《科学数据库CA系统及使用.ppt》由会员分享,可在线阅读,更多相关《科学数据库CA系统及使用.ppt(37页珍藏版)》请在三一办公上搜索。
1、,科学数据库CA系统及使用,徐浩中国科学院计算机网络信息中心2004.8.26 北京,科学数据库技术培训,提纲,CA简介CA系统结构客户端安装CA系统用户使用证书安全与使用总结,CA简介,PKI技术的成熟各种标准制定(X.509证书格式的PKCS系列标准,pkcs12用于个人信息交换,pkcs7数字签名)各种应用程序的支持(各种浏览器支持,如IE,Netscape.其它Outlook,Apache,Tomcat,IIS Server),CA简介(续),作为PKI的核心实体认证机构CA,是科学数据库中心开展数据服务活动的重要基础设施。证书颁发机构CA(可信第三方)密钥分配密钥管理证书签发,CA系
2、统结构,CA系统结构(续1),图释:整体结构是树状,一个CA根节点,下面连接一个或多个RA节点。CA节点提供web接口来管理CA的节点。RA节点提供RA、PUB、LADP三个web接口,其中RA、LDAP面向RA管理者,PUB面向普通用户。CA节点不连接任何网络,主要负责签发证书,撤销证书,与RA数据交换,以及CA自身节点的管理。,CA系统结构(续2),RA节点连接网络,分三部分。PUB接口主要面向用户,用户可通过次web接口提交证书申请,证书撤销申请,下载签发后的证书以及CA的证书。RA接口主要面向RA管理员,RA管理员审核用户的证书请求,审核通过后签发申请,然后把数据传给CA,以及RA节点
3、自身的管理。LDAP接口也是面向RA管理员,负责把证书从ldap数据库中导入/导出。,客户端安装,客户端需要安装一个IE补丁q323172_w2k_sp4_x86_cn.exe;同时将capicom.dll拷贝windows目录的system32中,并regsvr32 capicom.dll。,CA系统用户使用,首先下载CA证书(公钥)然后申请证书下载申请证书证书快过期或者丢失,请撤销证书下载CRL列表证书查询,下载CA证书,下载CA证书(续1),本页面包含多种 CA 证书格式。您可以选择一种适合您应用需要的格式。包括:CA 证书CRT 格式CA 证书PEM格式CA 证书DER格式CA 证书C
4、ER格式CA 证书文本格式,证书申请,证书申请流程:输入证书相关信息:主题名、邮件地址等等然后系统自动生成密钥对,同时向服务器发送待签发的证书申请请求RA批准请求,并将请求拷贝给CACA签发请求,并将签发过的证书拷贝给RA签发过程完毕,证书申请(续1),证书申请(续2),证书申请(续3),证书申请(续4),证书申请(续5),获取证书,获取证书流程:系统发送给用户有关证书颁发完成的情况,颁发的证书具有一个系列号码;用户根据序列号就可以轻松获取自己申请的证书,并且自动安装到浏览器中。,获取证书(续),测试证书,测试证书(续),证书撤销,证书撤销流程:用户根据自己申请的证书,输入证书序列号以及撤销密
5、码,提交证书撤销请求;RA批准请求,拷贝到CA中;CA签发证书撤销请求,同时需要签发CRL;将CRL拷贝到RA中,用户可以通过界面下载CRL列表。,证书撤销(续1),证书撤销(续2),证书撤销(续3),下载CRL列表,下载CRL列表(续),本页面包含当前的CRL(证书撤销列表),请随时下载本列表以保证您的浏览器的CRL是最新的。包括:浏览器导入CRL的格式-DER浏览器导入CRL的格式-PEM浏览器导入CRL的格式-Text下载之后将CRL安装到浏览器中。,证书查询,可以查询有效证书已到期证书已撤销证书挂起证书检索证书证书申请列表证书撤销请求列表,证书安全与使用,在科学数据网格中,证书是用来标
6、识实体身份的证明。对于证书的使用方式可以分为两种情况:客户端,即用户如何使用证书;服务端,如何设置使用证书。,证书安全与使用客户端,证书是科学数据库用户身份的标识,这里我们证书采用PKI的 X.509 证书格式。证书一般包含两部分:一个是包含公钥的证书;一个是私钥(一般用密码将私钥加密,主要处于安全考虑)。包含公钥的证书,是由科学数据库CA(Certificate Authority)来签发。公钥顾名思义,可以由任何人获得,属于公开的。私钥尽管有密码加密保护,用户还是要妥善保管好自己的私钥,尽量不要让其他人得到。,证书安全与使用客户端(续),目前经常使用证书的应用是提供https的web服务,
7、这种服务器如果需要认证客户端,那么用户登录这类的网站时,就需要事先在自己机器上的浏览器内装上自己的证书以及CA的证书。IE和Netscape浏览器使用的证书格式为pkcs12格式。这种格式的证书文件扩展名为.p12或.Pfx,.p12证书文件包含了公钥和私钥,因为包含私钥,该文件也需要密码将其加密。如果已经有了.p12或.pfx的证书,只要点击一下,按照提示,可以顺利的安装了。对于其他应用程序,可能使用其他格式的证书,如.pem格式的。这种证书是通过base64编码的。这种证书格式可以是公钥和私钥都在一个文件,也可以分开保存,无论是分开还是合在一起,应用程序都可以很方便的读取使用。这时,证书可
8、以使用了,但是记住一定要备份好证书,以便以后系统重装时,可以按照上面的步骤重新使用证书。,证书安全与使用服务端,对于服务器端,这时也分两种情况,一种是在Apache下使用,一种是在IIS下使用。无论在那种情况都需要事先备份好证书。在Apache下,需要.pem证书格式,这是需要配置apache的httpd.conf文件,步骤如下:#vi/usr/local/apache/conf/httpd.conf 关于SSLCertificateFile和SSLCertificatKeyFile的设定已经存在:SSLCertificateFile/usr/local/apache/conf/ssl.crt
9、/servercert.pem SSLCertificateKeyFile/usr/local/apache/conf/ssl.key/serverkey.pem 事实上,对于不需要客户端认证的https,服务端的配置已经完成。要客户端,还需要下列配置:SSLCACertificatePath 设定CA证书的路径。SSLCACertificateFile 设定CA证书。SSLVerifyClient 设定是否需要客户端认证。我们用的是自己的CA,所以具体设定如下:SSLCertificateFile/usr/local/apache/cert/servercert.pemSSLCertific
10、ateKeyFile/usr/local/apache/cert/servercert.pemSSLCACertificatePath/usr/local/apache/certSSLCACertificateFile/usr/local/apache/cert/cacert.pemSSLVerifyClient requireSSLVerifyDepth 2,证书安全与使用服务端(续1),在IIS下,配置httpsIIS服务器配置https,证书安全与使用服务端(续2),证书安全与使用服务端(续3),选择控制台菜单-添加/删除管理单元-添加独立管理单元-证书-计算机账户-本地计算机选择控制台中证书(本地计算机)中的个人-右键所有任务-导入证书启动IIS服务-选择站点-右键属性-目录安全性服务器证书-分配一个已存在的证书-申请安全通道-申请客户证书Web站点-配置其中的选项。,总结,通过基于对科学数据库CA系统用户部分的培训,使得以后用户方便的申请证书、撤销证书等;了解了证书安全与使用的一些方法,使得以后用户使用证书更方便更安全。,培训后的要求,学习使用科学数据库CA系统。能够运用本CA系统申请和撤销证书。,
