《Windows服務器配置與管理》第頁/共7頁學習模塊模塊三網絡服務教學項目項目14配置與管理CA服務器-3授課學時2學時授課對象計算機網絡技術大二學生授課地點多媒體機房課程類型理實一體課教學目標知識目標1.了解CA的發展現狀；2.熟悉CA的基本概念、CA的業務流程；3.掌握CA的基本框架。能力目標1.具備管理和維護CA服務器的能力；2.具備在客戶端測試CA服務器的能力。思政育人目標1.培養學生的安全防范意識，增強自我保護意識；2.培養學生具有網絡安全的責任意識。教學內容1.CA的基本概念；2.CA的發展現狀；3.CA的框架模型；4.CA的業務流程。教學任務1.管理CA服務器；2.測試CA服務器。教學重點CA的業務流程、CA的基本框架教學難點管理和測試CA服務器教學環境教學做一體化教室、信息化教學平臺（智慧職教）教學方法1．宏觀上采用“項目引導”，在微觀上采用“任務驅動”、“問題牽引”、以實際演示講解。2．在課堂上注意講、學、做相結合，注重與學生的互動，充分調動學生的積極性，培養學習興趣、分析問題和解決問題的能力以及自學能力。課前準備1．建議在能完成“教、學、做”一體化實訓室上課；2．學生一人一機；3．學生在智慧職教上預習本次課的教學內容。教學過程設計教學環節教學內容教師活動學生活動設計意圖（含思政）課前自主探索教師在網絡學習平臺智慧職教上發布微課視頻、教學資料和任務單等資源。學生自主學習，根據工作任務單準備課堂環境。1.發布學習資源2.要求學生做好課前準備1.在智慧職教上自主學習微課視頻等學習資源2.根據工作任務單準備環境以項目任務設計為主線，提高學生自主學習能力，讓學生主動學。步驟1項目背景（5分鐘）成都航院校園網的WEB站點對外具有相關的業務，為了確保校園網以外的可信任的客戶端與服務器之間可以進行信息交互，并且具有WEB交易的安全，需將該站點配置為HTTPS訪問的站點，在不增加額外成本的前提下利用PKI技術，依靠數字證書實現身份驗證和數據加密。1.【講解】項目背景1.【理解】為什么要使用CA服務器通過情境教學，激發學生學習興趣，提高分析問題能力。步驟2項目知識14.2.6CA概述（25分鐘）1.CA的概念CA(CertificateAuthority)是數字證書認證中心的簡稱，是指發放、管理、廢除數字證書的機構。CA的作用是檢查證書持有者身份的合法性，并簽發證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。CA是PKI的核心組成部分。2.在安全系統的基礎下，CA可以分為根CA（RootCA）和從屬CA（SubordinateCA）3.CA的發展現狀1999年8月3日成立的我國第一家CA認證中心目前我國已有140多家CA認證機構，但大都不具備合法身份。2004年8月8日《中華人民共和國電子簽名法》頒布以后，已被信息產業部審批的合法CA機構已有22家。其中一些行業建成了自己的一套CA體系還有一些地區建立了區域性CA體系4.引入“安裝數字證書避免一場騙局”案例，培養學生的安全防范意識，增強自我保護意識。1.【講解】CA的相關概念2.【講解】：“安裝數字證書避免一場騙局”案例，培養學生的安全防范意識，增強自我保護意識1.【理解】CA的相關概念2.【思考】如何在平時的生活中提高安全防范意識？在講解數字證書概念的時候，引入“安裝數字證書避免一場騙局”案例，增強學生的安全防范意識。步驟2項目知識14.2.7CA的框架模型（25分鐘）一個典型的CA系統包括安全服務器、注冊機構RA、CA服務器、LDAP目錄服務器和數據庫服務器等。1.安全服務器面向普通用戶，用于提供證書申請、瀏覽、證書撤消列表以及證書下載等安全服務。2.注冊機構RA：登記中心服務器面向登記中心操作員，在CA體系結構中起承上啟下的作用。3.CA服務器使整個證書機構的核心，負責證書的簽發。4.LDAP服務器提供目錄瀏覽服務，負責將注冊機構服務器傳輸過來的用戶信息以及數字證書加入到服務器上。5.數據庫服務器是認證機構中的核心部分，用于認證機構中數據、日志合統計信息的存儲和管理。6.【討論】CA的框架模型中那部分是最核心，為什么？要求學生在智慧職教上回答。1.【講解】CA的框架模型2.【討論】：CA的框架模型中那部分是最核心，為什么？要求學生在智慧職教上回答1.【理解】CA的框架模型2.【回答】在智慧職教上完成回答通過討論法，讓學生理解CA的框架模型。步驟2項目知識14.2.8證書的申請和撤銷（10分鐘）1.證書的申請證書的申請有兩種方式，一是在線申請，另外一個就是離線申請。證書申請的步驟：1）用戶申請2）注冊機構審核3）CA發行證書4）注冊機構證書轉發5）用戶證書獲取2.證書的撤銷（1）用戶向注冊機構操作員發送一封簽名加密的郵件（2）注冊機構同意證書撤消，請求進行數字簽名。

（3）CA查詢證書撤消請求列表，驗證操作員的數字簽名，同時更新CRL列表（4）注冊機構轉發證書撤消列表（5）用戶瀏覽安全服務器，下載或瀏覽CRL1.【講解】證書的申請和撤銷步驟1.【理解】證書的申請和撤銷步驟通過講授法，讓學生理解證書的申請和撤銷。步驟2項目知識14.2.9CA的業務流程（15分鐘）由服務器的運營人員向CA提出公鑰申請，CA在判明申請者身份后，會對已申請的公鑰做數字簽名；然后分配這個已簽名的公鑰，將其放入公鑰證書并綁定在一起。服務器會將這份由CA頒發的公鑰證書發送給客戶端，以進行公鑰加密方式通信。接到證書的客戶端可使用CA的公鑰，對那張證書上的數字簽名進行驗證，客戶端一旦驗證通過就可以確認：服務器的公鑰是值得信賴的，其認證機構是真實有效的CA。但在這一流程中，認證機構的公鑰必須安全地轉交給客戶端，而使用網絡通信方式則很難保證。為此，大多數瀏覽器開發商發布版本時，會事先在內部植入常用認證機構的公鑰。1.【講解】CA的業務流程1.【理解】CA的業務流程通過問題教學法，讓學生理解CA的業務流程。步驟3隨堂測驗（10分鐘）在智慧職教上完成隨堂測驗1.【組織】要求學生在智慧職教完成測驗1.【測驗】進入智慧職教完成隨堂測驗通過信息化教學平臺測試結果，進行教學反思，有效地調整教學策略。課后拓展提升預習項目實訓14配置與管理CA服務器學生自行查閱相關資料，預習項目實訓14，可參考項目指導書14。課后反思本次課程是CA服務器的相關內容，教師采用行動導向教學法進行教學設計，綜合運用多種教學手段和信息化教學平臺開展教學活動，課前在智慧職教平臺發布該項目的學習成果，激發學生學習積極性，讓學生明確學習目標，課中引導學生完成工作任務，使用多種教學法，課后通過信息化平臺收集學生數據及反饋意見，形成課堂報告，通過閉環反饋優化教學設計與實施環節。通過后臺數據分析得知，學生能夠積極參加各項教學活動，特別是仿真軟件的使用，和教師互動頻繁高效，學習興趣較高，課中能跟隨教師引導，自主開展小組學習和討論，所提交習得成果達標率高，后臺數據分析可知學生能力在經過本課程學習后得到較全面提升，較好的完成了課程教學的知識、能力、思政育人培養目標。《Windows服務器配置與管理》年第學期課程名稱授課班級主講教師教研室系（部）年第學期課程名稱授課班級主講教師教研室系（部）使用教材Windows服務器配置與管理CA服務器-4《Windows服務器配置與管理》學習模塊模塊三網絡服務教學項目項目14配置與管理CA服務器-4授課學時2學時授課對象計算機網絡技術大二學生授課地點多媒體機房課程類型理實一體課教學目標知識目標1.了解CA的發展現狀；2.熟悉CA的基本概念、CA的業務流程；3.掌握CA的基本框架。能力目標1.具備管理和維護CA服務器的能力；2.具備在客戶端測試CA服務器的能力。思政育人目標1.培養學生的安全防范意識，增強自我保護意識；2.培養學生具有網絡安全的責任意識。教學內容1.CA的基本概念；2.CA的發展現狀；3.CA的框架模型；4.CA的業務流程。教學任務1.管理CA服務器；2.測試CA服務器。教學重點CA的業務流程、CA的基本框架教學難點管理和測試CA服務器教學環境教學做一體化教室、信息化教學平臺（智慧職教）教學方法1．宏觀上采用“項目引導”，在微觀上采用“任務驅動”、“問題牽引”、以實際演示講解。2．在課堂上注意講、學、做相結合，注重與學生的互動，充分調動學生的積極性，培養學習興趣、分析問題和解決問題的能力以及自學能力。課前準備1．建議在能完成“教、學、做”一體化實訓室上課；2．學生一人一機；3．學生在智慧職教上預習本次課的教學內容。教學過程設計教學環節教學內容教師活動學生活動設計意圖（含思政）課前自主探索教師在網絡學習平臺智慧職教上發布微課視頻、教學資料和任務單等資源。學生自主學習，根據工作任務單準備課堂環境。1.發布學習資源2.要求學生做好課前準備1.在智慧職教上自主學習微課視頻等學習資源2.根據工作任務單準備環境以項目任務設計為主線，提高學生自主學習能力，讓學生主動學。步驟1項目實施任務14-2測試CA服務器（40分鐘）1.創建基于SSL協議的WEB站點并進行證書綁定要讓用戶能夠使用HTTPS方式訪問指定的Web站點，還必須將Web服務器上的證書傳遞給客戶機的瀏覽器，這就要SSL與IIS進行配合。因此，首先要完成基于SSL的安全Web站點的配置。2.首次訪問HTTPS站點并查看證書當客戶機第一次訪問該站點時必然會提示“此網站的安全證書存在問題”的警報信息，這就需要在客戶機上安裝所接收到的來自Web服務器的證書，并將其頒發機構存儲為受信任的根證書頒發機構之后才能正常訪問。3.安裝根證書使其受客戶端信任為了解決“證書錯誤”問題，需要在客戶端中下載和導入服務器的根CA證書，使其受客戶端信任。4.再次訪問HTTPS站點再次在客戶端打開IE瀏覽器，在地址欄中輸入“”并按Enter鍵，此時不再出現“證書錯誤”的安全警報信息，而是直接打開基于SSL的安全Web站點主頁。5.可參考任務指導書14-2和教學視頻任務14-2。1.【演示】搭建實驗環境2.【演示】任務14-2測試CA服務器1.【操作】根據任務要求，測試CA服務器通過微課視頻，讓學生具備測試CA服務器的能力。步驟1項目實施任務14-3管理CA服務器（40分鐘）管理數字證書是系統管理員的一項重要工作，確保證書的安全使用。1.CA的備份和還原以使用CA自帶的工具來對整個CA的數據進行備份與還原。一般來說，對CA的備份頻率取決于它所頒發的證書數量，頒發的證書越多，則備份次數就應該越多。2.更新證書由于根CA的證書都是自己發給自己的，而從屬CA的證書是向根CA申請的，根CA發放給從屬CA證書的有效期絕對不會超過根CA本身的有效期限。如果CA本身的有效時間已剩下不多，則它發送的證書有效時間就會更短。因此，應盡早更新CA的證書，而用戶的證書也要在過期之前進行更新。3.當用戶的計算機需要重新安裝或更換時，應當將其所申請的證書導出并備份，然后再將備份的證書導入到新的系統中。4.吊銷證書用戶所申請的證書都有一定的有效期，一般默認為1年。當用戶離開企業后，證書將不能繼續使用，此時應當及時予以吊銷。另外，用戶也可以吊銷自己尚未到期的證書。5.使用Windows控制臺管理證書在WindowsServer2012平臺下搭建的CA服務器上，除了可以利用【證書頒發機構（本地）】控制臺對數字證書進行部分常規管理操作外，還可以通過在統一的【控制臺】窗口中添加【證書】管理單元，來實現對CA及用戶證書更全面的管理。6.可參考任務指導書14-3和教學視頻任務14-3。1.【演示】搭建實驗環境2.【演示】任務14-3管理CA服務器1.【操作】根據任務要求，管理CA服務器通過微課視頻，讓學生具備管理CA服務器的能力。步驟2知識的鞏固與遷移（2分鐘）CA的工作流程是什么？1.【組織】學生討論1.【討論】綜合討論，形成相關意見通過頭腦風暴，讓學生善于學習總結步驟3課堂評價（3分鐘）1.總結本次課學習內容2.利用智慧職教實施教學活動，實時采集學生數據，評價學生動態學習效果3.根據任務評價表14-2、14-3進行課堂評價1.【總結】2.【評價】1.【思考】2.【評價】通過任務評價表，讓學生進行自我反思。步驟4布置作業（5分鐘）1.安裝：在WindowsServer2012中安裝CA服務器，并設置其IP地址為10.10.xx.1/8，DNS為10.10.xx.1（xx為學號后兩位），域名為（yy為姓名首字母）。2.配置CA服務器，并具有相應的證書。3.測試CA服務器：在Web站點“”上進行安全訪問，不會提示有證書錯誤。1.【布置】項目實訓141.【提交】每組在智慧職教上提交實訓報告要求學生分組完成作業，引入“部隊三互”（互學、互幫、互教），培養學生團隊協作的能力課后拓展提升項目實訓14配置與管理CA服務器學生自行查閱相關資料，分組完成項目實訓14，在智慧職教上提交實訓報告，可參考項目指導書14。課后反思本次課程是CA服務器