第10章电子证书服务

本章要点部署公钥基础机构（PKI），利用PKI提供的密钥体系来实现数字证书签发、身份认证、数据加密和数字签名等功能，可以为网络业务的开展提供安全保证。数字证书简介CA的层次结构企业CA的安装与证书申请数字证书的管理第10章电子证书服务10.1数字证书简介10.2CA的层次结构10.3企业CA的安装与证书申请10.4数字证书的管理概述随着Internet的迅猛发展，越来越多的重要数据要在网上传输，如何保证这些数据不受到恶意的攻击或窃取，成为网络管理最关键的问题之一。在Windows2003中，可以利用公共密钥提供网络安全。对于电子商务、Intranets、extranets和启用了Web功能的应用程序来说，公共密钥密码系统是一项重要的技术。Windows2003中有两种验证协议，Kerberos和公钥基础结构(PublicKeyInfrastructure，PKI)，这两者的不同之处在于：Kerberos是对称密钥，而PKI是非对称密钥。对称密钥——加密和解密的密钥相同。非对称密钥——加密和解密密钥不同。概述10.1数字证书简介数字证书是一段包含用户身份信息、用户公钥信息和身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。数字证书数字证书是各类终端实体和最终用户在网上进行信息交流和商务活动的身份证明。数字证书是一个经证书认证中心（CA）数字签名的，包含公开密钥拥有者信息和公开密钥的文件。认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509V3标准。公共密钥基础机构(PKI—PublicKeyInfrastructure)什么是PKI公钥加密－可以提供信息的安全性和机密性数字签名－可以确认信息的真实性和来源的可靠性10.1.2公共密钥基础机构（PKI）10.1.2PKI公钥基础结构（PublicKeyInfrastructure，PKI）是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构（CA）和其他注册机构（RA）。一个单位选择使用Windows来部署PKI的原因：安全性强。智能卡登陆、加密文件系统（EFS）、IPsec（Internet协议安全性）简化管理。其他机会。加密技术对称式加密非对称式加密对称式加密~*~*~*~加密密钥加密是通过数学运算将明文和密钥结合起来产生密文。对称密钥是指加密和和解密的密钥相同，这样为了共享加密数据就要双方必须事先交换加/解密钥。安全吗？非对称密钥是指加/解密钥不同。需要成对的密钥PK和SK。PK加密，SK解密。PK可以在网络上传输，而要解密就必须要SK，因此保护SK是关键。公共密钥加密技术用到了两个密钥：加密密钥和解密密钥密钥（key）：一个随机字符串与某种算法的联合使用。系统使用一对密钥来完成对数据的加密解密：公共密钥（公钥）：是自由发布的，可以公开，以供他人向自己传输信息时加密使用。私用密钥（私钥）：在系统中保存，从不发布，只有拥有对应私钥的本人才能解密，从而保证数据传输的保密性。公共密钥加密技术公共密钥加密模型A加密B的公钥B解密B的私钥密文明文加密模型公共密钥加密技术（展示动画）EncryptedMessageisSentOverNetwork23A78AliceEncryptsMessagewithBob’sPublicKey.1Data3A78BobDecryptsMessagewithBOB’sPrivateKey.3Data数字签名采用数字签名可以保证数据完整性。数字签名是一种由消息、文件或其他数字编码的创建者将标识绑定到信息中的方法。签名信息的过程需要将信息和发送方持有的一些秘密信息传输到称为签名的标签中。数字签名提供了认可和完整性服务数字签名本身就是数据，因此它可以随受保护的源数据一起传输。公共密钥身份验证（使用密钥对）与公共密钥加密技术类似，公共密钥身份验证也使用了密钥对。但它不利用发送者的私用密钥解密消息，而是利用发送者的公共密钥鉴别和确认该消息的发送者的有效性。这一私用密钥被称为数字签名。公共密钥身份验证（数字签名）说明：加密技术可以提供安全性和机密性，而数字签名可以确认信息的真实性和来源。数字签名：一种由消息、文件或者其他数字化编码信息的创建者将其身份标识和这些消息利用私钥约束在一起的方法。数字签名用于发送者的不可抵赖性，因为私钥只有自己有，所以当接收者用你的公钥解密后就可以证明是你无疑。数字签名本身就是数据，因此它们可以与受保护的原数据一起进行传输，供接收者验证。数字签名使用私钥对签名数据进行加密：只有拥有私钥的人才能进行数字签名。任何人都可以通过相应的公钥鉴别数字签名的真伪。如果对签名后的数据进行了数据的任何修改，数字签名将失效。公共密钥身份验证（认证模型）A加密A的私钥B解密A的公钥密文明文认证模型明文公共密钥身份验证（展示动画）MessageisSentOverNetwork2~*~*~*~AliceSignsMessagewithHerPrivateKey.1~*~*~*~~*~*~*~BobValidatesMessageisFromAlicewithAlice’sPublicKey.3哈希算法数字签名通过使用哈希算法来检验数据在从数据源到目地的传输过程中是否被更改了。哈希算法从原始数据中提取128K的摘要A,并用发送者的私钥加密后发送给接收者。接收者对解密获得的数据也要进行哈希算法获得另一个摘要B，接收者将A和B进行比较，若两者一致说明传输过程未被篡改。浏览器加密文件系统加密E-Mail数字标示智能卡数字签名IPSEC证书的用途证书的用途证书提供下述功能：服务器身份验证——利用证书为网络中的客户机鉴别服务器客户机身份验证——利用证书为服务器提供对客户机的认证（如：远程访问功能和智能卡身份验证）程序代码签署(数字签名)——利用与密钥对有关的证书签署活动内容加密E-mail——安全电子邮件，利用与密钥对有关的证书签署电子邮件消息（用于加密信函）。EFS（加密文件系统）——利用与密钥对有关的证书，加密和解密用于还原恢复加密数据的对称密钥。IPSec——利用与密钥对有关的证书，加密基于IP层的传输。10.2CA的层次结构10.2.1内部CA和外部CA10.2.2颁发证书的过程10.2.3证书吊销10.2.4CA的层次结构证书颁发机构电子证书是由收发双方共同信任的第三方－－认证中心颁发的。证书包含某人的身份信息、公钥和认证中心的数字签名。CA扮演了一种担保人的角色。它保证主体公钥和由CA发布的认证证书所包含的的主体信息之间确切相关。认证中心（CA）认证中心（CA）：负责提供和指派加密密钥、解密密钥、身份验证。CA通过发放证书来分布密钥。证书中包含公共密钥和一组属性，CA可将证书发给某个计算机、用户帐号或者服务。CA扮演了一种担保人的角色。内部CA和外部CA外部CA：外部商用CA，为成千上万的用户提供认证服务。内部CA：面向企业内部用户、计算机或服务器的策略模型。颁发证书的过程认证中心CA颁发证书涉及如下4个步骤:（1）CA收到证书请求信息，包括个人资料和公钥等。（2）CA对用户提供的信息进行核实。（3）CA用自己的私钥对证书进行数字签名。（4）CA将证书发给用户。证书吊销证书的吊销使得证书在自然过期之前便宣告作废。可能的原因包括：证书拥有者的私钥泄漏或被怀疑泄漏。发现证书是用欺骗手段获得的。证书拥有者的情况发生了改变。证书层次结构RootCASubordinateCASubordinateCASubordinateCATrustTrustTrustCA的层次结构WindowsServer2003PKI采用了分层CA模型。CA的层次结构证书层次结构是一种信任模式。在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。1、根CA（根本权威）---是一个机构的PKL中最可信任的CA类型。通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。2、下层CA---已经被机构中的另一个CA鉴定过的CA。CA的层次结构通常，下层CA针对特定的用途发放证书（例如安全电子邮件、基于web的身份验证，或者智能卡身份验证）。此外，下层CA也可以向其他的、更下层的CA发放证书。提示:父CA和子CA彼此没有从属关系，不需要使所有的CA共享一个公共的顶级父CA(或根CA)。10.3企业CA的安装与证书申请若要使用证书服务，必须在服务器上安装并部署企业CA，然后由用户向该企业CA申请证书，使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证。CA模式Windows2003支持两类认证中心(CA)：企业CA和独立存在的CA。每类CA中都包含根CA和下层CA。安装认证服务时可选择4种CA模式：1.企业根CA2.企业从属CA3.独立根CA4.独立从属CACA模式企业根CA是顶级根，企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为特定的的证书类型所要求的安全性权限。独立存在的根CA是顶级根，它可以是，也可不是某个域的成员并不要求有活动目录。还可以断开与网络的连接企业下层CA在机构内发放证书，但企业下层CA不是最可信的CA。你可以利用某个企业下层CA针对特定用途发放证书。它必须有一个父CA独立存在的下层CA它作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。你为公司以外的实体发放证书，你应该建立独立存在的下层CA安装证书服务ToinstallCertificateServices选择证书类型高级设置选项输入识别信息指定本地数据库，日志文件和共享文件夹架设企业根CA（1）（1）准备工作。在企业网络中创建活动目录，将要架设为企业根CA的服务器加入至活动目录，并升级为域外控制器。安装应用程序服务Web组件，并确保添加ActiveServerPage（ASP）组件，便于用户以Web方式申请CA证书。默认情况下，Windows2003安装程序不安装证书服务。重要说明：安装了正式服务后，计算机不能再被重新命名，也不能加入到某个域中，或者从某个域中删除。注：为了利用证书服务的Web组件，必须先安装IIS。架设企业根CA（2）（2）添加证书服务组件。运行“Windows组件向导”，在“组件”列表框中选中“证书服务”复选框。（3）选择CA类型。在“CA类型”对话框中选中“企业根CA”单选按钮。（4）CA识别信息。在“此CA的公用名称”文本框中设置此CA在ActiveDirectory内的公用名称，此CA默认的有效年限为5年。架设企业根CA（3）（5）证书数据库设置。选择证书数据库文件和日志文件的目录。CA发出的证书默认存储在：WINNT\system32\Certlog（6）证书服务安装完成后，在“管理工具”中会增加“证书颁发机构”服务。证书颁发机构：——用于对CA进行管理的控制台，位于安装有证书服务的服务器上。证书服务的Web注册支持——用于请求证书的Web页。访问：服务器名/certsrv申请和使用证书域用户申请企业CA证书的方式有两种：利用“证书向导”申请证书以Web方式申请证书独立CA申请证书时，只能通过Web浏览器方式。客户端证书的申请CA发放该证书，将它用做PKI内的安全凭证4Computer,User,orServiceCA~*~*~*~CA接受证书请求1确认请求者信息2利用私有密钥将它的的数字签名应用于证书3客户端证书的申请CA(CertigicationAuthority—认证中心)接受证书请求CA按照它的CA身份证明条件确认该