PKI与证书服务应用

1、企业组建了企业网，架设了企业证书效力网站。利用数字证书来标志通讯各方身份信息，阐明各方持证人的身份或具有某种资历，以此确保网上传送信息的平安性。工程背景第9章 PKI与证书效力运用本章目的了解PKI的相关实际了解证书的发放过程掌握证书效力的安装掌握企业CA证书颁发机构的管理掌握在Web效力器上设置SSL本章构造PKI与证书效力运用公钥根底构造CA在Web效力器上设置SSL什么是PKI公钥加密技术生成证书恳求提交证书恳求颁发证书什么是证书CA的作用证书的发放过程在Web效力器上安装证书安装证书效力启用平安通道运用HTTPS协议访问网站证书的导出和导入什么是PKI Public Key Infra

2、structure，公钥根底架构PKI由公钥加密技术、数字证书、证书颁发机构CA，注册机构RA等共同组成数字证书用于用户的身份验证 CA是一个可信任的实体，担任发布、更新和吊销证书RA接受用户的恳求等功能PKI体系可以实现的功能有 身份认证数据完好性数据性操作的不可否认性PKI组件 证书颁发机构数字证书证书吊销列表 & 联机呼应证书模版公钥-启用运用程序和效力证书和 CA 管理工具AIA 和 CRL 分发点公钥加密技术 公钥Public Key和私钥Private Key 密钥是成对生成的，这两个密钥互不一样，两个密钥可以相互加密和解密不能根据一个密钥来推算得出另一个密钥公钥对外公开；私钥只需

3、私钥的持有人才知道私钥应该由密钥的持有人妥善保管 数据加密 发送方运用接纳方的公钥加密数据当接纳方运用本人的私钥解密这些数据数据加密能保证所发送数据的性 数字签名 发送方运用本人的私钥加密接纳方运用发送方的公钥解密 身份验证、数据的完好性 、操作的不可否认性 什么是证书PKI系统中的数字证书简称证书它把公钥和拥有对应私钥的主体的标识信息如称号、电子邮件、身份证号等捆绑在一同证书的主体可以是用户、计算机、效力等证书可以用于很多方面Web 用户身份验证Web 效力器身份验证平安电子邮件Internet 协议平安 IPSec 什么是证书数字证书是由权威公正的第三方机构即CA签发的 证书包含以下信息运

4、用者的公钥值运用者标识信息如称号和电子邮件地址有效期证书的有效时间颁发者标识信息颁发者的数字签名 公钥加密密钥 信息对象CA 信息数字证书证书生命周期概述用户、 计算机或效力从 CA 恳求证书。1CA 生成证书。2CA 分发证明书，以用户、 计算机或效力。3与启用 PKI 的运用程序一同运用证书.4在其生存期内运用该证书。5证书是过期、 续期，或撤销6证书注册方法MethodUse自动执行请求、 检索和存储这些基于域的计算机的证书自动执行请求、 检索和存储这些基于域的计算机的证书从网站位于 CA 请求证书发出证书自动注册不可用时提供代表的另一个用户的请求证书权 CA 管理员Web Enroll

5、ment Manual Enrollment Auto enrollmentEnrollment Agents 以运用 Web 注册获得证书Connect to ServerName/certsrv by using a Web browser.Click Request a certificate.Select the type of certificate that you want to request.Type or verify your identification.Install the certificate.23154运用手动注册获得证书Certificates MMCWeb

6、 ServerNDES NDESManual EnrollmentCA 类型是 CA 最受信任的类型在 PKI 根底构造中。是自签名的证书。其他问题证书从属 CA。拥有物理平安及证书发行战略通常比从属 CA 更严厉的Root CA由另一个 CA 颁发处理特定的用法政策、 组织或地理边境、 负载平衡，和容错才干向窗体分层的 PKI 根底构造其他核证机关发出证书Subordinate CA独立与企业 CA独立 CAs企业 CAs如有的话，必须使用独立的 CA CA （根或中级 / 政策） 处于脱机状态。 这是因为独立的 CA 未加入一个 AD DS 域。 需要使用 Active Directory

7、需要 AD DS 可以使用组策略传播证书受信任的根 CA 证书存储 用户提供标识信息并指定的证书类型将用户证书和 CRL 发布到 AD DS 不需要证书模板颁发证书基于证书模板所有证书请求保留挂起至管理员批准支持自动注册签发证明书 CA的作用 CA的中心功能就是颁发和管理数字证书 详细描画如下处置证书恳求鉴定恳求者能否有资历接纳证书证书的发放证书的更新接纳最终用户数字证书的查询、撤销产生和发布证书吊销列表CRL数字证书的归档密钥归档历史数据归档CA 层次构造中的运用场所RootSubordinateRASEFSS/MIMEIndiaCanadaUSARootSubordinateRootSub

8、ordinateRootSubordinateManufacturingEngineeringAccountingEmployeeContractorPartner证书运用位置部门组织单位什么是经过认证层次构造？Root CARoot CAOrganization 1Organization 2Subordinate CASubordinate CARoot CARoot CAOrganization 1Organization 2Subordinate CASubordinate CA在根目录 CA 级别的认证经认证从属 CA 到根 CA证书的发放过程证书的发放过程1证书恳求用户根据个人信息

9、填好恳求证书的信息并提交证书恳求信息2RA确认用户在企业内部网中，普通运用手工验证的方式，这样更能保证用户信息的平安性和真实性3证书战略处置假设验证恳求胜利，那么，系统指定的战略就被运用到这个恳求上，比如称号的约束、密钥长度的约束等4RA提交用户恳求信息到CARA用本人私钥对用户恳求信息签名，保证用户恳求信息是RA提交给CA的证书的发放过程5CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进展签名，生成电子证书这样，CA就将用户的信息和公钥捆绑在一同了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中6CA将电子证书传送给同意该用户的RA7RA将电子证书传送给用户或者用

10、户自动取回8用户验证CA颁发的证书确保本人的信息在签名过程中没有被篡改，而且经过CA的公钥验证这个证书确实由所信任的CA机构颁发什么是 CRL？增量 CRL运用 Windows XP (R) 的客户端计算机或Windows Server 2003根底 CRL一切撤销的证书大发布间隔 最后根底 CRL证书较短的发布间隔 +-大尺寸小尺寸客户端计算机运用任何版本的 Windows (R)CRL 是如何发布的Cert3Base CRL# 1Revoke Cert5Delta CRL# 2Cert5Revoke Cert7Cert5Cert7Delta CRL# 3Cert3Cert5Cert7Tim

11、eBase CRL# 21. 在Windows组件中安装证书效力2.安装证书效力后，计算机名和域成员身份都不能更改 3. 证书可以经过Web注册安装证书效力1. 创建企业根CA2. 选择加密程序和对密钥对的设置3. 输入CA的识别信息4. 证书数据库设置5. 停顿IIS效力6. 完成安装创建企业根CA证书颁发机构 在【开场】|【管理工具】中单击【证书颁发机构】 Web注册支持 证书效力的虚拟目录访问证书效力的虚拟目录在 Web 效力器上设置 SSL 生成证书恳求提交证书恳求 颁发证书 在Web效力器上安装证书 启用平安通道SSL 运用HTTPS协议访问网站 生成证书恳求恳求过程的生成的文本文件

12、,此文件将提交给CA恳求过程的生成的文本文件名互联网上运用有效的DNS名,假设在局域网可运用计算机名假设CA类型为独立根或者独立从属,那么必需选择此项提交证书恳求颁发证书在Web效力器上安装证书查看证书平安套接层端口从CA下载的文件启用平安通道SSL运用HTTPS协议访问网站运用HTTP访问网站的效果证书的导出导入证书时运用运用控制台导出证书证书的导入运用控制台导入证书阶段练习背景tsinghuait公司有一个Web站点，域名为tsinghuait启用的身份验证方式是根本身份验证方式保证用户密码和访问的数据在传输时的平安性信息不能被协议分析工具破解出来目的掌握证书效力的安装了解证书的发放过程掌握在Web效力器上配置SSL运用HTTPS协议访问网站以验证结果阶段练习步骤1安装证书效力2生成证书恳求3提交证书恳求4颁发证书5下载证书6在Web效力器上安装证书7在Web效力器上启用平安通道SSL8运用HTTPS协议访问网站本章总结PKI与证书效力运用公钥根底构造