PKI与证书服务应用

Windows网络操作系统2019年10月17日星期四第1页企业组建了企业网，架设了企业证书服务网站。利用数字证书来标志通信各方身份信息，表明各方持证人的身份或具有某种资格，以此确保网上传递信息的安全性。项目背景第9章PKI与证书服务应用Windows网络操作系统2019年10月17日星期四第2页本章目标理解PKI的相关理论理解证书的发放过程掌握证书服务的安装掌握企业CA（证书颁发机构）的管理掌握在Web服务器上设置SSLWindows网络操作系统2019年10月17日星期四第3页本章结构PKI与证书服务应用公钥基础结构CA在Web服务器上设置SSL什么是PKI公钥加密技术生成证书申请提交证书申请颁发证书什么是证书CA的作用证书的发放过程在Web服务器上安装证书安装证书服务启用安全通道使用HTTPS协议访问网站证书的导出和导入Windows网络操作系统2019年10月17日星期四第4页什么是PKIPublicKeyInfrastructure，公钥基础架构PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成数字证书用于用户的身份验证CA是一个可信任的实体，负责发布、更新和吊销证书RA接受用户的请求等功能PKI体系能够实现的功能有身份认证数据完整性数据机密性操作的不可否认性Windows网络操作系统2019年10月17日星期四第5页PKI组件证书颁发机构数字证书证书吊销列表&联机响应证书模版公钥-启用应用程序和服务证书和CA管理工具AIA和CRL分发点Windows网络操作系统2019年10月17日星期四第6页公钥加密技术公钥（PublicKey）和私钥（PrivateKey）密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密不能根据一个密钥来推算得出另一个密钥公钥对外公开；私钥只有私钥的持有人才知道私钥应该由密钥的持有人妥善保管Windows网络操作系统2019年10月17日星期四第7页数据加密发送方使用接收方的公钥加密数据当接收方使用自己的私钥解密这些数据数据加密能保证所发送数据的机密性Windows网络操作系统2019年10月17日星期四第8页数字签名发送方使用自己的私钥加密接收方使用发送方的公钥解密身份验证、数据的完整性、操作的不可否认性Windows网络操作系统2019年10月17日星期四第9页什么是证书PKI系统中的数字证书简称证书它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起证书的主体可以是用户、计算机、服务等证书可以用于很多方面Web用户身份验证Web服务器身份验证安全电子邮件Internet协议安全（IPSec）Windows网络操作系统2019年10月17日星期四第10页什么是证书数字证书是由权威公正的第三方机构即CA签发的证书包含以下信息使用者的公钥值使用者标识信息（如名称和电子邮件地址）有效期（证书的有效时间）颁发者标识信息颁发者的数字签名公钥加密密钥信息对象CA信息数字证书Windows网络操作系统2019年10月17日星期四第11页证书生命周期概述用户、计算机或服务从CA请求证书。1CA生成证书。2CA分发证明书，以用户、计算机或服务。3与启用PKI的应用程序一起使用证书.4在其生存期内使用该证书。5证书是过期、续期，或撤销6Windows网络操作系统2019年10月17日星期四第12页证书注册方法MethodUse自动执行请求、检索和存储这些基于域的计算机的证书自动执行请求、检索和存储这些基于域的计算机的证书从网站位于CA请求证书发出证书自动注册不可用时提供代表的另一个用户的请求证书权CA管理员WebEnrollmentManualEnrollmentAutoenrollmentEnrollmentAgentsWindows网络操作系统2019年10月17日星期四第13页以使用Web注册取得证书Connectto网络操作系统2019年10月17日星期四第14页使用手动注册取得证书CertificatesMMCWebServerNDESNDESManualEnrollmentWindows网络操作系统2019年10月17日星期四第15页CA类型是CA最受信任的类型在PKI基础结构中。是自签名的证书。其他问题证书从属CA。拥有物理安全及证书发行策略通常比从属CA更严格的RootCA•由另一个CA颁发•解决特定的用法政策、组织或地理边界、负载平衡，和容错能力•向窗体分层的PKI基础结构其他核证机关发出证书SubordinateCAWindows网络操作系统2019年10月17日星期四第16页独立与企业CA独立CAs企业CAs如有的话，必须使用独立的CACA（根或中级/政策）处于脱机状态。这是因为独立的CA未加入一个ADDS域。需要使用ActiveDirectory®需要ADDS可以使用组策略传播证书受信任的根CA证书存储用户提供标识信息并指定的证书类型将用户证书和CRL发布到ADDS不需要证书模板颁发证书基于证书模板所有证书请求保留挂起至管理员批准支持自动注册签发证明书Windows网络操作系统2019年10月17日星期四第17页CA的作用CA的核心功能就是颁发和管理数字证书具体描述如下处理证书申请鉴定申请者是否有资格接收证书证书的发放证书的更新接收最终用户数字证书的查询、撤销产生和发布证书吊销列表（CRL）数字证书的归档密钥归档历史数据归档Windows网络操作系统2019年10月17日星期四第18页CA层次结构中的使用场合RootSubordinateRASEFSS/MIMEIndiaCanadaUSARootSubordinateRootSubordinateRootSubordinateManufacturingEngineeringAccountingEmployeeContractorPartner证书使用位置部门组织单位Windows网络操作系统2019年10月17日星期四第19页什么是经过认证层次结构？RootCARootCAOrganization1Organization2SubordinateCASubordinateCARootCARootCAOrganization1Organization2SubordinateCASubordinateCA在根目录CA级别的认证经认证从属CA到根CAWindows网络操作系统2019年10月17日星期四第20页证书的发放过程Windows网络操作系统2019年10月17日星期四第21页证书的发放过程1）证书申请用户根据个人信息填好申请证书的信息并提交证书申请信息2）RA确认用户在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性3）证书策略处理如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等4）RA提交用户申请信息到CARA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的Windows网络操作系统2019年10月17日星期四第22页证书的发放过程5）CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中6）CA将电子证书传送给批准该用户的RA7）RA将电子证书传送给用户（或者用户主动取回）8）用户验证CA颁发的证书确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发Windows网络操作系统2019年10月17日星期四第23页什么是CRL？增量CRL使用WindowsXP(R)的客户端计算机或WindowsServer2003基础CRL所有撤销的证书大发布间隔最后基础CRL证书较短的发布间隔+-大尺寸小尺寸客户端计算机使用任何版本的Windows(R)Windows网络操作系统2019年10月17日星期四第24页CRL是如何发布的Cert3BaseCRL#1RevokeCert5DeltaCRL#2Cert5RevokeCert7Cert5Cert7DeltaCRL#3Cert3Cert5Cert7TimeBaseCRL#2Windows网络操作系统2019年10月17日星期四第25页1.在Windows组件中安装证书服务2.安装证书服务后，计算机名和域成员身份都不能更改3.证书可以通过Web注册安装证书服务Windows网络操作系统2019年10月17日星期四第26页1.创建企业根CA2.选择加密程序和对密钥对的设置3.输入CA的识别信息4.证书数据库设置5.停止IIS服务6.完成安装创建企业根CAWindows网络操作系统2019年10月17日星期四第27页证书颁发机构在【开始】|【管理工具】中单击【证书颁发机构】Windows网络操作系统2019年10月17日星期四第28页Web注册支持证书服务的虚拟目录访问证书服务的虚拟目录Windows网络操作系统2019年10月17日星期四第29页在Web服务器上设置SSL生成证书申请提交证书申请颁发证书在Web服务器上安装证书启用安全通道（SSL）使用HTTPS协议访问网站Windows网络操作系统2019年10月17日星期四第30页生成证书申请申请过程的生成的文本文件,此文件将提交给CA申请过程的生成的文本文件名互联网上使用有效的DNS名,如果在局域网可使用计算机名如果CA类型为独立根或者独立从属,则必须选择此项Windows网络操作系统2019年10月17日星期四第31页提交证书申请Windows网络操作系统2019年10月17日星期四第32页颁发证书Windows网络操作系统2019年10月17日星期四第33页在Web服务器上安装证书查看证书安全套接层端口从CA下载的文件Windows网络操作系统2019年10月17日星期四第34页启用安全通道（SSL）Windows网络操作系统2019年10月17日星期四第35页使用HTTPS协议访问网站使用HTTP访问网站的效果Windows网络操作系统2019年10月17日星期四第36页证书的导出导入证书时使用使用控制台导出证书Windows网络操作系统2019年10月17日星期四第37页证书的导入使用控制台导入证书Windows网络操作系统2019年10月17日星期四第38页阶段练习背景tsinghuait公司有一个Web站点，域名为启用的身份验证方式是基本身份验证方式保证用户密码和访问的数据在传输时的安全性（信息不能被协议分析工具破解出来）目标掌握证书服务的安装理解证书的发放过程掌握在Web服务器上配置SSL使用HTTPS协议访问网站以验证结果Windows网络操作系统2019年10月17日星期四第39页阶段练习步骤1）安装证书服务2）生成证书申请3）提交证书申请4）颁发证书5）下载证书6）在Web服务器上安装证书7）在Web服务器上启用安全通道（SSL）8）使用HTTPS协议访问网站Windows网络操作系统2019年10月17日星期四第40页本章总结PKI与证书服务应用公钥基础结构CA在Web服务器上设置SSL什么是PKI公钥加密技术生成证书申请提交证书申请颁发证书什么是证书CA的作用证书的发放过程在Web服务器上安装证