《第讲架设CA服务器》由会员分享,可在线阅读,更多相关《第讲架设CA服务器(40页珍藏版)》请在金锄头文库上搜索。
1、第7讲 架设CA服务器数字证书服务器 随着网络应用的快速发展,相应的安全问题也越来越明显,各样形式的安全威胁越来越突出。在随之产生的各种网络安全解决方案中,数字证书便是其中一种。与其他安全技术和解决方案相比,数字证书服务具有高效、实用、方便使用等特点。本讲在介绍数字证书、PKI等网络安全设施的基本概念后,以Windows Server 2003操作系统为主,介绍数字证书服务器的安装、配置和使用方法。7.1 数字证书的概念数字证书也称为数字标识(Digital Certificate,或Digital ID)。它提供了一种在Internet等公共网络中进行身份验证的方式,是用来标识和证明网络通信
2、双方身份的数字信息文件。数字证书由一个权威的证书认证机构(Certificate Authority,CA)发行,在网络中可以通过从CA中获得的数字证书来识别对方的身份。通俗地讲,数字证书就是个人或单位在Internet等公共网络上的身份证。比较专业的数字证书定义是:数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下,证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循相关国际标准。通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不
3、可否认性交易者身份的确定性这四大网络安全要素得到保障。7.2 PKI的概念和组成 目前,计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类。其中,非PKI安全体系的应用最为广泛,例如用户大量使用的“用户名称+密码”的形式就属于非PKI体系。由于非PKI体系的安全性相对较弱,所以近年来PKI安全体系得到了越来越广泛的关注和应用。7.2.1 PKI的概念 PKI(Public Key Infrastructure,公钥基础设施)为网上信息的传输提供了加密(Encryption)和验证(Authentication)功能,在信息发送前对其进行加密处理,当对方接收到信息后,能够验证该信息是否
4、确实是由发送方发送的信息,同时还可以确定信息的完整性,即信息在发送过程中未被他人非法篡改。数字证书是PKI中最基本的元素,所有安全操作都主要通过证书来实现。PKI的组成除数字证书之外,还包括签署这些证书的认证、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口(API)等基本构成部分。PKI根据公开密钥学(Public Key Cryptography)来提供前面介绍的加密和验证功能,在此过程中需要公开密钥和私有密钥来支持,其中: 公开密钥(Public Key)。公开密钥也称为公共密钥(简称为“公钥”),在安全系统中公开密钥不需要进行保密,是向网络中的所有用户公开的。对于一个安全系统
5、来说,公开密钥是唯一的。 私有密钥(Private Key)。私有密钥简称为“私钥”,是用户个人拥有的密码,它存在于用户自己的计算机或其他介质中,只有该用户自己才能使用。私有密钥需要安全保存和管理。在信息的安全传输中,发送信息前可以通过公开密钥对其进行加密,接收方在接收到信息后再利用自己的私有密钥进行解密。PKI技术的应用1.电子商务应用 参与方一般包括买方、卖方、银行和作为中介的电子交易市场。买方通过自己的浏览器上网,登录到web服务器并寻找卖方。2.电子政务 网上信息发布、办公自动化、网上办公、信息资源共享。PKI主要解决身份认证、数据完整性、数据保密性和不可抵赖性。3.网上银行 客户对银
6、行4.网上证券 股民和券商7.2.2 公开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理,其中公开密钥用来进行加密,而私有密钥用来进行解密,这种加密和解密的处理方式也称为“非对称”(asymmetric)加密法。7.2.3 公开密钥验证法“数字签名”是通过一个单向函数对要传送的报文进行处理得到的,用以认证信息来源并核实信息是否发生变化的一个字母数字串。用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名,而对方在收到该信息后,能够通过此数字签名来验证信息是否确实是由发送方发送来的,同时还可以确认信息在发送过程中是否被篡改。 图2 数字签名的实现过程 数字证
7、书的原理公钥公钥私钥私钥数字证书认证中心CA证书申请与颁发证书申请与颁发 在整个加密解密过程中,仅拥有密钥是不够的,还必须申请相应的数字证书(digital certification)或数据标识(digital ID),这样才可能利用密钥执行信息加密和身份验证操作。在这里,密钥相当于“汽车”,而数字证书相当于“驾驶证”,只有汽车而没有驾驶证是无法开车上路的,同样只有驾驶证而没有汽车也无法使驾驶证发挥作用。所以,密钥和数字证书应该是构成该系统的必备条件。为了便于数字证书的管理,出现了一些专门的数字证书管理机构,负责发放和管理数字证书,将这一机构称为“证书认证机构”,或“认证中心”(Certif
8、icate Authority,CA)。7.3 CA服务器如图所示,当用户在申请证书时,必须输入申请者的详细资料:如姓名、地址、电子邮箱等,这些信息将被发送到一个称为加密服务提供者(CSP)的程序,由CSP负责创建密钥、吊销密钥,以及使用密钥执行各种加、解密操作。在进行加密、解密时,用户需要某一用户的公开密钥时,就会向CA进行查询,并将得到的数字证书保存在自己的计算机中。 图3 申请数字证书时提交的用户信息 7.3.1 Server 2003中CA的分类 由于基于Windows Server 2003的数字证书服务器分为企业CA和独立CA两种类型,其中企业CA需要建立在活动目录的基础上,同时只
9、能向本企业内部加入活动目录的用户提供数字证书服务。而独立CA不需要活动目录的支持,而且可以向加入活动目录域控制器的用户和没有加入活动目录域控制器的用户提供数字证书服务。两者相比,独立CA的配置和使用要比企业CA方便,所以本节将介绍独立CA的安装和配置方法。服务器-安装CA服务器 图7 IIS 管理器窗口 图8 测试 IIS 的工作状态 安装IIS及其测试IIS7.4.1 安装证书服务独立CA可分为独立根CA和独立从属CA两种,对于绝大多数中小企业来说,一般只需要配置一台数字证书服务器即可。所以,本节仅介绍独立根CA的安装方法。 图10 选取了“证书服务”后的系统提示信息 选择CA类型及其设置C
10、A名称 图11 选择CA类型 图12设置CA的识别信息 设置证书数据库CA证书服务器完成安装7.4.2管理证书服务器CA服务器的停止与启动1.Net命令 net stop certsvc2.使用控制台-证书颁发机构3.使用“服务”控制台7.5.1客户机- 数字证书的申请方法在要安装证书的计算机上打开IE浏览器,在地址栏中输入以下的地址:http:/CA的计算机名称或IP地址(192.168.0.2)/certsrv/本例中所使用的独立根CA计算机的IP地址为192.168.0.2,计算机名称为server。打开CA服务器Web支持页面 图17. 证书申请窗口 选择证书类型及填写信息提交证书申请
11、CA服务器上颁发证书查看挂起的证书安装过程查看证书证书的保存与应用在前面的介绍中,用户一般是在要安装证书的计算机上来申请并安装证书。但是,在实际应用中,有时需要将申请到的证书安装在其他的计算机上,或出于安全考虑对已申请到的证书进行安全备份,当原来的证书不小心被删除或计算机重新安装操作系统后,就可以利用备份来还原。为解决此类问题,我们需要将申请到的证书以文件形式进行保存和应用。具体方法如下:证书的保存与应用单击“下载CA证书”或“下载CA证书链”,将CA的证书以文件形式保存起来。如果该证书不慎被丢失,则可以在打开该证书文件所在的文件夹后,单击鼠标右键,在出现的快捷菜单中选择“安装证书”重新进行安
12、装,如图所示。7.6 备份与还原证书 CA的备份CA的还原CA的还原7.7 吊销证书 打开“证书颁发机构”控制台,选择左侧的“颁发的证书”选项,显示所有已经颁发的证书,选中要吊销的证书单击鼠标右键,弹出右键菜单选择“所有任务”单击“吊销证书”项 。选学-数字证书应用举例电子邮件的数字签名以用户邮箱和之间收发电子邮件为例,介绍利用CA进行电子邮件签名和加密的方法。数字签名是利用发送方的私有密钥进行加密,在接收方利用发送方的公开密钥进行解密。当用户wq要向用户lfj发送经过签名的电子邮件时,用户wq需要利用自己的私有密钥进行加密,当用户lfj接收到该加密的电子邮件时,再利用用户wq的公开密钥进行解密。具体过程如下:实验要求简述-7服务器:1.安装及其测试IIS2.安装独立根CA服务器3.关闭和启动CA服务器 三种方法客户机:1.客户端使用网页申请证书在IE浏览器里输入http:/192.168.0.2/certsrv/2.输入http:/192.168.0.2/certsrv/sertckpn.asp可以查看“挂起的申请”。3.安装证书4.完成4.紧跟客户机1.-申请好后,在证书颁发机构控制台,“挂起的申请”里颁发,可以到“颁发的证书”可以查询。
