《第七章 windows网络服务PKI与证书服务应用》-公开·课件设计.pptVIP

Page */49 第6章内容回顾 RIS 的用途和优点 RIS要求 远程安装服务的三个主要组件 Page */32 第7章 本章目标 理解PKI的相关理论 理解证书的发放过程 掌握证书服务的安装 掌握企业CA（证书颁发机构）的管理 掌握证书在电子邮件中的应用 Page */32 PKI基础概述 PKI ：软件和加密相结合的一种技术，保护商业传输安全通讯 的一种架构。 PKI：公钥基础结构 需求 PKI解决方案 机密性 数据加密（EFS、IPSEC） 完整性 数字签名 真实性 Hash算法、消息摘要、数字签名 认可 数字签名、审计 可用性 CA冗余 介绍公共密钥基础结构 (PKI) 公钥/私钥 公开密钥算法 什么是证书？ 证书认证机构(CA-Certification Athority) 认证层次结构 麦新衣淘宝商城女装天猫商城 PKI基础(共钥基础结构) 私钥：用户自己持有的密钥，别人不能访问只有自己能够访问 公钥：用户公开的密钥，任何人都可以持有 加密：把明文信息变成密文信息的过程 解密：把密文信息变成明文信息的过程 公开密钥算法 对称加密算法 非对称加密算法 对称加密 加密和解密用的密钥相同 DES 、3DES 优势与缺点 实现简单 加密速度快 通信双方必须相互认识，并同意采用同一密钥 保存和管理密钥十分复杂 安全的传送密钥也非常困难 两个密钥相同 发送方 接收方 对称密钥加密 对称密钥解密 密文 明文 传送 非对称加密 非对称加密算法需要两个密钥 : 公钥 私钥 一个用于加密，另一个则用作解密 不能根据一个密钥来推算得出另一个密钥 公钥对外公开，私钥只有其持有人才知道 发送方 接收方 接收方的公钥加密 接收方的私钥解密 密文 明文 传送 接收方的密钥对 公钥 私钥 多个用户加密的信息只能由一个用户解读 发送方 接收方 发送方的私钥加密 发送方的公钥解密 密文 明文 传送 发送方的密钥对 公钥 私钥 一个用户加密的信息，多个用户解读 数字签名 身份验证 ，数据的完整性 创建消息摘要 消息摘要经过私钥加密 接收方用同样的算法创建出一个新的消息摘要 与用公钥解密的消息摘要进行比较 如果这两个消息摘要互相匹配，则可保证完整性 发送方 接收方 传送 HASH算法 消息摘要 发送方私钥加密的消息摘要 消息 消息 消息摘要 消息 消息摘要 新创建的消息摘要 发送方公钥解密消息摘要 相同的HASH算法 对比两个消息摘要 什么是证书？ 公钥证书，通常简称为证书，是一种数字签名的声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于 X.509v3 证书标准。 证书: 证书包含以下信息： 主题的公钥值。 主题标识符信息（如名称和电子邮件地址）。 有效期（证书的有效时间）。 颁发者标识符信息。 颁发者的数字签名，用来证明主体的公钥和主体的标识符信息之间的绑定关系是否有效。 证书只有在指定的期限内才有效 。 证书颁发机构 权威公正的第三方机构 CA的功能： 证书的颁发 证书的查询 证书的吊销 证书的归档 淘宝网首页天猫商城/时尚女装 证书的用途 信息的保密性 交易者身份的确定性 不可否认性 不可修改性 CA基础概述 证书申请过程 颁发证书作为安全凭证 4 计算机，用户，或服务 CA ~*~*~*~ CA 接受认证请求 1 确认信息 2 使用私钥对证书实施数字签名 3 认证中心(CA) 证书的使用 互联网 认证 加密文件系统 安全 E-Mail 软件代码 智能卡 登录 数字签名 IP 安全 根 CA 子 CA 子 CA 子 CA 信任 信任 信任 安装CA 配置CA 1. 在Windows组件中安装证书服务 2.安装证书服务后，计算机名和域成员身份都不能更改 3. 证书可以通过Web注册 CA模型 CA操作 企业根 CA 认证系统中的顶级 CA，需要活动目录，可给自己颁发证书 独立根 CA认证系统中的顶级 CA ，不需要活动目录 企业子 CA从其它CA 处获得证书的子 CA，需要活动目录 独立子 CA从其它CA 处获得证书的子 CA，不需要活动目录 CA 的模型 企业证书颁发机构 企业证书颁发机构取决于当前使用的 Active Directory。 可以使用“证书申请向导”（从“证书”管理单元中启动）以及证书颁发机构网页，向企业证书颁发机构申请证书。 企业证书颁发机构根据所配置的可颁发