《数字证书服务器的配置与应用》由会员分享,可在线阅读,更多相关《数字证书服务器的配置与应用(58页珍藏版)》请在金锄头文库上搜索。
1、网络配置与应用, 学习目标 熟悉数字证书的概念和功能 熟悉PKI与数字证书之间的关系 熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和配置方法 掌握数字证书的使用方法 掌握数字证书的管理方法,第5讲 数字证书服务器的配置与应用,重点难点熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和配置方法 掌握数字证书的使用方法,随着网络应用的快速发展,相应的安全问题也越来越明显,形式各样的安全威胁越来越突出。在随之产生的各种网络
2、安全解决方案中,数字证书便是其中一种。与其他安全技术和解决方案相比,数字证书服务具有高效、实用、方便使用等特点。本讲在介绍数字证书、PKI等网络安全设施的基本概念后,以Windows Server 2003操作系统为主,介绍数字证书服务器的安装、配置和使用方法。,数字证书也称为数字标识(Digital Certificate,或Digital ID)。它提供了一种在Internet等公共网络中进行身份验证的方式,是用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权威的证书认证机构(Certificate Authority,CA)发行,在网络中可以通过从CA中获得的数字证书来识别对
3、方的身份。通俗地讲,数字证书就是个人或单位在Internet等公共网络上的身份证。 比较专业的数字证书定义是:数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下,证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循相关国际标准。 通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不可否认性交易者身份的确定性这四大网络安全要素得到保障。,5.1 数字证书的概念,目前,计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类。其中,非
4、PKI安全体系的应用最为广泛,例如用户大量使用的“用户名称+密码”的形式就属于非PKI体系。由于非PKI体系的安全性相对较弱,所以近年来PKI安全体系得到了越来越广泛的关注和应用,5.2 PKI的概念和组成,5.2.1 PKI的概念 PKI(Public Key Infrastructure,公钥基础设施)为网上信息的传输提供了加密(Encryption)和验证(Authentication)功能,在信息发送前对其进行加密处理,当对方接收到信息后,能够验证该信息是否确实是由发送方发送的信息,同时还可以确定信息的完整性(Integrity),即信息在发送过程中未被他人非法篡改。数字证书是PKI中
5、最基本的元素,所有安全操作都主要通过证书来实现。PKI的组成除数字证书之外,还包括签署这些证书的认证、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口(API)等基本构成部分。,PKI根据公开密钥学(Public Key Cryptography)来提供前面介绍的加密和验证功能,在此过程中需要公开密钥和私有密钥来支持,其中: 公开密钥(Public Key)。公开密钥也称为公共密钥(简称为“公钥”),在安全系统中公开密钥不需要进行保密,是向网络中的所有用户公开的。对于一个安全系统来说,公开密钥是唯一的。 私有密钥(Private Key)。私有密钥简称为“私钥”,是用户个人拥有的密码
6、,它存在于用户自己的计算机或其他介质中,只有该用户自己才能使用。私有密钥需要安全保存和管理。 在信息的安全传输中,发送信息前可以通过公开密钥对其进行加密,接收方在接收到信息后再利用自己的私有密钥进行解密。,5.2.2 公开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理,其中公开密钥用来进行加密,而私有密钥用来进行解密,这种加密和解密的处理方式也称为“非对称”(asymmetric)加密法。另外,还有一种称为“秘密密钥加密法”(secret key encryption),该算法也称为“对称”(symmetric)加密法,这种方法在进行加密和解密的过程中都使用同一
7、个密钥。,5.2.3 公开密钥验证法 数字签名”是通过一个单向函数对要传送的报文进行处理得到的,用以认证信息来源并核实信息是否发生变化的一个字母数字串。 用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名,而对方在收到该信息后,能够通过此数字签名来验证信息是否确实是由发送方发送来的,同时还可以确认信息在发送过程中是否被篡改。从实现原理来看,数字签名其实就是对加密、解密的应用。签名的过程为加密过程,查看签名的过程为解密过程。,5.2.4 证书认证机构(CA) 在整个加密解密过程中,仅拥有密钥(公开密钥和私有密钥)是不够的,还必须申请相应的数字证书(digital certificatio
8、n)或数据标识(digital ID),这样才可能利用密钥执行信息加密和身份验证操作。在这里,密钥相当于“汽车”,而数字证书相当于“驾驶证”,只有汽车而没有驾驶证是无法开车上路的,同样只有驾驶证而没有汽车也无法使驾驶证发挥作用。所以,密钥和数字证书应该是构成该系统的必备条件。为了便于数字证书的管理,出现了一些专门的数字证书管理机构,负责发放和管理数字证书,将这一机构称为“证书认证机构”,或“认证中心”(Certificate Authority,CA)。,如图3所示,当用户在申请证书时,必须输入申请者的详细资料:如姓名、地址、电子邮箱等,这些信息将被发送到一个称为加密服务提供者(Cryptog
9、raphic Service Provider,CSP)的程序,由CSP负责创建密钥、吊销密钥,以及使用密钥执行各种加、解密操作。CPS会自动建立一对密钥:一个公开密钥和一个私有密钥。CSP会将私有密钥存储到用户(申请者)计算机的注册表中,然后将证书申请信息和公开密钥一并发送到CA进行管理。在进行加密、解密时,当用户需要某一用户的公开密钥时,就会向CA进行查询,并将得到的数字证书保存在自己的计算机中。,5.2.5 CA的结构及信任关系 基于Windows操作系统的PKI支持结构化的CA,即将CA分为“根CA”(root CA)和“从属CA”(subordinate CA)。其中: 1. 根CA
10、 根CA位于系统的最上层,一方面它可以发放用来保护电子邮件安全的证书、提供网站SSL(Security Socket Layer,加密套接字协议层)安全传输的证书、用来登录Windows Server 2003域的智能卡证书、用来提供基于L2TP的VPN认证的证书等。另一方面,根CA可用来发放证书给其他的CA(从属CA)。在大部分环境中,根CA的主要作用是为从属CA发放证书。,2 从属CA 从属CA主要用来发放用于保护电子邮件安全的证书、提供网站SSL安全传输的证书、用来登录Windows Server 2003域的智能卡证书、用来提供基于L2TP的VPN认证的证书等。也可以发放证书给其下一层
11、的从属CA。从属CA必须先向其父CA(可能是根CA,也可能是从属CA)取得证书后,才可以发放证书。 提示:对于Windows 2000、Windows XP、Windows Server 2003来说,如果该计算机已经信任了根CA,那么他们将会自动信任该根CA下的所有从属CA,这就是CA信任的继承性。但是,当用户将从属CA的信任关系删除,或从属CA的证书已经过期后,就不存在以上的继承关系。,Windows 2000、Windows XP、Windows Server 2003的计算机已经信任由一些知名的CA发放的证书,需要时,用户可以向上述知名的CA申请证书,但这些CA发放的证书一般是要收费的
12、。同时,也有一些不收费的CA另外,如果用户只希望在本单位或系统内部实现基于Internet信息传输的安全性,可以利用Windows Server 2003提供的“证书服务”来组建自己的CA,然后利用该CA向本单位或系统中的员工、客户、供应商等发放证书,而不需要向其他CA申请。这样,当本单位或系统中的员工、客户、供应商的计算机设置为信任该CA所发放的证书时,就可以通过自己的CA加强信息传输的安全性。,5.2.6 Windows Server 2003中CA的分类 Windows Server 2003提供的“证书服务”可以将Windows Server 2003扮演CA的角色,该CA可以是企业C
13、A,也可以是独立CA。 1 企业CA 企业CA发放证书的对象是域内的所有用户和计算机,非本域内的用户或计算机是无法向该企业CA申请证书的。当域内的用户向企业CA申请证书时,企业CA将通过Active Directory进行身份验证(验证用户是否为本域中的用户或计算机),并根据验证结果决定是否发放证书。 企业CA可以分为企业根CA(enterprise root CA)和企业从属CA(enterprise subordinate CA)两种类型。其中,在大多数情况下,企业根CA主要用来为企业从属CA发放证书。而企业从属CA必须先向企业根CA取得证书,然后才可以向其域内的用户或计算机以及其下属的企
14、业从属CA发放证书。企业从属CA主要用来发放保护电子邮件安全的证书、提供网站SSL安全传输的证书、用来登录Windows Server 2003域的智能卡证书、进行基于L2TP的VPN验证的证书等。,2 独立CA 独立CA不需要Active Directory,扮演独立CA的计算机既可以是运行Windows Server 2003的独立服务器,也可以是成员服务器或域控制器。无论用户和计算机是否是Active Directory域内的用户,都可以向独立CA申请证书。由于用户在向独立CA申请证书时,不像企业CA首先通过Active Directory来验证其身份,所以用户需要自行输入申请者的详细信
15、息和所要申请的证书类型。 独立CA也分为独立根CA(standard-alone CA)和独立从属CA(standard-alone subordinate CA)两种类型。其中,在多数情况下,独立根CA主要用来发放证书给从属CA。而独立从属CA必须先向其父CA(既可以是独立根CA,也可以是上层的独立从属CA)取得证书,然后才可以发放证书。独立从属CA主要用来发放保护电子邮件安全的证书、提供网站SSL安全传输的证书、用来登录Windows Server 2003域的智能卡证书、进行基于L2TP的VPN验证的证书等。,由于基于Windows Server 2003的数字证书服务器分为企业CA和独
16、立CA两种类型,其中企业CA需要建立在活动目录的基础上,同时只能向本企业内部加入活动目录的用户提供数字证书服务。而独立CA不需要活动目录的支持,而且可以向加入活动目录域控制器的用户和没有加入活动目录域控制器的用户提供数字证书服务。两者相比,独立CA的配置和使用要比企业CA方便,所以本节将介绍独立CA的安装和配置方法。,5.3 数字证书服务器的安装和配置,5.3.1 安装IIS,图5,选择要安装的,Windows,组件,图6,选取“,Internet,信息服务(,IIS,)”,5.3.2 安装证书服务 独立CA可分为独立根CA和独立从属CA两种,其中独立从属CA必须建立在其父CA的基础上。其中,父CA既可以是独立根CA,也可以是其他的独立从属CA。对于绝大多数中小企业来说,一般只需要配置一台数字证书服务器即可。所以,本节仅介绍独立根CA的安装方法。,图9,安装“证书服务”,提示:如果独立CA安装在域控制器或成员服务器内,而且是以域管理员(如Administrator)的身份来安装的,则独立CA会自动通过Active Directory来让域内的所有用户与计算机应用由独立根CA发放的证书;如果独立CA安装在独立服务器上,或是安装在没有使用Active Directory的成员服务器或域控制器上,域内用户则需要另外执行信任此独立CA的操作。,
