資源描述:
《windows網(wǎng)絡(luò)服務(wù):PKI與證書(shū)服務(wù)應(yīng)用》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、第6章內(nèi)容回顧RIS的用途和優(yōu)點(diǎn)RIS要求遠(yuǎn)程安裝服務(wù)的三個(gè)主要組件Page1/32第7章本章目標(biāo)理解PKI的相關(guān)理論理解證書(shū)的發(fā)放過(guò)程掌握證書(shū)服務(wù)的安裝掌握企業(yè)CA(證書(shū)頒發(fā)機(jī)構(gòu))的管理掌握證書(shū)在電子郵件中的應(yīng)用Page3/32PKI基礎(chǔ)概述PKI:軟件和加密相結(jié)合的一種技術(shù),保護(hù)商業(yè)傳輸安全通訊的一種架構(gòu)。PKI:公鑰基礎(chǔ)結(jié)構(gòu)需求PKI解決方案機(jī)密性數(shù)據(jù)加密(EFS、IPSEC)完整性數(shù)字簽名真實(shí)性Hash算法、消息摘要、數(shù)字簽名認(rèn)可數(shù)字簽名、審計(jì)可用性CA冗余介紹公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)公鑰/私鑰公開(kāi)密鑰算法什么是證書(shū)?證書(shū)認(rèn)證機(jī)構(gòu)(CA-CertificationAth
2、ority)認(rèn)證層次結(jié)構(gòu)麥新衣淘寶商城女裝http://www.maixine.com天貓商城PKI基礎(chǔ)(共鑰基礎(chǔ)結(jié)構(gòu))私鑰:用戶自己持有的密鑰,別人不能訪問(wèn)只有自己能夠訪問(wèn)公鑰:用戶公開(kāi)的密鑰,任何人都可以持有加密:把明文信息變成密文信息的過(guò)程解密:把密文信息變成明文信息的過(guò)程公開(kāi)密鑰算法對(duì)稱加密算法非對(duì)稱加密算法對(duì)稱加密加密和解密用的密鑰相同DES、3DES優(yōu)勢(shì)與缺點(diǎn)實(shí)現(xiàn)簡(jiǎn)單加密速度快通信雙方必須相互認(rèn)識(shí),并同意采用同一密鑰保存和管理密鑰十分復(fù)雜安全的傳送密鑰也非常困難兩個(gè)密鑰相同發(fā)送方接收方對(duì)稱密鑰加密對(duì)稱密鑰解密密文明文傳送非對(duì)稱加密非對(duì)稱加密算法需要兩個(gè)密鑰:公鑰私鑰一
3、個(gè)用于加密,另一個(gè)則用作解密不能根據(jù)一個(gè)密鑰來(lái)推算得出另一個(gè)密鑰公鑰對(duì)外公開(kāi),私鑰只有其持有人才知道發(fā)送方接收方接收方的公鑰加密接收方的私鑰解密密文明文傳送接收方的密鑰對(duì)公鑰私鑰多個(gè)用戶加密的信息只能由一個(gè)用戶解讀發(fā)送方接收方發(fā)送方的私鑰加密發(fā)送方的公鑰解密密文明文傳送發(fā)送方的密鑰對(duì)公鑰私鑰一個(gè)用戶加密的信息,多個(gè)用戶解讀數(shù)字簽名身份驗(yàn)證,數(shù)據(jù)的完整性創(chuàng)建消息摘要消息摘要經(jīng)過(guò)私鑰加密接收方用同樣的算法創(chuàng)建出一個(gè)新的消息摘要與用公鑰解密的消息摘要進(jìn)行比較如果這兩個(gè)消息摘要互相匹配,則可保證完整性發(fā)送方接收方傳送HASH算法消息摘要發(fā)送方私鑰加密的消息摘要消息消息消息摘要消息消息摘要
4、新創(chuàng)建的消息摘要發(fā)送方公鑰解密消息摘要相同的HASH算法對(duì)比兩個(gè)消息摘要什么是證書(shū)?公鑰證書(shū),通常簡(jiǎn)稱為證書(shū),是一種數(shù)字簽名的聲明,它將公鑰的值綁定到持有對(duì)應(yīng)私鑰的個(gè)人、設(shè)備或服務(wù)的身份。大多數(shù)普通用途的證書(shū)基于X.509v3證書(shū)標(biāo)準(zhǔn)。證書(shū):證書(shū)包含以下信息:主題的公鑰值。主題標(biāo)識(shí)符信息(如名稱和電子郵件地址)。有效期(證書(shū)的有效時(shí)間)。頒發(fā)者標(biāo)識(shí)符信息。頒發(fā)者的數(shù)字簽名,用來(lái)證明主體的公鑰和主體的標(biāo)識(shí)符信息之間的綁定關(guān)系是否有效。證書(shū)只有在指定的期限內(nèi)才有效。證書(shū)頒發(fā)機(jī)構(gòu)權(quán)威公正的第三方機(jī)構(gòu)CA的功能:證書(shū)的頒發(fā)證書(shū)的查詢證書(shū)的吊銷證書(shū)的歸檔淘寶網(wǎng)首頁(yè)天貓商城http://ww
5、w.maixine.com/時(shí)尚女裝證書(shū)的用途信息的保密性交易者身份的確定性不可否認(rèn)性不可修改性CA基礎(chǔ)概述證書(shū)申請(qǐng)過(guò)程頒發(fā)證書(shū)作為安全憑證4計(jì)算機(jī),用戶,或服務(wù)CA~*~*~*~CA接受認(rèn)證請(qǐng)求1確認(rèn)信息2使用私鑰對(duì)證書(shū)實(shí)施數(shù)字簽名3認(rèn)證中心(CA)證書(shū)的使用互聯(lián)網(wǎng)認(rèn)證加密文件系統(tǒng)安全E-Mail軟件代碼智能卡登錄數(shù)字簽名IP安全根CA子CA子CA子CA信任信任信任安裝CA配置CA1.在Windows組件中安裝證書(shū)服務(wù)2.安裝證書(shū)服務(wù)后,計(jì)算機(jī)名和域成員身份都不能更改3.證書(shū)可以通過(guò)Web注冊(cè)CA模型CA操作企業(yè)根CA認(rèn)證系統(tǒng)中的頂級(jí)CA,需要活動(dòng)目錄,可給自己頒發(fā)證書(shū)獨(dú)立根C
6、A認(rèn)證系統(tǒng)中的頂級(jí)CA,不需要活動(dòng)目錄企業(yè)子CA從其它CA處獲得證書(shū)的子CA,需要活動(dòng)目錄獨(dú)立子CA從其它CA處獲得證書(shū)的子CA,不需要活動(dòng)目錄CA的模型企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)取決于當(dāng)前使用的ActiveDirectory。可以使用“證書(shū)申請(qǐng)向?qū)А保◤摹白C書(shū)”管理單元中啟動(dòng))以及證書(shū)頒發(fā)機(jī)構(gòu)網(wǎng)頁(yè),向企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)證書(shū)。企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)根據(jù)所配置的可頒發(fā)證書(shū)和申請(qǐng)者的安全權(quán)限,來(lái)提供不同類型的證書(shū)。企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)使用ActiveDirectory中的可用信息,來(lái)幫助驗(yàn)證申請(qǐng)者的身份。企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)向ActiveDirectory以及共享目錄發(fā)布證書(shū)吊銷列表。獨(dú)立
7、證書(shū)頒發(fā)機(jī)構(gòu)獨(dú)立證書(shū)頒發(fā)機(jī)構(gòu)在用戶的自動(dòng)操作能力方面不如企業(yè)證書(shū)頒發(fā)機(jī)構(gòu),因?yàn)樗灰蕾嘇ctiveDirectory。默認(rèn)情況下,用戶只能通過(guò)網(wǎng)頁(yè)向獨(dú)立證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)證書(shū)。通常,不使用ActiveDirectory的獨(dú)立證書(shū)頒發(fā)機(jī)構(gòu)不得不要求證書(shū)申請(qǐng)者提供更完整的確認(rèn)信息。獨(dú)立證書(shū)頒發(fā)機(jī)構(gòu)在共享文件夾中提供其證書(shū)吊銷列表,如果可能,它也會(huì)在ActiveDirectory中提供該列表。CA的模型不需要AD使用Web申請(qǐng)證書(shū)由管理員決定是否接受申請(qǐng)獨(dú)立CA需要AD可以使用證書(shū)向?qū)Щ?/p>