科学数据库CA系统及使用（精品）.pptVIP

科学数据库CA系统及使用 徐浩 中国科学院计算机网络信息中心 2004.8.26 北京 提纲 CA简介 CA系统结构 客户端安装 CA系统用户使用 证书安全与使用 总结 CA简介 PKI技术的成熟 各种标准制定（X.509证书格式的PKCS系列标准，pkcs12用于个人信息交换，pkcs7数字签名……） 各种应用程序的支持（各种浏览器支持，如IE, Netscape. 其它Outlook, Apache, Tomcat， IIS Server） CA简介（续） 作为PKI的核心实体认证机构CA，是科学数据库中心开展数据服务活动的重要基础设施。 证书颁发机构CA（可信第三方） 密钥分配 密钥管理 证书签发…… CA系统结构 CA系统结构（续1） 图释：整体结构是树状，一个CA根节点，下面连接一个或多个RA节点。CA节点提供web接口来管理CA的节点。RA节点提供RA、PUB、LADP三个web接口，其中RA、LDAP面向RA管理者，PUB面向普通用户。 CA节点不连接任何网络，主要负责签发证书，撤销证书，与RA数据交换，以及CA自身节点的管理。 CA系统结构（续2） RA节点连接网络，分三部分。 PUB接口主要面向用户，用户可通过次web接口提交证书申请，证书撤销申请，下载签发后的证书以及CA的证书。 RA接口主要面向RA管理员，RA管理员审核用户的证书请求，审核通过后签发申请，然后把数据传给CA，以及RA节点自身的管理。 LDAP接口也是面向RA管理员，负责把证书从ldap数据库中导入/导出。 客户端安装 客户端需要安装一个IE补丁q323172_w2k_sp4_x86_cn.exe； 同时将capicom.dll拷贝windows目录的system32中，并regsvr32 capicom.dll。 CA系统用户使用 首先下载CA证书（公钥） 然后申请证书 下载申请证书 证书快过期或者丢失，请撤销证书 下载CRL列表 证书查询 下载CA证书 下载CA证书（续1） 本页面包含多种 CA 证书格式。您可以选择一种适合您应用需要的格式。包括： CA 证书CRT 格式 CA 证书PEM格式 CA 证书DER格式 CA 证书CER格式 CA 证书文本格式 证书申请 证书申请流程： 输入证书相关信息：主题名、邮件地址等等 然后系统自动生成密钥对，同时向服务器发送待签发的证书申请请求 RA批准请求，并将请求拷贝给CA CA签发请求，并将签发过的证书拷贝给RA 签发过程完毕 证书申请（续1） 证书申请（续2） 证书申请（续3） 证书申请（续4） 证书申请（续5） 获取证书 获取证书流程： 系统发送给用户有关证书颁发完成的情况，颁发的证书具有一个系列号码； 用户根据序列号就可以轻松获取自己申请的证书，并且自动安装到浏览器中。 获取证书（续） 测试证书 测试证书（续） 证书撤销 证书撤销流程： 用户根据自己申请的证书，输入证书序列号以及撤销密码，提交证书撤销请求； RA批准请求，拷贝到CA中； CA签发证书撤销请求，同时需要签发CRL； 将CRL拷贝到RA中，用户可以通过界面下载CRL列表。 证书撤销（续1） 证书撤销（续2） 证书撤销（续3） 下载CRL列表 下载CRL列表（续） 本页面包含当前的CRL(证书撤销列表), 请随时下载本列表以保证您的浏览器的CRL是最新的。包括： 浏览器导入CRL的格式-DER 浏览器导入CRL的格式-PEM 浏览器导入CRL的格式-Text 下载之后将CRL安装到浏览器中。 证书查询 可以查询 有效证书 已到期证书 已撤销证书 挂起证书 检索证书 证书申请列表 证书撤销请求列表 证书安全与使用 在科学数据网格中，证书是用来标识实体身份的证明。对于证书的使用方式可以分为两种情况： 客户端，即用户如何使用证书； 服务端，如何设置使用证书。 证书安全与使用——客户端 证书是科学数据库用户身份的标识，这里我们证书采用PKI的 X.509 证书格式。证书一般包含两部分：一个是包含公钥的证书；一个是私钥（一般用密码将私钥加密，主要处于安全考虑）。包含公钥的证书，是由科学数据库CA（Certificate Authority）来签发。公钥顾名思义，可以由任何人获得，属于公开的。私钥尽管有密码加密保护，用户还是要妥善保管好自己的私钥，尽量不要让其他人得到。 证书安全与使用——客户端（续） 目前经常使用证书的应用是提供https的web服务，这种服务器如果需要认证客户端，那么用户登录这类的网站时，就需要事先在自己机器上的浏览器内装上自己的证书以及CA的证书。IE和Netscape浏览器使用的证书格式为pkcs12格式。这种格式的证书文件扩展名为 .p12或 .Pfx，.p12证书文件包含了公钥和私钥，因为包