《数字安全和证书服务.ppt》由会员分享,可在线阅读,更多相关《数字安全和证书服务.ppt(50页珍藏版)》请在三一办公上搜索。
1、,郑重声明:本资料来自武汉软件工程职业学院优秀教师唐能立,未经本人同意不得转载,第11讲数字安全和证书服务,本讲任务,基于PKI的数字证书的概念、格式、原理、种类。基于PKI的数字证书解决方案。利用Windows Server 2003的证书服务构建和管理CA以及使用SSL构建的Web站点。,数字安全和证书服务基本知识,9.1.1 网络信息安全的概念,按照规范的定义,安全的网络信息必须满足以下的最基本的几个特征。1机密性2完整性3可用性4不可否认性,9.1.2 常规加解密技术,1加解密体系的概念2常规加解密技术的特点3常规加解密的过程4常规加解密技术的分类5常规加解密技术使用的算法,常规加解密
2、技术,9.1.3 公钥加解密技术,公钥结构的保密通信的原理,公钥结构的保密通信的原理,9.1.3 公钥加解密技术,公钥结构的鉴别通信的原理 公钥结构的鉴别+保密通信的原理,9.2 基于PKI的数字证书解决方案,PKI(PublicKeylnfrastructure,公钥结构)即完整的公钥解决方案,是利用公钥加解密技术来实现网络信息安全的技术,代表了当今世界安全技术领域的最高水平。PKI技术是包括软、硬件技术和网络技术的综合,对于Internet上的网络信息安全具有重大的意义。,9.2.1 什么是数字证书,网络上进行通信的各方向PKI中的数字证书颁发机构申请数字证书,通过PKI系统建立的一套严密
3、的身份认证系统来保证:信息除发送方和接收方外不被其他人窃取。信息在传输过程中不被篡改。发送方能够通过数字证书来确认接收方的身份。发送方对于自己的信息不能抵赖。,9.2.2 数字证书的格式,主要包括以下要素。【版本】:采用的X509格式的版本号,包括Version 1、Version 2和Version 3(好比是身份证的格式标记)。【序列号】:由证书颁发机构颁发的该证书的惟一整数值(好比是身份证号码)。【签名算法】:用来对数字证书进行签名的算法和相关参数(好比是身份证的制作方法)。【颁发者】:创建和对该证书进行签名的CA(证书颁发机构)的名字(好比是身份证的颁发公安机关)。【使用者】:证书的用
4、户名,证书证实了持有相应私钥和公钥的用户名(好比是身份证的人名)。【使用者惟一标识符】:证书的用户名对应的惟一标识符。【有效起始日期】:证书开始生效的日期(好比是身份证的生效日期)。【有效终止日期】:证实实效的日期(好比是身份证的实效日期)。【公钥】:用户的公钥算法标识符及位数。【密钥用法】:数字证书的用法。【使用者密钥标识符】:用户的公钥。,9.2.3 数字证书的原理,9.2.4 数字证书的种类,纵观这些CA,基本上都提供以下一些种类的数字证书:【Web服务器证书】:用于在Web服务器和浏览器之间建立安全的连接通道,直接 存储在Web服务器的硬盘上。【服务器身份证书】:用于对网络中的一些服务
5、器进行身份标识,提供服务器的信息、公钥和签名,确保与其他服务器或用户通信的安全。【个人证书】:提供证书持有者的个人身份、公钥及签名,用于在网络中标识证书持有者的个人身份,浏览器证书就是一种个人证书。【安全电子邮件证书】:提供证书持有者的个人身份、公钥及签名,用于电子邮件的安全传递和认证。【企业证书】:提供企业身份信息、公钥和签名,在网络中标识证书持有企业的身份。,9.2.5 数字证书体系的结构,下面介绍PKI的结构。1 CA 即数字证书的申请及签发机关,CA必须具备权威性的特征。2数字证书库 用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥。3密钥备份及恢复系统 如果用
6、户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据的丢失。为避免这种情况,PKI必须提供备份与恢复密钥的机制。但密钥的备份与恢复必须由可信的机构来完成,并且密钥备份与恢复只能针对解密密钥,不能够针对用于签名的私钥。4证书作废系统 证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。5应用接口(API)PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一
7、致、可信的方式与PKI交互,确保安全网络环境的完整性和可用性。,9.3.1 如何设计CA的结构,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.4 CA的启动与关闭,9.3.5 CA的备份,9.3.6 CA的还原,9.3.6 CA的还原,9.3.7 向CA申请数字证书,9.3.8 颁发数字证书,9.4.1 生成Web服务器数字证书申请
8、文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.2 申请Web服务器数字证书,9.4.2 申请Web服务器数字证书,9.4.4 服务器数字证书,9.4.5 安装Web服务器数字证书,9.4.5 安装Web服务器数字证书,9.4.6 在Web服务器上设置SSL,浏览器的SSL配置,1申请浏览器数字证书,浏览器的SSL配置,2颁发浏览器数字证书,浏览器的SSL配置,3获取及安装浏览器数字证书,浏览器数字证书的管理,9.4.10 访问SSL站点,小结,
9、(1)常规加密技术体系中,发送者和接受者使用相同的密钥来加密和解密信息,信息的安全取决于密钥的安全。常规加密技术能够满足机密性、完整性和可用性的需求。(2)公钥技术加密中,每个用户使用两个不同的密钥,称为公钥和私钥。密钥之间很难相互推导,一个密钥加密,另外一个解密。(3)基于PKI(公钥结构)的数字证书解决方案是目前Internet上技术最成熟的网络信息安全技术。数字证书是由权威机构颁发的网络上进行通讯的各方的数字身份证,其中包含了CA的信息、用户的公钥信息等。(4)利用WindowsServer2003的证书服务可以构建两种类型的CA,企业CA主要面向Intranet应用,独立CA可以面向Internet应用。(5)WindowsServer2003的证书服务内置了WEB访问的站点,采用ASP脚本语言技术,在IIS的支持下,向用户提供通过WEB浏览器申请,下载数字证书的方法。(6)SSL协议用于对数据进行加密和鉴别,服务器向CA机构申请证书以建立公钥和私钥,然后和客户端协商出一个为建立SSL连接需要的会话密钥。(7)为Web服务器申请并安装数字证书后就可以建立SSL站点,浏览器申请数字证书并启用SSL选项,双方就可以建立安全的Web通信。,
