项目9 配置与管理数字证书服务器.ppt

项目9 配置与管理数字证书服务器 项目9 配置与管理数字证书服务器 项目9 配置与管理数字证书服务器 项目9 配置与管理数字证书服务器 概述 Windows 2003中有两种验证协议，Kerberos和公钥基础结构(Public Key Infrastructure ，PKI)，这两者的不同之处在于：Kerberos是对称密钥，而PKI是非对称密钥。 对称密钥——加密和解密的密钥相同。 非对称密钥——加密和解密密钥不同。 数字证书简介 数字证书是一段包含用户身份信息、用户公钥信息和身份验证机构数字签名的数据。 身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。 数字证书 数字证书是各类终端实体和最终用户在网上进行信息交流和商务活动的身份证明。 数字证书是一个经证书认证中心（CA）数字签名的，包含公开密钥拥有者信息和公开密钥的文件。 认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。 认证中心颁发的数字证书均遵循X.509 V3标准。 PKI 公钥基础结构（Public Key Infrastructure，PKI）是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构（CA）和其他注册机构（RA）。 一个单位选择使用Windows来部署PKI的原因有很多： 安全性强。智能卡登陆、加密文件系统（EFS）、IPsec（Internet协议安全性） 简化管理。 其他机会。 证书的用途 证书提供下述功能： 服务器身份验证——利用证书为网络中的客户机鉴别服务器 客户机身份验证——利用证书为服务器提供对客户机的认证（如：远程访问功能和智能卡身份验证） 程序代码签署(数字签名)——利用与密钥对有关的证书签署活动内容 加密E-mail——安全电子邮件，利用与密钥对有关的证书签署电子邮件消息（用于加密信函）。 EFS（加密文件系统）——利用与密钥对有关的证书，加密和解密用于还原恢复加密数据的对称密钥。 IPSec——利用与密钥对有关的证书，加密基于IP层的传输。 认证中心（CA） 认证中心（CA） ：负责提供和指派加密密钥、解密密钥、身份验证。 CA通过发放证书来分布密钥。证书中包含公共密钥和一组属性，CA可将证书发给某个计算机、用户帐号或者服务。 CA扮演了一种担保人的角色。 内部CA和外部CA 外部CA：外部商用CA，为成千上万的用户提供认证服务。 内部CA：面向企业内部用户、计算机或服务器的策略模型。 颁发证书的过程 认证中心CA颁发证书涉及如下4个步骤: （1）CA收到证书请求信息，包括个人资料和公钥等。 （2）CA对用户提供的信息进行核实。 （3）CA用自己的私钥对证书进行数字签名。 （4）CA将证书发给用户。 证书吊销 证书的吊销使得证书在自然过期之前便宣告作废。 可能的原因包括： 证书拥有者的私钥泄漏或被怀疑泄漏。 发现证书是用欺骗手段获得的。 证书拥有者的情况发生了改变。 CA的层次结构 Windows Server 2003 PKI采用了分层CA模型。 CA的层次结构 证书层次结构是一种信任模式。 在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。 1、根CA（根本权威）是一个机构的PKL中最可信任的CA类型。 通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。 在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。 2、下层CA已经被机构中的另一个CA鉴定过的CA。 CA的层次结构 通常，下层CA针对特定的用途发放证书（例如安全电子邮件、基于web的身份验证，或者智能卡身份验证）。此外，下层CA也可以向其他的、更下层的CA发放证书。 提示:父CA和子CA彼此没有从属关系，不需要使所有的CA共享一个公共的顶级父CA(或根CA)。 项目9 配置与管理数字证书服务器 项目9 配置与管理数字证书服务器 企业CA的安装与证书申请 若要使用证书服务，必须在服务器上安装并部署企业CA，然后由用户向该企业CA申请证书，使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证。 企业证书的意义与适用 加密的目的：以某种方式将数据变得难懂，使得只有预期用户能够阅读它。 加密：通过数学运算将明文和加密密钥结合起来，产生密文。 解密：通过数学运算将密文和解密密钥结合起来，产生明文。 公共密钥加密技术用到了两个密钥：加密密钥和解密密钥 密钥（key）：一个随机字符串与某种算法的联合使用。 公共密钥加密技术 系统使用一对密钥来完成对数据的加密解密： 公共密钥（公钥）：是自由发布的，可以公开，以供他人向自己传输信息时加密使用。 私用密