CA认证的流程和原理分解.docxVIP

CA认证的流程和原理AD CS(活动目录证书服务)是微软的公钥基础结构（PKI）的实现。PKI处理颁发并管理用于加密和身份验证的的数字证书的组件及过程。 AD CS颁发的数字证书可以用于加密文件系统、电子邮件加密、安全套接字层SSL和身份验证。安装了AD CS的服务器成为证书颁发机构CA。数字证书数字证书是一种电子凭据用于验证个人，组织和计算机。证书颁发机构颁发和认证证书。数字证书提供了一种方法来验证证书持有者的身份。证书使用加密技术来解决两个实体之间的问题。数字证书都用于非对称加密，它需要两个密钥，第一个密钥是私钥，它由被颁发了数字证书的用户或计算机安全地存储，第二个密钥是分发到其它用户和计算机的公钥。由一个密钥加密的数据只能由另一个密钥解密。这种关系确保对加密数据的保护。一张证书包含下面的数据：1.?????? 公用密钥证书主题的公钥和私钥对。这样可以使用证书来验证拥有私钥的个人或计算机的标识。例如，一台web服务器的数字证书包括web服务器的主机名和IP地址2.?????? 有关申请证书的使用者的信息3.?????? 有关CA颁发证书的详细信息，包括证书有效性的信息，包括如何使用证书以及它的有效期。例如，可能限制一个证书只用于加密文件系统，证书只在特定时间期有效，通常是两年或更短，证书过期之后就不能再使用它了。Enhanced Key Usage是证书的一个可选的扩展属性，这