PKI-SSL-MAIL安全.pptVIP

内容提要 PKI概述 “证书颁发机构（CA）与根CA的安装 实例演练：SSL网站证书 实例演练：电子邮件保护证书 子级CA的安装 证书的管理 6-1 PKI概述 PKI提供的两种功能： 将发送的数据加密 接收方的计算机收到数据后，验证数据的源发性和数据的完整性 支持这些功能的密钥： 公钥：可以公开给其他用户 私钥：用户私有的，存储在用户的计算机中，只能他能够访问。 6-1-1 公钥加密 公钥加密：发送方利用接收方的公钥将数据加密，而接收方利用自己的私钥解密数据。见书p216 6-1-2 公钥认证 发送方利用自己的私钥将数据签名，而接收方在收到数据衙，利用发送方的公钥来验让该数据。 见p217 图6-2 发件人将电子邮件签名与发送的过程 6-1-3 SSL网站安全连接 SSL Secure Socket Layer ,是一个以PKI为基础的安全协议，若要让网站拥有SSL安全连接功能，就必须为网站向证书颁发机构申请SSL证书，证书中包含了公钥、证书有效期限、发放证书的CA、CA的数字签名等。 http 变成：https 客户端与网站的SSL连接 6-2 证书颁发机构CA与根CA 无论电子邮件或SSL网站安全连接，都必须先申请证书，证书类似机车车驾驶证，必须要有机动车驾驶证（证书），才能开车（使用密钥）。而负责发放证书的机构称为证书颁发机构，即CA（Certification Authority) 用户或网站的密钥的产生 在申请证书时需要输入姓名、地址与电子邮箱等数据，这些数据会被发送到一个称为 CSP的程序，这个程序已经安装到申请者的计算机中或此计算机可以访问的设备中。 CSP会自动创建一对密钥，也就是一个公钥与一个私钥。CSP将私钥存储到申请者计算机的注册表，然后将证书申请数据与公钥一起发送到CA。 CA用自己的私钥将证书签名，然后发放此证书。申请者收到后，将证书安装到自己的计算机中。 6-2-1 CA的信任 在PKI的架构下，当用户使用某CA发放的证书来发送一封签名电子邮件时，收件人的计算机应该要信任此CA的证书，否则收件人的计算机会将邮件视为有问题的邮件。 查看计算机信任的CA：Windows 系统默认已经自动信任一些权威的CA。在IE中，“工具”，Internet选项，内容，证书，受信任的根证书颁发机构来查看。 6-2-2 ADCS 的CA种类 在Windows Server 2008计算机中安装Active Directory 证书服务（ADCS）角色，可以让此计算机提供CA服务。CA种类： 企业根CA：用为发放证书给子级CA，企业根CA也可以发放保护电子邮件安全、SSL网站安全连接等证书。 企业子级CA：适合用于发放保护电子邮件安全、SSL网站安全连接等证书。 独立根CA：功能类似企业根CA，区别在于不需要AD，扮演独立根CA角色的计算机可以是独立服务器，成员服务器或域控制器 独立子CA：功能类似于企业子CA，同样不需要AD，角色计算机同独立根CA。 6-2-3 安装AD CS与架设根CA 需要通过添加Active Directory 证书服务角色的方式将企业根CA或独立根CA安装到Windows Server 2008计算机，步骤如下： 在实验环境中，把v1安装ＣＡ 开始，服务器管理器，角色，添加角色，选Ａctive Directory 证书服务 (1)选择角色服务：证书颁发机构，还要选择“证书颁发机构web注册“ (2)安装类型：独立 (3)指定ＣＡ类型：根ＣＡ （续） 　　(4)设置私钥：(备注：ＣＡ的私钥） 　　　新建私钥 　　(5)为ＣＡ配置加密，用默认，下一步 　　(6)配置ＣＡ的名称：v1-CA (7)设置有效期：5年 (8)后面“下一步”，安装结束 6-2-4 管理ＣＡ 管理方式：管理工具，Certification Authority 管理独立根ＣＡ。 吊销的证书 颁发的证书 挂起的申请 失败的申请 手动信任根ＣＡ（以独立根ＣＡ为例） 需要使用独立ＣＡ的计算机上，手动设置信任的步骤如下： (1)关闭Internet Explorer增强的安全配置 方法：服务器管理器，配置ＩＥ　ＥＳＣ,选择管理员处的“禁用” (2)ＩＥ中，http://CA的ＩＰ/certsrv (3)选择下载ＣＡ的证书、证书链或ＣＲＬ， 信息栏，右击”运行Active X控制“ (4)下载ＣＡ证书链，保存 (5)开始，开始搜索，ＭＭＣ，文件，添加／删除管理单元，可用的管理单元：证书，添加，“计算机帐户”，完成。 6-3 实例演练－SSL网站证书 网站要具备SSL安全连接的能力，必须先为网站申请ＳＳＬ证书。 在实验环境中，v1为ＣＡ服务器，V2为ＷＥＢ网站，如果想要网站具有ＳＳＬ安全链接