科学数据库CA系统及使用.ppt

,科学数据库CA系统及使用,徐浩 中国科学院计算机网络信息中心 2004.8.26 北京,科学数据库技术培训,提纲,CA简介 CA系统结构 客户端安装 CA系统用户使用 证书安全与使用 总结,CA简介,PKI技术的成熟 各种标准制定（X.509证书格式的PKCS系列标准，pkcs12用于个人信息交换，pkcs7数字签名） 各种应用程序的支持（各种浏览器支持，如IE, Netscape. 其它Outlook, Apache, Tomcat， IIS Server）,CA简介（续）,作为PKI的核心实体认证机构CA，是科学数据库中心开展数据服务活动的重要基础设施。 证书颁发机构CA（可信第三方） 密钥分配 密钥管理 证书签发,CA系统结构,CA系统结构（续1）,图释：整体结构是树状，一个CA根节点，下面连接一个或多个RA节点。CA节点提供web接口来管理CA的节点。RA节点提供RA、PUB、LADP三个web接口，其中RA、LDAP面向RA管理者，PUB面向普通用户。 CA节点不连接任何网络，主要负责签发证书，撤销证书，与RA数据交换，以及CA自身节点的管理。,CA系统结构（续2）,RA节点连接网络，分三部分。 PUB接口主要面向用户，用户可通过次web接口提交证书申请，证书撤销申请，下载签发后的证书以及CA的证书。 RA接口主要面向RA管理员，RA管理员审核用户的证书请求，审核通过后签发申请，然后把数据传给CA，以及RA节点自身的管理。 LDAP接口也是面向RA管理员，负责把证书从ldap数据库中导入/导出。,客户端安装,客户端需要安装一个IE补丁q323172_w2k_sp4_x86_cn.exe； 同时将capicom.dll拷贝windows目录的system32中，并regsvr32 capicom.dll。,CA系统用户使用,首先下载CA证书（公钥） 然后申请证书 下载申请证书 证书快过期或者丢失，请撤销证书 下载CRL列表 证书查询,下载CA证书,下载CA证书（续1）,本页面包含多种 CA 证书格式。您可以选择一种适合您应用需要的格式。包括： CA 证书CRT 格式 CA 证书PEM格式 CA 证书DER格式 CA 证书CER格式 CA 证书文本格式,证书申请,证书申请流程： 输入证书相关信息：主题名、邮件地址等等 然后系统自动生成密钥对，同时向服务器发送待签发的证书申请请求 RA批准请求，并将请求拷贝给CA CA签发请求，并将签发过的证书拷贝给RA 签发过程完毕,证书申请（续1）,证书申请（续2）,证书申请（续3）,证书申请（续4）,证书申请（续5）,获取证书,获取证书流程： 系统发送给用户有关证书颁发完成的情况，颁发的证书具有一个系列号码； 用户根据序列号就可以轻松获取自己申请的证书，并且自动安装到浏览器中。,获取证书（续）,测试证书,测试证书（续）,证书撤销,证书撤销流程： 用户根据自己申请的证书，输入证书序列号以及撤销密码，提交证书撤销请求； RA批准请求，拷贝到CA中； CA签发证书撤销请求，同时需要签发CRL； 将CRL拷贝到RA中，用户可以通过界面下载CRL列表。,证书撤销（续1）,证书撤销（续2）,证书撤销（续3）,下载CRL列表,下载CRL列表（续）,本页面包含当前的CRL(证书撤销列表), 请随时下载本列表以保证您的浏览器的CRL是最新的。包括： 浏览器导入CRL的格式-DER 浏览器导入CRL的格式-PEM 浏览器导入CRL的格式-Text 下载之后将CRL安装到浏览器中。,证书查询,可以查询 有效证书 已到期证书 已撤销证书 挂起证书 检索证书 证书申请列表 证书撤销请求列表,证书安全与使用,在科学数据网格中，证书是用来标识实体身份的证明。对于证书的使用方式可以分为两种情况： 客户端，即用户如何使用证书； 服务端，如何设置使用证书。,证书安全与使用客户端,证书是科学数据库用户身份的标识，这里我们证书采用PKI的 X.509 证书格式。证书一般包含两部分：一个是包含公钥的证书；一个是私钥（一般用密码将私钥加密，主要处于安全考虑）。包含公钥的证书，是由科学数据库CA（Certificate Authority）来签发。公钥顾名思义，可以由任何人获得，属于公开的。私钥尽管有密码加密保护，用户还是要妥善保管好自己的私钥，尽量不要让其他人得到。,证书安全与使用客户端（续）,目前经常使用证书的应用是提供https的web服务，这种服务器如果需要认证客户端，那么用户登录这类的网站时，就需要事先在自己机器上的浏览器内装上自己的证书以及CA的证书。IE和Netscape浏览器使用的证书格式为pkcs12格式。这种格式的证书文件扩展名为 .p12或 .Pfx，.p12证书文件包含了公钥和私钥，因为包含私钥，该文件也需要密码将其加密。如果已经有了.p12或.pfx的证书，只要点击一下，按照提示，可以顺利的安装了。 对于其他应用程序，可能使用其他格式的证书，如.pem格式的。这种证书是通过base64编码的。这种证书格式可以是公钥和私钥都在一个文件，也可以分开保存，无论是分开还是合在一起，应用程序都可以很方便的读取使用。 这时，证书可以使用了，但是记住一定要备份好证书，以便以后系统重装时，可以按照上面的步骤重新使用证书。,证书安全与使用服务端,对于服务器端，这时也分两种情况，一种是在Apache下使用，一种是在IIS下使用。无论在那种情况都需要事先备份好证书。 在Apache下，需要.pem证书格式，这是需要配置apache的httpd.conf文件，步骤如下： # vi /usr/local/apache/conf/httpd.conf 关于SSLCertificateFile和SSLCertificatKeyFile的设定已经存在： SSLCertificateFile /usr/local/apache/conf/ssl.crt/servercert.pem SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/serverkey.pem 事实上，对于不需要客户端认证的https,服务端的配置已经完成。要客户端，还需要下列配置： SSLCACertificatePath 设定CA证书的路径。 SSLCACertificateFile 设定CA证书。 SSLVerifyClient 设定是否需要客户端认证。 我们用的是自己的CA，所以具体设定如下： SSLCertificateFile /usr/local/apache/cert/servercert.pem SSLCertificateKeyFile /usr/local/apache/cert/servercert.pem SSLCACertificatePath /usr/local/apache/cert SSLCACertificateFile /usr/local/apache/cert/cacert.pem SSLVerifyClient require SSLVerifyDepth 2,证书安全与使用服务端（续1）,在IIS下，配置https IIS服务器配置https,证书安全与使用服务端（续2）,证书安全与使用服务端（续3）,选择控制台菜单-添加/删除管理单元-添加独立管理单元-证书-计算机账户-本地计算机 选择控制台中证书（本地计算机）中的个人-右键所有任务-导入证书 启动IIS服务-选择站点-右键属性-目录安全性 服