数字安全和证书服务.ppt

,郑重声明： 本资料来自武汉软件工程职业学院优秀教师唐能立，未经本人同意不得转载,第11讲数字安全和证书服务,本讲任务,基于PKI的数字证书的概念、格式、原理、种类。 基于PKI的数字证书解决方案 。 利用Windows Server 2003的证书服务构建和管理CA以及使用SSL构建的Web站点。,数字安全和证书服务基本知识,9.1.1 网络信息安全的概念,按照规范的定义，安全的网络信息必须满足以下的最基本的几个特征。 1机密性 2完整性 3可用性 4不可否认性,9.1.2 常规加解密技术,1加解密体系的概念 2常规加解密技术的特点 3常规加解密的过程 4常规加解密技术的分类 5常规加解密技术使用的算法,常规加解密技术,9.1.3 公钥加解密技术,公钥结构的保密通信的原理,公钥结构的保密通信的原理,9.1.3 公钥加解密技术,公钥结构的鉴别通信的原理 公钥结构的鉴别+保密通信的原理,9.2 基于PKI的数字证书解决方案,PKI(PublicKeylnfrastructure，公钥结构)即完整的公钥解决方案，是利用公钥加解密技术来实现网络信息安全的技术，代表了当今世界安全技术领域的最高水平。PKI技术是包括软、硬件技术和网络技术的综合，对于Internet上的网络信息安全具有重大的意义。,9.2.1 什么是数字证书,网络上进行通信的各方向PKI中的数字证书颁发机构 申请数字证书，通过PKI系统建立的一套严密的身份 认证系统来保证： 信息除发送方和接收方外不被其他人窃取。 信息在传输过程中不被篡改。 发送方能够通过数字证书来确认接收方的身份。 发送方对于自己的信息不能抵赖。,9.2.2 数字证书的格式,主要包括以下要素。 【版本】：采用的X509格式的版本号，包括Version 1、Version 2和Version 3(好比是身份证的格式标记)。 【序列号】：由证书颁发机构颁发的该证书的惟一整数值(好比是身份证号码)。 【签名算法】：用来对数字证书进行签名的算法和相关参数(好比是身份证的制作方法)。 【颁发者】：创建和对该证书进行签名的CA(证书颁发机构)的名字(好比是身份证的颁发公安机关)。 【使用者】：证书的用户名，证书证实了持有相应私钥和公钥的用户名(好比是身份证的人名)。 【使用者惟一标识符】：证书的用户名对应的惟一标识符。 【有效起始日期】：证书开始生效的日期(好比是身份证的生效日期)。 【有效终止日期】：证实实效的日期(好比是身份证的实效日期)。 【公钥】：用户的公钥算法标识符及位数。 【密钥用法】：数字证书的用法。 【使用者密钥标识符】：用户的公钥。,9.2.3 数字证书的原理,9.2.4 数字证书的种类,纵观这些CA，基本上都提供以下一些种类的数字证书： 【Web服务器证书】：用于在Web服务器和浏览器之间建立安全的连接通道，直接 存储在Web服务器的硬盘上。 【服务器身份证书】：用于对网络中的一些服务器进行身份标识，提供服务器的信息、公钥和签名，确保与其他服务器或用户通信的安全。 【个人证书】：提供证书持有者的个人身份、公钥及签名，用于在网络中标识证书持有者的个人身份，浏览器证书就是一种个人证书。 【安全电子邮件证书】：提供证书持有者的个人身份、公钥及签名，用于电子邮件的安全传递和认证。 【企业证书】：提供企业身份信息、公钥和签名，在网络中标识证书持有企业的身份。,9.2.5 数字证书体系的结构,下面介绍PKI的结构。 1 CA 即数字证书的申请及签发机关，CA必须具备权威性的特征。 2数字证书库 用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。 3密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据的丢失。为避免这种情况，PKI必须提供备份与恢复密钥的机制。但密钥的备份与恢复必须由可信的机构来完成，并且密钥备份与恢复只能针对解密密钥，不能够针对用于签名的私钥。 4证书作废系统 证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样，证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供作废证书的一系列机制。 5应用接口(API) PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和可用性。,9.3.1 如何设计CA的结构,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.4 CA的启动与关闭,9.3.5 CA的备份,9.3.6 CA的还原,9.3.6 CA的还原,9.3.7 向CA申请数字证书,9.3.8 颁发数字证书,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.2 申请Web服务器数字证书,9.4.2 申请Web服务器数字证书,9.4.4 服务器数字证书,9.4.5 安装Web服务器数字证书,9.4.5 安装Web服务器数字证书,9.4.6 在Web服务器上设置SSL,9.4.7浏览器的SSL配置,1申请浏览器数字证书,9.4.7浏览器的SSL配置,2颁发浏览器数字证书,9.4.7浏览器的SSL配置,3获取及安装浏览器数字证书,9.4.8浏览器数字证书的管理,9.4.10 访问SSL站点,小结,（1）常规加密技术体系中，发送者和接受者使用相同的密钥来加密和解密信息，信息的安全取决于密钥的安全。常规加密技术能够满足机密性、完整性和可用性的需求。 (2)公钥技术加密中，每个用户使用两个不同的密钥，称为公钥和私钥。密钥之间很难相互推导，一个密钥加密，另外一个解密。 (3)基于PKI（公钥结构）的数字证书解决方案是目前Internet上技术最成熟的网络信息安全技术。数字证书是由权威机构颁发的网络上进行通讯的各方的数字身份证，其中包含了CA的信息、用户的公钥信息等。 (4)利用WindowsServer2003的证书服务可以构建两种类型的CA，企业CA主要面向Intranet应用，独立CA可以面向Internet应用。 (5) WindowsServer2003的证书服务内置了WEB访问的站点，采用ASP脚本语言技术，在IIS的支持下，向用户提供通过WEB浏览器申