江苏省电子政务证书认证系统应用培训材料.ppt

LDAP接口函数 3.ULONG ldap_search_s( LDAP *ld, UNICODE PTCHAR base, ULONG scope, UNICODE PTCHAR filter, UNICODE PTCHAR attrs[], ULONG attrsonly, LDAPMessage **res ); 参数说明： ld：Session handle dn：查找项 scope：查找域，可以为LDAP_SCOPE_SUBTREE filter：过滤项 attrs[]：其他属性值 attrsonly：是否返回值 res：LDAP服务器返回值 LDAP接口函数 4．LDAPMessage *ldap_first_entry( LDAP *ld, LDAPMessage *res); 参数说明： ld：Session handle res：查找返回结果 5．struct berval **ldap_get_values_len( LDAP *ExternalHandle, LDAPMessage *Message, UNICODE PTCHAR attr ); 参数说明： ExternalHandle：Session handle Message：ldap_first_entry返回的结构 attr：指定返回类型 南京市LDAP构架 “推”方式 “拉”方式 南京市LDAP配置 服务器IP地址 端口，注意：不是389 匿名登录 南京市LDAP配置 CRL列表 南京市LDAP配置 LDAP客户端及开发工具 LDAP所支持的客户端工具有很多种，目前比较流行的有LDAPExplorerTool、LDAPBrowers等等。 LDAPExplorerTool工具下载地址：/ OCSP概念 在线证书状态协议（OCSP）是维持服务器和其他网络资源安全的两种常用方案中的一种。另一种更老的方式（某种程度上被OCSP所替代）是证书注销列表（CRL）。　　 OCSP克服了CRL主要的限制：必须在客户端频繁地下载更新数据，才能保证列表的当前性。当用户试图访问某服务器时，OCSP会发送一个证书状态信息的请求。服务器返回一个“当前”、“终止”或“未知”的回复。该协议规定了在服务器（它包含证书状态）与客户应用程序（它被告知状态）之间传递信息的语法。OCSP给与使用已终止的证书的用户一定的宽限期，这样他们在重新申请前可以在一定时间内访问服务器。 OCSP遵循标准 遵循OCSPv1、OCSPv2 标准协议 ?? 遵循标准的高强度非对称加密算法 ?? 遵循X.509 V3 证书标准 ?? 遵循HTTP1.1 协议标准 ?? 遵循XML 标准 ?? 遵循国际电联ASN.1 编码规则 ?? 遵循CMP 标准 OCSP工作原理 OCSP接口函数 INT CheckCertFromOcspServer（ char * Ip, int port, char * CaCert, char * UserCert ); 参数说明： Ip: ocsp server 地址 Port: ocsp server 端口 CaCert：CA证书 UserCert：被查询的用户证书 小结 南京市CA分中心系统LDAP/OCSP采用标准技术架构 建议大部分应用通过访问LDAP获取证书验证信息 特定应用可采用LDAP/OCSP混合验证证书 LDAP/OCSP的作用是给用户开放针对南京市CA分中心颁发的数字证书进行验证所必须的资源 MS CAPI/PKCS#11标准和开发介绍 USB Key软件架构 基于MS CAPI的具体实现 基于MS CAPI的具体实现 提供基于cKey加密算法的CSP 应用程序不能直接与CSP进行通讯 应用程序通过调用CryptoAPI接口函数来与CSP进行通讯 基于MS CAPI的具体实现 CAPI函数的具体说明在MSDN上可以查到。 基于PKCS#11的具体实现