Windows-NS_CHAP5PKI与证书服务.pptVIP

Chapter PKI与证书服务 第五章 内容回顾 掌握Windows环境下NAT的配置方法 安装和使用代理服务器软件 本章目标 理解PKI的相关理论 掌握Windows网络中的CA管理 配置和管理企业内部的CA 了解基本的加密算法 PKI(公钥基础结构) 公钥基础结构 公钥加密技术 数字证书 证书发放机构（CA） 注册权威机构（RA） 对称加密 加密和解密用的密钥相同 DES 、3DES 优势与缺点 实现简单 加密速度快 通信双方必须相互认识，并同意采用同一密钥 保存和管理密钥十分复杂 安全的传送密钥也非常困难 对称加密（Cont.） 非对称加密 非对称加密算法需要两个密钥 : 公钥 私钥 一个用于加密，另一个则用作解密 不能根据一个密钥来推算得出另一个密钥 公钥对外公开，私钥只有其持有人才知道 RSA 非对称加密（Cont.） 非对称加密（Cont.） PGP Pretty Good Privacy 基于RSA公钥系统的邮件加密软件 128位的二进制数作为消息摘要 MD5算法 与RSA公钥系统的原理相同 PGP（cont.） PGP（cont.） HASH算法 杂凑算法 输入长度不固定的字符串，返回固定长度字符串 无法查找经HASH操作后生成特定HASH值的原报文（不可逆性） 无法查找两个经HASH操作后生成相同HASH值的不同报文 SHA、MD5 数据加密 公钥加密，私钥解密 保证所发送数据的机密性 不能完全保证数据的完整性和不可抵赖性 数字签名 身份验证 ，数据的完整性 创建消息摘要 消息摘要经过私钥加密 接收方用同样的算法创建出一个新的消息摘要 与用公钥解密的消息摘要进行比较 如果这两个消息摘要互相匹配，则可保证完整性 数字签名（cont.） 证书颁发机构 权威公正的第三方机构 CA的功能： 证书的颁发 证书的查询 证书的吊销 证书的归档 数字证书 证书的用途 信息的保密性 交易者身份的确定性 不可否认性 不可修改性 证书申请过程 证书申请 RA确认用户 证书策略处理 RA提交用户申请信息到CA CA为用户生成密钥对 CA将数字证书传送给批准该用户的RA RA将数字证书传送给用户 用户验证CA颁发的证书 证书申请过程（cont.） 安装证书服务 创建CA 企业根CA 企业从属CA 独立根CA 独立从属CA 创建企业根CA 通过管理控制台申请证书 通过管理控制台申请证书（Cont.） 通过Web注册申请证书 查看企业根CA证书 查看已颁发的证书 证书的导入和导出 吊销证书 将证书映射到用户账户 本章总结 PKI体系结构采用证书来管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet上验证用户的身份，保证了网上数据的机密性、完整性 对称加密就是加密和解密用的密钥是相同的。非对称加密算法需要两个密钥：公钥和私钥 本章总结（cont.） 公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密；如果用私钥对数据进行加密，那么只有用对应的公钥才能解密 PGP是一个基于RSA公钥系统的邮件加密软件。HASH（哈希）算法也称为杂凑算法，这是一个简单的不可逆过程 本章总结（cont.） 数据加密以公钥作为加密密钥，以用户私钥作为解密密钥；数字签名以用户私钥作为加密密钥而以公钥作为解密密钥 CA是PKI公钥基础结构中的核心部分。它负责管理PKI结构下的所有用户的数字证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份 本章总结（cont.） CA的主要功能：证书的颁发、证书的更新、证书的查询、证书的吊销和证书的归档 在Windows Server 2003中的证书服务按证书颁发机构可以分为以下四种类型：企业根CA、企业从属CA、独立根CA和独立从属CA 本章总结（cont.） 证书申请可以通过Windows管理控制台申请，也可以通过Web页申请。因为企业根CA位于CA层次的最高层，所以它会给自己颁发了一张证书 实验目标 安装证书服务 配置证书服务 实验拓扑结构 实验完成标准 通过查看证书，了解证书的信息及工作状态 当用户申请证书时，在服务器的证书颁发机构管理控制台中查看是否颁发了证书 查看吊销的证书选项，看证书是否被吊销 1. 吊销证书 2. 证书吊销的原因 3. 证书已吊销 * Version 1.0 */19 发送方 接收方 对称密钥加密 对称密钥解密 密文 明文 传送 两个密钥相同 发送方 接收方 接收方的公钥加密 接收方的私钥解密 密文 明文 传送 接收方的密钥对 公钥 私钥 多个用户加密的信息只能由一个用户解读 发送方 接收方 发送方