PKI与网络安全

1、PKI 与与 网网 络络 安安 全全(当我们在网络上发送信息时当我们在网络上发送信息时,有被其他人截获或修改等行为攻击的可能有被其他人截获或修改等行为攻击的可能)本章主题本章主题: PKI概述概述 企业企业CA的安装与证书申请实例演示的安装与证书申请实例演示 独立根独立根CA的安装与证书申请的安装与证书申请 独立从属独立从属CA的安装的安装 证书管理证书管理1.PKI概述概述: 什么是什么是PKI(Pubic Key Cryptography)公钥基础设施公钥基础设施? 也就是我们常说的也就是我们常说的”网络信息安全网络信息安全”中的中的”加密加密”. PKI提供了一下功能：提供了一下功能：

2、1、加密（、加密（Encryption）发送信息。）发送信息。 2、收到信息后，能验证信息是否确实是由你所发送过来的，、收到信息后，能验证信息是否确实是由你所发送过来的，同时还可以确认信息的完整性，就是看传输中是否被人动过同时还可以确认信息的完整性，就是看传输中是否被人动过手脚。手脚。 PKI根据公开密钥密码学来提供上述加密与身份验证的。根据公开密钥密码学来提供上述加密与身份验证的。而且用户需要一组密钥来支持此功能：而且用户需要一组密钥来支持此功能： 1、公开密钥：用户可以将他的公开密钥发送给其他用、公开密钥：用户可以将他的公开密钥发送给其他用户。户。 2、私有密钥：是用户私有的，且存储在用户

3、的计算机、私有密钥：是用户私有的，且存储在用户的计算机内，只有自己能够访问。内，只有自己能够访问。 1.1公开密钥加密算法：公开密钥加密算法： 1.发送方利用张三的公开密发送方利用张三的公开密钥将电子邮件加密钥将电子邮件加密2.将邮件传输该张三将邮件传输该张三3.张三利用放在自己计算机张三利用放在自己计算机上的私钥来对邮件解迷。上的私钥来对邮件解迷。 上面见的上面见的”公开加密法公开加密法”有一组密钥：公开密钥和私有一组密钥：公开密钥和私有密钥。其中用公钥加密，用私钥解密。也叫有密钥。其中用公钥加密，用私钥解密。也叫“非对称非对称”加加密算法。还有一中加密与解密都用一个密钥，叫密算法。还有一中

4、加密与解密都用一个密钥，叫“对称对称”加加密算法。密算法。1.2证书认证机构证书认证机构（CA）：）： 用户除必须拥有公开密钥与私有密钥外，还必须申请证用户除必须拥有公开密钥与私有密钥外，还必须申请证书书(certification)或数字识别码（或数字识别码（Digital ID),才可以使用公才可以使用公开密钥与私有密钥来执行加密与身份验证的工作例如：开开密钥与私有密钥来执行加密与身份验证的工作例如：开车除了有车外，还要有驾照。车除了有车外，还要有驾照。 而发放这个而发放这个“驾照驾照”的机构就是的机构就是“证书认证机构证书认证机构”CA。 那用户的公钥和私钥是如何产生的呢？那用户的公钥和

5、私钥是如何产生的呢？ 当我们申请证书的时候，必须输入些个人信息，它们将当我们申请证书的时候，必须输入些个人信息，它们将被发送到一个被称为被发送到一个被称为“CSP”的程序，而的程序，而CSP早已安装在用早已安装在用户的计算机内或要访问的设备内。户的计算机内或要访问的设备内。 这时这时CSP就会自动建立一对密钥，其中将私有密钥放在就会自动建立一对密钥，其中将私有密钥放在用户计算机的注册表内，而证书和公钥发送到用户计算机的注册表内，而证书和公钥发送到CA。当检查。当检查无误时，他会利用无误时，他会利用CA自己的私有密钥将要发放的证书加以自己的私有密钥将要发放的证书加以签名，发放。用户将此证书放在自

6、己的计算机内。签名，发放。用户将此证书放在自己的计算机内。1.3CA的信任：的信任： 当用户利用当用户利用CA发放的证书来发送有签名的邮件时，接收计发放的证书来发送有签名的邮件时，接收计算机必须信任此算机必须信任此CA所发放的证书，否则将被看作有问题的所发放的证书，否则将被看作有问题的邮件。邮件。 所以所以win2000/XP/2003等操作系统默认有一些知名的认证等操作系统默认有一些知名的认证公司公司但是要收费的！但是要收费的！打开浏览器打开浏览器工具工具INTERNET选项选项内容内容证书证书受信任的根证书颁发机构受信任的根证书颁发机构 如何架设自己的如何架设自己的CA呢？呢？什么是什么是

7、CA架构？架构？ 也就是结构化后的也就是结构化后的CA，分为，分为“根根CA”（ROOT CA）从）从属属CA（subordinate CA)根根CA ：处在系统的最上层，主要是用来发放证书给其他：处在系统的最上层，主要是用来发放证书给其他CA的，的，也就是从属也就是从属CA。从属从属CA：比较适合发放保护电子邮件安全的证书、提供网站：比较适合发放保护电子邮件安全的证书、提供网站安全传输的证书、来登陆域的智能卡证书等。当让也可以向安全传输的证书、来登陆域的智能卡证书等。当让也可以向再下一层从属再下一层从属CA。那那CA的种类有那些呢？的种类有那些呢？ 1、企业根、企业根CA或企业从属或企业从属

8、CA：企业：企业CA需要需要Active Directry,因此必须要建立域的网络环境可以将安装在域控制器因此必须要建立域的网络环境可以将安装在域控制器或成员服务器上。他的对象自然也就是域中的用户和计算机。或成员服务器上。他的对象自然也就是域中的用户和计算机。 注：大多数情况他是用来发放证书给从属注：大多数情况他是用来发放证书给从属CA的的 。 2、独立根、独立根CA或独立从属或独立从属CA；他的扮演者可以是独立服务器、；他的扮演者可以是独立服务器、成员服务器或域控制器。所有用户、计算机都可以申请证书，成员服务器或域控制器。所有用户、计算机都可以申请证书，但必须自行输入申请信息与所申请的证书。

9、以为他不会向但必须自行输入申请信息与所申请的证书。以为他不会向 Active Directry询问用户信息。询问用户信息。 注：大多数情况他是用来发放证书给从属注：大多数情况他是用来发放证书给从属CA的的 。2.企业企业CA的安装与证书申请实例演示：的安装与证书申请实例演示： 过程：过程：1、安装证书服务并架设企业、安装证书服务并架设企业CA 2、域用户如何向企业、域用户如何向企业CA申请证书申请证书 3、利用证书来发送经过签名与加密的电子邮件、利用证书来发送经过签名与加密的电子邮件 4、企业从属、企业从属CA的安装的安装2.1、安装证书服务并架设企业、安装证书服务并架设企业CA 添加删除程序

10、添加删除程序WINDOWS组件组件证书服务证书服务 企业自定义算法企业自定义算法CSP当用户来申请证书时，企业当用户来申请证书时，企业CA会通过会通过Active Directory来得知来得知用户信息，并核准、发放证书用户信息，并核准、发放证书我们是根据上图的我们是根据上图的”策略设置策略设置“或叫或叫”证书证书模板模板“来发放证书的来发放证书的在客户端查在客户端查看以自动信看以自动信任任.应当有刚应当有刚才我们申请才我们申请的证书名称的证书名称.2.2域用户如何向企业域用户如何向企业CA申请证书：申请证书： 方法一：利用方法一：利用“申请证书向导申请证书向导” 方法二：利用方法二：利用“W

11、EB浏览器来申请浏览器来申请” 先为用户设置好他们的邮箱。先为用户设置好他们的邮箱。方法一：利用方法一：利用“申请证书向导申请证书向导” 在客户端的在客户端的MMC添加删除管理单元添加删除管理单元添加添加证书证书方法二：利用方法二：利用“WEB浏览器来申请浏览器来申请” 在客户端打开在客户端打开IE地址地址 http:/IP地址或名称地址或名称/certsrv 然后根据提示操作。然后根据提示操作。 “用户用户”提供了用来将文件加提供了用来将文件加密的证书、保护电子邮件安全的证密的证书、保护电子邮件安全的证书和验证客户端身份的证书。书和验证客户端身份的证书。申请后，用户端查看申请结果：申请后，用

12、户端查看申请结果： 打开打开IE工具工具Internet选项选项内容内容证书证书个人个人3.独立根独立根CA的安装与证书申请：的安装与证书申请： 独立独立CA不需要不需要Active Directory,扮演独立根扮演独立根CA角色的角色的计算机可以是独立服务器、成员服务器或域控制器。无论是计算机可以是独立服务器、成员服务器或域控制器。无论是否是域内的用户，都可以向独立根否是域内的用户，都可以向独立根CA申请证书。申请证书。3.1安装证书服务并架设独立根安装证书服务并架设独立根CA： 方法与企业根方法与企业根CA一样，只是在选择一样，只是在选择CA类型时，要选类型时，要选“独立独立根根CA”3.2用户如何向独立根用户如何向独立根CA申请：申请： 只可以使用只可以使用WEB浏览器申请，无法使用浏览器申请，无法使用“证书申请向导