收藏
下载资源

ca认证的流程和原理

上传人:第*** 文档编号:57566586 上传时间:2018-10-22 格式:DOCX 页数:18 大小:1.81MB
返回 下载 相关 举报
ca认证的流程和原理_第1页
第1页 / 共18页
ca认证的流程和原理_第2页
第2页 / 共18页
ca认证的流程和原理_第3页
第3页 / 共18页
ca认证的流程和原理_第4页
第4页 / 共18页
ca认证的流程和原理_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《ca认证的流程和原理》由会员分享,可在线阅读,更多相关《ca认证的流程和原理(18页珍藏版)》请在金锄头文库上搜索。

1、CA 认证的流程和原理AD CS(活动目录证书服务)是微软的公钥基础结构(PKI)的实现。PKI 处理颁发并管理用于加密和 身份验证的的数字证书的组件及过程。 AD CS 颁发的数字证书可以用于加密文件系统、电子邮件加 密、安全套接字层 SSL 和身份验证。 安装了 AD CS 的服务器成为证书颁发机构 CA。1. 数字证书数字证书是一种电子凭据用于验证个人,组织和计算机。证书颁发机构颁发和认证证书。数字 证书提供了一种方法来验证证书持有者的身份。证书使用加密技术来解决两个实体之间的问题。数字证书都用于非对称加密,它需要两个密钥,第一个密钥是私钥,它由被颁发了数字证书的 用户或计算机安全地存储

2、,第二个密钥是分发到其它用户和计算机的公钥。由一个密钥加密的数据 只能由另一个密钥解密。这种关系确保对加密数据的保护。一张证书包含下面的数据:1. 公用密钥证书主题的公钥和私钥对。这样可以使用证书来验证拥有私钥的个人或计算机 的标识。例如,一台 web 服务器的数字证书包括 web 服务器的主机名和 IP 地址2. 有关申请证书的使用者的信息3. 有关 CA 颁发证书的详细信息,包括证书有效性的信息,包括如何使用证书以及它的有效 期。例如,可能限制一个证书只用于加密文件系统,证书只在特定时间期有效,通常是两年或更 短,证书过期之后就不能再使用它了。Enhanced Key Usage 是证书的

3、一个可选的扩展属性,这个属性包含一个目标标识符(OID),用于应用 程序或者服务。每个 OID 是一个独特的数字序列。Key Usage: 证书允许主体执行特定任务。为了帮助控制证书在其预定的目的以外的使用,限制自动 放置在证书。密钥用法(Key Usage)就是一个限制方法来决定一个证书可以被用来干什么。它允许管 理员颁发证书,它只能用于特定任务或用于更广泛的功能。如果没有指定密钥用法,证书可以用于任何目的。对于签名, key usage 可以有下列一个或者多个用途:1. 数字签名 2. 签名一种起源的证据 3. 证书签名 4. CRL 签名2. CA 证书颁发机构CA 是向用户和计算机颁发

4、数字证书的 PKI 组件,当组织实现数字证书时,他们必须考虑是使用 AD CS 还是一个外部 CA 来实现。内部 CA 的主要优点是成本,对于颁发的每个证书都没有额外成本。而 如果使用外部 CA(三方 CA),每个颁发的证书都有一定费用。CA 的主要作用如下:1.验证证书请求者的身份:当一张证书颁发给一个用户、计算机或者服务的时候,CA 会验证请 求者身份来确保证书只办法给正确的用户或机器 2.将证书办法给用户和计算机 3.管理证书吊销情况:CA 会定期发布 CRL,CRL 包含证书的序列号以及被吊销的情况。3. 请求和颁发证书的过程用户、计算机和服务请求和接收来自 CA 的证书。请求和接收证

5、书的过程被称为注册。通常,用 户或计算机启动注册通过提供独特的信息,如电子邮件地址或通用名称,和一个新生成的公钥。在 产生证书之前 CA 使用此信息来验证用户的身份。1 生成密钥对。 申请人生成一个公钥和私钥对,或被组织的权威指定一个密钥对。申请人将密 钥对存放在本地存储的磁盘上或如智能卡的硬件设备 2 申请人提供请求的证书模板所需的证书信息请求,并将它发送到 CA。证书请求包括公共和 私人密钥对的公钥生成请求的计算机 3 证书管理器检查证书请求验证信息。基于这些信息,证书管理器颁发证书或拒绝证书请求 4 CA 创建并颁发证书给请求者。由 CA 签名证书,以防止修改,包括请求者的身份信息和提交

6、 的公共密钥作为颁发的证书的属性。4. 证书链链建立是建立信任链的过程或者证书路径,从最终证书以及安全实体信任的根证书。证书链的建立将会通过检查从最终证书到根 CA 的每个证书路径。会从中级证书颁发机构存储 区,受信任的根证书颁发机构存储区,或从一个证书的 AIA 属性中指定的 URL 中检索证书。如果加 密应用程序接口发现一个路径中的证书有问题,或者如果它找不到证书,证书路径是会作为一个不 受信任的证书路径丢弃。证书链引擎生成所有可能的证书链。然后整个的证书链就生成了并按照链的质量排序。对于给 定的最终的质量最好的证书链作为默认的链返回给调用应用程序。每个链都是通过结合证书存储 的证书和发布

7、的 URL 位置的证书。链中的每个证书分配一个状态代码。状态代码指示证书是否符合下面的条件:1. 签名是否有效 2. 时间是否合法 3. 证书是否过期 4. 证书是否已经被吊销 5. 时间嵌套 6. 证书上的其他限制每个状态代码都有一个分配给它的优先级。例如,过期的证书具有更高的优先级比吊销的证书。 这是因为过期的证书不检查吊销状态。证书链中的所有证书都会被检查是否吊销。不管是什么过程 来检查证书的合法性,只要证书链中的状态检查失败,这个证书链就会被拒绝。对链中的每个证书,证书链引擎必须选择一个颁发 CA 的证书。这一过程被称为验证路径,重复 验证直到达到一个自签名证书(通常,这是根 CA 证

8、书)。加密应用程序接口对待根证书作为绝对信任的信任。5. Certificate Service 组件的工作原理CA 服务包括如下组件以及功能,请参考:Client Module: 负责提交证书申请Certificate Services Engine: 负责处理证书申请请求,负责创建和颁发证书给有效的申请者Policy module: 负责验证请求者是否有权获得证书CryptoAPI and cryptographic service providers:负责创建私钥并分发给申请者的受保护的证书存储exit module:负责分发证书给有效的客户端,在网页、公共文件夹、AD 中发布证书,负责

9、向 AD 中定 期发布 CRLsCryptoAPI:负责管理所有加密操作的私钥certificates database:负责存储所有的证书交易以及审计CA 服务所使用的协议有 DCOM 和 LDAPDCOM:用来进行证书注册LDAP:用来进行域 AD 之间的交互证书创建的过程如下:This process applies to most common PKCS #10 requests or Certificate Management protocol using CMS requests.1. When a user initiates a certificate request, En

10、rollment Control (Xenroll.dll) uses a cryptographic service provider (CSP) on the clients computer to generate a public key and private key pair for the user. 当用户初始化证书请求的时候,CSP 会创建出一个公钥和 私钥对。2. After a key pair has been generated, Xenroll builds a certificate request based on a certificate template.

11、 密钥对创建之后,会基于模板创建出一个证书请求3. The users public key is sent with the users identifying information to the Certificate Services engine. 用户的公钥以及身份信息会被发送给证书服务引擎4. Meanwhile, a copy of the request is placed in the request folder for the requester. In the case of a user, this folder is: 同时,在本地保存一份请求C:Document

12、s and SettingsusernameApplication DataMicrosoftSystemCertificatesRequest5. The CA authenticates the user. CA 需要对用户进行验证6. The Certificate Services engine passes the request to the policy module, which might perform an additional access check by querying Active Directory or another reliable source suc

13、h as IIS. 证书服务引擎将请求发送给 policy module, policy module 负责到 AD 中请求进行检 查。7. The policy module also checks the registry for a list of certificate templates for the CA. The policy module checks the list for version numbers to verify that it has the most recent versions of all certificate templates. If the

14、request references a more recent version of the certificate template than is currently available, the request fails. Policy module 负责检查证 书模板中的注册表信息。8. If the access check is successful, the Certificate Services engine creates a new row in the Request and Certificates table of the certificates databa

15、se. A request ID is entered into the database to help track the request. 访问检查成功之后,请求号被存储在数据库中9. Additional attributes of the certificate request, such as the extensions associated with the request, are entered into the appropriate fields in the database.证书的其它相关属性被写入 CA 的数据库中10. The Certificate Servi

16、ces engine validates the digital signature used to sign the certificate request. This validation process involves comparing all the certificates in the chain leading up to the root CA to a reliable source, such as Active Directory or IIS. This validation process also involves confirming that none of the certificates in the chain has been revoked. 验证数字证书,检查证书链11. The policy module

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号