PKI证书服务应用.docVIP

理论部分 公匙基础结构（PKI） PKI的概念 是通过使用公匙技术和数字证书来确保信息的安全 PKI的组成 公匙加密技术: 由公匙和私匙组成 数字证书:用于用户的身份验证 CA(证书颁发机构):负责发布,更新和吊销证书 RA(注册机构):接受用户的请求 公匙加密技术:由公匙和私匙组成。两者成对生成；不能根据一 推算处另一个；公匙对外公开, 私匙只有私匙持有人才知道; 私匙应该由私匙持有人才妥善保管 1).数据加密(提高数据的机密性):发送放以接受方的公匙加密,接受 收到数据后,使用自己的私匙解密 2).数字签名(作用是:身份验证;数据的完整性;操作的不可否认性): 送方以自己私匙传输数据,接授方以发送方的公匙解密 X.509: 是由国际电信联盟(ITU-T)制定的数字证书标准,已应用许 网络安全应用程序,包括IP安全(IPsec).安全套接层(SSL).安全电子交易(SET).安全多媒体Inerter邮件扩展(S/MIME)等 使用PKI的协议: 安全套接层(SSL); IP安全(IPsec);HTTPS安全超文 协议 二. 证书颁发机构 1. 什么是证书: PKI中的数字证书简称证书,它把公匙和拥有对应私 的主体的标识信息捆绑在一起。证书包含:使用者的公匙值和标识 息.有效期.颁发者的标识信息和数字签名 2. CA的作用:CA可以自己创建,也可是第三方机构,在复杂的认证体 中,各层CA按照结构形成树,根CA处于核心地位,功能是认证授权 3. 证书的发放过程 用户提交证书申请信息给RA,RA验证通过后,提交给CA,CA对用户 证书进行数字签名,之后传给RA,RA又传给用户.用户还要验证CA颁 的证书 安装证书服务 在Windows 2008中安装,在角色中添加证书服务,按照提示完成安装。在“指定安装类型”窗口中有“企业”和“独立”两个选项 企业CA和独立CA，他们的区别是： 企业CA需要AD服务；安装根CA时，对域中所有的用户和计算机，会被自动添加到受信任的根证书颁发机构的证书存储区 独立CA不AD服务；向独立CA提交证书时，证书申请者必须在证书申请时提供所有关于自己的标识信息以及所需的证书类型；默认情况下，发送到独立CA的证书被挂起，还的验证申请者，并手动颁发。 三．证书服务的应用（给Eeb服务其申请证书） 1．在Windows 2008服务器上安装证书服务（独立） 2．在Web服务器上，打开IIS，双击中间窗口‘服务器证书’，‘创建 证书申请’，完成证书的申请；使用‘https：// 证书服务器 IP/certsrv’单击‘证书申请’‘高级证书申请’，在‘高级证书申请’ 页面中选择使用Base64编码的证书申请，并将刚申请到的证书复制 到文本框中 3．在证书服务器上颁发刚申请的证书（企业CA不需要） 4．在Web服务器上，使用‘https：// 证书服务器的IP/certsrv’页 面，在‘证书已颁发’页面中，选择‘Base64编码’单击‘下载证 书’，名为hao.cer，保存到相应的地方，后缀为cer 5．并且还要下载CA证书并载Web服务器上打开控制台，载控制台中添加证书，将下载的CA证书导入（在企业CA不需） 6．载Web服务器上打开IIS，单击‘完成证书申请’，将刚下载的hao.cer 证书导入 7．编辑并帮定SSL，并进行验证 操作部分 实验环境：一个CA证书服务器 一个Web服务器 一个客户机 要求保证用户密码和访问的数据在传输的安全性 需求描述：在CA服务器上安装CA证书服务 在Web服务器生成Web证书申请 通过IE浏览器，提交证书申请 证书申请批准后，下载Web服务器证书 为Web服务器安装证书并配置SSL 使用HTTPS协议访问网站一验证结果 实验过程： 一 安装CA证书服务 在Web服务器上生成证书申请 提交证书申请 在CA服务器颁发证书 二 在web服务器上，下载证书 三 下载CA证书 在web服务器 打开控制台，把证书导入web服务器 四 完成证书申请 五 编辑棒定并设置SSL ..页眉.. 页脚..