CA服務(wù)器；2.測試CA服務(wù)器。教學(xué)重點(diǎn)CA的業(yè)務(wù)流程、CA的基本框架教學(xué)難點(diǎn)管理和測試CA服務(wù)器教學(xué)環(huán)境教學(xué)做一體化教室、信息化教學(xué)平臺（智慧職教）教學(xué)方法1．宏觀上采用“項(xiàng)目引導(dǎo)”，在微觀上采用“任務(wù)驅(qū)動”、“問題牽引”、以實(shí)際演示講解。2．在課堂上注意講、學(xué)、做相結(jié)合，注重與學(xué)生的互動，充分調(diào)動學(xué)生的積極性，培養(yǎng)學(xué)習(xí)興趣、分析問題和解決問題的能力以及自學(xué)能力。課前準(zhǔn)備1．建議在能完成“教、學(xué)、做”一體化實(shí)訓(xùn)室上課；2．學(xué)生一人一機(jī)；3．學(xué)生在智慧職教上預(yù)習(xí)本次課的教學(xué)內(nèi)容。教學(xué)過程設(shè)計(jì)教學(xué)環(huán)節(jié)教學(xué)內(nèi)容教師活動學(xué)生活動設(shè)計(jì)意圖（含思政）課前自主探索教師在網(wǎng)絡(luò)學(xué)習(xí)平臺智慧職教上發(fā)布微課視頻、教學(xué)資料和任務(wù)單等資源。學(xué)生自主學(xué)習(xí)，根據(jù)工作任務(wù)單準(zhǔn)備課堂環(huán)境。1.發(fā)布學(xué)習(xí)資源2.要求學(xué)生做好課前準(zhǔn)備1.在智慧職教上自主學(xué)習(xí)微課視頻等學(xué)習(xí)資源2.根據(jù)工作任務(wù)單準(zhǔn)備環(huán)境以項(xiàng)目任務(wù)設(shè)計(jì)為主線，提高學(xué)生自主學(xué)習(xí)能力，讓學(xué)生主動學(xué)。步驟1項(xiàng)目背景（5分鐘）成都航院校園網(wǎng)的WEB站點(diǎn)對外具有相關(guān)的業(yè)務(wù)，為了確保校園網(wǎng)以外的可信任的客戶端與服務(wù)器之間可以進(jìn)行信息交互，并且具有WEB交易的安全，需將該站點(diǎn)配置為HTTPS訪問的站點(diǎn)，在不增加額外成本的前提下利用PKI技術(shù)，依靠數(shù)字證書實(shí)現(xiàn)身份驗(yàn)證和數(shù)據(jù)加密。1.【講解】項(xiàng)目背景1.【理解】為什么要使用CA服務(wù)器通過情境教學(xué)，激發(fā)學(xué)生學(xué)習(xí)興趣，提高分析問題能力。步驟2項(xiàng)目知識14.2.6CA概述（25分鐘）1.CA的概念CA(CertificateAuthority)是數(shù)字證書認(rèn)證中心的簡稱，是指發(fā)放、管理、廢除數(shù)字證書的機(jī)構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進(jìn)行管理。CA是PKI的核心組成部分。2.在安全系統(tǒng)的基礎(chǔ)下，CA可以分為根CA（RootCA）和從屬CA（SubordinateCA）3.CA的發(fā)展現(xiàn)狀1999年8月3日成立的我國第一家CA認(rèn)證中心目前我國已有140多家CA認(rèn)證機(jī)構(gòu)，但大都不具備合法身份。2004年8月8日《中華人民共和國電子簽名法》頒布以后，已被信息產(chǎn)業(yè)部審批的合法CA機(jī)構(gòu)已有22家。其中一些行業(yè)建成了自己的一套CA體系還有一些地區(qū)建立了區(qū)域性CA體系4.引入“安裝數(shù)字證書避免一場騙局”案例，培養(yǎng)學(xué)生的安全防范意識，增強(qiáng)自我保護(hù)意識。1.【講解】CA的相關(guān)概念2.【講解】：“安裝數(shù)字證書避免一場騙局”案例，培養(yǎng)學(xué)生的安全防范意識，增強(qiáng)自我保護(hù)意識1.【理解】CA的相關(guān)概念2.【思考】如何在平時的生活中提高安全防范意識？在講解數(shù)字證書概念的時候，引入“安裝數(shù)字證書避免一場騙局”案例，增強(qiáng)學(xué)生的安全防范意識。步驟2項(xiàng)目知識14.2.7CA的框架模型（25分鐘）一個典型的CA系統(tǒng)包括安全服務(wù)器、注冊機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等。1.安全服務(wù)器面向普通用戶，用于提供證書申請、瀏覽、證書撤消列表以及證書下載等安全服務(wù)。2.注冊機(jī)構(gòu)RA：登記中心服務(wù)器面向登記中心操作員，在CA體系結(jié)構(gòu)中起承上啟下的作用。3.CA服務(wù)器使整個證書機(jī)構(gòu)的核心，負(fù)責(zé)證書的簽發(fā)。4.LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊機(jī)構(gòu)服務(wù)器傳輸過來的用戶信息以及數(shù)字證書加入到服務(wù)器上。5.數(shù)據(jù)庫服務(wù)器是認(rèn)證機(jī)構(gòu)中的核心部分，用于認(rèn)證機(jī)構(gòu)中數(shù)據(jù)、日志合統(tǒng)計(jì)信息的存儲和管理。6.【討論】CA的框架模型中那部分是最核心，為什么？要求學(xué)生在智慧職教上回答。1.【講解】CA的框架模型2.【討論】：CA的框架模型中那部分是最核心，為什么？要求學(xué)生在智慧職教上回答1.【理解】CA的框架模型2.【回答】在智慧職教上完成回答通過討論法，讓學(xué)生理解CA的框架模型。步驟2項(xiàng)目知識14.2.8證書的申請和撤銷（10分鐘）1.證書的申請證書的申請有兩種方式，一是在線申請，另外一個就是離線申請。證書申請的步驟：1）用戶申請2）注冊機(jī)構(gòu)審核3）CA發(fā)行證書4）注冊機(jī)構(gòu)證書轉(zhuǎn)發(fā)5）用戶證書獲取2.證書的撤銷（1）用戶向注冊機(jī)構(gòu)操作員發(fā)送一封簽名加密的郵件（2）注冊機(jī)構(gòu)同意證書撤消，請求進(jìn)行數(shù)字簽名。

（3）CA查詢證書撤消請求列表，驗(yàn)證操作員的數(shù)字簽名，同時更新CRL列表（4）注冊機(jī)構(gòu)轉(zhuǎn)發(fā)證書撤消列表（5）用戶瀏覽安全服務(wù)器，下載或?yàn)g覽CRL1.【講解】證書的申請和撤銷步驟1.【理解】證書的申請和撤銷步驟通過講授法，讓學(xué)生理解證書的申請和撤銷。步驟2項(xiàng)目知識14.2.9CA的業(yè)務(wù)流程（15分鐘）由服務(wù)器的運(yùn)營人員向CA提出公鑰申請，CA在判明申請者身份后，會對已申請的公鑰做數(shù)字簽名；然后分配這個已簽名的公鑰，將其放入公鑰證書并綁定在一起。服務(wù)器會將這份由CA頒發(fā)的公鑰證書發(fā)送給客戶端，以進(jìn)行公鑰加密方式通信。接到證書的客戶端可使用CA的公鑰，對那張證書上的數(shù)字簽名進(jìn)行驗(yàn)證，客戶端一旦驗(yàn)證通過就可以確認(rèn)：服務(wù)器的公鑰是值得信賴的，其認(rèn)證機(jī)構(gòu)是真實(shí)有效的CA。但在這一流程中，認(rèn)證機(jī)構(gòu)的公鑰必須安全地轉(zhuǎn)交給客戶端，而使用網(wǎng)絡(luò)通信方式則很難保證。為此，大多數(shù)瀏覽器開發(fā)商發(fā)布版本時，會事先在內(nèi)部植入常用認(rèn)證機(jī)構(gòu)的公鑰。1.【講解】CA的業(yè)務(wù)流程1.【理解】CA的業(yè)務(wù)流程通過問題教學(xué)法，讓學(xué)生理解CA的業(yè)務(wù)流程。步驟3隨堂測驗(yàn)（10分鐘）在智慧職教上完成隨堂測驗(yàn)1.【組織】要求學(xué)生在智慧職教完成測驗(yàn)1.【測驗(yàn)】進(jìn)入智慧職教完成隨堂測驗(yàn)通過信息化教學(xué)平臺測試結(jié)果，進(jìn)行教學(xué)反思，有效地調(diào)整教學(xué)策略。課后拓展提升預(yù)習(xí)項(xiàng)目實(shí)訓(xùn)14配置與管理CA服務(wù)器學(xué)生自行查閱相關(guān)資料，預(yù)習(xí)項(xiàng)目實(shí)訓(xùn)14，可參考項(xiàng)目指導(dǎo)書14。課后反思本次課程是CA服務(wù)器的相關(guān)內(nèi)容，教師采用行動導(dǎo)向教學(xué)法進(jìn)行教學(xué)設(shè)計(jì)，綜合運(yùn)用多種教學(xué)手段和信息化教學(xué)平臺開展教學(xué)活動，課前在智慧職教平臺發(fā)布該項(xiàng)目的學(xué)習(xí)成果，激發(fā)學(xué)生學(xué)習(xí)積極性，讓學(xué)生明確學(xué)習(xí)目標(biāo)，課中引導(dǎo)學(xué)生完成工作任務(wù)，使用多種教學(xué)法，課后通過信息化平臺收集學(xué)生數(shù)據(jù)及反饋意見，形成課堂報(bào)告，通過閉環(huán)反饋優(yōu)化教學(xué)設(shè)計(jì)與實(shí)施環(huán)節(jié)。通過后臺數(shù)據(jù)分析得知，學(xué)生能夠積極參加各項(xiàng)教學(xué)活動，特別是仿真軟件的使用，和教師互動頻繁高效，學(xué)習(xí)興趣較高，課中能跟隨教師引導(dǎo)，自主開展小組學(xué)習(xí)和討論，所提交習(xí)得成果達(dá)標(biāo)率高，后臺數(shù)據(jù)分析可知學(xué)生能力在經(jīng)過本課程學(xué)習(xí)后得到較全面提升，較好的完成了課程教學(xué)的知識、能力、思政育人培養(yǎng)目標(biāo)?！禬indows服務(wù)器配置與管理》年第學(xué)期課程名稱授課班級主講教師教研室系（部）年第學(xué)期課程名稱授課班級主講教師教研室系（部）使用教材Windows服務(wù)器配置與管理CA服務(wù)器-4《Windows服務(wù)器配置與管理》學(xué)習(xí)模塊模塊三網(wǎng)絡(luò)服務(wù)教學(xué)項(xiàng)目項(xiàng)目14配置與管理CA服務(wù)器-4授課學(xué)時2學(xué)時授課對象計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)大二學(xué)生授課地點(diǎn)多媒體機(jī)房課程類型理實(shí)一體課教學(xué)目標(biāo)知識目標(biāo)1.了解CA的發(fā)展現(xiàn)狀；2.熟悉CA的基本概念、CA的業(yè)務(wù)流程；3.掌握CA的基本框架。能力目標(biāo)1.具備管理和維護(hù)CA服務(wù)器的能力；2.具備在客戶端測試CA服務(wù)器的能力。思政育人目標(biāo)1.培養(yǎng)學(xué)生的安全防范意識，增強(qiáng)自我保護(hù)意識；2.培養(yǎng)學(xué)生具有網(wǎng)絡(luò)安全的責(zé)任意識。教學(xué)內(nèi)容1.CA的基本概念；2.CA的發(fā)展現(xiàn)狀；3.CA的框架模型；4.CA的業(yè)務(wù)流程。教學(xué)任務(wù)1.管理CA服務(wù)器；2.測試CA服務(wù)器。教學(xué)重點(diǎn)CA的業(yè)務(wù)流程、CA的基本框架教學(xué)難點(diǎn)管理和測試CA服務(wù)器教學(xué)環(huán)境教學(xué)做一體化教室、信息化教學(xué)平臺（智慧職教）教學(xué)方法1．宏觀上采用“項(xiàng)目引導(dǎo)”，在微觀上采用“任務(wù)驅(qū)動”、“問題牽引”、以實(shí)際演示講解。2．在課堂上注意講、學(xué)、做相結(jié)合，注重與學(xué)生的互動，充分調(diào)動學(xué)生的積極性，培養(yǎng)學(xué)習(xí)興趣、分析問題和解決問題的能力以及自學(xué)能力。課前準(zhǔn)備1．建議在能完成“教、學(xué)、做”一體化實(shí)訓(xùn)室上課；2．學(xué)生一人一機(jī)；3．學(xué)生在智慧職教上預(yù)習(xí)本次課的教學(xué)內(nèi)容。教學(xué)過程設(shè)計(jì)教學(xué)環(huán)節(jié)教學(xué)內(nèi)容教師活動學(xué)生活動設(shè)計(jì)意圖（含思政）課前自主探索教師在網(wǎng)絡(luò)學(xué)習(xí)平臺智慧職教上發(fā)布微課視頻、教學(xué)資料和任務(wù)單等資源。學(xué)生自主學(xué)習(xí)，根據(jù)工作任務(wù)單準(zhǔn)備課堂環(huán)境。1.發(fā)布學(xué)習(xí)資源2.要求學(xué)生做好課前準(zhǔn)備1.在智慧職教上自主學(xué)習(xí)微課視頻等學(xué)習(xí)資源2.根據(jù)工作任務(wù)單準(zhǔn)備環(huán)境以項(xiàng)目任務(wù)設(shè)計(jì)為主線，提高學(xué)生自主學(xué)習(xí)能力，讓學(xué)生主動學(xué)。步驟1項(xiàng)目實(shí)施任務(wù)14-2測試CA服務(wù)器（40分鐘）1.創(chuàng)建基于SSL協(xié)議的WEB站點(diǎn)并進(jìn)行證書綁定要讓用戶能夠使用HTTPS方式訪問指定的Web站點(diǎn)，還必須將Web服務(wù)器上的證書傳遞給客戶機(jī)的瀏覽器，這就要SSL與IIS進(jìn)行配合。因此，首先要完成基于SSL的安全Web站點(diǎn)的配置。2.首次訪問HTTPS站點(diǎn)并查看證書當(dāng)客戶機(jī)第一次訪問該站點(diǎn)時必然會提示“此網(wǎng)站的安全證書存在問題”的警報(bào)信息，這就需要在客戶機(jī)上安裝所接收到的來自Web服務(wù)器的證書，并將其頒發(fā)機(jī)構(gòu)存儲為受信任的根證書頒發(fā)機(jī)構(gòu)之后才能正常訪問。3.安裝根證書使其受客戶端信任為了解決“證書錯誤”問題，需要在客戶端中下載和導(dǎo)入服務(wù)器的根CA證書，使其受客戶端信任。4.再次訪問HTTPS站點(diǎn)再次在客戶端打開IE瀏覽器，在地址欄中輸入“”并按Enter鍵，此時不再出現(xiàn)“證書錯誤”的安全警報(bào)信息，而是直接打開基于SSL的安全Web站點(diǎn)主頁。5.可參考任務(wù)指導(dǎo)書14-2和教學(xué)視頻任務(wù)14-2。1.【演示】搭建實(shí)驗(yàn)環(huán)境2.【演示】任務(wù)14-2測試CA服務(wù)器1.【操作】根據(jù)任務(wù)要求，測試CA服務(wù)器通過微課視頻，讓學(xué)生具備測試CA服務(wù)器的能力。步驟1項(xiàng)目實(shí)施任務(wù)14-3管理CA服務(wù)器（40分鐘）管理數(shù)字證書是系統(tǒng)管理員的一項(xiàng)重要工作，確保證書的安全使用。1.CA的備份和還原以使用CA自帶的工具來對整個CA的數(shù)據(jù)進(jìn)行備份與還原。一般來說，對CA的備份頻率取決于它所頒發(fā)的證書數(shù)量，頒發(fā)的證書越多，則備份次數(shù)就應(yīng)該越多。2.更新證書由于根CA的證書都是自己發(fā)給自己的，而從屬CA的證書是向根CA申請的，根CA發(fā)放給從屬CA證書的有效期絕對不會超過根CA本身的有效期限。如果CA本身的有效時間已剩下不多，則它發(fā)送的證書有效時間就會更短。因此，應(yīng)盡早更新CA的證書，而用戶的證書也要在過期之前進(jìn)行更新。3.當(dāng)用戶的計(jì)算機(jī)需要重新安裝或更換時，應(yīng)當(dāng)將其所申請的證書導(dǎo)出并備份，然后再將備份的證書導(dǎo)入到新的系統(tǒng)中。4.吊銷證書用戶所申請的證書都有一定的有效期，一般默認(rèn)為1年。當(dāng)用戶離開企業(yè)后，證書將不能繼續(xù)使用，此時應(yīng)當(dāng)及時予以吊銷。另外，用戶也可以吊銷自己尚未到期的證書。5.使用Windows控制臺管理證書在WindowsServer2012平臺下搭建的CA服務(wù)器上，除了可以利用【證書頒發(fā)機(jī)構(gòu)（本地）】控制臺對數(shù)字證書進(jìn)行部分常規(guī)管理操作外，還可以通過在統(tǒng)一的【控制臺】窗口中添加【證書】管理單元，來實(shí)現(xiàn)對CA及用戶證書更全面的管理。6.可參考任務(wù)指導(dǎo)書14-3和教學(xué)視頻任務(wù)14-3。1.【演示】搭建實(shí)驗(yàn)環(huán)境2.【演示】任務(wù)14-3管理CA服務(wù)器1.【操作】根據(jù)任務(wù)要求，管理CA服務(wù)器通過微課視頻，讓學(xué)生具備管理CA服務(wù)器的能力。步驟2知識的鞏固與遷移（2分鐘）CA的工作流程是什么？1.【組織】學(xué)生討論1.【討論】綜合討論，形成相關(guān)意見通過頭腦風(fēng)暴，讓學(xué)生善于學(xué)習(xí)總結(jié)步驟3課堂評價（3分鐘）1.總結(jié)本次課學(xué)習(xí)內(nèi)容2.利用智慧職教實(shí)施教學(xué)活動，實(shí)時采集學(xué)生數(shù)據(jù)，評價學(xué)生動態(tài)學(xué)習(xí)效果3.根據(jù)任務(wù)評價表14-2、14-3進(jìn)行課堂評價1.【總結(jié)】2.【評價】1.【思考】2.【評價】通過任務(wù)評價表，讓學(xué)生進(jìn)行自我反思。步驟4布置作業(yè)（5分鐘）1.安裝：在WindowsServer2012中安裝CA服務(wù)器，并設(shè)置其IP地址為10.10.xx.1/8，DNS為10.10.xx.1（xx為學(xué)號后兩位），域名為（yy為姓名首字母）。2.配置CA服務(wù)器，并具有相應(yīng)的證書。3.測試CA服務(wù)器：在Web站點(diǎn)“”上進(jìn)行安全訪問，不會提示有證書錯誤。1.【布置】項(xiàng)目實(shí)訓(xùn)141.【提交】每組在智慧職教上提交實(shí)訓(xùn)報(bào)告要求學(xué)生分組完成作業(yè)，引入“部隊(duì)三互”（互學(xué)、互幫、互教），培養(yǎng)學(xué)生團(tuán)隊(duì)協(xié)作的能力課后拓展提升項(xiàng)目實(shí)訓(xùn)14配置與管理CA服務(wù)器學(xué)生自行查閱相關(guān)資料，分組完成項(xiàng)目實(shí)訓(xùn)14，在智慧職教上提交實(shí)訓(xùn)報(bào)告，可參考項(xiàng)目指導(dǎo)書14。課后反思本次課程是CA服務(wù)器