WNSPKI与证书服务应用知识点

第六章PKI与证书效劳应用EditbyLCHSH什么是PKI？PKIPublicKeyInfrastructure的缩写，意为“公钥根底构造PKI由哪些组件构成？①公钥加密技术②数字证书：用于用户的身份的验证③证书颁发机构CCA是一个可信任的实体，负责公布、更和撤消证书④注册机构RRA拥有承受用户的恳求等功能PKI体系能够实现的功能有哪些？①身份验证②数据完整性③数据机密性④操作的不行否认性什么是密钥？密钥是一组信息编码，自身包含了密码规章资料。规章进展解密就可以清楚无误地得到正确的信息了。用密钥进展加密，有哪些类型？一般来说密钥加密的方法有三种类型：对称加密、非对称加密和Hash加密。①对称加密无法保证密钥的安全性。RC5、RC6、Blowfish和Twofish，其中最终两种算法位数长，而且加密解密速度很快。②非对称加密能恰恰与另一把相反，一把用于加密时，则另一把就用于解密。公共密钥是由其仆人加以公开的，而私人密钥必需保密存放。为发送一份保密报文，发送者必需使用接收者的公共密钥对数据进展加密，一旦加密，只有接收方用其私人密钥才能加以解密。“数字签名“的根底，假设要一个用户用自己的私人密钥对数据进展了处理别人可以用他供给的公共密钥对数据加以处理由于仅仅拥有者本人知道私人密钥这种被处理过的报文就形成了一种电子签名 一种别人无法产生的文件。③Hash加密是通过数学运算，把不同长度的信息转化到128位编码中，形成Hash值，通过比较这通过比较Hash值来推断信息途中是否被截获修改，是否由合法的发送人发送或者合法的接收人接收等。用这种方法，可以防止密钥丧失的问题，由于它的加密局部是随机生成的，假设没有正确的Hash值根本就无法解开加密局部，而且它还具备了数字签名的力量，可以证明发MD4、MD5SHA。PKI加密技术中的公钥和私钥有什么特点？①密钥是成对生成的，这两个密钥互不一样，两个密钥可以相互加密和解密②不能依据一个密钥来推算得出另一个密钥③公钥对外公开；私钥只有私钥的持有人才知道④私钥应当由密钥的持有人妥当保管数据加密的过程及作用是什么？数据。数据加密能保证所发送数据的机密性。数字签名的过程及作用是什么？数字签名的过程：发送方使用自己的私钥加密，接收方使用发送方的公钥解密。什么是数字证书？数字证收把公钥和拥有对应私钥的主体的标识信息〔如名称、电子邮件、身份证号等〕Web用户身份验证、Web效劳器身份验证、安全电子邮件、Internet协议安全〔IPSec〕等；数字证书是由权威公正的第三方机构即CA签发的。证书包含哪些内容？证书包含如下内容：使用者的公钥值；使用者标识信息〔如名称和电子邮件地址有效期〔证书的有效时间；颁发者标识信息；颁发者的数字签名。CA的作用是什么？CA的核心功能就是颁发和治理数字证书。证书的发放过程如何？①证书申请用户依据个人信息填好申请证书的信息并提交证书申请信息。②RA确认用户在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性。③证书策略处理假设验证恳求成功，那么，系统指定的策略就被运用到这个恳求上，比方名称的约束、密钥长度的约束等。④RA提交用户申请信息到CARA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的。⑤CA为用户生成密钥对CA的签名密钥对用户的公钥和用户信息ID进展签名，生成电子证书这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到名目中。⑥CA将电子证书传送给批准该用户的RA⑦RA将电子证书传送给用户〔或者用户主动取回〕⑧用户验证CA颁发的证书确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发。什么是SSL？SSL是一种国际标准的加密及身份认证通信协议，您用的扫瞄器就支持此协议。SSL〔SecureSocketsLayer〕Netscape公司争论出来的，后来成为了Internet网上安全通讯与交易的标准。SSL协议使用通讯双方的客户证书以及CA根证书，允许客户/效劳器应用以一种不能特征：信息保密性、信息完整性、相互鉴定。什么是S？S〔SecureHypertextTransferProtocol〕安全超文本传输协议。它使用安全套接字层(SSL)进展信息交换，简洁来说它是的安全版。它是由Netscape开发并内置于其扫瞄器中，用于对数据进展压缩和解压操作，并返回S实际上应用了Netscape〔SSL〕作为〔S443，而不是象80来和TCP/IP进展〕SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是适宜的。S和SSL支持使用X.509数字认证，假设需要的话用户可以确认发送者是谁。SSL的工作原理如何？①客户端输入URL路径，向效劳器恳求网页②效劳器将网站的公钥输入到客户端的扫瞄器③双方协商加密安全等级④扫瞄器依据加密安全等级，生成会话密钥，用效劳器的公钥对该会话密钥加密，传送给扫瞄器⑤网站效劳器利用自己的私钥，把会话密钥解出⑥双方利用会话密钥对传送的全部数据进展加密解密附：练习题在WindwosServer2003中安装证书效劳时，可以看到CA类型有4种，企业根CA、企业附属CA、独立根CA、独立附属CA，以下关于这4种类型的CA的描述正确的选项是〔 〕。〔选择二项〕A、企业根CA是指在组织的PKI中最受信任和最具权威的CAB、独立附属CA可以独立安装，而不需要独立根CA的支持C、企业根CACA需要ADD、4CA都需要AD正确答案：AC分析：企业CA需要活动名目的支持。独立CA不需要使用活动名目。在公钥加密系统中，小尚期望给小李发一个经过数据加密的文件，要想到达这个目的，小尚需要使用〔〕。〔选择一项〕A、小尚的公钥B、小尚的私钥C、小李的公钥D、小李的私钥正确答案：C分析：解密。假设Bob要向Alice〔例DES〕加密数据。为了发送加密的数据以及安全的解密数据所需的DESBob〔 〕来对密钥进展加密，这样Alice就是唯一能够解密DES密钥从而解密DES据的人。〔选择一项〕A、Bob的公钥B、Bob的私钥C、AliceD、Alice正确答案：C分析：加密算法所使用的加密密钥和解密密钥是一样的，密钥被截获后，就能对数据解密。所以，在本例中，使用接收方的公钥再对加密密钥加密，实现了加密密钥的安全传送。benet公司要通过互联网向accp公司发送一份机密文件，为了保证传输过程中机密数据不被窃听，需要用〔〕加密后再进展传输。〔选择一项〕A、benetB、benetC、accp公司效劳器的公钥D、accp公司效劳器的私钥正确答案：C治理员分别在两台系统为WINDOWSSERVER2003上可选的CACA类型只有独立根CA和独立附属CA，缘由为〔〕。(选择一项)A、在第一台计算机在域中，而其次台计算机在工作组中B、第一台计算机在工作组中，而其次台计算机在域中C、两台计算机都在域中。登录用户的权限不同造成可选的CAD、两台计算机都在工作组中。登录用户的权限不同造成可选的CA类型不同正确答案：A用户jack访问某网站时得到“该页必需通过安全通道查看”的提示，他应当〔 〕才能正常访问该网站。〔选择一项〕A、下载和安装相关安全插件B、指定完整的网页路径和文件名C、使用““://网站/“://网站IP：443”访问D、使用s正确答案：D分析：WEB效劳器上启用了“安全通道SSL”之后，客户端必需要使用s〔安全超文本传输协议〕协议与效劳器通信。下面关于PKI〔〕。〔选择二项〕A、数据的机密性可以通过数字签名来实现B、数据的有效性可以通过数字签名来实现C、数据的机密性可以通过数据加密来实现D、数据的有效性可以通过数据加密来实现正确答案：BC分析：数据加密可以实现数据的机密性，即不能被非法者解密。数字签名可以实现身份验证、〔也可以称为数据的有效性数据被他人截获并做了修改后，接收方可以得知数据被篡改正。PKI〔 〕。〔选择一项〕A、数据的机密性是指数据在传输过程中不能被非法篡改B、数据的完整性是指数据不能被任凭否认C、数据的有效性是指数据在传输过程中不能被非法授权者偷看D、数据的有效性是指数据不能被任凭否认正确答案：DBenetAccpBenet员在通过Accp公司网站提交订购清单时，对方要求供给Benet公司的数字签名。此时，Benet〔〕。〔选择二项〕A、数据的完整性B、数据的机密性C、操作的不行否认性D、用数字签名加密传输的数据正确答案：AC分析：数据被修改正。WindowsServer2003IIS安全通信对话框如以下图所示，选取以下〔 〕配置能使客户端在没有安装客户端证书的状况下正常访问网站内容。〔选择二项〕A、无视客户端证书B、承受客户端证书C、要求客户端证书D、启用客户端证书映射正确答案：AB分析：无视客户端证书：无论用户是否拥有证书，都将被授予访问权限。承受客户端证书：用户可以使用客户端证书访问资源，但证书不是必需的，没有证书也可以访问站点资源。在WindowsServer2003系统中对Web站点申请并安装了证书要启用安全通〔SS，在以下图中勾选“要求安全通道〔SSL〕”，在“客户端证书”中，设置“要求客户端证书”，则以下表达正确的选项是〔 〕。〔选择一项〕A、用户可以使用客户端证书访问资源，但证书并不必需B、无论用户是否拥有证书，都将被授予访问权限C、客户端必需申请和安装客户端证书，例如“用户”证书D、客户端必需申请和安装客户端证书，例如“Web效劳器”证书正确答案：C为了能够在WindowsServer2003IIS效劳器的某个Web站点上启用安全通道〔SSL〕需要〔 〕。〔选择一项〕A、IIS所在的效劳器必需同时是CA〔证书颁发机构〕B、取消身份验证方法中的“启用匿名访问”选项C、IISCA(证书颁发机构)D、在该Web正确答案：D在公钥加密技术中，分别需要公钥和私钥两种密钥，公钥和私钥的关系是〔 〕。〔选择一项〕A、双方密钥可一样也可不同B、双方密钥可随便转变C、公钥和私钥之间可以相互推算D、密钥互不一样，可以相互加密和解密正确答案：D分析：公钥与私钥是不同的，不能从一个推算出另一个。在证书的申请过程中，RA提交用户申请信息到CA时会用自己的私钥对用户申请信息签名，这样做的目的时〔 〕。〔选择一项〕A、保证申请信息是RA提交给CAB、将申请信息加密后再提交给CAC、使CARAD、让CARA正确答案：A一家电子商务公司预备使用基于WindowsServer2003的IIS做为网上交易的Web平台，并且在Web效劳器上建立和部署了网站的内容。为了保证交易过程的安全性公司打算使用SSL技术实现交易过程的数据加密治理员在使用IIS证书向导为该Web站点建证书的过程中，要求输入“站点公用名称”，则在此应当填写的内容是〔 〕。〔选择一项〕A、这台Web效劳器的NetBIOS名B、该公司网站的FQDN名C、这台Web效劳器在公网上的IP地址正确答案：B分析：站点的FQDN是站点的标识，这个标识要写入证书中。你是公司的网络治理员公司处在单域的环境中没有线路连接到Internet有10台效劳器运行了WindowsServer2003企业版，其余全部的80台客户机都运行WindowsXP。你在一台效劳器上安装了证书效劳,全部员工报告说他们不能够在MMC中利用证书申请向导申请用户证书，你确定证书效劳安装正确〔只有一台证书效劳器〕，公司的局域网连接正常。那么造成这种现象的缘由最有可能是〔 〕。〔选择一项〕A、治理员安装的是企业根CAB、治理员安装的是企业附属CAC、治理员安装的是独立附属CAD、治理员安装的是独立根CA正确答案：D分析：在域环境中，创立的第一个CA的类型应当为企业根CA。独立CA工作在工作组环境中。在域环境中，可以创立出独立根CA，客户端可以用扫瞄器以WEB方式申请证书，但不能以MMC方式申请证书。在域成员机上创立了独立根CA，而客户端在工作组环境中，则客户端以WEB方式和MMC方式都不能申请证书。安装完证书效劳后，证书颁发机构〔类型是独立根CA〕的治理掌握台可以治理的内容有〔〕。〔选择三项〕A、挂起的证书B、颁发