数字安全和证书服务.ppt

上传人：牧羊曲112

文档编号：5058674

上传时间：2023-06-01

格式：PPT

页数：50

大小：1.14MB

《数字安全和证书服务.ppt》由会员分享，可在线阅读，更多相关《数字安全和证书服务.ppt（50页珍藏版）》请在三一办公上搜索。

1、,郑重声明：本资料来自武汉软件工程职业学院优秀教师唐能立，未经本人同意不得转载,第11讲数字安全和证书服务,本讲任务,基于PKI的数字证书的概念、格式、原理、种类。基于PKI的数字证书解决方案。利用Windows Server 2003的证书服务构建和管理CA以及使用SSL构建的Web站点。,数字安全和证书服务基本知识,9.1.1 网络信息安全的概念,按照规范的定义，安全的网络信息必须满足以下的最基本的几个特征。1机密性2完整性3可用性4不可否认性,9.1.2 常规加解密技术,1加解密体系的概念2常规加解密技术的特点3常规加解密的过程4常规加解密技术的分类5常规加解密技术使用的算法,常规加解密

2、技术,9.1.3 公钥加解密技术,公钥结构的保密通信的原理,公钥结构的保密通信的原理,9.1.3 公钥加解密技术,公钥结构的鉴别通信的原理公钥结构的鉴别+保密通信的原理,9.2 基于PKI的数字证书解决方案,PKI(PublicKeylnfrastructure，公钥结构)即完整的公钥解决方案，是利用公钥加解密技术来实现网络信息安全的技术，代表了当今世界安全技术领域的最高水平。PKI技术是包括软、硬件技术和网络技术的综合，对于Internet上的网络信息安全具有重大的意义。,9.2.1 什么是数字证书,网络上进行通信的各方向PKI中的数字证书颁发机构申请数字证书，通过PKI系统建立的一套严密

3、的身份认证系统来保证：信息除发送方和接收方外不被其他人窃取。信息在传输过程中不被篡改。发送方能够通过数字证书来确认接收方的身份。发送方对于自己的信息不能抵赖。,9.2.2 数字证书的格式,主要包括以下要素。【版本】：采用的X509格式的版本号，包括Version 1、Version 2和Version 3(好比是身份证的格式标记)。【序列号】：由证书颁发机构颁发的该证书的惟一整数值(好比是身份证号码)。【签名算法】：用来对数字证书进行签名的算法和相关参数(好比是身份证的制作方法)。【颁发者】：创建和对该证书进行签名的CA(证书颁发机构)的名字(好比是身份证的颁发公安机关)。【使用者】：证书的用

4、户名，证书证实了持有相应私钥和公钥的用户名(好比是身份证的人名)。【使用者惟一标识符】：证书的用户名对应的惟一标识符。【有效起始日期】：证书开始生效的日期(好比是身份证的生效日期)。【有效终止日期】：证实实效的日期(好比是身份证的实效日期)。【公钥】：用户的公钥算法标识符及位数。【密钥用法】：数字证书的用法。【使用者密钥标识符】：用户的公钥。,9.2.3 数字证书的原理,9.2.4 数字证书的种类,纵观这些CA，基本上都提供以下一些种类的数字证书：【Web服务器证书】：用于在Web服务器和浏览器之间建立安全的连接通道，直接存储在Web服务器的硬盘上。【服务器身份证书】：用于对网络中的一些服务

5、器进行身份标识，提供服务器的信息、公钥和签名，确保与其他服务器或用户通信的安全。【个人证书】：提供证书持有者的个人身份、公钥及签名，用于在网络中标识证书持有者的个人身份，浏览器证书就是一种个人证书。【安全电子邮件证书】：提供证书持有者的个人身份、公钥及签名，用于电子邮件的安全传递和认证。【企业证书】：提供企业身份信息、公钥和签名，在网络中标识证书持有企业的身份。,9.2.5 数字证书体系的结构,下面介绍PKI的结构。1 CA 即数字证书的申请及签发机关，CA必须具备权威性的特征。2数字证书库用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。3密钥备份及恢复系统如果用

6、户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据的丢失。为避免这种情况，PKI必须提供备份与恢复密钥的机制。但密钥的备份与恢复必须由可信的机构来完成，并且密钥备份与恢复只能针对解密密钥，不能够针对用于签名的私钥。4证书作废系统证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样，证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供作废证书的一系列机制。5应用接口(API)PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一

7、致、可信的方式与PKI交互，确保安全网络环境的完整性和可用性。,9.3.1 如何设计CA的结构,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.2 证书服务的安装,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.3 CA的配置,9.3.4 CA的启动与关闭,9.3.5 CA的备份,9.3.6 CA的还原,9.3.6 CA的还原,9.3.7 向CA申请数字证书,9.3.8 颁发数字证书,9.4.1 生成Web服务器数字证书申请

8、文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.1 生成Web服务器数字证书申请文件,9.4.2 申请Web服务器数字证书,9.4.2 申请Web服务器数字证书,9.4.4 服务器数字证书,9.4.5 安装Web服务器数字证书,9.4.5 安装Web服务器数字证书,9.4.6 在Web服务器上设置SSL,浏览器的SSL配置,1申请浏览器数字证书,浏览器的SSL配置,2颁发浏览器数字证书,浏览器的SSL配置,3获取及安装浏览器数字证书,浏览器数字证书的管理,9.4.10 访问SSL站点,小结,

9、（1）常规加密技术体系中，发送者和接受者使用相同的密钥来加密和解密信息，信息的安全取决于密钥的安全。常规加密技术能够满足机密性、完整性和可用性的需求。(2)公钥技术加密中，每个用户使用两个不同的密钥，称为公钥和私钥。密钥之间很难相互推导，一个密钥加密，另外一个解密。(3)基于PKI（公钥结构）的数字证书解决方案是目前Internet上技术最成熟的网络信息安全技术。数字证书是由权威机构颁发的网络上进行通讯的各方的数字身份证，其中包含了CA的信息、用户的公钥信息等。(4)利用WindowsServer2003的证书服务可以构建两种类型的CA，企业CA主要面向Intranet应用，独立CA可以面向Internet应用。(5)WindowsServer2003的证书服务内置了WEB访问的站点，采用ASP脚本语言技术，在IIS的支持下，向用户提供通过WEB浏览器申请，下载数字证书的方法。(6)SSL协议用于对数据进行加密和鉴别，服务器向CA机构申请证书以建立公钥和私钥，然后和客户端协商出一个为建立SSL连接需要的会话密钥。(7)为Web服务器申请并安装数字证书后就可以建立SSL站点，浏览器申请数字证书并启用SSL选项，双方就可以建立安全的Web通信。,