Windows Server 2003组网技术与实训 教学课件 作者 杨云 第11章 电子证书服务.pptVIP

Windows Server网络技术与实训 人民邮电出版社 书名：Windows Server 2003组网技术 与实训 主讲： 第11章 电子证书服务 本章要点 部署公钥基础机构（PKI），利用PKI提供的密钥体系来实现数字证书签发、身份认证、数据加密和数字签名等功能，可以为网络业务的开展提供安全保证。 数字证书简介 CA的层次结构 企业CA的安装与证书申请 数字证书的管理 第11章电子证书服务 11.1 数字证书简介 11.2 CA的层次结构 11.3 企业CA的安装与证书申请 11.4 数字证书的管理 概述 随着Internet的迅猛发展，越来越多的重要数据要在网上传输，如何保证这些数据不受到恶意的攻击或窃取，成为网络管理最关键的问题之一。 在Windows 2003中，可以利用公共密钥提供网络安全。 对于电子商务、Intranets、extranets和启用了Web功能的应用程序来说，公共密钥密码系统是一项重要的技术。 概述 Windows 2003中有两种验证协议，Kerberos和公钥基础结构(Public Key Infrastructure ，PKI)，这两者的不同之处在于：Kerberos是对称密钥，而PKI是非对称密钥。 对称密钥——加密和解密的密钥相同。 非对称密钥——加密和解密密钥不同。 11.1 数字证书简介 数字证书是一段包含用户身份信息、用户公钥信息和身份验证机构数字签名的数据。 身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。 数字证书 数字证书是各类终端实体和最终用户在网上进行信息交流和商务活动的身份证明。 数字证书是一个经证书认证中心（CA）数字签名的，包含公开密钥拥有者信息和公开密钥的文件。 认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。 认证中心颁发的数字证书均遵循X.509 V3标准。 PKI 公钥基础结构（Public Key Infrastructure，PKI）是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构（CA）和其他注册机构（RA）。 一个单位选择使用Windows来部署PKI的原因有很多： 安全性强。智能卡登陆、加密文件系统（EFS）、IPsec（Internet协议安全性） 简化管理。 其他机会。 证书的用途 证书提供下述功能： 服务器身份验证——利用证书为网络中的客户机鉴别服务器 客户机身份验证——利用证书为服务器提供对客户机的认证（如：远程访问功能和智能卡身份验证） 程序代码签署(数字签名)——利用与密钥对有关的证书签署活动内容 加密E-mail——安全电子邮件，利用与密钥对有关的证书签署电子邮件消息（用于加密信函）。 EFS（加密文件系统）——利用与密钥对有关的证书，加密和解密用于还原恢复加密数据的对称密钥。 IPSec——利用与密钥对有关的证书，加密基于IP层的传输。 11.2 CA的层次结构 11.2.1 内部CA和外部 CA 11.2.2 颁发证书的过程 11.2.3 证书吊销 11.2.4 CA的层次结构 认证中心（CA） 认证中心（CA） ：负责提供和指派加密密钥、解密密钥、身份验证。 CA通过发放证书来分布密钥。证书中包含公共密钥和一组属性，CA可将证书发给某个计算机、用户帐号或者服务。 CA扮演了一种担保人的角色。 内部CA和外部CA 外部CA：外部商用CA，为成千上万的用户提供认证服务。 内部CA：面向企业内部用户、计算机或服务器的策略模型。 颁发证书的过程 认证中心CA颁发证书涉及如下4个步骤: （1）CA收到证书请求信息，包括个人资料和公钥等。 （2）CA对用户提供的信息进行核实。 （3）CA用自己的私钥对证书进行数字签名。 （4）CA将证书发给用户。 证书吊销 证书的吊销使得证书在自然过期之前便宣告作废。 可能的原因包括： 证书拥有者的私钥泄漏或被怀疑泄漏。 发现证书是用欺骗手段获得的。 证书拥有者的情况发生了改变。 CA的层次结构 Windows Server 2003 PKI采用了分层CA模型。 CA的层次结构 证书层次结构是一种信任模式。 在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。 1、根CA（根本权威）是一个机构的PKL中最可信任的CA类型。 通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。 在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。 2、下层CA已经被机构中的另一个CA鉴定过的CA。 CA的层次结构 通常，下层CA针对特定的用途发放证书（例如