PKI与证书服务的应用课件

1、什么是 PKI Public Key Infrastructure，公钥基础结构PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成数字证书用于用户的身份验证 CA是一个可信任的实体，负责发布、更新和吊销证书RA接受用户的请求等功能PKI 体系能够实现的功能有 身份认证数据完整性数据机密性操作的不可否认性当用户在网络上发送信息时（例如通过 Internet），这些信息可能被未经过授权而获取、篡改或执行各种不同类型的攻击行为第1页，共29页。公钥加密技术公钥（Public Key）和私钥（Private Key） 密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相

2、加密和解密不能根据一个密钥来推算得出另一个密钥公钥对外公开；私钥只有私钥的持有人才知道私钥应该由密钥的持有人妥善保管 第2页，共29页。数据加密发送方使用接收方的公钥加密数据当接收方使用自己的私钥解密这些数据数据加密能保证所发送数据的机密性 第3页，共29页。数字签名发送方使用自己的私钥加密接收方使用发送方的公钥解密 身份验证、数据的完整性 、操作的不可否认性 第4页，共29页。示例以收发电子邮件为例说明 PKI 如何确保数据安全第5页，共29页。电子邮件的加密过程第6页，共29页。电子邮件的解密过程第7页，共29页。电子邮件的签名过程第8页，共29页。验证电子邮件签名的过程第9页，共29页。

3、电子邮件加密与签名的过程第10页，共29页。电子邮件解密与验证签名的过程第11页，共29页。什么是证书PKI 系统中的数字证书简称证书它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起证书的主体可以是用户、计算机、服务等证书可以用于很多方面Web 用户身份验证Web 服务器身份验证安全电子邮件Internet 协议安全 （IPSec）第12页，共29页。什么是证书数字证书是由权威公正的第三方机构即 CA 签发的 证书包含以下信息使用者的公钥值使用者标识信息（如名称和电子邮件地址）有效期（证书的有效时间）颁发者标识信息颁发者的数字签名第13页，共29页。 CA 的作

4、用CA 的核心功能就是颁发和管理数字证书 具体描述如下处理证书申请鉴定申请者是否有资格接收证书证书的发放证书的更新接收最终用户数字证书的查询、撤销产生和发布证书吊销列表（CRL）数字证书的归档密钥归档历史数据归档第14页，共29页。证书的发放过程1）证书申请用户根据个人信息填好申请证书的信息并提交证书申请信息2）RA确认用户在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性3）证书策略处理如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等4）RA提交用户申请信息到CARA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交

5、给CA的5）CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中6）CA将电子证书传送给批准该用户的RA7）RA将电子证书传送给用户（或者用户主动取回）8）用户验证CA颁发的证书确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发第15页，共29页。安装证书服务第16页，共29页。创建企业根 CA介绍企业 CA 与 独立 CA 的区别第17页，共29页。证书颁发机构在【开始】|【管理工具】中单击【证书颁发机构】 第18页

6、，共29页。Web 注册支持证书服务的虚拟目录访问证书服务的虚拟目录第19页，共29页。在 Web 服务器上设置 SSL为服务器申请证书安装服务器证书配置服务器使用 SSL第20页，共29页。生成证书申请通过 Web 服务器证书向导来为 Web 服务器申请证书第21页，共29页。提交证书申请向企业 CA 申请证书和向独立 CA 申请证书的步骤有所不同第22页，共29页。颁发证书如果向独立 CA 申请证书，则需要管理员手工分布发证书，并且要自行下载证书第23页，共29页。在 Web 服务器上安装证书再次通过 Web 服务器证书向导来为 Web 服务器安装证书第24页，共29页。启用安全通道（SSL）第25页，共29页。使用 HTTPS 协议访问网站第26页，共29页。证书的导出导入证书时使用使用控制台导出证书第27页，共29页。证书的导入使用控制台导入证书第28页，共29页。项目你是 Blue Sky 航空公司的域管理员，公司网络由一个单一的活动目录林构成，林中有一名为 的域。域中包含 50 台服务器和 1200 台客户端计算机。公司有一台名为 bs-web-35 的 Web 服务器，在该服务器上运行了一个 Web 站点，为客户提供了一个网上购票的平台。由于该服务器与用户之间传输较为敏感的信息，因此必须确保这些信息在 Internet 上传输的安全性。为此，你的部