PKI公钥基础设施（PublicKeyInfrastructure）.pptVIP

如果使用的是企业CA，在提交申请后CA会自动颁发证书。如果是独立CA，则还需要人工操作颁发证书。 * B e n e t BENET 4.0 B e n e t BENET 4.0 */26 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 PKI 与证书服务应用 —— 理论部分 本章结构 X.509 什么是证书 证书的颁发过程 CA 的作用 安装证书服务 PKI 概念 证书服务应用 公钥基础结构 证书的申请和颁发 证书的导入与导出 证书的安装与使用 PKI 协议 证书颁发机构 公钥加密技术 PKI与证书服务应用 PKI 公钥基础设施（Public Key Infrastructure） 通过使用公钥技术和数字签名来确保信息安全 由公钥加密技术、数字证书、CA、RA组成 PKI体系能够实现的功能有 身份验证 数据完整性 数据机密性 操作的不可否认性 PKI 概念 公钥加密技术是PKI的基础 公钥与私钥关系 公钥和私钥是成对生成的，互不相同，互相加密与解密 不能根据一个密钥来推算出另一个密钥 公钥对外公开，私钥只有私钥持有人才知道 私钥应该由密钥的持有人妥善保管 根据实现的功能不同，可分为数据加密和数字签名 公钥加密技术 发送方使用接收方的公钥加密数据 接收方使用自己的私钥解密数据 数据加密能保证所发送数据的机密性 数据加密 发送方A 明文 B的公钥 密文 传输 密文 明文 B的私钥 接收方B 发送方 对原始数据执行HASH算法得到摘要值 发送方用自己私钥加密摘要值 将加密的摘要值与原始数据发送给接收方 数字签名保证数据完整性、身份验证和不可否认 数字签名 发送方A 明文 A的私钥 密文 传输 密文 明文 A的公钥 接收方B SSL 认证用户和服务器，确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性，确保数据在传输过程中不被改变 HTTPS 使用SSL来实现安全的通信 IPSec 目前已经成为最流行的VPN解决方案 PKI协议 证书用于保证密钥的合法性 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 数字证书包含信息 使用者的公钥值 使用者标识信息（如名称和电子邮件地址） 有效期（证书的有效时间） 颁发者标识信息 颁发者的数字签名 数字证书由权威公正的第三方机构即CA签发 什么是证书 CA（Certificate Authority，证书颁发机构） CA的核心功能是颁发和管理数字证书 CA的作用 处理证书申请 发放证书 更新证书 接受最终用户数字证书的查询、撤销 产生和发布证书吊销列表（CRL） 数字证书归档 …… CA的作用 证书的颁发过程 用户 RA CA 1 证书申请 2 RA确认用户 3 处理策略 4 RA提交申请信息到CA 证书目录 5 6 CA将证书传给RA 7 RA将证书传给用户/用户自己取回 证书验证 请思考 什么是数据加密？ 什么是数字签名？ CA的作用是什么？ 简述证书的发放过程？ 小结 证书的安装与使用 案例环境 BENET公司有一个Web站点 员工出差通过Web网站提交销售记录 客户通过Web站点提交订单 保证网络传输数据的安全 客户端 Web服务器 Internet 添加Active Directory证书服务 选择角色服务 指定企业安装类型 指定CA类型 新建私钥 配置加密 完成角色安装并测试 企业CA：需要有AD服务 独立CA：不需要AD服务 安装证书服务 根CA：组织环境中的第一个证书服务器 子级CA：从属于组织中的另一个CA 申请证书 运行 Internet 信息服务管理器 创建证书申请 配置可分辨名称属性 指定证书文件名 证书文件内容 证书服务的应用3-1 提交申请证书 访问证书服务器并申请证书 使用高级证书申请 使用Base64编码证书申请 提交证书申请 颁发证书 企业CA自动颁发证书 独立CA颁发挂起的申请 下载证书 证书服务的应用3-2 Web服务器上安装证书 完成证书申请 配置Web证书 编辑绑定 添加网站绑定 SSL设置 使用HTTPS协议访问网站 证书服务的应用3-3 查找从Web证书管理器中下载的证书 选择申请的Web证书 忽略：无论用户是否拥有证书，都将被授予访问权限 接受：用户可以使用客户端证书访问资源，但证书并不是必须的 必须：服务器在将用户与资源连接之前要验证客户端证 证书的导入与导出 导出证书 导入证书 证书的导入与导出 导入时使用，保证证书安全性 导出时设置的密码 本章总结 X.509 什么是证书 证书的颁发过程 CA 的作用 安装证书服务 PKI 概念 证书服务应用 公钥基础结