PKI与证书服务应用(1)

《PKI与证书服务应用(1)》由会员分享，可在线阅读，更多相关《PKI与证书服务应用(1)（41页珍藏版）》请在金锄头文库上搜索。

1、企业组建了企业网，架设了企业证书服务网站。利用数字证书来标志通信各方身份信息，表明各方持证人的身份或具有某种资格，以此确保网上传递信息的安全性。,项目背景,第9章 PKI与证书服务应用,本章目标,理解PKI的相关理论 理解证书的发放过程 掌握证书服务的安装 掌握企业CA（证书颁发机构）的管理 掌握在Web服务器上设置SSL,本章结构,PKI与证书服务应用,公钥基础结构,CA,在Web服务器上设置SSL,什么是PKI,公钥加密技术,生成证书申请,提交证书申请,颁发证书,什么是证书,CA的作用,证书的发放过程,在Web服务器上安装证书,安装证书服务,启用安全通道,使用HTTPS协议访问网站,证书的

2、导出和导入,什么是PKI,Public Key Infrastructure，公钥基础架构 PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成 数字证书用于用户的身份验证 CA是一个可信任的实体，负责发布、更新和吊销证书 RA接受用户的请求等功能 PKI体系能够实现的功能有 身份认证 数据完整性 数据机密性 操作的不可否认性,PKI组件,证书颁发机构,数字证书,证书吊销列表 & 联机响应,证书模版,公钥-启用应用程序和服务,证书和 CA 管理工具,AIA 和 CRL 分发点,公钥加密技术,公钥（Public Key）和私钥（Private Key） 密钥是成对生成

3、的，这两个密钥互不相同，两个密钥可以互相加密和解密 不能根据一个密钥来推算得出另一个密钥 公钥对外公开；私钥只有私钥的持有人才知道 私钥应该由密钥的持有人妥善保管,数据加密,发送方使用接收方的公钥加密数据 当接收方使用自己的私钥解密这些数据 数据加密能保证所发送数据的机密性,数字签名,发送方使用自己的私钥加密 接收方使用发送方的公钥解密 身份验证、数据的完整性 、操作的不可否认性,什么是证书,PKI系统中的数字证书简称证书 它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起 证书的主体可以是用户、计算机、服务等 证书可以用于很多方面 Web 用户身份验证 Web

4、服务器身份验证 安全电子邮件 Internet 协议安全 （IPSec）,什么是证书,数字证书是由权威公正的第三方机构即CA签发的 证书包含以下信息 使用者的公钥值 使用者标识信息（如名称和电子邮件地址） 有效期（证书的有效时间） 颁发者标识信息 颁发者的数字签名,证书生命周期概述,用户、 计算机或服务从 CA 请求证书。,1,证书注册方法,Web Enrollment,Manual Enrollment,Auto enrollment,Enrollment Agents,以使用 Web 注册取得证书,Connect to http:/ServerName/certsrv by using a

5、 Web browser.,Click Request a certificate.,Select the type of certificate that you want to request.,Type or verify your identification.,Install the certificate.,2,3,1,5,4,使用手动注册取得证书,Certificates MMC,Web Server,NDES NDES,Manual Enrollment,CA 类型,是 CA 最受信任的类型在 PKI 基础结构中。 是自签名的证书。 其他问题证书从属 CA。 拥有物理安全及证书

6、发行策略通常比从属 CA 更严格的,Root CA,由另一个 CA 颁发 解决特定的用法政策、 组织或地理边界、 负载平衡，和容错能力 向窗体分层的 PKI 基础结构其他核证机关发出证书,Subordinate CA,独立与企业 CA,CA的作用,CA的核心功能就是颁发和管理数字证书 具体描述如下 处理证书申请 鉴定申请者是否有资格接收证书 证书的发放 证书的更新 接收最终用户数字证书的查询、撤销 产生和发布证书吊销列表（CRL） 数字证书的归档 密钥归档 历史数据归档,CA 层次结构中的使用场合,Root,Subordinate,RAS,EFS,S/MIME,India,Canada,USA

7、,Root,Subordinate,Root,Subordinate,Root,Subordinate,Manufacturing,Engineering,Accounting,Employee,Contractor,Partner,证书使用,位置,部门,组织单位,什么是经过认证层次结构？,Root CA,Root CA,Organization 1,Organization 2,Subordinate CA,Subordinate CA,Root CA,Root CA,Organization 1,Organization 2,Subordinate CA,Subordinate CA,在根

8、目录 CA 级别的认证,经认证从属 CA 到根 CA,证书的发放过程,证书的发放过程,1）证书申请 用户根据个人信息填好申请证书的信息并提交证书申请信息 2）RA确认用户 在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性 3）证书策略处理 如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等 4）RA提交用户申请信息到CA RA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的,证书的发放过程,5）CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书 这样，CA就将用户的信息和

9、公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中 6）CA将电子证书传送给批准该用户的RA 7）RA将电子证书传送给用户（或者用户主动取回） 8）用户验证CA颁发的证书 确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发,什么是 CRL？,增量 CRL,使用 Windows XP (R) 的客户 端计算机或 Windows Server 2003,基础 CRL,所有撤销 的证书,大发布间隔,最后基础 CRL 证书,较短的发布间隔,+,-,大尺寸,小尺寸,客户端计算机使用 任何版本的 Windows (R),CRL 是如何发布的

10、,Cert3,Base CRL# 1,Revoke Cert5,Delta CRL# 2,Cert5,Revoke Cert7,Cert5 Cert7,Delta CRL# 3,Cert3 Cert5 Cert7,Time,Base CRL# 2,1. 在Windows组件中安装证书服务,2.安装证书服务后，计算机名和域成员身份都不能更改,3. 证书可以通过Web注册,安装证书服务,1. 创建企业根CA,2. 选择加密程序和对密钥对的设置,3. 输入CA的识别信息,4. 证书数据库设置,5. 停止IIS服务,6. 完成安装,创建企业根CA,证书颁发机构,在【开始】|【管理工具】中单击【证书颁发

11、机构】,Web注册支持,证书服务的虚拟目录,访问证书服务的虚拟目录,在 Web 服务器上设置 SSL,生成证书申请 提交证书申请 颁发证书 在Web服务器上安装证书 启用安全通道（SSL） 使用HTTPS协议访问网站,生成证书申请,申请过程的生成的文本文件,此文件将提交给CA,申请过程的生成的文本文件名,互联网上使用有效的DNS名,如果在局域网可使用计算机名,如果CA类型为独立根或者独立从属,则必须选择此项,提交证书申请,颁发证书,在Web服务器上安装证书,查看证书,安全套接层端口,从CA下载的文件,启用安全通道（SSL）,使用HTTPS协议访问网站,使用HTTP访问网站的效果,证书的导出,导

12、入证书时使用,使用控制台导出证书,证书的导入,使用控制台导入证书,阶段练习,背景 tsinghuait公司有一个Web站点，域名为 启用的身份验证方式是基本身份验证方式 保证用户密码和访问的数据在传输时的安全性（信息不能被协议分析工具破解出来） 目标 掌握证书服务的安装 理解证书的发放过程 掌握在Web服务器上配置SSL 使用HTTPS协议访问网站以验证结果,阶段练习,步骤 1）安装证书服务 2）生成证书申请 3）提交证书申请 4）颁发证书 5）下载证书 6）在Web服务器上安装证书 7）在Web服务器上启用安全通道（SSL） 8）使用HTTPS协议访问网站,本章总结,PKI与证书服务应用,公钥基础结构,CA,在Web服务器上设置SSL,什么是PKI,公钥加密技术,生成证书申请,提交证书申请,颁发证书,什么是证书,CA的作用,证书的发放过程,在Web服务器上安装证书,安装证书服务,启用安全通道,使用HTTPS协议访问网站,数据加密 数字签名,CA类型,证书的导出和导入,实验,任务 在Web服务器上设置SSL 背景 阶段练习1 完成标准 掌握证书服务的安装 理解证书的发放过程 掌握在Web服务器上配置SSL 使用HTTPS协议访问网站以验证结果,