网管员必读——网络安全(第2版)第八章.ppt

1、第八章 公钥基础结构,在网络应用中，公钥基础结构是非常重要的安全技术，它与计算机证书技术息息相关。利用它们不仅可以给重要的文件和邮件传输进行加密和数字签名，防止非法用户的打开和使用，还可以对网络访问用户的身份进行识别。微软自Windows 2000系统以后的版本系统就开始全面对公钥技术提供支持，在最新的Windows Server 2003服务器系统中更是得到前所未有的提高。 本章重点如下： 公钥基础结构的作用 Windows Server 2003系统中的公钥基础结构 证书的主要应用 证书申请方法 证书自动注册方法 证书模板用户权限的配置,8.1 公钥基础结构（PKI）概述,PKI是通过使用

2、公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI让个人或企业安全地从事其商业行为。 PKI采用各参与方都信任一个同一CA（认证中心），由该CA来核对和验证各参与方身份的身份这种信任机制。 8.1.1公钥基础结构作用 公钥基础结构的作用因不同的应用环境有不同的体现。在广义的互联网应用方面，通过公钥基础结构（PKI），交易双方（可能是在线银行与其客户或者是雇主与其雇员）共同信任签发其数字证书的认证中心（CA）进行安全可信的商务交易。典型的作用是采用数字证书的应用软件和CA信任有相同的机制。 在一个单位内部，应用PKI的好处主要体现在：增加安全性、简化管理和满足

3、其他安全需求这三个方面。详细内容参见书本P234页。,8.1.2 Windows Server 2003公钥基础结构,Windows Server 2003家族的公钥基础结构具有以下功能： 证书 证书基本上是颁发机构所颁发的证明证书持有人的身份的数字声明。证书将公钥与拥有相应私钥的个人、计算机或服务绑在一起。 证书服务 在Windows Server 2003 家族系统中，证书服务是用于创建和管理证书颁发机构（CA）的组件。CA负责建立和确定证件持有者的身份。 证书模板 证书是由CA根据证书申请中提供的信息和证书模板中包含的设置来颁发的。证书模板是针对接收到的证书申请应用的规则和设置的集合。,

4、证书自动注册 让计算机自动向企业证书颁发机构提交证书申请并安装颁发的证书，这有助于确保计算机能获得在组织内执行公钥加密操作所需的证书。 Web注册页面 这些网页是证书服务的单独组件，是安装CA时默认安装的，并允许证书申请者使用Web浏览器递交证书申请。 智能卡支持 Windows支持通过智能卡上的证书进行登录，以及使用智能卡来存储证书和私钥。 公钥策略 在Windows中可以使用组策略自动给受领人分发证书，建立公共可信的证书颁发机构，以及为EFS（加密文件系统）管理恢复策略。 本节详细内容参见书本P235P236页。,8.2 证书基础,公钥基础结构与计算机证书是两个息息相关的技术，但计算机证书

5、技术的应用范围要比公钥基础结构技术更广。证书其实就是一种数字签名的声明，将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。 8.2.1 证书概述 在微软的Windows系统中，证书是这样定义的：接收证书的实体是证书的“主题”，而证书的颁发者和签名者称为“证书颁发机构”。通常，证书包含以下信息： 主题的公钥值 主题标识符信息（如名称和电子邮件地址）。 有效期（证书的有效时间） 颁发者标识符信息本节详细内容参见书本P236页。,8.2.2 证书的应用,因为证书通常用来为实现安全的信息交换建立身份并创建信任。证书的应用主要体现在组织和个人应用两个方面。 在组织应用中，很多组织安装有自己的证书颁发

6、机构，并将证书颁发给内部的设备、服务和雇员，以创建更安全的计算环境。这样，雇员的证书存储区中就可能有多个由各种内部证书颁发机构所颁发的证书，而所有这些证书颁发机构均通过到根证书颁发机构的证书路径共享一个信任连接。当雇员利用虚拟专用网（VPN）从家里登录到组织的网络时，VPN服务器可以提供服务器证书以向用户证实自己的身份。 在个人应用中，可以向商业证书颁发机构购买证书，以便发送经过安全加密或数字签名以证明真实性的个人电子邮件、向其他人传输重要文件。 本节详细内容参见书本P236P238页。,8.2.3 证书颁发机构,当证书作为识别证书持有者（证书的“主题”）的方法递交给某个实体时，只有当收到该证

7、书的实体信任颁发者（通常是指证书颁发机构（CA）时，证书才是有用的。当您信任证书颁发机构时，就意味着您相信证书颁发机构在评估证书请求时有正确的策略，并且它会拒绝将证书颁发给不符合这些策略的实体。此外，您还确信证书颁发机构会通过发布随时更新的证书吊销列表，撤消它认为已不再有效的证书。 对于Windows Server 2003用户、计算机和服务，在拥有受信根证书颁发机构存储区中的根证书副本，以及拥有表示证书路径中的证书没有取消或过期的有效证书路径时才会建立对证书颁发机构的信任。证书路径包括颁发给从属CA到根CA的证书层次中的每个CA的每份证书。 图7-1是一个典型的证书颁发机构组织结构图。,如果

8、您的组织正在使用Active Directory，那么根据系统管理员的决定和设置，通常将自动建立对该组织的证书颁发机构的信任。,图7-1 证书颁发机构组织结构,如果您的组织正在使用与Windows Server 2003家族一起安装的“证书服务”版本以运行其证书颁发机构，证书颁发机构将是以下两种类型之一：企业证书颁发机构或独立证书颁发机构。对于证书用户和申请者来说，Windows Server 2003证书颁发机构的两种标准类型的差异总结如下： 企业证书颁发机构 企业证书颁发机构取决于当前使用的Active Directory，也就是适用于证书颁发机构在域控制器网络中。用户可以使用“证书申请向

9、导”（从“证书”管理单元中启动）以及证书颁发机构网页，向企业证书颁发机构申请证书。 独立证书颁发机构 独立证书颁发机构就是证书颁发机构不是在域控制器上，而在专门配置的服务器上。在这类证书颁发机构中，用户的自动操作能力方面不如企业证书颁发机构，因为它不依赖Active Directory。默认情况下，用户只能通过网页向独立证书颁发机构申请证书。 本节详细内容参见书本P239P240页。,8.2.4 证书服务的安装,本节介绍的是Windows Server 2003系统中计算机证书服务的安装步骤，它是通过在“控制面板”中的“添加或删除程序”选项进行的。在此不作具体介绍，具体步骤可参见书本P2402

10、42页介绍。,8.3 证书申请,申请和接收证书的方式取决于颁发该证书的证书颁发机构（CA）所使用的策略和过程。 8.3.1 证书模板 在证书申请时，证书模板是必不可少的，它是用户、计算机申请证书的基础，是企业证书颁发机构（CA）不可缺少的组成部分。它们是某个环境下证书策略的重要元素，是一组用于证书注册、使用和管理的规则和格式。 1. 密钥类型和加密服务提供程序类型 证书包含用来加密或验证信息的数字签名的公钥信息。客户端将该证书存储区在它们的证书存储区中，还存储了用来指明哪个加密服务提供程序（CSP）存储了关联私钥的数据。在密钥类型方面，生成公钥/私钥对时，可以创建几种类型的密钥。在加密服务提供

11、程序类型方面，加密服务提供程序（CSP）是Windows操作系统中提供一般加密功能的硬件和软件组件。,2. 证书模板注册策略 对相应的证书模板至少拥有读取和注册权限的任何接受方都可以请求证书。某些情况下，管理员可能想要对证书请求发出之后所发生的过程设置某些限制。这将让管理员能够控制颁发什么证书，以及如何实现颁发过程。这种类型的限制称为“注册策略”。 3. 有效和续订期 为了进一步保护密钥，不使经过一段时间后，恶意用户可能会破解密钥，并获取受密钥保护的数据，密在此需对所拥有的密钥设定有效期和续订期。 4. 使用者名称 与证书相关的私钥的持有者称为“接受方”。这可以是用户、程序或几乎任何对象或服务

12、。Windows可自动生成使用者名称，或要求接受方手动进行提供。如果它自动提供使用者名称，则Windows将从Active Directory中获得该信息；如果配置为手动提供使用者名称，则接受方将在证书申请中提供该信息。 Windows Server2003附带的预配置证书模板见书中表7-1。 本节详细内容参见书本P243P245页。,8.3.2 使用证书申请向导申请证,用户和管理员可以使用“证书”管理单元向Windows2003和企业证书颁发机构申请新的证书。另外，用户还可以从证书存储区查找、查看、导入和导出证书。但是在大多数情况下，用户不必亲自管理他们的证书和证书存储区。而是通过管理员、策

13、略设置以及使用证书的程序来完成。 在 Windows Server2003 系统中有两种明确申请证书的主要方法：（1）使用证书申请向导申请证书；（2）使用Windows Server2003证书服务网页申请证书。使用“证书”管理单元中的“证书申请向导”向Windows Server2003企业证书颁发机构申请证书时，需事先要注意好以下几个事项： 选择要向其提交申请的证书颁发机构 选择合适的证书模板以便用于新证书 可使用证书申请向导中的“高级选项”本节详细内容参见书本P245P250页。,8.3.3使用 Windows Server2003 证书服务网页,默认情况下，每一个 Windows Se

14、rver2003 证书颁发机构都有可供用户和管理员使用的网页。这些页面可用于执行与申请证书相关的多种任务。这些网页位于http:/servername/certsrv，其中 servername 是主持证书颁发机构的服务器名称。对于向独立证书颁发机构申请证书的用户，网页是“唯一”的申请途径。对于要向企业证书颁发机构申请证书的用户，则是可选的。 如果已被授予访问权限，则可以从网页执行以下任务： 申请基本证书 使用高级选项申请证书 在高级证书申请中可供用户选择的选项包括： 加密服务提供程序（CSP）选项 密钥生成选项和其他选项具体申请步骤参见书本P250P254页介绍。,8.4 证书的自动注册,上

15、节其实我们介绍的证书申请、安装方式是一种用户手动注册过程。其实在大型网络管理中，通常不是采取这种手动注册方式。网络管理员经常需要证书用户和计算机保留一个或多个证书。用户手动证书注册过程在某种程度上很容易混淆，并且很费时间。管理员可能没有对于注册过程的控制权，因此，许多用户或计算机可能获取无用或不正确的证书。不进行干预而获取、存储和更新主题证书的过程是很理想的。这样一来管理员很难管理好整个企业网络中的用户、计算机和服务证书，所以通常是采取自动注册方式。 证书自动注册是一个允许客户端自动向证书颁发机构提交证书申请，也允许检索和存储颁发的证书的过程。该过程是由管理员来控制的，因此，证书是由具有正确设

16、置的适当主题获取的。客户端计算机将定期检查可能需要的任何自动注册任务，并执行这些任务。这包括申请新证书、检索完成的证书颁发机构的申请或续订现有证书。,8.4.1 规划自动注册部署,在WindowsXP和Windows Server2003 Standard Edition中，自动注册是证书服务的一项很有用的功能。自动注册允许管理员将接受方配置为自动进行证书注册、检索已颁发的证书、并续订过期证书，而不需要接受方进行交互。接受方不需要知道任何证书操作，除非将证书模板配置为与接受方交互。 要正确配置接受方自动注册，管理员必须规划要使用的一个或多个合适的证书模板。证书模板中的几个设置直接影响接受方自动

17、注册的行为。 具体规划步骤参见书本P255P258页介绍。,8.4.2 “用户”模板复制,在整个自动注册部署中需要进行如下主要步骤： （1）复制用户模板并将副本用于自动注册 （2）配置企业证书颁发机构以便颁发自动注册的用户证书 （3）建立自动注册域用户的策略 本节介绍的就是其中的第一步，配置步骤在证书颁发机构上进行，具体配置步骤参见书中介绍。 【说明】8.4.3节的“配置企业证书颁发机构 ”和8.4.4的“建立自动注册用户的策略”是以上三个主要步骤中的后面两步。 本节具体配置步骤参见书本P258260页介绍。8.4.3和8.4.4两节内容参见书本P260P262页。,8.5 证书的导入/导出,

18、“证书”管理单元提供了导出和导入证书的管理工具，如果需要，还包括他们的证书路径和私钥。可以将证书导出到PKCS#12 文件、PKCS#7文件和二进制编码的X.509证书文件，同时也可以从这些文件中导入证书。 8.5.1导入/导出证书用途和标准证书文件格式 1. 导入/导出证书用途 您可以利用证书导入功能实现以下功能： 安装包含在由另一用户、计算机或证书颁发机构发送给您的文件中的证书。 还原受损或丢失的以前备份的证书。 从证书持有者以前使用过的计算机上安装证书及其关联的私钥。 导入证书时，应将证书从使用标准证书存储格式的文件复制到您的用户帐户或计算机帐户对应的证书存储区。,您可以利用证书导出功能

19、实现以下功能： 备份证书。 备份证书及其关联的私钥。 复制证书以便在另一台计算机上使用。 从证书持有者当前的计算机上删除证书及相关私钥，以便安装在另一台计算机上。 导出证书时，就是将证书从证书存储复制到使用标准证书存储格式的文件中。 2. 标准证书文件格式 可以用以下格式导入和导出证书： 个人信息交换（PKCS#12） 加密消息语法标准（PKCS#7） DER编码的二进制X.509 Base64编码的X.509 本节详细内容参见书本P262P264页。另8.5.2、8.5.3和8.5.4分别是“导入证书”、“导出证书”和“导出带私钥的证书”具体操作步骤，参见书本P264P267页。,8.6 吊销证书和发布CRL,可以使用证书颁发机构管理单元，吊销证书，管理证书吊销列表（CRL）的发布，指定在证书颁发机构（CA）所颁发的每份证书中发布的CRL分发点（CDP）。 8.6.1 吊销证书 为帮助维护单位公钥