WindowsCA证书服务器配置研究报告.ppt

密码学 Windows_CA_证书服务器配置 1 2 目录 1.CA中心 CA中心又称CA机构，即证书授权中心(Certificate Authority )，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。 负责证书颁发、吊销、更新和续订等证书管理任务和CRL（被CA吊销的证书的列表）发布和事件日志记录等几项重要的任务。 3 1.CA中心 CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。 4 1.CA中心 电子商务的安全是通过使用加密手段来达到的，非对称密钥加密技术（公开密钥加密技术）是电子商务系统中主要的加密技术，主要用于对称加密密钥的分发（数字信封）、数字签名的实现(进行身份认证和信息的完整性检验)和交易防抵赖等。CA体系为用户的公钥签发证书，以实现公钥的分发并证明其合法性。该证书证明了该用户拥有证书中列出的公开密钥。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循X.509标准。 5 1.CA中心 认证中心（CA─Certificate Authority）作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。它作为一个权威机构，对密钥进 行有效地管理，颁发证书证明密钥的有效性，并将公开密钥同某一个实体（消费者、商户、银行）联系在一起。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书，因此是安全电子信息交换的核心。 6 1.CA中心 为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对客户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。 数字证书管理中心是保证电子商务安全的基础设施。它负责电子证书的申请、签发、制作、废止、认证和管理，提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。 7 1.CA中心 随着认证中心(或称CA中心)的出现，使得开放网络的安全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的加解密和身份认证系统，确保电子交易有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（保密性）；保证传输过程中不被篡改（完整性和一致性）；发送方确信接收方不是假冒的（身份的真实性和不可伪装性）；发送方不能否认自己的发送行为（不可抵赖性）。 8 CA的架构 CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技 术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的角色看， 包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从CA的层次结构来看， 可以分为认证中心（根CA）、密钥管理中心（KM）、认证下级中心（子CA）、证书审批中心（RA中心）、证书审批受理点（RAT）等。CA中心一般要发布认证体系声明书，向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。 9 CA的架构 根据PKI的结构，身份认证的实体需要有一对密钥，分别为私钥和公钥。其中的私钥是保密的，公钥是公开的。从原理上讲，不能从公钥推导出私钥，穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现，即一个公钥必定对应一个私钥。公钥 加密的信息必须由对应的私钥才能解密，同样，私钥做出的签名，也只有配对的公钥才能解密。公钥有时用来传输对称密钥，这就是数字信封技术。 10 CA的架构 密钥的管理政策是把公钥和实体绑定，由CA中心把实体的信息和实体的公钥制作成数字证书，证书的尾部必须有CA中心的数字签名。由于CA中心的数字签名是不可伪造的，因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心，因此，实体可以信任由CA中心颁发数字证书的其他实体，放心地在网上进行作业和