Windows-NS-CHAP6PKI与证书服务课件

1、PKI与证书服务第五章Chapter本章目标理解PKI的相关理论掌握Windows网络中的CA管理配置和管理企业内部的CA了解基本的加密算法2PKI(公钥基础结构)公钥基础结构 公钥加密技术 数字证书 证书发放机构（CA） 注册权威机构（RA） 3对称加密加密和解密用的密钥相同 DES 、3DES优势与缺点实现简单加密速度快通信双方必须相互认识，并同意采用同一密钥 保存和管理密钥十分复杂 安全的传送密钥也非常困难4发送方接收方对称密钥加密对称密钥解密密文明文传送两个密钥相同对称加密（Cont.）5发送方接收方接收方的公钥加密接收方的私钥解密密文明文传送接收方的密钥对公钥私钥非对称加密（Cont

2、.）多个用户加密的信息只能由一个用户解读 7发送方接收方发送方的私钥加密发送方的公钥解密密文明文传送发送方的密钥对公钥私钥一个用户加密的信息，多个用户解读 非对称加密（Cont.）8PGP主界面创建密钥OUTLOOK与PGP的集成PGP（cont.）10加密签名加密又签名PGP（cont.）11HASH算法杂凑算法输入长度不固定的字符串，返回固定长度字符串无法查找经HASH操作后生成特定HASH值的原报文（不可逆性） 无法查找两个经HASH操作后生成相同HASH值的不同报文 SHA、MD512数字签名身份验证 ，数据的完整性 创建消息摘要消息摘要经过私钥加密接收方用同样的算法创建出一个新的消息

3、摘要 与用公钥解密的消息摘要进行比较 如果这两个消息摘要互相匹配，则可保证完整性 14发送方接收方传送HASH算法消息摘要发送方私钥加密的消息摘要 消息 消息消息摘要 消息消息摘要新创建的消息摘要发送方公钥解密消息摘要相同的HASH算法对比两个消息摘要数字签名（cont.）15Windows Server 2003证书服务中可以查看证书的状态 数字证书17证书的用途信息的保密性 交易者身份的确定性 不可否认性 不可修改性 18证书申请过程证书申请 RA确认用户 证书策略处理 RA提交用户申请信息到CA CA为用户生成密钥对 CA将数字证书传送给批准该用户的RA RA将数字证书传送给用户 用户验

4、证CA颁发的证书 19证书申请过程（cont.）201. 在Windows组件中安装证书服务2.安装证书服务后，计算机名和域成员身份都不能更改 3. 证书可以通过Web注册安装证书服务21创建CA 企业根CA 企业从属CA 独立根CA 独立从属CA 222.添加/删除管理单元 3. 添加管理单元 5. 为用户账户管理证书4. 选择证书管理单元6. 证书管理单元安装完毕，单击确定7. 申请证书8. 证书申请向导1.键入MMC命令通过管理控制台申请证书249. 选择证书类型10. 为新证书键入名称和描述11. 完成证书申请向导12. 证书申请成功申请的证书通过管理控制台申请证书（Cont.）251

5、2345查看企业根CA证书 271. 双击要查看的证书2. 查看证书3. 证书路径查看已颁发的证书 28证书的导入证书的导出证书的导入和导出291. 吊销证书2. 证书吊销的原因3. 证书已吊销吊销证书301234将证书映射到用户账户 31本章总结PKI体系结构采用证书来管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet上验证用户的身份，保证了网上数据的机密性、完整性对称加密就是加密和解密用的密钥是相同的。非对称加密算法需要两个密钥：公钥和私钥32本章总结（cont.）公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密；如果用私

6、钥对数据进行加密，那么只有用对应的公钥才能解密PGP是一个基于RSA公钥系统的邮件加密软件。HASH（哈希）算法也称为杂凑算法，这是一个简单的不可逆过程33本章总结（cont.）数据加密以公钥作为加密密钥，以用户私钥作为解密密钥；数字签名以用户私钥作为加密密钥而以公钥作为解密密钥CA是PKI公钥基础结构中的核心部分。它负责管理PKI结构下的所有用户的数字证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份34本章总结（cont.）CA的主要功能：证书的颁发、证书的更新、证书的查询、证书的吊销和证书的归档在Windows Server 2003中的证书服务按证书颁发机构可以分为以下四种类型：企业根CA、企业从属CA、独立根CA和独立从属CA35本章总结（cont.）证书申请可以通过Windows管理控制台申请，也可以通过Web页申请。因为企业根CA位于CA层次的最高层，所以它会给自己颁发了一张证书36实验目标安装证书服务配置证书服务37实验拓扑结构客户机客户