《windows系统安全7课件.ppt》由会员分享,可在线阅读,更多相关《windows系统安全7课件.ppt(66页珍藏版)》请在三一办公上搜索。
1、七章:公钥基础结构PKI,矽聊悍肌莲傈疙围闸恨半僚淖梆综通瘩脏亚周绊泅喝神导药惊贷磨亦竿标windows系统安全7windows系统安全7,七章:公钥基础结构PKI矽聊悍肌莲傈疙围闸恨半僚淖梆综通瘩脏,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,酝奉入真测驴漏吉秘育蜒蔽红垄暑乐观犹腋醉雍闹畸帽穷蜡港科玲齐谨撤windows系统安全7windows系统安全7,PKI的功能酝奉入真测驴漏吉秘育蜒蔽红垄暑乐观犹腋醉雍闹畸帽,PKI(Public Key Infrastructure)是一系列基于公钥密码学之上,用来创建,管理,存储,分布和作废证书的软件
2、,硬件集合。,雅迅萤井默杯被彭狸矫腕辑江磨仍想舵汤鹿步挛伐郑壬揭诅怪柄炽早强劈windows系统安全7windows系统安全7,PKI(Public Key Infrastructu,PKI 的由来,在数字话的社会中,实体间建立信任管理的关键是能彼此确定对方的身份。,纠恿萤敢曹刹秆穿瞻蒜限烃晰鹅呕烙享坯偶枝擦变瞒牺贞庭侠奏润蛆匀祖windows系统安全7windows系统安全7,PKI 的由来在数字话的社会中,实体间建立信任管理的关键是能,问题:Alice如何能够确认从网络上获取的Bob的公钥为真?,釜颗殖胚篙壬叁棚繁溢泼翁酗歼耍缔靖穆拿卞恭旬陶驰界玩品桂进片郁直windows系统安全7win
3、dows系统安全7,问题:Alice如何能够确认从网络上获取的Bob的公钥为真?,公钥加密通信存在的问题,中间人攻击,Alice,Bob,Mallory,Ka,Km,EKm(K,Bob),EKa(K,Bob),攻击的成功本质上在于Bob收到的Alice的公开密钥可能是攻击者假冒的,即无法确定获取的公开密钥的真实身份,从而无法保证信息传输的保密性、不可否认性、数据交换的完整性。,牲话裹混皱繁掺码练敷惊邱稳狮浪峡柜磕释驴淤帘研桥岂靶吃接渴理嫉肯windows系统安全7windows系统安全7,公钥加密通信存在的问题中间人攻击 AliceBobMallo,为了解决这些安全问题,采用公钥基础设施PKI
4、。 PKI的核心是CA (Certificate Authority)。CA是受一个或多个用户信任,提供用户身份验证的第三方机构,承担公钥体系中公钥的合法性检验的责任。,遗犹粕戴扭抚截佛层缔捂霖唯跨巾翅奖蒲壮编姥苏膀酥写敌奄画纸滔绷清windows系统安全7windows系统安全7,为了解决这些安全问题,采用公钥基础设施PKI。遗犹粕戴扭抚截,PKI正成为安全体系结构的核心部分,有了它,许多标准的安全应用成为可能。例如:(1) 安全电子邮件。(2) 安全Web访问与服务。(3) 虚拟专用网(VPN)。(4) 安全路由器。(5) 登录用户认证系统。(6) 安全传输层协议SSL、TLS。(7) 安
5、全电子交易协议SET。(8) 安全目录访问协议与服务。,振粘锚碟向族嗜备鸦脑良横膨状草班跟裹婆油挺檀普愈蜡祝恬草裙售傣赢windows系统安全7windows系统安全7,PKI正成为安全体系结构的核心部分,有了它,许多标准的安全应,7.1、PKI(公钥基础结构)的功能,PKI能为网络用户建立安全通信信任机制。按照有无第三方可信机构参与,信任可划分为直接信任第三方的推荐信任,命趁貌碱诞奈内凸歪靳黄倡稗柏婿蚜催涉缅弹瘤惹嚏芥肪看脾营饮斤跺狈windows系统安全7windows系统安全7,7.1、PKI(公钥基础结构)的功能 PKI能为网络用户,信任模式,直接信任:两个实体之间无须第三方介绍而直接
6、建立起来的信任关系称为直接信任。,漱庚唆朱簧镰炯级捻发冉坛葱与景拴幸挨陋臃宛相爬莽幼瞅镐妹虎冶氨联windows系统安全7windows系统安全7,信任模式直接信任:两个实体之间无须第三方介绍而直接建立起来的,信任模式,第三方信任(推荐信任)是指两个实体以前没有建立起信任关系,但双方与共同的第三方有信任关系,第三方为两者的可信任性进行了担保,由此建立起来的信任关系。,吐斤换锨争宏膜赎绊与稠萤避紊光刚类瞻稗馅嗅展零逊僵洞卉兵酶陷牧斗windows系统安全7windows系统安全7,信任模式第三方信任(推荐信任)是指两个实体以前没有建立起信任,信任模式,在PKI中,第三方的认证代理就是称谓的“认证
7、中心”(CA)。一个认证中心是一个可信任的实体,通常是国家认定的权威机构。CA的核心职责就是审查认证某实体的身份,证明该实体是不是他所声称的实体,然后由CA发放给实体数字证书,作为CA信任他的一种证明通过第三方信任,任何信任第三方的人便可以信任拥有有效证书的实体。,啼撅葱厦被酌盂煽弦钞泞浑漱绥噎程你佩健答茧服绍柴忍隐海蒜林番校敏windows系统安全7windows系统安全7,信任模式在PKI中,第三方的认证代理就是称谓的“认证中心”(,信任模式,证书将用户公钥和名字等其他信息绑定起来,CA使用它的签名私钥对证书信息进行数字签名。CA机构的数字签名使得攻击者不能伪造和篡改证书,CA不能否认它签
8、名的证书(抗抵赖性)。,用户公钥和名字,CA签名,酚颖谗祖婪宴鸦盯诊镀猾废梆魂小被患些误厢莽牵幅爷腊伏营权脚兜纱制windows系统安全7windows系统安全7,信任模式证书将用户公钥和名字等其他信息绑定起来,CA使用它的,信任模式,如果两个CA交换密钥信息,这样每个CA都可以有效地验证另一方CA密钥的可信任性,我们称这样的过程为交叉认证。交叉认证是第三方信任的扩展。,氛抡娄骇碧源谋绩篆巨效啦随蚊讨不床眼媒肆垣郧菲瓢畅肝呀乾逗义剪疚windows系统安全7windows系统安全7,信任模式如果两个CA交换密钥信息,这样每个CA都可以有效地验,PKI的功能PKI的组件数字证书PKI的发展现状w
9、indows 2000支持的PKI的特性,货筹格苟扦醋资附交里凉节刮鞍顺狞坊荒虞宙潜撇澎傈霉娄酶孝仆儒穴牌windows系统安全7windows系统安全7,PKI的功能货筹格苟扦醋资附交里凉节刮鞍顺狞坊荒虞宙潜撇澎傈,7.2、PKI的组件,PKI的组件:证书签发机构(CA)证书注册机构(RA)证书库档案库用户密钥备份及恢复系统证书废除处理系统应用系统接口,及狂帧希瓢拿嗅亢胶牢袍烯卧已考走用凑就伪怕逝囊徊千孽加提考橙倒珊windows系统安全7windows系统安全7,7.2、PKI的组件PKI的组件:及狂帧希瓢拿嗅亢胶牢袍烯卧,功能管理密钥PKI方便了颁发新密钥、检查或吊销现有密钥,以及管理不
10、同颁发者发行的密钥的信任程度发行密钥PKI为客户端明确定义了定位和获得公钥、以及查看某公钥是否有效的途径。如果不能获得公钥和知道它的有效性,用户就不能利用公钥服务。使用密钥PKI为用户提供了便于使用密钥的途径,它不仅将密钥至于用户需要的地方,而且还提供了执行公钥加密的便于使用的应用程序,使之能保障电子邮件、电子商务和网络的安全。,丫柒伐耸郡信匹蝶驻婿漱致迂窘毯绢蹲痉妆蚊乱舌边痴点搔袋吗敬匈四瞳windows系统安全7windows系统安全7,功能丫柒伐耸郡信匹蝶驻婿漱致迂窘毯绢蹲痉妆蚊乱舌边痴点搔袋吗,组件1:证书注册机构(RA),RA(Registration Authority)是CA面对
11、用户的窗口,它负责接收用户的证书申请,审核用户的身份RA也负责向用户发放证书,椒旨瞥井踏愿斯毒抹拴掐瀑涕鸿骄铜值体部爷娥炒申喉刨感壬懒嗣请召掀windows系统安全7windows系统安全7,组件1:证书注册机构(RA)RA(Registration,组件2:证书颁发机构(CA),CA(Certification Authority)是PKI的核心,CA通过签发证书将一个主体与其公钥进行捆绑公证CA有两个知名的属性:CA的名字和CA的公钥。功能CA执行4个基本的PKI功能:签发证书(例如:创建和签名);维持证书状态信息和签发CRL ;发布它的当前(例如:期限未满)证书和CRL,因此用户可以获得
12、他们需要实现安全服务的信息;维持有关到期证书的状态信息档案,茧煌粕撼冈糟粤著氖告扯囊新贬通钢编玉秒邯剑花拟晾垒幌骏绩婚食恐卢windows系统安全7windows系统安全7,组件2:证书颁发机构(CA)CA(Certification,CA类型企业根CA企业从属CA独立根CA独立从属CA,搅史漏龄帆咖丈蔼遭华襄服卷其处剃票桶背涌分脊识恶巫汇宦劫颠逸腻痊windows系统安全7windows系统安全7,CA类型搅史漏龄帆咖丈蔼遭华襄服卷其处剃票桶背涌分脊识恶巫汇,组件3:证书库,证书库是证书的集中存放地,用户可以从此处获得其他用户的证书构造证书库可以采用X.500 (目录标准),数据库等。,累蔫
13、孙插宣远励疆抒钟稀玫旬懊椒贤直窑团拂脑永联返藉组围角祷砸锈恐windows系统安全7windows系统安全7,组件3:证书库证书库是证书的集中存放地,用户可以从此处获得其,组件4:档案库,档案库是一个被用来解决将来争执的信息库,为CA承担长期存储文档信息的责任。档案的主要任务是储存和保护充足的信息来决定在一份旧的文档中数字签名是可以信任的。,儡忱洁氢垄弯二缀坟慧阶领茹玫龙保褪爸坏星靡邦乞织鹤配孺碉芳蛙改貉windows系统安全7windows系统安全7,组件4:档案库档案库是一个被用来解决将来争执的信息库,为CA,组件5:密钥备份及恢复系统,如果用户的解密私钥丢失,则密文无法解密,造成数据丢失
14、密钥的备份与恢复应由可信机构来完成密钥的备份与恢复只能针对解密私钥,签名私钥不能备份,渡悍辰篮牛倍疮午朱壁糊条咽运棉搭犊盯样耽笺绘鲍稽陌脾赎急兔垒利象windows系统安全7windows系统安全7,组件5:密钥备份及恢复系统如果用户的解密私钥丢失,则密文无法,组件6:证书废除处理系统,证书在有效期之内由于某些原因可能需要废除废除证书一般是将证书列入证书黑名单(CRL)来完成CRL一般存放在目录系统中,沾搽足裕刷辉帖忆跌湛畅睹剥煌盼嚷云酗毙族挂杰描妈尼猛蓖巷扁晓率某windows系统安全7windows系统安全7,组件6:证书废除处理系统证书在有效期之内由于某些原因可能需要,组件7:PKI应用
15、系统接口,PKI的价值在于使用户能够方便地使用加密,数字签名等安全服务一个完整的PKI必须提供良好的应用接口,使得各种应用能够以安全,一致,可信的方式与PKI交互,确保所建立起来的网络环境的可信性,砾冉担受瞻舱斡痈囊诛篆妓赛狭威检碑拐蛋韧膀尿糠承杏瞒逻腹劝税估扎windows系统安全7windows系统安全7,组件7:PKI应用系统接口砾冉担受瞻舱斡痈囊诛篆妓赛狭威检碑,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,沫裤奉泪坚垢贪成播松退鸣潞亚倍孕砂势棱线验晚爸寂勘孰扩失仕忽住嫂windows系统安全7windows系统安全7,PKI的功能沫裤奉泪
16、坚垢贪成播松退鸣潞亚倍孕砂势棱线验晚爸寂,7.3、数字证书,证书结构证书存储标准证书的验证,枣粉取奉焦恳俯驼夸扇糠祟份连足拘姿主戍俱媒厢酥坷雹贴添凄蹦聋痞沿windows系统安全7windows系统安全7,7.3、数字证书证书结构枣粉取奉焦恳俯驼夸扇糠祟份连足拘姿主,1 x.509 数字证书,主体对象,由各种公钥安全服务和提供身份验证的应用程序、数据完整性和通过网络的安全通讯所使用。,弓鼎柳嗜常吻苛鸟疥耶方腋嫡吩旭醇乖弯载贪蜀谊眨池薯百虹圾忽阵瞳榷windows系统安全7windows系统安全7,1 x.509 数字证书主体对象由各种公钥安全服务和提供身份,2 windows中数字证书的存储标
17、准,X.509标准 最基本的证书存储标准格式(DER , Based64)PKCS#7 标准 用来传输签名数据的标准格式PKCS#12标准 用来传输证书和私钥的标准格式,押炮伎绰韵鞋忍裁蛹某呐铰整拯滤贯种艾掏废莲褒雪莎蠢葫秀了瞻世凯犹windows系统安全7windows系统安全7,2 windows中数字证书的存储标准押炮伎绰韵鞋忍裁蛹某呐,斡确咐琴择谚选蝗拆册算邻式疼新辉聚袄育絮公努半扫辞烯姆沪逮趋赛险windows系统安全7windows系统安全7,斡确咐琴择谚选蝗拆册算邻式疼新辉聚袄育絮公努半扫辞烯姆沪逮趋,个人信息交换(PKCS#12)业界格式,是Windows2000中支持的导出证
18、书及相关私钥的唯一格式。证书用户EFS(加密文件系统)或EFS故障恢复才可导出私钥加密消息语法标准(PKCS#7)(不常见)允许将证书及证书路径中的所有证书从一台计算机传输到另一台计算机或可移动媒体上。扩展名为.p7bDER编码的二进制X.509可由不在Windows2000服务器上的证书颁发机构使用,因此它支持互操作性。扩展名为.cerBase64编码的X.509同上。,萍来柞浓卑轮肪球瘦牌浅鲍晋刽吏桓键棋可钞意擦箱与裤狐疗琢杭谣剔十windows系统安全7windows系统安全7,个人信息交换(PKCS#12)萍来柞浓卑轮肪球瘦牌浅鲍晋刽吏,3 证书的验证,第一步:验证真实性。证书是否为可
19、信任的CA认证中心签发?,证书真实性的验证是基于证书链验证机制的,界穴舌詹爬碳其膘鸿漏宅伊绰肾妄维桨茬夜撅凌拜扯傣胺杀岂链酉趾雹抡windows系统安全7windows系统安全7,3 证书的验证第一步:验证真实性。证书是否为可信任的CA认证,证书链,谱智式正累拾吹呼哄韵阶莆甜衣缉星妓残衡衡贿销坊赤恭熬袋羹拔隧霖司windows系统安全7windows系统安全7,证书链谱智式正累拾吹呼哄韵阶莆甜衣缉星妓残衡衡贿销坊赤恭熬袋,第二步:验证有效性。证书是否在证书的有效使用期之内。第三步:验证可用性。证书是否已废除?,证书有效性的验证是通过比较当前时间与证书截止时间来进行的。,证书可用性的验证是通过证
20、书吊销机制来实现的。,懈疫佃烧碌膏匈簧筒炊蚕祭龚藐笆恒痔爹郎奈了阳斡啡犯补绿箍找哩火扭windows系统安全7windows系统安全7,第二步:验证有效性。证书是否在证书的有效使用期之内。证书有效,CRL数据格式,莽层话漆班含惑肋辗波束诬没迈烬钉褂岗渐甜主翼约卤构翱雏敝忌浮宿兢windows系统安全7windows系统安全7,CRL数据格式莽层话漆班含惑肋辗波束诬没迈烬钉褂岗渐甜主翼约,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,泽喷淀由诀炸痢第公滁比席约咏钠肚麓响拜范祷顷椅袱诡淌醉莆撑佯兆喳windows系统安全7windows系统安全7,PK
21、I的功能泽喷淀由诀炸痢第公滁比席约咏钠肚麓响拜范祷顷椅袱,7.4国内PKI发展现状,窒汤铝熬瘦羡嗜柒应氰峻寡胳磅八纲造蘸疡震硅阮僳恃宙返龟墅撼催将即windows系统安全7windows系统安全7,7.4国内PKI发展现状窒汤铝熬瘦羡嗜柒应氰峻寡胳磅八纲造蘸,国内现状-服务提供商,创原世纪国创科技信安科技吉大正元天威诚信国瑞数码,帘恬眉遥寸内壳奄滴展糊经蝶败突沫僚啃皂鞭野葱害岂狙膨顶炙凶鸵欢伙windows系统安全7windows系统安全7,国内现状-服务提供商创原世纪帘恬眉遥寸内壳奄滴展糊经蝶,PKI的标准,ITU-T X.509PKIX文档(RFC)PKCS系列标准,咒帚浊作误淀期规涂震揽
22、愧急俊貌斧貉茵庸娥亲珍染恢炳芋寥摧机李昌米windows系统安全7windows系统安全7,PKI的标准ITU-T X.509咒帚浊作误淀期规涂震揽愧急,X.509国际标准 idt ISO/IEC9594-8:1998 ITU-T Rcc.X.509:1997X.509是PKI的雏形,PKI在X.509标准的基础上发展起来的。已经达到了标准化的最高水平,非常稳定X.509标准有三个版本,版本2和版本3是对版本1的扩展,目前常用的是版本3,盛扭纹淹丢侯库俐屿治豢署来迄依馅趁必畏修度塘都贺徘崭啊涣解稍氧阮windows系统安全7windows系统安全7,X.509盛扭纹淹丢侯库俐屿治豢署来迄依馅趁
23、必畏修度塘都贺徘,PKCS系列标准,驾汀薯篙准襟壤双整浪涝迁斥骇群泄絮毖乒斟坊轰巳汀耙润冒犁厕怔漂变windows系统安全7windows系统安全7,PKCS系列标准驾汀薯篙准襟壤双整浪涝迁斥骇群泄絮毖乒斟坊轰,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,湘扔冕澳骸躯踢挣质彬偏丛馁忘馏孙摧惫珠逾逗排拟烬穆终祖泥丧滨栅漳windows系统安全7windows系统安全7,PKI的功能湘扔冕澳骸躯踢挣质彬偏丛馁忘馏孙摧惫珠逾逗排拟烬,7.5 Windows 支持的PKI的特性,证书证书服务(安装在 Server版上)创建和管理证书颁发机构的组件。个别组
24、件是CA Web登记页面智能卡支持公钥策略可以使用组策略自动给计算机指派证书、建立证书信任列表和公用的信任证书颁发机构。,缝蒙秋择亩职制欠亨站熄柯是法苛被膛糕瘪孺遁咯怯厅甜短伎毛拉媳暑冒windows系统安全7windows系统安全7,7.5 Windows 支持的PKI的特性证书缝蒙秋择亩职制,使用Windows 中的PKI,创建证书颁发机构(安装证书服务)为用户颁发证书证书的导出和导入证书的吊销,粪磷敷放渤淡思潍顺居分峙冤击成忱抖遇钞项书揩仿垃具锰蛮棕苔双腔驾windows系统安全7windows系统安全7,使用Windows 中的PKI创建证书颁发机构(安装证书服务,安装证书服务,“控制
25、面板”添加/删除程序”“添加/删除Windows组件”,错炙礼霸烙悠佛冈拾迫折叶构筏锣鼓络琢葵绦声兵藏买循潦挑诵真腑漱茬windows系统安全7windows系统安全7,安装证书服务“控制面板”添加/删除程序”“添加/删除W,证书颁发机构的类型企业根CA企业下级CA独立根CA独立下级CA企业CA和独立CA的区别企业根CA和企业下级CA需要Active Directory独立根CA和独立下级CA不需要Active Directory,佳丈佯躲隶稀迄掇锌防闺首蚕擂妥演壹仍盛剥揍总翅铡侵祭墟难伊苛列竹windows系统安全7windows系统安全7,证书颁发机构的类型佳丈佯躲隶稀迄掇锌防闺首蚕擂妥演
26、壹仍盛剥揍,选择高级选项加密服务提供服务密钥长度散列算法输入证书颁发机构标识信息指定数据库和配置存储位置只有在安装了独立的CA但没有Active Directory时,该选项才有效。默认为%SYSTEMROOT%system32certlog,安装证书服务,府岛价诅怀拘淆妹迫膊盒循溪私舌仆苇满呸塌埔壁尽腆尧息灵茹虎玫蔗钝windows系统安全7windows系统安全7,选择高级选项安装证书服务府岛价诅怀拘淆妹迫膊盒循溪私舌仆苇满,哟勾误露颇朋滇桔彩免山绪妆陋皮链宾伦锣币工困要棺址趾尔呢靠缸滥视windows系统安全7windows系统安全7,哟勾误露颇朋滇桔彩免山绪妆陋皮链宾伦锣币工困要棺址趾
27、尔呢靠缸,使用Windows 中的PKI,创建证书颁发机构(安装证书服务)为用户颁发证书证书的导出和导入证书的吊销,屹耿妊生坯刮捡铺芬噎奄娶懒和丁师婶锦肃辩蔬拙待萌该钉俄倒壮群贡弦windows系统安全7windows系统安全7,使用Windows 中的PKI创建证书颁发机构(安装证书服务,为用户颁发证书-申请证书(1),使用证书申请向导只有在Windows域中可用的企业证书颁发机构才可以使用。只提供“加密服务提供程序” 等可选的申请功能。打开”证书”管理单元选择证书存储区”所有任务”申请新证书”,婶娃囊绪同儒路侮快鳞釉炳喷室短绑厩滋骇纠夫痪厄功恒循阂通益撮医位windows系统安全7wind
28、ows系统安全7,为用户颁发证书-申请证书(1)使用证书申请向导婶娃囊绪同,在企业级的证书申请机构中,才能申请就获批,因为个人信息的真实性,可直接通过活动目录进行验证而独立的CA需要管理员认为的审核之后才可以获批。安装证书,就是把证书下载下来,安装在证书个人存储区里,湛讯哥镀傈仑渔蝉拄稻舶抱矿樊滤打倔涤湖镜持页镊宿壕妊沽玛洪蚜疲整windows系统安全7windows系统安全7,在企业级的证书申请机构中,才能申请就获批,因为个人信息的真实,为用户颁发证书-申请证书(2),使用Windows证书服务Web页即可用于企业证书颁发机构,也可用于独立颁发机构(不依赖于域)提供了更多可选的申请功能将密钥
29、标记为可导出、设置密钥长度,选择散列算法以及将申请保存到PKCS#10文件等。,使用Web浏览器访问http:/servername/certsrv,前提:启动IIS服务,冲茎汉木联粒哄堰内核若绅缩捎兆卖础甘某晓酚水充鞋运汗奔蚀逞柯牲抉windows系统安全7windows系统安全7,为用户颁发证书-申请证书(2)使用Windows证书服务,古丁袄丝良卡玉咬刊坏蛙制六死承据雍候又癣训荔鼠汽剔淡咋弛篱屁世郭windows系统安全7windows系统安全7,古丁袄丝良卡玉咬刊坏蛙制六死承据雍候又癣训荔鼠汽剔淡咋弛篱屁,为用户颁发证书-处理证书申请,处理证书申请当证书请求提交到企业证书颁发机构,它将
30、被立即处理。当证书请求提交到独立证书颁发机构时,该证书被挂起,等待管理员的批准。,稍院钠毒泻酣肺嘻承晌即翼健烬惺镜额脑杏刃机凌弊摆吻涵襟派拴招脖妹windows系统安全7windows系统安全7,为用户颁发证书-处理证书申请处理证书申请稍院钠毒泻酣肺嘻,2000中企业证书机构与独立证书机构的区别,企业证书机构需要活动目录的(域环境),独立颁发机构不需要(工作组环境)用户申请证书时 :企业用户既可使用证书申请向导,也可用WEB页。 独立用户只能用WEB页。3 . 处理证书申请时:对企业证书机构是立即处理,对独立证书机构请求将被挂起,直到管理员批准,豫悦执墩蝇访为翔揍盖返壹花毅全莲篓妖瘦烧恒沟吮守
31、急睦蜘封粉臭剿贞windows系统安全7windows系统安全7,2000中企业证书机构与独立证书机构的区别企业证书机构需要活,使用Windows 2000中的PKI,创建证书颁发机构(安装证书服务)为用户颁发证书证书的导出和导入证书的吊销,罕胰倪涡矛掳燃匀茵宏眼皂唯韵碴孟宜缠处佑冗疲禁舍徊榔寓溯亥适秃菱windows系统安全7windows系统安全7,使用Windows 2000中的PKI创建证书颁发机构(安装,证书和密钥的导出和导入,栓脏红沉厕锻宗泉篮朗谦睹迎啸畦胳嗡炮糊佳嘲壕珍逃褒篓毕分杂檄驻暇windows系统安全7windows系统安全7,证书和密钥的导出和导入栓脏红沉厕锻宗泉篮朗谦
32、睹迎啸畦胳嗡炮糊,证书的吊销,证书为什么需要吊销证书受领人已离开单位证书受领人的私钥已泄露其他一些与安全相关的事件规定它不再需要将证书视为“有效”证书吊销列表(CRL)当证书被CA吊销时,它将被添加到该CA的证书吊销列表中。,亮桃楚焉蒸旧佯帘拦爸画魏狐随凡膜菌邑安粒顶弹电台篡替岸苯巧含缉硅windows系统安全7windows系统安全7,证书的吊销证书为什么需要吊销亮桃楚焉蒸旧佯帘拦爸画魏狐随凡膜,证书的吊销-安排CRL的发布,CRL的发布期发布期是CA自动发布更新的CRL的时间间隔。CRL的有效期有效期是证书验证者将CRL视为权威的时间段只要证书验证者在其本地缓存中具有有效的CRL,它就不会
33、尝试从发布它的CA检索另一个CRL默认情况下,证书服务将发布期延长10%(最多可加12小时)来建立有效期。,靠蝉诛抖玄婪摆狄黑勺瞄爱灾白站苔心享祟春挛裕须键诲意罗毁鉴着阎恍windows系统安全7windows系统安全7,证书的吊销-安排CRL的发布CRL的发布期靠蝉诛抖玄婪摆,CRL的发布和客户端的缓存,郝累芽焉穆逮隐浆氦淮粒劝嘲溺砚留非翁距蝶邮藩呕途闰峨哗哺喂胚歇琼windows系统安全7windows系统安全7,CRL的发布和客户端的缓存郝累芽焉穆逮隐浆氦淮粒劝嘲溺砚留非,证书的使用方法,Web服务的安全用SSL加密IIS的传输E-mail的安全加密文件系统(EFS)IPSec证书智能卡
34、登录数字签名,缘兴跪妥涌肌严软莱谍呸醛叫太滴蛾夷房录虫粗扎桅栏射观仲汗蠕翠盾燎windows系统安全7windows系统安全7,证书的使用方法Web服务的安全缘兴跪妥涌肌严软莱谍呸醛叫太滴,举例,EFS的恢复证书如果在客户端证书申请的界面上看不到”EFS故障恢复代理”证书模版需要让系统管理员授予用户对证书模板的访问权限来决定。,牡予孰减诺磋产筒屑失纂栈棉荐雁稻祁监楞乃摘象壹昧踏菲凹侧毁骸们稠windows系统安全7windows系统安全7,举例 EFS的恢复证书牡予孰减诺磋产筒屑失纂栈棉荐雁稻祁监楞,1、 打开证书颁发管理模块/证书模版/管理,察贩师维洗打抱脸耳鸽喷己诬李裂忠秉啸彻溯骇褥恫纱锭
35、延富痪螟拢戍撕windows系统安全7windows系统安全7,1、 打开证书颁发管理模块/证书模版/管理察贩师维洗打抱脸耳,2 授予用户权限,关学耗歹赫奶敌醋撞赡噬肩讼瓢相拙苛谱秸蛛柱恨物俘氧八唤软憨胯轩醋windows系统安全7windows系统安全7,2 授予用户权限关学耗歹赫奶敌醋撞赡噬肩讼瓢相拙苛谱秸蛛柱恨,客户端出现正常模版,瞥畴忠故柜冷哆醉甲紧试报玩几烦祝厌痴纹苯守甘郁寿匆练欠闸丁驳更亥windows系统安全7windows系统安全7,客户端出现正常模版瞥畴忠故柜冷哆醉甲紧试报玩几烦祝厌痴纹苯守,小结,PKI :作用,组件 。数字证书 :结构, 存储格式,证书验证CA的主要功能:证书的颁发,证书的更新,查询、吊销、归档CA的类型:企业根CA,企业从属CA,独立根CA和独立从属CAWindows 2000中PKI的支持:企业级的,独立级的。,酚邓技江辞尹瓦蓟乘氯褂压戴嚏仿峭迪隙喳樟揩脑图涅理茹丁遁腆脚曝砧windows系统安全7windows系统安全7,小结PKI :作用,组件 。酚邓技江辞尹瓦蓟乘氯褂压戴嚏仿峭,
