windows网络服务：PKI与证书服务应用.ppt

《windows网络服务：PKI与证书服务应用.ppt》由会员分享，可在线阅读，更多相关《windows网络服务：PKI与证书服务应用.ppt（35页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第6章内容回顾RIS 的用途和优点RIS要求远程安装服务的三个主要组件Page 1/32第7章本章目标理解PKI的相关理论理解证书的发放过程掌握证书服务的安装掌握企业CA（证书颁发机构）的管理掌握证书在电子邮件中的应用Page 3/32PKI基础概述PKI：软件和加密相结合的一种技术，保护商业传输安全通讯 的一种架构。PKI：公钥基础结构介绍公共密钥基础结构(PKI)公钥/私钥公开密钥算法什么是证书？证书认证机构(CA-Certification Athority)认证层次结构PKI基础(共钥基础结构)私钥：用户自己持有的密钥，别人不能访问只有自己能够访问公钥：用户公开的密钥，任何人都可以持有

2、加密：把明文信息变成密文信息的过程解密：把密文信息变成明文信息的过程公开密钥算法对称加密算法非对称加密算法对称加密加密和解密用的密钥相同 DES、3DES优势与缺点实现简单加密速度快通信双方必须相互认识，并同意采用同一密钥 保存和管理密钥十分复杂 安全的传送密钥也非常困难两个密钥相同两个密钥相同两个密钥相同两个密钥相同发送方发送方发送方发送方接收方接收方接收方接收方对称密钥加密对称密钥加密对称密钥加密对称密钥加密对称密钥解密对称密钥解密对称密钥解密对称密钥解密密文密文密文密文明文明文明文明文传送传送传送传送非对称加密非对称加密算法需要两个密钥:公钥 私钥 一个用于加密，另一个则用作解密不能根据

3、一个密钥来推算得出另一个密钥 公钥对外公开，私钥只有其持有人才知道发送方发送方发送方发送方接收方接收方接收方接收方接收方的公钥加密接收方的公钥加密接收方的公钥加密接收方的公钥加密接收方的私钥解密接收方的私钥解密接收方的私钥解密接收方的私钥解密密文密文密文密文明文明文明文明文传送传送传送传送接收方的密钥对接收方的密钥对接收方的密钥对接收方的密钥对公钥公钥公钥公钥私钥私钥私钥私钥多个用户加密的信息只能由一个用户解读多个用户加密的信息只能由一个用户解读多个用户加密的信息只能由一个用户解读多个用户加密的信息只能由一个用户解读 发送方发送方发送方发送方接收方接收方接收方接收方发送方的私钥加密发送方的私钥

4、加密发送方的私钥加密发送方的私钥加密发送方的公钥解密发送方的公钥解密发送方的公钥解密发送方的公钥解密密文密文密文密文明文明文明文明文传送传送传送传送发送方的密钥对发送方的密钥对发送方的密钥对发送方的密钥对公钥公钥公钥公钥私钥私钥私钥私钥一个用户加密的信息，多个用户解读一个用户加密的信息，多个用户解读一个用户加密的信息，多个用户解读一个用户加密的信息，多个用户解读 数字签名身份验证，数据的完整性 创建消息摘要消息摘要经过私钥加密接收方用同样的算法创建出一个新的消息摘要 与用公钥解密的消息摘要进行比较 如果这两个消息摘要互相匹配，则可保证完整性 发送方发送方发送方发送方接收方接收方接收方接收方传送

5、传送传送传送HASHHASH算法算法算法算法消息摘要消息摘要消息摘要消息摘要发送方私钥加密的消息摘要发送方私钥加密的消息摘要发送方私钥加密的消息摘要发送方私钥加密的消息摘要 消息消息消息消息 消息消息消息消息消息摘要消息摘要消息摘要消息摘要 消息消息消息消息消息摘要消息摘要消息摘要消息摘要新创建的消息摘要新创建的消息摘要新创建的消息摘要新创建的消息摘要发送方公钥解密消息摘要发送方公钥解密消息摘要发送方公钥解密消息摘要发送方公钥解密消息摘要相同的相同的相同的相同的HASHHASH算法算法算法算法对比两个消息摘要对比两个消息摘要对比两个消息摘要对比两个消息摘要什么是证书？什么是证书？公钥证书，通常

6、简称为证书，是一种数字签名的声明，它将公钥的公钥证书，通常简称为证书，是一种数字签名的声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用值绑定到持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于途的证书基于 X.509v3 X.509v3 证书标准。证书标准。证书证书:证书包含以下信息：证书包含以下信息：主题的公钥值。主题的公钥值。主题标识符信息（如名称和电子邮件地址）。主题标识符信息（如名称和电子邮件地址）。有效期（证书的有效时间）。有效期（证书的有效时间）。颁发者标识符信息。颁发者标识符信息。颁发者的数字签名，用来证明主体的公钥和主体的颁发者的数字签名，

7、用来证明主体的公钥和主体的标识符信息之间的绑定关系是否有效。标识符信息之间的绑定关系是否有效。证书只有在指定的期限内才有效证书只有在指定的期限内才有效 。证书颁发机构权威公正的第三方机构 CA的功能：证书的颁发 证书的查询证书的吊销 证书的归档 淘宝网首页天猫商城http:/ 交易者身份的确定性 不可否认性 不可修改性 CA基础概述证书申请过程颁发证书作为安全颁发证书作为安全凭证凭证4 4计算机，用户，或服务计算机，用户，或服务计算机，用户，或服务计算机，用户，或服务CACA*CA 接受认证请求接受认证请求1 1确认信息确认信息2 2使用私钥对证书实施使用私钥对证书实施数字签名数字签名3 3认

8、证中心(CA)证书的使用互联网互联网认证认证加密文件系统加密文件系统安全安全 E-Mail软件代码软件代码智能卡智能卡登录登录数字签名数字签名IP 安全安全根根根根 CACA子子子子 CACA子子子子 CACA子子子子 CACA信任信任信任信任信任信任信任信任信任信任信任信任安装CA配置CA1.1.在在在在WindowsWindows组件中安装证书服务组件中安装证书服务组件中安装证书服务组件中安装证书服务2.2.安装证书服务后，计算机名和域成员身份都不能更改安装证书服务后，计算机名和域成员身份都不能更改安装证书服务后，计算机名和域成员身份都不能更改安装证书服务后，计算机名和域成员身份都不能更改

9、 3.3.证书可以通过证书可以通过证书可以通过证书可以通过WebWeb注册注册注册注册CA模型CA操作n企业根企业根 CA 认证系统中的顶级认证系统中的顶级 CA，需要活动目录，可，需要活动目录，可给自己颁发证书给自己颁发证书n独立根独立根 CA认证系统中的顶级认证系统中的顶级 CA，不需要活动目录，不需要活动目录n企业子企业子 CA从其它从其它CA 处获得证书的子处获得证书的子 CA，需要活动，需要活动目录目录n独立子独立子 CA从其它从其它CA 处获得证书的子处获得证书的子 CA，不需要活，不需要活动目录动目录CA 的模型企业证书颁发机构 企业证书颁发机构取决于当前使用的 Active D

10、irectory。可以使用“证书申请向导”（从“证书”管理单元中启动）以及证书颁发机构网页，向企业证书颁发机构申请证书。企业证书颁发机构根据所配置的可颁发证书和申请者的安全权限，来提供不同类型的证书。企业证书颁发机构使用 Active Directory 中的可用信息，来帮助验证申请者的身份。企业证书颁发机构向 Active Directory 以及共享目录发布证书吊销列表。独立证书颁发机构 独立证书颁发机构在用户的自动操作能力方面不如企业证书颁发机构，因为它不依赖 Active Directory。默认情况下，用户只能通过网页向独立证书颁发机构申请证书。通常，不使用 Active Direc

11、tory 的独立证书颁发机构不得不要求证书申请者提供更完整的确认信息。独立证书颁发机构在共享文件夹中提供其证书吊销列表，如果可能，它也会在 Active Directory 中提供该列表。CA 的模型不需要AD使用Web申请证书由管理员决定是否接受申请独立CA需要AD可以使用证书向导或者Web申请根据证书模板决定是否发放证书企业CA证书服务安装IIS 的安装证书服务的安装注意：安装证书服务后，计算机名是不允许修改的1.1.创建企业根创建企业根创建企业根创建企业根CACA2.2.选择加密程序和对密钥对的设置选择加密程序和对密钥对的设置选择加密程序和对密钥对的设置选择加密程序和对密钥对的设置3.3

12、.输入输入输入输入CACA的识别信息的识别信息的识别信息的识别信息4.4.证书数据库设置证书数据库设置证书数据库设置证书数据库设置5.5.停止停止停止停止IISIIS服务服务服务服务6.6.完成安装完成安装完成安装完成安装新安装的证书服务新安装的证书服务新安装的证书服务新安装的证书服务用户申请证书通过MMC申请通过web申请2.2.添加添加添加添加/删除管理单元删除管理单元删除管理单元删除管理单元 3.3.添加管理单元添加管理单元添加管理单元添加管理单元 5.5.为用户账户管理证书为用户账户管理证书为用户账户管理证书为用户账户管理证书4.4.选择证书管理单元选择证书管理单元选择证书管理单元选择

13、证书管理单元6.6.证书管理单元安装完毕，单击确定证书管理单元安装完毕，单击确定证书管理单元安装完毕，单击确定证书管理单元安装完毕，单击确定7.7.申请证书申请证书申请证书申请证书8.8.证书申请向导证书申请向导证书申请向导证书申请向导1.1.键入键入键入键入MMCMMC命令命令命令命令通过管理控制台申请证书通过管理控制台申请证书9.9.选择证书类型选择证书类型选择证书类型选择证书类型10.10.为新证书键入名称和描述为新证书键入名称和描述为新证书键入名称和描述为新证书键入名称和描述11.11.完成证书申请向导完成证书申请向导完成证书申请向导完成证书申请向导12.12.证书申请成功证书申请成功

14、证书申请成功证书申请成功申请的证书申请的证书申请的证书申请的证书通过管理控制台申请证书通过管理控制台申请证书1.1.键入：键入：键入：键入：“http:/IPhttp:/IP地址地址地址地址/certsrv”/certsrv”2.2.欢迎页面欢迎页面欢迎页面欢迎页面3.3.选择证书类型选择证书类型选择证书类型选择证书类型4.4.正在等待服务器的响应正在等待服务器的响应正在等待服务器的响应正在等待服务器的响应5.5.安装此证书安装此证书安装此证书安装此证书6.6.证书安装完毕证书安装完毕证书安装完毕证书安装完毕通过通过通过通过WebWeb注册申请证书注册申请证书注册申请证书注册申请证书DEMO CA在邮件服务中的应用 B用来颁发CA证书提供邮件服务申请证书申请证书Bob用CA证书向mary发出有数字签名的邮件 Mary利用证书解读邮件Mary回一封加密邮件给BobBob解密后查看邮件实验完成标准掌握证书服务的安装理解证书的发放过程掌握证书的申请Page 35/32