15利用公共密钥基础结构配置网络安全性

26三月202415利用公共密钥基础结构配置网络安全性*5-1概述公共密钥基础结构PKIPublicKeyInfrastructure用于网络安全，保护数据2000系统包括一个本机PKI以充分利用2000安全性体系结构的优点*5-2初步介绍公共密钥基础结构（PKI）2000PKI：加密和身份验证包括智能卡验证、EFS、IPSec对于电子商务和要求分布式安全性的方案来说：

公共密码系统是至关重要的*

公共密钥加密技术被加密的数据：任意形式电子邮件、信用卡数字、网络流量使用公钥、私钥两个密钥二者在数学上彼此相关联*公共密钥加密（数字信封）加密信息通过网络发送23A78Alice加密信息用Bob的公共密钥1Data3A78Bob解密信息用Bob的私有密钥3Data*

密钥（key）一个随机字符串与某种算法的联合应用私钥：要保守机密公钥：对所有潜在的响应者完全公开在启用了PKI功能的程序中，密钥对用户来说通常是透明的。（如：EFS）*公共密钥身份验证（数字签名）信息通过网络发送2~*~*~*~Alice标记信息用Alice的私有密钥1~*~*~*~~*~*~*~Bob验证信息用Alice的公共密钥3*

数字签名：验证发送者如签署驱动程序数字签名采用散列算法保证：如果单个字节发生了变化，会生成完全不同的散列，使签名无效。用于身份验证、完整性和防重发的的散列函数MD5，128个二进制位的密钥SHA，160个二进制位的密钥*补充材料：数字签名散列算法原理发送方签名信息，同时创建消息摘要并用私钥加消息摘要接收方（公钥解密）消息摘要再创建一个消息摘要二者比较，以保证数据的完整性*发放该证书，用做PKI内的安全性凭证4计算机，用户，或者服务CA~*~*~*~CA接受一个证书请求1确认该请求者的信息2CA用自己的私有密钥对数字证书进行签名3认证中心CA证书中包含公共密钥和一组属性*

认证中心CA负责提供和指派加密密钥、解密密钥和身份验证外部的CA和内部的CA外：大型的商用CA内：如2000证书服务发放证书的过程（见前页动画）收回证书CA负责宣告证书的无效发布“证书撤销清单”（CRL）*证书层次结构使用证书，必须有公共的信任点（CA）根CA，根本权威一般不用于向终端用户发放证书下层CA下层CA下层CA信任信任信任*Windows2000PKI域控制器DCSSL和IPSec证书服务发放和管理数字证书活动目录用于PKI的发布服务启用PKI功能的应用程序域用户计算机如：IE、IIS、Outlook*

安全性协议SSL：网景Netscape开发的协议安全套接层SSL用于在Internet通信中确保安全性和机密性可用于客户机、服务器、客服的身份验证IPSec：用于在IP层支持安全的信息包交换证书的用途服务器身份验证，如电子商务中验证站点客户机身份验证，如远程访问，智能卡EFS、IPSec*企业根CA企业子CA只有企业管理员，才能安装企业CA用于企业内部：企业CA要求请求证书的用户和计算机在AD中有一个帐号AD、DNS、身份：企业管理组独立根CA独立子CA用于企业之外：独立存在的CA不要求活动目录5-3部署证书服务*选择CA模型企业根CA

在证书层次结构中是顶级CA，利用AD确定请求者的身份，通常只为下层CA发放证书独立根CA

在证书层次结构中是顶级CA，不要求AD企业下层CA

获得证书从其它CA，要求AD。不是最可信任的，但可只用于特定用途，如：电子邮件、WEB、智能卡验证独立下层CA

获得证书从其它CA，不要求AD。需要父CA，如一个外部的商用CA*安装证书服务选择一个CA类型设置高级选项输入标识信息指定数据库和日志文件的位置安装“证书服务”：添加/删除程序*WindowsComponentsWizardCACertificateRequest

RequestthecertificateforthisCAbysendingtherequestdirectlytoa parentCAorsavingtherequesttothefileandsendingthisfiletotheCA.SendtherequestdirectlytoaCAalreadyonthenetwork.Computername:ParentCA:Savetherequesttoafile:Requestfile:C:\CAConfig\PHOENIX_User1Browse…Browse…<BackNext>Cancel创建下层CA：得到一个“证书请求”如果一个父CA联机如果一个父CA脱机，存入软盘*

来自父CA的文件最低限度应该包含：下层CA的证书和完全的认证路径实验中：独立子CA第一步：安装此CA证书路径过程子CA在安装“证书服务”时提出“证书请求”父CA颁发证书父的管理工具—CA—待处理的请求子CA安装证书子的管理工具—CA—安装证书需指定父CA的计算机名*备份和还原证书服务CertificateAuthorityActionViewTreeNameCertificationAuthority(Local)RevokedCertificatesSaveCAcertificatesandconfigurationWin2153ACA所有任务ViewRefreshExportList….PropertiesHelp备份CA…StartService还原CA…RenewCACertificate…StopService用来启动CA备份/恢复向导*

备份推荐：CA作为系统状态的组成部分予以备份利用管理工具—CA，备份依赖于IIS的元数据库，应保证其完好发出的证书越多，越应该及时备份*请求证书：“证书请求”向导（MMC—证书）仅适用：从企业CA请求证书时要求用户访问权力利用证书模板向计算机发放证书可利用公共密钥策略中的自动证书设置值证书服务WEB页（MS的方向）演示5-4利用证书*查看证书ConsoleRoot\Certificates–CurrentUesr\TrustedRootCertificationAuthor…ConsoleWindowHelpActionViewFavoritesTreeFavoritesConsoleRootCertificates–CurrentUserPersonalTrustedRootCertificatesCertificatesEnterpriseTrustIntermediateCertificationAuthoriActiveDirectoryUserObjectIssuedToIssuedByEquifaxSecureeBusines… EquifaxSecureeBusinessCA-2EquifaxSecureGlobaleB… EquifaxSecureGlobaleBusinessEUnetInternationalRoot… EUnetInternationalRootCAFESTE,PublicNotaryCerts FESTE,PublicNotaryCertsFESTE,VerifiedCerts FESTE,VerifiedCertsFirstDataDigitalCertific… FirstDataDigitalCertificatesInc.FNMTClass2CA FNMTClass2CAGlobalSignRootCA GlobalSignRootCAGTECyberTrustGlobal… GTECyberTrustGlobalRootGTECyberTrustRoot GTECyberTrustRootGTECyberTrustRoot GTECyberTrustRoot/ // // /IPSSERVIDORES IPSSERVIDORESMicrosoftAuthenticode(… MicrosoftAuthenticode(tm)RooMicrosoftRootAuthority MicrosoftRootAuthorityNetLockExpressz(Class… NetLockExpressz(ClassC)TanNetLockKozjegyzoi(Clas… NetLockKozjegyzoi(ClassA)T TrustedRootCertificationsCertificationAuthoritiesstorecontains107certificatesCertificateGeneralDetailsCertificationPathCertificationInformationThiscertificateisintendedto:EnsurestheidentityofaremotecomputerProvesyouridentitytoaremotecomputerEnsuressoftwarecamefromsoftwarepublisherProtectssoftwarefromalterationafterpublicationProtectse-mailmessagesAllowsdatatobesignedwiththecurrentlineIssuedto: MicrosoftRootAuthorityIssuedby: MicrosoftRootAuthorityValidfrom 1/10/1997to12/31/2020IssuerStatementOK*5-5管理证书当用户向独立CA提交证书请求时这一请求被视为待处理的直到CA管理员批准或者拒绝为止发放证书：拒绝/颁发宣告证书无效：已颁发的证书，吊销发布证书撤销清单CRL：已吊销的，发行CRL客户可在IE中下载CRL*宣告证书无效RevokethisCertificateRequestIDRequesterNameBinaryCertificateSerialNumCertificateAuthorityActionViewTreeCertificationAuthority(Local)RevokedCertificates颁发的证书PendingRequestsFailedRequestsPolicySettingsWin2153ACA所有任务RefreshHelp吊销证书Open2NWTRADERS…----BEGINCERT24dbf9e0…24e925f1…24ef12b2…24f6d615…2553d5b7…2558fb82…2ffd8774…当吊销的证书发行之后，吊销的证书出现在CRL中*CertificationAuthorityConsoleWindowHelpActionViewCertificationAuthorityCertificateServices(Local)ManuallypublishcurrentCRL吊销的证书IssuedCertifiMSTestPendingReqFailedReque所有任务ViewNewwindowfromhereRefreshPropertiesHelp发行RequestIDBinaryCertificateSerialNumber----BEGINCERTIFICATE---.. 1aaaf7000000012----BEGINCERTIFICATE---.. 1c7d7400000014E---.. 1e41b500000016CertificateRevocationListGeneralRevocationList