证书服务

Page1/31PKI与证书服务应用第12章Page2/31本章目标理解PKI的相关理论理解证书的发放过程掌握证书服务的安装掌握企业CA（证书颁发机构）的管理掌握在Web服务器上设置SSLPage3/31本章结构PKI与证书服务应用公钥基础结构CA在Web服务器上设置SSL什么是PKI公钥加密技术生成证书申请提交证书申请颁发证书什么是证书CA的作用证书的发放过程在Web服务器上安装证书安装证书服务启用安全通道使用HTTPS协议访问网站证书的导出和导入Page4/31什么是PKIPublicKeyInfrastructure，公钥基础结构PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成数字证书用于用户的身份验证CA是一个可信任的实体，负责发布、更新和吊销证书RA接受用户的请求等功能PKI体系能够实现的功能有身份认证数据完整性数据机密性操作的不可否认性Page5/31公钥加密技术公钥（PublicKey）和私钥（PrivateKey）密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密不能根据一个密钥来推算得出另一个密钥公钥对外公开；私钥只有私钥的持有人才知道私钥应该由密钥的持有人妥善保管Page6/31数据加密发送方使用接收方的公钥加密数据当接收方使用自己的私钥解密这些数据数据加密能保证所发送数据的机密性Page7/31数字签名发送方使用自己的私钥加密接收方使用发送方的公钥解密身份验证、数据的完整性、操作的不可否认性Page8/31什么是证书2-1PKI系统中的数字证书简称证书它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起证书的主体可以是用户、计算机、服务等证书可以用于很多方面Web用户身份验证Web服务器身份验证安全电子邮件Internet协议安全（IPSec）Page9/31什么是证书2-2数字证书是由权威公正的第三方机构即CA签发的证书包含以下信息使用者的公钥值使用者标识信息（如名称和电子邮件地址）有效期（证书的有效时间）颁发者标识信息颁发者的数字签名Page10/31CA的作用CA的核心功能就是颁发和管理数字证书具体描述如下•处理证书申请•鉴定申请者是否有资格接收证书•证书的发放•证书的更新•接收最终用户数字证书的查询、撤销•产生和发布证书吊销列表（CRL）•数字证书的归档•密钥归档•历史数据归档Page11/31证书的发放过程3-1Page12/31证书的发放过程3-21）证书申请用户根据个人信息填好申请证书的信息并提交证书申请信息2）RA确认用户在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性3）证书策略处理如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等4）RA提交用户申请信息到CARA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的Page13/31证书的发放过程3-35）CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中6）CA将电子证书传送给批准该用户的RA7）RA将电子证书传送给用户（或者用户主动取回）8）用户验证CA颁发的证书确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发Page14/311.在Windows组件中安装证书服务2.安装证书服务后，计算机名和域成员身份都不能更改3.证书可以通过Web注册安装证书服务Page15/31Page16/311.创建企业根CA2.选择加密程序和对密钥对的设置3.输入CA的识别信息4.证书数据库设置5.停止IIS服务6.完成安装创建企业根CAPage17/31Page18/31证书颁发机构在【开始】|【管理工具】中单击【证书颁发机构】Page19/31Web注册支持证书服务的虚拟目录访问证书服务的虚拟目录Page20/31阶段总结PKI的组成公钥加密技术/数字证书/证书颁发机构（CA）/注册机构（RA）数据加密数字签名什么是证书CA的作用证书的发放过程Page21/31在Web服务器上设置SSL生成证书申请提交证书申请颁发证书在Web服务器上安装证书启用安全通道（SSL）使用HTTPS协议访问网站Page22/31生成证书申请申请过程的生成的文本文件,此文件将提交给CAPage23/31提交证书申请Page24/31颁发证书Page25/31在Web服务器上安装证书查看证书安全套接层端口从CA下载的文件Page26/31启用安全通道（SSL）Page27/31使用HTTPS协议访问网站使用HTTP访问网站的效果Page28/31证书的导出导入证书时使用使用控制台导出证书Page29/31证书的导入使用控制台导入证书Page30/31阶段练习2-1背景南博公司有一个Web站点，域名为启用的身份验证方式是基本身份验证方式保证用户密码和访问的数据在传输时的安全性（信息不能被协议分析工具破解出来）目标掌握证书服务的安装理解证书的发放过程掌握在Web服务器上配置SSL使用HTTPS协议访问网站以验证结果Page31/31Page32/31Page33/31阶段练习2-2步骤1）安装证书服务2）生成证书申请3）提交证书申请4）颁发证书5）下载证书6）在Web服务器上安装证书7）在Web服务器上启用安全通道（SSL）8）使用HTTPS协议访问网站Page34/311）安装证书服务Page35/311）安装证书服务Page36/311）安装证书服务Page37/311）安装证书服务Page38/311）安装证书服务Page39/311）安装证书服务Page40/311）安装证书服务Page41/312）生成证书申请Page42/312）生成证书申请Page43/312）生成证书申请Page44/312）生成证书申请Page45/312）生成证书申请Page46/312）生成证书申请Page47/312）生成证书申请Page48/312）生成证书申请Page49/312）生成证书申请Page50/312）生成证书申请Page51/312）生成证书申请Page52/313）提交证书申请Page53/313）提交证书申请Page54/313）提交证书申请Page55/313）提交证书申请Page56/313）提交证书申请Page57/313）提交证书申请Page58/313）提交证书申请Page59/314）颁发证书Page60/314）颁发证书Page61/314）颁发证书Page62/314）颁发证书Page63/315）下载证书Page64/315）下载证书Page65/315）下载证书Page66/316）在Web服务器上安装证书Page67/316）在Web服务器上安装证书Page68/316）在Web服务器上安装证书Page69/316）在Web服务器上安装证书Page70/316）在Web服务器上安装证书Page71/316）在Web服务器上安装证书Page72/316）在Web服务器上安装证书Page73/317）在Web服务器上启用安全通道（SSL）Page74/317）在Web服务器上启用安全通道（SSLPage75/318）使用HTTPS协议访问网站Page76/318）使用HTTPS协议访问网站Page77/318）使用HTTPS协议访问网站Page78/31本章总结PKI与证书服务应用公钥基础结构CA在Web服务器上设置SSL什么是PKI公钥加密技术生成证书申请提交证书申请颁发证书什么是证书CA的作用证书的发放过程在Web服务器上安装证书安装证书服务启用安全通道使用HTTPS协议访问网站数据加密数字签名CA类型证书的导出和导入Page79/31实验任务在Web服务器上设置SSL背景阶段练习1完成标准掌握证书服务的安装理解证书的发放过程掌握在Web服务器上配置SSL使用HTTPS协议访问网站以验证结果