《数字证书》PPT课件

3.1数字证书概述3.2数字证书的格式3.3数字证书中公私密钥对的管理3.4数字证书的申请与更新3.5数字证书的分发3.6数字证书的撤销3.7数字证书实现信息安全,第三章数字证书,学习目的,掌握常见数字证书的种类了解数字证书的格式了解数字证书中公私密钥对的管理认识数字证书的申请、发放、更新和撤销,3.1数字证书概述,数字证书是一个由使用数字证书的用户群所公认和信任的权威机构（即CA）签署了其数字签名的信息集合。数字证书系统通过认证机构为公-私密钥对的持有者发放和管理数字证书。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。数字证书包含了公开密钥持有者信息以及公开密钥的文件，证书上还有认证机构的数字签名。,3.1数字证书概述（续）,数字证书的结构,3.1数字证书概述（续）,3.1数字证书概述（续）,按照数字证书的使用对象来分个人数字证书单位数字证书服务器证书安全邮件证书开发者证书按照数字证书所采用的技术来分SSL证书SET证书,数字证书的分类,3.2数字证书的格式,在数字证书的格式方面，被人们普遍接受并使用的最为广泛的是ITU的X.509标准数字证书格式。ITUX.509标准也被称为ISO/IEC9594-8标准。ITUX.509数字证书格式有三个不同的版本。版本1格式，在1988年的第一版中定义版本2格式，在1993年的第二版中定义版本3格式，在1997年的第三版中定义，并在2000年改进,数字证书的基本格式,版本号序列号在CA内部唯一签名算法标识符指该证书中的签名算法签发人名字CA的名字有效时间起始和终止时间主体名字主体的公钥信息,X.509版本3数字证书格式,扩展字段：扩展类型的对象标识符值关键程度指示器扩展字段值,数字证书扩展标准,密钥信息的扩展政策信息扩展主体及发放者属性扩展认证路径约束扩展与数字证书撤消表相关的扩展,3.3数字证书中公私密钥对的管理,密钥对的生成有密钥对持有者系统生成有密钥管理中心系统生成私钥的保护将私钥存储在不可写的硬件模块或标记中，如智能卡；将私钥存储在计算机硬盘或其它数据存储媒介上的加密数据文件中；将私钥存储在数字证书服务器上，当用户通过了服务器的鉴定，并在服务器上使用了一段时间后，该服务器会将私钥传送给用户。,3.3数字证书中公私密钥对的管理（续）,密钥对的更新与加密有关的密钥对数字签名密钥对认证机构数字签名密钥对,3.4数字证书的申请与更新,数字证书的管理机构认证机构（CA）和注册机构（RA）认证机构负责证书的管理注册机构确认、批准或拒绝数字证书申请人的申请注册机构（RA）主要功能注册、注销、批准或拒绝对用户数字证书的变更要求对数字证书申请人进行合法性确认批准生成密钥对和数字证书的请求即恢复备份密钥的请求接受和批准撤销或暂定数字证书的请求向有权拥有身份标记的人当面分发标记或恢复旧标记,3.4数字证书的申请与更新（续）,在线申请和网下申请填写申请表,数字证书的申请注册,数字证书的生成,将申请人的信息加入到证书中由认证机构的私钥签名将证书副本传给用户和数字证书目录服务公布备份或存档（可选）记录原始记录,数字证书的更新,VeriSign数字凭证的申请（1/11）,1进入VeriSign的主页2填写申请单3确认申请内容，获得数字凭证,VeriSign数字凭证的申请（2/11）,VeriSign数字凭证的申请（3/11）,VeriSign数字凭证的申请（4/11）,VeriSign数字凭证的申请（5/11）,VeriSign数字凭证的申请（6/11）,VeriSign数字凭证的申请（7/11）,VeriSign数字凭证的申请（8/11）,VeriSign数字凭证的申请（9/11）,VeriSign数字凭证的申请（10/11）,VeriSign数字凭证的申请（11/11）,VeriSign数字证书在OutlookExpress使用,1在OutlookExpress设置对应的数字证书2使用数字签名发送数字签名邮件,VeriSign数字证书在OutlookExpress使用（续）,1在OutlookExpress设置对应的数字证书,VeriSign数字证书在OutlookExpress使用（续）,2使用数字签名发送数字签名邮件,3.5数字证书的分发,利用数字签名分发数字证书利用目录服务分发数字证书,3.6数字证书的撤销,数字证书的撤销决定由认证机构根据被授权人的请求来决定的。通知数字证书撤销的一般方法，就是由认证机构定期的公布数字证书的撤销表（CRL）。数字证书的撤销表,是一个被撤销的数字证书的时间戳列表。该列表由认证机构数字签名，能被数字证书用户获取。,3.6数字证书的撤销（续）,撤销数字证书的方法定期公布数字证书撤销表广播数字证书撤销表进行数字证书的在线状态检查（OCSP）发放短期数字证书其他撤销方法从数字证书数据库中删除数字证书可信的数字证书服务器或目录间隔时间更短的周期性数字证书撤销表建立数字证书撤销树,3.7数字证书实现信息安全(1/2),发送者,Internet,3.7数字证书实现信息安全(2/2),接收者,Internet,本章小结,本章介绍了电子商务安全技术中有着特别重要地位的数字签名技术。数字证书是一