Windows Server网络操作系统项目教程 课件 第10章 CA服务器配置管理.pptx

第10章CA服务器配置管理WindowsServer网络操作系统项目教程（WindowsServer2019）（微课版）重点知识AKEYPKI技术的优势与应用数字证书及其应用规划部署CA服务器配置客户端计算机浏览器信任CA在Web服务器上配置证书服务公钥基础设施和数字证书数字签名技能实践10.1.1PKI的定义及组成PKI是利用公钥密码理论和技术建立起来的，它不针对具体的某一种网络应用，而是提供一个通用性的基础平台，并对外提供了友好的接口。PKI采用证书管理公钥，通过CA把用户的公钥和其他标识信息进行绑定，实现用户身份认证。用户可以利用PKI所提供的安全服务，保证传输信息的保密性、完整性和不可否认性，从而实现安全的通信。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI用公钥概念和技术实施，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性的安全基础设施服务。10.1.1PKI的定义及组成完整的PKI系统包括五大部分。CA01API数字证书库0205PKI系统0304证书作废系统密钥备份及恢复系统10.1.2PKI技术的优势与应用1．PKI技术的优势PKI采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。由于密码技术的采用，保护机密性是PKI得天独厚的优点。由于数字证书可以由用户独立验证，不需要在线查询，原理上能够保证服务范围的无限制扩张，这使得PKI能够成为一种可以服务巨大用户群体的基础设施。PKI提供了证书的撤销机制，从而使得其应用领域不受具体应用的限制。PKI具有极强的互连能力。10.1.2PKI技术的优势与应用2．PKI技术的应用（1）VPN企业在架构VPN时会利用防火墙和访问控制技术来提高VPN的安全性，这只解决了很少的一部分问题，而一个现代VPN所需要的安全保障，如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。就技术而言，除了基于防火墙的VPN之外，还可以有其他的结构方式，如基于黑盒的VPN、基于路由器的VPN、基于远程访问的VPN或者基于软件的VPN。VPN的基本思想是采用秘密通信通道，用加密的方法来实现。其具体协议一般有3种：PPTP、L2TP和IPSec。10.1.2PKI技术的优势与应用（2）安全电子邮件随着Internet的持续发展，商业机构或政府机构都开始用电子邮件交换一些信息，这就引出了一些安全方面的问题：A安全问题利用数字证书和私钥，用户可以对其所发的电子邮件进行数字签名，这样就可以保证电子邮件的可认证性、完整性和不可否认性。如果证书是由用户所属公司或某一可信任的第三方颁发的，那么收到电子邮件的人就可以信任该电子邮件，而不用管其是否认识发送电子邮件的人。消息和附件可以在不为通信双方所知的情况下被读取、篡改或拦截信任问题B没有办法可以确定一封电子邮件是否真的来自某人，也就是说，发信者的身份可能被人伪造10.1.2PKI技术的优势与应用（3）Web安全浏览Web页面是人们常用的访问Internet的方式。3214泄露诈骗篡改攻击10.1.2PKI技术的优势与应用（4）电子商务的应用PKI技术是解决电子商务安全问题的关键，综合PKI的各种应用，可以建立一个可信任和足够安全的网络。其中有可信任的认证中心，典型的如银行、政府或其他第三方。在通信中，利用数字证书可消除匿名带来的风险，利用加密技术可消除开放网络带来的风险，这样，商业交易就可以安全、可靠地在网络上进行了。10.1.3数字证书及其应用1．数字证书的基本内容最简单的数字证书包括所有者的公钥、名称及认证机构的数字签名。通常情况下，数字证书还包括证书的序列号、密钥的有效时间、认证机构名称等信息。目前常用的数字证书是X.509格式的，它包括以下几项基本内容。证书的版本信息。证书的序列号，这个序列号在同一个证书机构中是唯一的。证书的认证机构名称。证书所采用的签名算法名称。证书的有效时间。证书所有者的名称。证书所有者的公钥信息。证书认证机构对证书的签名。10.1.3数字证书及其应用在IE浏览器的“Internet选项”对话框中选择“内容”选项卡，单击“证书”按钮，弹出“证书”对话框，从中可以查看本机已经安装的数字证书，如图10.1所示。选择某一个证书，单击“查看”按钮，弹出“证书”对话框，可以查看证书的常规信息、详细信息等，如图10.2和图10.3所示。10.1.3数字证书及其应用2．数字证书的应用数字证书主要应用于各种需要身份认证的场合。屏蔽插件安装窗口保证网上银行的安全防止网上投假票通过证书防范网站被假冒保护Office文档安全发送安全邮件公钥基础设施和数字证书数字签名技能实践10.2.1