第讲架设CA服务器.ppt

第7讲架设CA服务器 数字证书服务器 随着网络应用的快速发展 相应的安全问题也越来越明显 各样形式的安全威胁越来越突出 在随之产生的各种网络安全解决方案中 数字证书便是其中一种 与其他安全技术和解决方案相比 数字证书服务具有高效 实用 方便使用等特点 本讲在介绍数字证书 PKI等网络安全设施的基本概念后 以WindowsServer2003操作系统为主 介绍数字证书服务器的安装 配置和使用方法 7 1数字证书的概念 数字证书也称为数字标识 DigitalCertificate 或DigitalID 它提供了一种在Internet等公共网络中进行身份验证的方式 是用来标识和证明网络通信双方身份的数字信息文件 数字证书由一个权威的证书认证机构 CertificateAuthority CA 发行 在网络中可以通过从CA中获得的数字证书来识别对方的身份 通俗地讲 数字证书就是个人或单位在Internet等公共网络上的身份证 比较专业的数字证书定义是 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件 最简单的证书包含一个公开密钥 名称以及证书授权中心的数字签名 一般情况下 证书中还包括密钥的有效时间 发证机关 证书授权中心 的名称 该证书的序列号等信息 证书的格式遵循相关国际标准 通过数字证书就可以使信息传输的保密性 数据交换的完整性 发送信息的不可否认性交易者身份的确定性这四大网络安全要素得到保障 7 2PKI的概念和组成 目前 计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类 其中 非PKI安全体系的应用最为广泛 例如用户大量使用的 用户名称 密码 的形式就属于非PKI体系 由于非PKI体系的安全性相对较弱 所以近年来PKI安全体系得到了越来越广泛的关注和应用 7 2 1PKI的概念 PKI PublicKeyInfrastructure 公钥基础设施 为网上信息的传输提供了加密 Encryption 和验证 Authentication 功能 在信息发送前对其进行加密处理 当对方接收到信息后 能够验证该信息是否确实是由发送方发送的信息 同时还可以确定信息的完整性 即信息在发送过程中未被他人非法篡改 数字证书是PKI中最基本的元素 所有安全操作都主要通过证书来实现 PKI的组成除数字证书之外 还包括签署这些证书的认证 数字证书库 密钥备份及恢复系统 证书作废系统 应用程序接口 API 等基本构成部分 PKI根据公开密钥学 PublicKeyCryptography 来提供前面介绍的加密和验证功能 在此过程中需要公开密钥和私有密钥来支持 其中 公开密钥 PublicKey 公开密钥也称为公共密钥 简称为 公钥 在安全系统中公开密钥不需要进行保密 是向网络中的所有用户公开的 对于一个安全系统来说 公开密钥是唯一的 私有密钥 PrivateKey 私有密钥简称为 私钥 是用户个人拥有的密码 它存在于用户自己的计算机或其他介质中 只有该用户自己才能使用 私有密钥需要安全保存和管理 在信息的安全传输中 发送信息前可以通过公开密钥对其进行加密 接收方在接收到信息后再利用自己的私有密钥进行解密 PKI技术的应用 1 电子商务应用参与方一般包括买方 卖方 银行和作为中介的电子交易市场 买方通过自己的浏览器上网 登录到web服务器并寻找卖方 2 电子政务网上信息发布 办公自动化 网上办公 信息资源共享 PKI主要解决身份认证 数据完整性 数据保密性和不可抵赖性 3 网上银行客户对银行4 网上证券股民和券商 7 2 2公开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理 其中公开密钥用来进行加密 而私有密钥用来进行解密 这种加密和解密的处理方式也称为 非对称 asymmetric 加密法 7 2 3公开密钥验证法 数字签名 是通过一个单向函数对要传送的报文进行处理得到的 用以认证信息来源并核实信息是否发生变化的一个字母数字串 用户可以利用 公开密钥验证法 来对要发送的信息进行数字签名 而对方在收到该信息后 能够通过此数字签名来验证信息是否确实是由发送方发送来的 同时还可以确认信息在发送过程中是否被篡改 数字证书的原理 在整个加密解密过程中 仅拥有密钥是不够的 还必须申请相应的数字证书 digitalcertification 或数据标识 digitalID 这样才可能利用密钥执行信息加密和身份验证操作 在这里 密钥相当于 汽车 而数字证书相当于 驾驶证 只有汽车而没有驾驶证是无法开车上路的 同样只有驾驶证而没有汽车也无法使驾驶证发挥作用 所以 密钥和数字证书应该是构成该系统的必备条件 为了便于数字证书的管理 出现了一些专门的数字证书管理机构 负责发放和管理数字证书 将这一机构称为 证书认证机构 或 认证中心 CertificateAuthority CA 7 3CA服务器 如图所示 当用户在申请证书时 必须输入申请者的详细资料 如姓名 地址 电子邮箱等 这些信息将被发送到一个称为加密服务提供者 CSP 的程序 由CSP负责创建密钥 吊销密钥 以及使用密钥执行各种加 解密操作 在进行加密 解密时 用户需要某一用户的公开密钥时 就会向CA进行查询 并将得到的数字证书保存在自己的计算机中 7 3 1Server2003中CA的分类 由于基于WindowsServer2003的数字证书服务器分为企业CA和独立CA两种类型 其中企业CA需要建立在活动目录的基础上 同时只能向本企业内部加入活动目录的用户提供数字证书服务 而独立CA不需要活动目录的支持 而且可以向加入活动目录域控制器的用户和没有加入活动目录域控制器的用户提供数字证书服务 两者相比 独立CA的配置和使用要比企业CA方便 所以本节将介绍独立CA的安装和配置方法 服务器 安装CA服务器 安装IIS及其测试IIS 7 4 1安装证书服务 独立CA可分为独立根CA和独立从属CA两种 对于绝大多数中小企业来说 一般只需要配置一台数字证书服务器即可 所以 本节仅介绍独立根CA的安装方法 选择CA类型及其设置CA名称 设置证书数据库 CA证书服务器完成安装 7 4 2管理证书服务器 CA服务器的停止与启动1 Net命令netstopcertsvc2 使用控制台 证书颁发机构3 使用 服务 控制台 7 5 1客户机 数字证书的申请方法 在要安装证书的计算机上打开IE浏览器 在地址栏中输入以下的地址 http CA的计算机名称或IP地址 192 168 0 2 certsrv 本例中所使用的独立根CA计算机的IP地址为192 168 0 2 计算机名称为server 打开CA服务器Web支持页面 选择证书类型及填写信息 提交证书申请 CA服务器上颁发证书 查看挂起的证书 安装过程 查看证书 证书的保存与应用 在前面的介绍中 用户一般是在要安装证书的计算机上来申请并安装证书 但是 在实际应用中 有时需要将申请到的证书安装在其他的计算机上 或出于安全考虑对已申请到的证书进行安全备份 当原来的证书不小心被删除或计算机重新安装操作系统后 就可以利用备份来还原 为解决此类问题 我们需要将申请到的证书以文件形式进行保存和应用 具体方法如下 证书的保存与应用 单击 下载CA证书 或 下载CA证书链 将CA的证书以文件形式保存起来 如果该证书不慎被丢失 则可以在打开该证书文件所在的文件夹后 单击鼠标右键 在出现的快捷菜单中选择 安装证书 重新进行安装 如图所示 7 6备份与还原证书 CA的备份 CA的还原 CA的还原 7 7吊销证书 打开 证书颁发机构 控制台 选择左侧的 颁发的证书 选项 显示所有已经颁发的证书 选中要吊销的证书单击鼠标右键 弹出右键菜单选择 所有任务 单击 吊销证书 项 选学 数字证书应用举例 电子邮件的数字签名以用户邮箱wq 和lfj 之间收发电子邮件为例 介绍利用CA进行电子邮件签名和加密的方法 数字签名是利用发送方的私有密钥进行加密 在接收方利用发送方的公开密钥进行解密 当用户wq要向用户lfj发送经过签名的电子邮件时 用户wq需要利用自己的私有密钥进行加密 当用户lfj接收到该加密的电子邮件时 再利用用户wq的公开密钥进行解密 具体过程如下 实验要求简述 7 服务器 1 安装及其测试IIS2 安装独立根CA服