数字安全和证书服务.pptVIP

第11讲数字安全和证书服务 本讲任务 基于PKI的数字证书的概念、格式、原理、种类。 基于PKI的数字证书解决方案 。 利用Windows Server 2003的证书服务构建和管理CA以及使用SSL构建的Web站点。 数字安全和证书服务基本知识 9.1.1 网络信息安全的概念 按照规范的定义，安全的网络信息必须满足以下的最基本的几个特征。 1．机密性 2．完整性 3．可用性 4．不可否认性 9.1.2 常规加解密技术 1．加解密体系的概念 2．常规加解密技术的特点 3．常规加解密的过程 4．常规加解密技术的分类 5．常规加解密技术使用的算法 9.1.3 公钥加解密技术 公钥结构的保密通信的原理 9.1.3 公钥加解密技术 公钥结构的鉴别通信的原理 公钥结构的鉴别+保密通信的原理 9.2 基于PKI的数字证书解决方案 PKI(PublicKeylnfrastructure，公钥结构)即完整的公钥解决方案，是利用公钥加解密技术来实现网络信息安全的技术，代表了当今世界安全技术领域的最高水平。PKI技术是包括软、硬件技术和网络技术的综合，对于Internet上的网络信息安全具有重大的意义。 9.2.1 什么是数字证书 9.2.2 数字证书的格式 主要包括以下要素。 【版本】：采用的X．509格式的版本号，包括Version 1、Version 2和Version 3(好比是身份证的格式标记)。 【序列号】：由证书颁发机构颁发的该证书的惟一整数值(好比是身份证号码)。 【签名算法】：用来对数字证书进行签名的算法和相关参数(好比是身份证的制作方法)。 【颁发者】：创建和对该证书进行签名的CA(证书颁发机构)的名字(好比是身份证的颁发公安机关)。 【使用者】：证书的用户名，证书证实了持有相应私钥和公钥的用户名(好比是身份证的人名)。 【使用者惟一标识符】：证书的用户名对应的惟一标识符。 【有效起始日期】：证书开始生效的日期(好比是身份证的生效日期)。 【有效终止日期】：证实实效的日期(好比是身份证的实效日期)。 【公钥】：用户的公钥算法标识符及位数。 【密钥用法】：数字证书的用法。 【使用者密钥标识符】：用户的公钥。 9.2.3 数字证书的原理 9.2.4 数字证书的种类 纵观这些CA，基本上都提供以下一些种类的数字证书： 【Web服务器证书】：用于在Web服务器和浏览器之间建立安全的连接通道，直接 存储在Web服务器的硬盘上。 【服务器身份证书】：用于对网络中的一些服务器进行身份标识，提供服务器的信息、公钥和签名，确保与其他服务器或用户通信的安全。 【个人证书】：提供证书持有者的个人身份、公钥及签名，用于在网络中标识证书持有者的个人身份，浏览器证书就是一种个人证书。 【安全电子邮件证书】：提供证书持有者的个人身份、公钥及签名，用于电子邮件的安全传递和认证。 【企业证书】：提供企业身份信息、公钥和签名，在网络中标识证书持有企业的身份。 9.2.5 数字证书体系的结构 下面介绍PKI的结构。 1． CA 即数字证书的申请及签发机关，CA必须具备权威性的特征。 2．数字证书库 用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。 3．密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据的丢失。为避免这种情况，PKI必须提供备份与恢复密钥的机制。但密钥的备份与恢复必须由可信的机构来完成，并且密钥备份与恢复只能针对解密密钥，不能够针对用于签名的私钥。 4．证书作废系统 证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样，证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供作废证书的一系列机制。 5．应用接口(API) PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和可用性。 9.3.1 如何设计CA的结构 9.3.2 证书服务的安装 9.3.2 证书服务的安装 9.3.2 证书服务的安装 9.3.2 证书服务的安装 9.3.3 CA的配置 9.3.3 CA的配置 9.3.3 CA的配置 9.3.3 CA的配置 9.3.3 CA的配置 9.3.3 CA的配置 9.3.3 CA的配置 9.3.3 CA的配置 9.3.4 CA的启动与关闭 9.3.5 CA的备份 9.3.6 CA的还原 9.