30 元
下载资源

PKI与证书服务应用

上传人:lx****y 文档编号:252016626 上传时间:2024-11-12 格式:PPT 页数:41 大小:3.46MB
返回 下载 相关 举报
PKI与证书服务应用_第1页
第1页 / 共41页
PKI与证书服务应用_第2页
第2页 / 共41页
PKI与证书服务应用_第3页
第3页 / 共41页
点击查看更多>>
资源描述
,Click to edit Master title style,一,Second level,Second level,Windows 网络操作系统,*,第,*,页,企业组建了企业网,架设了企业证书服务网站。利用,数字证书来标志通信各方身份信息,表明各方持证人的身份或具有某种资格,以此确保网上传递信息的安全性。,第,9,章,PKI,与证书服务应用,本章目标,理解,PKI,的相关理论,理解证书的发放过程,掌握证书服务的安装,掌握企业,CA,(证书颁发机构)的管理,掌握在,Web,服务器上设置,SSL,本章结构,PKI,与证书服务应用,公钥基础结构,CA,在,Web,服务器上设置,SSL,什么是,PKI,公钥加密技术,生成证书申请,提交证书申请,颁发证书,什么是证书,CA,的作用,证书的发放过程,在,Web,服务器上安装证书,安装证书服务,启用安全通道,使用,HTTPS,协议访问网站,证书的导出和导入,什么是PKI,Public Key Infrastructure,,公钥基础架构,PKI,由公钥加密技术、数字证书、证书颁发机构(,CA,),注册机构(,RA,)等共同组成,数字证书用于用户的身份验证,CA,是一个可信任的实体,负责发布、更新和吊销证书,RA,接受用户的请求等功能,PKI,体系能够实现的功能有,身份认证,数据完整性,数据机密性,操作的不可否认性,PKI,组件,证书颁发机构,数字证书,证书吊销列表,&,联机响应,证书模版,公钥,-,启用应用程序和服务,证书和,CA,管理工具,AIA,和,CRL,分发点,公钥加密技术,公钥(,Public Key,)和私钥(,Private Key,),密钥是成对生成的,这两个密钥互不相同,两个密钥可以互相加密和解密,不能根据一个密钥来推算得出另一个密钥,公钥对外公开;私钥只有私钥的持有人才知道,私钥应该由密钥的持有人妥善保管,数据加密,发送方使用接收方的公钥加密数据,当接收方使用自己的私钥解密这些数据,数据加密能保证所发送数据的机密性,数字签名,发送方使用自己的私钥加密,接收方使用发送方的公钥解密,身份验证、数据的完整性、操作的不可否认性,什么是证书,PKI,系统中的数字证书简称证书,它把公钥和拥有对应私钥的主体的标识信息(如名称、电子邮件、身份证号等)捆绑在一起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面,Web,用户身份验证,Web,服务器身份验证,安全电子邮件,Internet,协议安全(,IPSec,),什么是证书,数字证书是由权威公正的第三方机构即,CA,签发的,证书包含以下信息,使用者的公钥值,使用者标识信息(如名称和电子邮件地址),有效期(证书的有效时间),颁发者标识信息,颁发者的数字签名,公钥加密密钥,信息对象,CA,信息,数字证书,证书生命周期概述,用户、计算机或服务从,CA,请求证书。,1,CA,生成证书。,2,CA,分发证明书,以用户、计算机或服务。,3,与启用,PKI,的应用程序一起使用证书,.,4,在其生存期内使用该证书。,5,证书是过期、续期,或撤销,6,证书注册方法,Web Enrollment,Manual Enrollment,Auto,enrollment,Enrollment Agents,以使用,Web,注册取得证书,Connect to by using a Web browser.,Click Request a certificate.,Select the type of certificate that you want to request.,Type or verify your identification.,Install the certificate.,2,3,1,5,4,使用手动注册取得证书,Certificates MMC,Web Server,NDES NDES,Manual Enrollment,CA,类型,是,CA,最受信任的类型在,PKI,基础结构中。,是自签名的证书。,其他问题证书从属,CA,。,拥有物理安全及证书发行策略通常比从属,CA,更严格的,Root CA,由另一个,CA,颁发,解决特定的用法政策、组织或地理边界、负载平衡,和容错能力,向窗体分层的,PKI,基础结构其他核证机关发出证书,Subordinate CA,独立与企业,CA,CA的作用,CA,的核心功能就是颁发和管理数字证书,具体描述如下,处理证书申请,鉴定申请者是否有资格接收证书,证书的发放,证书的更新,接收最终用户数字证书的查询、撤销,产生和发布证书吊销列表(,CRL,),数字证书的归档,密钥归档,历史数据归档,CA,层次结构中的使用场合,Root,Subordinate,RAS,EFS,S/MIME,India,Canada,USA,Root,Subordinate,Root,Subordinate,Root,Subordinate,Manufacturing,Engineering,Accounting,Employee,Contractor,Partner,证书使用,位置,部门,组织单位,什么是经过认证层次结构?,Root CA,Root CA,Organization 1,Organization 2,Subordinate CA,Subordinate CA,Root CA,Root CA,Organization 1,Organization 2,Subordinate CA,Subordinate CA,在根目录,CA,级别的认证,经认证从属,CA,到根,CA,证书的发放过程,证书的发放过程,1,)证书申请,用户根据个人信息填好申请证书的信息并提交证书申请信息,2,),RA,确认用户,在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性,3,)证书策略处理,如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等,4,),RA,提交用户申请信息到,CA,RA,用自己私钥对用户申请信息签名,保证用户申请信息是,RA,提交给,CA,的,证书的发放过程,5,),CA,为用户生成密钥对,并用,CA,的签名密钥对用户的公钥和用户信息,ID,进行签名,生成电子证书,这样,,CA,就将用户的信息和公钥捆绑在一起了,然后,,CA,将用户的数字证书和用户的公用密钥公布到目录中,6,),CA,将电子证书传送给批准该用户的,RA,7,),RA,将电子证书传送给用户(或者用户主动取回),8,)用户验证,CA,颁发的证书,确保自己的信息在签名过程中没有被篡改,而且通过,CA,的公钥验证这个证书确实由所信任的,CA,机构颁发,什么是,CRL?,增量,CRL,使用,Windows XP(R),的客户,端计算机或,Windows Server 2003,基础,CRL,所有撤销,的证书,大发布间隔,最后基础,CRL,证书,较短的发布间隔,+,-,大尺寸,小尺寸,客户端计算机使用,任何版本的,Windows(R),CRL,是如何发布的,Cert3,Base CRL#1,Revoke,Cert5,Delta CRL#2,Cert5,Revoke,Cert7,Cert5,Cert7,Delta CRL#3,Cert3,Cert5,Cert7,Time,Base CRL#2,1.,在,Windows,组件中安装证书服务,2.,安装证书服务后,计算机名和域成员身份都不能更改,3.,证书可以通过,Web,注册,安装证书服务,1.,创建企业根,CA,2.,选择加密程序和对密钥对的设置,3.,输入,CA,的识别信息,4.,证书数据库设置,5.,停止,IIS,服务,6.,完成安装,创建企业根CA,证书颁发机构,在,【,开始,】|【,管理工具,】,中单击,【,证书颁发机构,】,Web注册支持,证书服务的虚拟目录,访问证书服务的虚拟目录,在 Web 服务器上设置 SSL,生成证书申请,提交证书申请,颁发证书,在Web服务器上安装证书,启用安全通道(SSL),使用HTTPS协议访问网站,生成证书申请,申请过程的生成的文本文件,此文件将提交给,CA,申请过程的生成的文本文件名,互联网上使用有效的,DNS,名,如果在局域网可使用计算机名,如果,CA,类型为独立根或者独立从属,则必须选择此项,提交证书申请,颁发证书,在Web服务器上安装证书,查看证书,安全套接层端口,从,CA,下载的文件,启用安全通道(SSL),使用HTTPS协议访问网站,使用,HTTP,访问网站的效果,证书的导出,导入证书时使用,使用控制台导出证书,证书的导入,使用控制台导入证书,阶段练习,背景,tsinghuait,公司有一个,Web,站点,域名为,启用的身份验证方式是基本身份验证方式,保证用户密码和访问的数据在传输时的安全性(信息不能被协议分析工具破解出来),目标,掌握证书服务的安装,理解证书的发放过程,掌握在,Web,服务器上配置,SSL,使用,HTTPS,协议访问网站以验证结果,阶段练习,步骤,1,)安装证书服务,2,)生成证书申请,3,)提交证书申请,4,)颁发证书,5,)下载证书,6,)在,Web,服务器上安装证书,7,)在,Web,服务器上启用安全通道(,SSL,),8,)使用,HTTPS,协议访问网站,本章总结,PKI,与证书服务应用,公钥基础结构,CA,在,Web,服务器上设置,SSL,什么是,PKI,公钥加密技术,生成证书申请,提交证书申请,颁发证书,什么是证书,CA,的作用,证书的发放过程,在,Web,服务器上安装证书,安装证书服务,启用安全通道,使用,HTTPS,协议访问网站,数据加密,数字签名,CA,类型,证书的导出和导入,实验,任务,在,Web,服务器上设置,SSL,背景,阶段练习,1,完成标准,掌握证书服务的安装,理解证书的发放过程,掌握在,Web,服务器上配置,SSL,使用,HTTPS,协议访问网站以验证结果,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 大学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!