PKI知识内部培训PPT课件.ppt

PKI内部培训分享 议程 加密技术介绍数字证书与PKI概述证书颁发机构 一 加密技术介绍 加密系统加密系统作用对称密钥加密系统公钥加密系统的数字加密使用公钥加密法交换对称密钥Hash加密与数字签名加密算法的特性比较 加密系统 加密把容易读取的源文件变成加密文本 能够读取这种加密文本的方法是获得密钥加密技术通常分为三类 对称加密 使用一个字符串 密钥 去加密数据 同样的密钥用于加密和解密 非对称加密 也称为公钥加密 使用一对密钥来加密数据 一个用于加密 一个用于解密 反之亦然 HASH加密 使用一个叫HASH函数的数学方程式去加密数据 加密系统作用 对称密钥加密系统 Bob Alice 共享加 解密密钥 Internet Intranet 密文传送 加密 解密 明文 明文 公钥加密系统的数字加密 Bob Alice Internet Intranet 密文传送 加密 解密 明文 明文 Alice公钥 Alice私钥 Alice公钥 使用公钥加密法交换对称密钥 Bob Alice Internet Intranet 密文传送 公钥加密 私钥解密 明文 明文 Alice公钥 Alice私钥 Alice公钥 共享会话密钥 对称加密 对称解密 Hash加密与数字签名 Bob Alice Internet Intranet Bob私钥 Bob公钥 文本 签名文本 Hash加密 消息摘要 数字签名 Bob公钥 Hash加密 私钥加密 OK 公钥解密 Yes 加密算法的特性比较 二 数字证书与PKI概述 数字证书简介数字证书的用途数字证书的内容数字证书的颁发PKI介绍公钥架构 PKI 的组件基于PKI的应用应用如何检查证书状态 数字证书简介 数字证书又称为数字标识 DigitalCertificate DigitalID 它提供了一种在Internet上身份验证的方式 是用来标志和证明网络通信双方身份的数字信息文件 数字证书的用途 在使用数字证书的过程中应用公钥加密技术 建立起一套严密的身份认证系统 它能够保证 信息除发送方和接受方外不被其他人窃取 信息在传输过程中不被篡改 接收方能够通过数字证书来确认发送方的身份 发送方对于自己发送的信息不能抵赖 随着Internet的普及 各种电子商务活动和电子政务活动的飞速发展 数字证书开始广泛地应用到各个领域之中 目前主要包括 发送安全电子邮件 访问安全站点 网上招标投标网上签约 网上订购 安全网上公文传送网上缴费 网上缴税 网上炒股 网上购物和网上报关等 数字证书的内容 数字证书主要包括三方面的内容 证书所有者的信息 证书所有者的公钥和证书颁发机构的签名 一个标准的X 509数字证书包含以下一些内容 证书的版本信息 证书的序列号 每个证书都有一个唯一的证书序列号 证书所使用的签名算法 证书的发行机构名称 命名规则一般采用X 500格式 及其用私钥的签名 证书的有效期 证书使用者的名称及其公钥的信息 数字证书的颁发 数字证书是由证书颁发机构 CA 颁发的证书颁发机构是一家能向用户签发数字证书以确认用户身份的管理机构 为了防止数字凭证的伪造 CA的公钥必须是可靠的 CA必须公布其公钥或由更高级别的CA提供一个电子凭证来证明其公钥的有效性 后一种方法导致了多级别CA的出现 数字证书颁发过程如下 用户首先产生自己的密钥对 并将公钥及部分个人身份信息传送给证书颁发机构 CA CA在核实身份后 将执行一些必要的步骤 以确信请求确实由用户发送而来 然后 CA将发给用户一个数字证书 该证书内包含用户的个人信息和他的公钥信息 同时还附有CA的签名信息 用户就可以使用自己的数字证书进行相关的各种活动 公钥架构 PKI 介绍 公钥架构 PKI 的组件 17 基于PKI的应用 应用如何检查证书状态 19 三 证书颁发机构 CA简介CA的类型CA的层级架构CA层级信任的使用场景离线根CA的设置什么是证书吊销列表 CRLs CA简介 CA的类型 独立CA 常用于离线申请不需要AD环境可以通过WEB方式申请需要通过证书服务管理员管理证书的颁发 企业CA 常用于颁发证书需要AD环境可以通过证书申请向导或WEB方式申请基于证书模版颁发或拒绝证书申请 CA的层级架构 在PKI架构中 是最信任的CA类型自签名证书为从属CA颁发证书拥有物理安全和证书颁发策略 根CA 由另外的CA颁发证书在PKI的层级架构下 为其他CA颁发证书考虑特定策略用途 组织 地理位置 负载平衡 容错等 设置从属CA 从属CA CA层级信任的使用场景 RootCA SubordinateCA RAS EFS S MIME India Canada USA RootCA SubordinateCA RootCA SubordinateCA RootCA SubordinateCA Manufacturing Accounting Employee Contractor Partner 证书用途 位置 部门 组织单位 Engineering 离线根CA的设置 什么是证书吊销列表 CRLs 26 证书服务如何发布CRLs Time BaseCRL 4 BaseCRL 1 Cert3 发布AIAs及CDPs到哪里 OfflineRootCA ActiveDirectory ExternalWebServer Internal