PKI與证书服务.docxVIP

公钥基础结构 什么是PKI PKI，公钥基础设施，是通过使用公钥技术和数字签名来确保信息安全，并负责验证数字证书持有者身份的一种技术，使信息传输更加安全可靠 在PKI中，各参与方都信任同一个CA（证书颁发机构），由该CA来核对和验证各参与方的身份 PKI由公钥加密技术、数字证书、认证机构（CA），注册机构（RA）组成  eq \o\ac(○,1)数字证书用于用户的身份验证  eq \o\ac(○,2)认证机构是PKI的核心，负责管理PKI中所有用户的数字证书的生成、分发、验证和撤销  eq \o\ac(○,3)注册机构（RA）接受用户的请求，负责将用户的有关申请信息存档备案 PKL的特点： →身份验证：确认用户的身份标识 →数据完整性：确保数据在传输的过程中没有被修改 →数据机密性：防止非授权用户获取数据 →操作的不可否认性：确保用户不能冒充其他用户的身份 公钥加密技术：是PKI的基础，具有公钥是私钥。关系： →公钥和私钥是成对生成的，互不相同，可以互相加密和解密 →不能根据一个密钥来推算另一个密钥 →公钥对外开放，私钥只有私钥持有者拥有 数据加密 数据加密确保只有预期的接受者才能够解密和查看原始数据，从而提高的机密性，传送数据时，发送方使用接收方的公钥加密数据，并将它传送，当接收方收到数据后再使用自己的私钥解密这些数据 而数据加密能确保数据的机密性，却不能保证数据的完整性，此时就需要数字签名 数字签名 功能 →身份验证：接受方可确保该发送方的身份标识 →数据的完整性：证实消息在传输过程中没有被修改 →操作的不可否认性：其他用户不可冒充该发送方发送消息 数字签名的原理和过程： 发送方使用某种算法（HASH）产生数字摘要 发送方使用自己的私钥进行加密 将原文和加密的摘要传给对方 对方使用公钥进行解密 3、X.509 X.509是由国际电信联盟指定的数字证书标准，为了给共用网络用户提供目录信息服务，是基于公开密钥体制建立的，具有有效期限，期限一过不能再使用该证书，需重新申请 PKI协议 SSL：安全套接字层 HTTPS：安全超文本传输协议 IPSec：IP安全 证书颁发机构 什么是证书：为保证网络上信息的传输安全，除了在通信传输中采用更强的加密算法等措施外，还必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书 数字证书是一种权威型的电子文档，有权威公正的第三方机构，即CA中心签发的证书。通常数字证书包括信息有： →使用者公钥值 →使用者标识信息 →有效期 →颁发者的标识信息 →颁发者的数字签名 CA的作用： →处理证书申请 →鉴定申请者是否有资格接受证书 →证书的发放 →证书的更新 →接收最终用户数字证书的查询、撤销 →产生和发布证书吊销列表（CRL） →数字证书的归档 →密钥归档 →历史数据归档 证书的颁发过程 证书申请 RA确认用户 证书策略处理 RA提交用户申请信息到CA、 CA用自己的私钥对用户的公钥和用户的ID进行签名，生成电子证书 CA将电子证书传送给批准该用户的RA RA将电子证书传送给用户 用户验证CA颁发的证书 安装证书服务 在DC中添加角色，选择Active Directory证书服务 在选择服务角色中，勾选证书颁发机构和证书颁发机构Web注册 指定安装类型中，选择企业CA 企业CA特点： →企业CA需要AD服务，即计算机在活动目录才可以使用 →当安装企业根CA时，对于域中所有用户和计算机，都会添加受信任存储中 →必须是域管理员 独立CA特征： →独立CA不需要AD支持 →向独立CA提交证书申请时，证书申请者必须在证书申请中明确提供所有的标识信息以及所需的证书类型 →默认情况下，发送到独立CA的申请需要管理员批准 注意：只有在域环境中才能使用企业CA 在指定CA类型中选择根CA →根CA是指在组织的PKI中最受信任的CA →从属CA是由组织中的另一CA颁发证书的CA 在设置私钥中选择新建私钥 为CA配置加密，默认即可 配置CA名称，默认即可 设置有效期，根据实际情况来定 设置证书数据库，指定数据库存放的位置和数据库日志存放的位置 下一步，安装，完成 完成后在管理工具里面有Certification Authority，进行管理 用户可以使用web浏览器输入 HYPERLINK http://IP或域名/certsrv http://IP或域名/certsrv来申请证书 证书服务的应用 证书的申请和颁发 申请证书 打开管理工具中的Internet信息服务管理器，点击服务器名称，双击服务器证书 点击创建证书申请 输入相关信息 选择默认，下一步 输入路径和文件名 打开 提交申请证书 复制证书所有内容 在浏览器输入 HYPERLINK http: