第5讲 数字证书服务器的配置与应用
电子工业出版社-数字证书应用技术指南
数字证书应用技术指南中国商用密码认证体系结构研究?课题组名目图表名目1.前言以公钥密码技术为根底的数字证书认证体系已成为业界广泛认同的一种构建网络信任体系的重要方式。
如何在国家相关指导下,正确有效地应用数字证书技术成为数字证书应用推广的一个急需解决的咨询题。
本指南通过对数字证书全然功能和应用案例的介绍,由浅进深地讲解了电子事务中的应用平安需求、数字证书可覆盖的应用点、适合各种应用场景的解决方案,从而指导应用开发厂商、应用单位正确部署、合理应用数字证书认证系统所签发的数字证书,充分发扬数字证书在保障身份真实性、数据机密性、信息完整性、行为不可抵赖性中的作用。
本指南的目标读者是电子政务、电子商务活动中应用数字证书技术的业务治理人员、应用开发人员、网络与平安体系和建设人员、系统运营维护人员。
同时也为数字证书根底设施建设厂商、数字证书应用中间件开发商在进行产品设计、实施、应用时提供参考。
2.概述2.1. 目的本指南为电子商务、电子政务以及其它电子事务中应用数字证书技术提供指导、建议和实例。
本指南提供的是对数字证书普遍需求的指导,读者在具体应用时,能够依据自身的特不需求制定符合自身需求的数字证书应用方案。
2.2. 范围本指南对电子商务、电子政务等电子事务中的平安需求进行简要分析,列举数字证书的全然功能和应用点,从身份认证、平安传输、数据保卫等方面介绍了数字证书技术的应用解决方案。
2.3. 文档结构本指南从逻辑上有方案地引导读者逐步了解适用于电子政务、电子商务等电子事务中的数字证书技术,理解各种电子事务中对数字证书的需求,并举例讲明数字证书技术的正确使用。
本文以下局部将依次逐步介绍:第三章电子事务中的平安需求简要描述各类业务的平安需求。
第四章数字证书全然功能讲明数字证书技术能提供的全然平安功能。
第五章数字证书应用讲明通过运用数字证书能完成的常用平安效劳。
第六章数字证书解决方案讲明数字证书技术常用的解决方案,描述数字证书各类应用中的具体实践。
证书服务器的相关管理和部署
日志存储
将服务器日志存储在安全可靠的地方 ,以便后续分析。
日志备份
定期备份服务器日志,防止数据丢失 。
06
证书服务器发展趋势和展望
云计算和容器化对证书服务器的影响
云计算
云计算为证书服务器提供了弹性 的基础设施,使得证书服务器能 够根据需求动态扩展或缩减资源 ,提高了资源利用率和灵活性。
容器化
容器化技术如Docker和 Kubernetes使得证书服务器更加 易于部署和管理,可以实现快速 部署、自动恢复和高可用性。
性能监控和调优
性能监控
通过监控工具实时监控证书服务器的性能指标,如CPU使用率、 内存占用率、网络带宽等。
性能分析
对监控数据进行分析,找出性能瓶颈和潜在问题,为调优提供依据 。
性能调优
根据分析结果,对证书服务器进行调优,包括调整配置参数、升级 硬件或软件等措施,以提高性能和响应速度。
05
证书服务器故障排除和安全防 护
自动续费
提供自动续费功能,在证书到期前自动进行扣费并更新证书,减少 人工干预。
证书撤销和吊销
撤销证书
在特定情况下,如发现证 书被滥用或存在安全隐患 ,管理员有权撤销已颁发 的证书。
吊销证书
对于违反证书使用规则或 存在违规行为的证书,管 理员可以对其进行吊销操 作,禁止其继续使用。
通知相关方
在撤销或吊销证书后,系 统应通过邮件、短信等方 式及时通知相关方,说明 证书状态及后续操作。
高可用性和容灾设计
1 2 3
高可用性
通过部署主备服务器或使用集群技术,确保当主 服务器出现故障时,备用服务器能够快速接管, 保障服务连续性。
容灾设计
在地理上分散部署服务器,并建立数据备份和恢 复机制,以应对自然灾害等不可抗力因素导致的 数据丢失和业务中断。
数字证书作用和应用
数字证书作用和应用随着互联网的发展,电子商务、在线金融和数字化传输等领域的兴起,数据的安全性和可靠性成为了重要的关注点。
数字证书作为一种基于公钥加密技术的数字身份证明,扮演着保护信息安全和确保通信可信的重要角色。
本文将介绍数字证书的作用和应用,以及它对信息安全的重要性。
1. 数字证书的概念和组成数字证书是由一家受信任的第三方机构——证书颁发机构(CA)签发的一种电子文件,用于验证公钥的真实性和所有者的身份。
它主要由以下几个组成部分构成:- 证书持有者的公钥- 颁发机构的签名- 证书的有效期限- 证书持有者的身份信息2. 数字证书的作用数字证书在网络通信和电子交易中起到了重要的作用,主要体现在以下几个方面:- 身份验证:通过验证证书持有者的身份信息,可以确保通信双方的真实性和可信度。
这对于防止欺诈行为和防范网络攻击非常重要。
- 数据完整性:数字证书可以用于确保数据的完整性,即在数据传输过程中不被篡改或修改。
这有助于保护敏感信息的安全和有效性。
- 数字签名:通过用私钥对数据进行签名,数字证书可以验证数据的来源和真实性。
这为电子合同、在线交易和数字化文档提供了法律认可和保障。
- 加密通信:数字证书可以用于生成和验证加密密钥,确保通信内容在传输过程中得到保护。
这对于保护隐私和敏感信息的安全至关重要。
3. 数字证书的应用领域数字证书在各个领域都有广泛的应用,下面列举了几个典型的应用场景:- 网络安全:数字证书被广泛应用于网络安全领域,包括SSL/TLS协议用于保护网站和网络通信的安全性。
如在浏览器中显示的锁形标志就表示当前网站使用了有效的数字证书。
- 电子商务:数字证书在电子商务中起着关键作用,确保在线支付和交易的安全性和可信度。
用户可以通过验证商家的数字证书来判断是否安全地进行交易。
- 数字版权保护:数字证书可用于保护数字媒体的版权,防止非法复制和盗版行为。
通过使用数字证书,版权所有者可以对数字内容进行加密和授权管理,保护其合法权益。
解题通国开电大《网络应用服务管理》实训5:配置数字证书服务
本实验所用设备:硬件:电脑1台;软件:VMware® Workstation 12 Pro,Windows Server 2003操作系统、Windows7操作系统实验报告:(包括:目的、内容、结果或实验小结等。
)实验目的1.通过实验深入理解PKI、CA和数字证书的原理和应用。
2.掌握向CA申请证书的过程:3.为客户机浏览器IE申请证书。
4.掌握证书的管理功能:挂起、颁发、吊销、失效实验内容及步骤:实验内容:1、在Windows Server 2003 上安装/删除独立根证书。
2、Web服务器和客户端向CA申请证书。
3、CA颁发证书。
实验步骤:(一)在计算机上安装证书服务,创建一个独立存在的根CA。
这一根CA将位于认证链的顶部。
1、以管理员身份登录计算机/服务器。
2、需要先安装IIS(证书服务安装过程中会在IIS的默认网站中写入虚拟目录,如果没有IIS 的话,无法通过web浏览器的方式申请证书)3、在“控制面板”上双击“添加/删除程序”图标,出现“添加删除程序”对话框。
在这个对话框中单击“添加/删除windows组件”,启动windows组件安装向导。
图 1 windows组件安装向导4、打开[windows组件向导]。
在组件下,找到并单击[证书服务]。
单击下一步。
图 2 证书服务5、在“Microsoft证书服务”对话框中,提示安装证书服务后,不能再重新命名计算机和加入域或从域中删除。
图 3 Microsoft证书服务6、点下一步选“独立根CA”图 4 创建独立根CA7、输入一个公用名称。
图 5 CA公用名称及有效期限图 6 证书数据库设置8、最后“下一步”完成。
图 7 配置组件9、在命令窗口内输入certsrv.msc,确定后直接打开CA图 8 证书颁发机构10、在浏览器中,Internet属性-证书中-查看、验证已配置的证书。
图 9 Internet属性中的证书设置(二)用户请求一个计算机证书1、在服务器上打开IE浏览器,并在地址栏“http://127.0.0.1/certsrv”,或指定CA服务器IP地址为:192.168.0.53,使用客户机(win7)访问该CA服务器,打开IE浏览器,并在地址栏“http:// 192.168.0.53/certsrv”图 10 IE浏览器中打开CA2、选“下载证书,证书链或CRL”,可以看到刚刚安装的根证书。
《网络应用服务管理组织》形考任务-实训5-配置数字证书服务
实训5:配置数字证书服务实训环境•1.一台Windows Server 2016 DC,主机名为DC。
•2.一台Windows Server 2016服务器并加入域,主机名为Server1。
•3.一台Windows 10客户端并加入域,主机名为Win10。
实训操作假设你是一家公司的网站管理员,需要你完成以下工作:•1.在DC上部署企业根CA。
打开“服务器管理器”,单击“添加角色和功能”,打开“添加角色和功能向导”窗口。
逐步单击“下一步”,在“服务器角色”界面中,勾选“Active Directory证书服务”复选框,然后单击“下一步”。
在“AD CS角色服务”界面中,勾选“证书颁发机构”和“证书颁发机构Web注册”复选框,然后单击“下一步”。
其中“证书颁发机构Web注册”角色,可以实现通过浏览器向CA进行证书申请的网站功能。
4.最后在“确认”界面中,单击“安装”,开始安装证书服务。
完成安装后,单击“配置目标服务器上的Active Directory证书服务”。
在“AD CS配置”向导中的“角色服务”界面,勾选“证书颁发机构”和“证书颁发机构Web注册”。
在“AD CS配置”向导中的“设置类型”界面,选择“企业CA”。
在“AD CS配置”向导中的“CA类型”界面,选择“根CA”。
全部保持默认设置并单击“下一步”,最后单击“配置”按钮,完成证书服务的配置“证书服务”安装完成后,可以在“服务器管理器”的“工具”菜单中,打开“证书颁发机构”管理工具进行查看。
当域内的用户向企业根CA申请证书时,企业根CA会通过Active Directory得知用户的相关信息,并自动核准、发放用户所要求的证书。
企业根CA默认的证书种类很多,而且是根据“证书模板”来发放证书的。
例如,图中右方的“用户”模板内提供了可以用于将文件加密的证书、保护电子邮件安全的证书与验证客户端身份的证书。
Windows server 2016通过组策略,让域内的所有用户与计算机自动信任由企业根CA所发送的证书。
WindowsCA_证书服务器配置
WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA(Certificate Authority)是一种权威的证书颁发机构,负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。
数字证书是一种用于验证实体身份的电子文档,可用于确保通信的安全性和完整性。
本文将详细介绍Windows CA证书服务器的配置方法,帮助您完成证书颁发的整个流程。
二、配置步骤1、安装证书服务在Windows服务器上安装证书服务,可以打开“服务器管理器”,然后从“角色”页面选择“添加角色”。
在“角色”对话框中,选择“证书”,然后按照向导完成安装。
2、创建根CA在安装完证书服务后,需要创建一个根CA。
在“服务器管理器”中,打开“证书”并选择“根CA”。
在“根CA”对话框中,输入CA的名称和其他相关信息,然后按照向导完成创建。
3、配置颁发机构策略在创建完根CA后,需要配置颁发机构策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“策略”选项卡,然后根据需要进行配置。
例如,可以设置证书的有效期、设置证书的主题和其他相关信息等。
4、配置申请策略在配置完颁发机构策略后,需要配置申请策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请”选项卡,然后根据需要进行配置。
例如,可以设置申请者的身份验证方法和证书模板等。
5、接受申请当有用户或设备需要申请数字证书时,需要在证书服务器上接受申请。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请队列”选项卡,然后双击需要处理的申请。
在“处理申请”对话框中,选择处理方式(例如自动批准或手动批准),然后按照向导完成处理。
6、颁发证书在处理完申请后,需要颁发数字证书。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“已颁发的证书”选项卡,然后双击需要颁发的证书。
数字证书介质接口及使用规范草稿
数字证书介质接口及使用规范草稿1.范围本规范描述了国家公共资源交易服务平台支持的数字证书介质的各项要求,包括对安全机制、软件要求、硬件指标等要求,用于指导电子认证服务机构在国家公共资源交易服务平台内进行数字证书介质的定制和选型。
本标准遵循GM/T 0027-2014 《智能密码钥匙技术规范》和GM/T 0016-2012 《智能密码钥匙密码应用接口规范》。
2.安全机制2.1.密钥管理数字证书介质的密钥空间必须能够至少保存2对RSA密钥对,2对SM2密钥对和2个对称密钥(包含1个设备认证密钥和1个会话密钥的空间)。
所有密钥必须安全存储。
签名私钥必须在数字证书介质内生成,且不能以任何形式导出。
加密私钥以密文方式导入,且不能以任何形式导出,对称密钥不能以明文倒出。
2.2.数字证书介质中数字证书的安装注册、反注册要求数字证书介质驱动程序安装后,数字证书为RSA算法时,要求介质插入到电脑后,介质内的数字证书自动注册到操作系统的证书存储区,介质从电脑拔出后,介质内的数字证书自动从证书存储区删除。
数字证书为SM2算法时无此要求。
2.3.数字证书介质的扩展区要求数字证书介质内可创建用户私有文件区,对私有文件区操作时,用户应输入介质口令进行验证,扩展区的空间大小不小于64K3.软件要求3.1.数字证书介质接口要求介质接口及数据类型必须遵循国家密码管理局《智能密码钥匙密码应用接口规范》的要求,提供设备管理、访问控制、文件管理和密码服务等相关服务接口。
介质有应用、容器,应用中可有多个容器,容器中可有多个私钥和证书。
介质初始化后,无应用,无容器。
3.1.1.设备管理接口设备管理主要完成介质的插拔事件处理、枚举设备、连接设备、断开连接、获取设备状态、设置设备标签,锁定设备、解锁设备和设备命令传输等操作。
设备管理接口函数如下表所示:3.1.2.访问控制接口访问控制主要完成设备认证、PIN码管理和安全状态管理等操作。
访问控制接口函数如下表所示:3.1.3.应用管理接口应用管理主要完成应用的创建、枚举、删除、打开和关闭等操作。
证书服务器的相关管理和部署
证书服务器的重要性
保障网络安全
证书服务器通过管理数字证书, 实现了对网站身份的验证和加密 通信,有效保障了互联网通信的
安全性。
防止网络钓鱼
数字证书的颁发需要经过严格的审 核,确保了网站的真实性,避免了 网络钓鱼攻击。
Server,以实现证书的生成、颁发、吊销和管理等功能。
03
集成开发环境(IDE)
选择适合的集成开发环境,以便于开发和调试证书服务器应用程序。
证书服务器网络配置
网络隔离
防火墙设置
将证书服务器部署在安全的网络环境 中,与其他网络隔离,以保护证书的 安全性和完整性。
配置防火墙规则,限制对证书服务器 的访问,只允许必要的网络流量通过 。
预防措施
针对故障原因,采取相应的预防措施,如加强系统安全防 护、优化系统配置、定期备份重要数据等,以避免类似故 障再次发生。
THANKS
谢谢您的观看
企业内部网络
企业可以在内部网络部署 证书服务器,实现内部网 络的身份验证和数据加密 传输。
02
证书服务器部署
证书服务器硬件需求
存储容量
证书服务器需要足够的存 储空间来存储大量的证书 ,包括服务器证书、客户 端证书和其他相关文件。
处理器性能
证书服务器需要高性能的 处理器来处理大量的证书 请求和操作,确保高并发 访问和快速响应。
资源占用情况检查
检查证书服务器的CPU、内存、磁盘 等资源的使用情况,判断是否有资源 瓶颈或资源耗尽的情况。
故障恢复与处理
紧急措施
在故障诊断与定位的基础上,采取紧急措施,如重启证书 服务器、重新配置网络等,以快速恢复证书服务器的正常 运行。
服务器CA数字证书应用图解
服务器CA数字证书应用图解一、什么是数字证书及作用?数字证书确实是互联网通讯中标志〔证明〕通讯各方身份信息的一系列数据,提供了一种在Internet 上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
它是由一个由权威机构-----CA机构,又称为证书授权〔Certificate Authority〕中心发行的,人们能够在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公布密钥拥有者信息以及公布密钥的文件。
最简单的证书包含一个公布密钥、名称以及证书授权中心的数字签名。
常用的密钥包括一个公布的密钥和一个私有的密钥即一组密钥对,当信息使用公钥加密并通过网络传输到目标主机后,目标主机必需使用对应的私钥才能解密使用。
使用它要紧是为了提高IT系统在敏锐数据应用领域的安全性,为用户业务提供更高安全保证;注:数字证书,下面均简称证书;二、如何搭建证书服务器?搭建证书服务器步骤如下:1、登陆Windows Server 2020服务器;2、打开【服务器治理器】;〔图2〕3、点击【添加角色】,之后点击【下一步】;〔图3〕4、找到【Active Directory证书服务】勾选此选项,之后点击【下一步】;〔图4〕5、进入证书服务简介界面,点击【下一步】;〔图5〕6、将证书颁发机构、证书颁发机构WEB注册勾选上,然后点击【下一步】;〔图6〕7、勾选【独立】选项,点击【下一步】;〔由于不在域治理中创建,直截了当默认为:〝独立〞〕(图7)8、首次创建,勾选【根CA】,之后点击【下一步】;〔图8〕9、首次创建勾选【新建私钥】,之后点击【下一步】;〔图9〕10、默认,连续点击【下一步】;〔图10〕11、默认,连续点击【下一步】;〔图11〕12、默认,连续点击【下一步】;〔图12〕13、默认,连续点击【下一步】;〔图13〕14、点击【安装】;〔图14〕15、点击【关闭】,证书服务器安装完成;〔图15〕Windows Server 2020上使用IIS如何配置WEB服务器上证书应用〔SSL应用〕?此应用用于提高WEB站点的安全访问级别;配置后应用站点可实现安全的服务器至客户端的信道访问;此信道将拥有基于SSL证书加密的安全通道,保证双方通信数据的完整性,使客户端至服务器端的访问更加安全;注:以证书服务器创建的WEB站点为例如,搭建WEB服务器端SSL证书应用步骤如下:1、打开IIS,WEB服务器,找到【服务器证书】并选中;〔图1〕2、点击【服务器证书】,找到【创建证书申请】项;〔图2〕3、单击【创建证书申请】,打开【创建证书申请】后,填写相关文本框,填写中需要注意的是:〝通用名称〞必需填写本机IP或域名,其它项那么能够自行填写;注:下面的192.168.1.203为例如机IP地址,实际IP地址需依照每人主机IP自行填写;填写完后,单击【下一步】;〔图3〕4、默认,点击【下一步】;〔图4〕5、选择并填写需要生成文件的储存路径与文件名, 此文件后期将会被使用;〔储存位置、文件名能够自行设定〕,之后点击【完成】,此配置完成,子界面会关闭;〔图5〕6、接下来,点击IE〔扫瞄器〕,访问: ://192.168.1.203/certsrv/;注:此处的192.168.1.203为例如机IP地址,实际IP地址需依照每人主机IP自行填写;〔图6-1〕现在会显现证书服务页面;此网站假如点击【申请证书】,进入下一界面点击【高级证书申请】,进入下一界面点击【创建并向此CA提交一个申请】,进入下一界面,现在会弹出一个提示窗口:〝为了完成证书注册,必须将该CA的网站配置为使用 S身份验证〞;也确实是必须将网站配置为 S的网站,才能正常访问当前网页及功能;〔图6-2〕在进行后继内容前,相关术语名词说明:S〔全称:Hypertext Transfer Protocol over Secure Socket Layer〕,是以安全为目标的通道,简单讲是的安全版。
证书服务器配置
{售后服务}证书服务器配置WindowsCA证书服务器配置(一)——Microsoft证书服务安装安装准备:插入WindowsServer2003系统安装光盘添加IIS组件:点击‘确定’,安装完毕后,查看IIS管理器,如下:添加‘证书服务’组件:如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口:由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:Microsoft证书服务的默认CSP为:MicrosoftStrongCryptographicProvider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。
点击‘下一步’:填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。
点击‘下一步’:点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口:单击‘是’,继续安装,可能再弹出如下窗口:由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:‘完成’证书服务的安装。
开始》》》管理工具》》》证书颁发机构,打开如下窗口:我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。
此时该服务器(CA)的IIS下多出以下几项:我们可以通过在浏览器中输入以下网址进行数字证书的申请:hostname/certsrv或hostip/certsrv申请界面如下:WindowsCA证书服务器配置(二)——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页:点击‘申请一个证书’进入申请页面:如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。
实验项目5证书服务器的搭建及其管理应用
实验项目5 证书服务器的搭建及其管理应用实验1 安装证书服务器1、首先我先配置虚拟机的IP由于物理机IP为10.10.44.26,所以我设虚拟机的IP为10.10.44.126,并测试该物理机与虚拟机的相通性,测试成功,虚拟机与物理机相通。
2、安装IIS,因为我要做的是用物理机通过http访问虚拟机的网页所以应在这里注意安装时应勾上万维网服务,而且要注意安装前导入镜像文件,安装成功。
3、IIS安装好后,用虚拟机和物理机分别访问网站,访问成功。
4、安装证书服务器,并在IIS上出现有申请证书和在虚拟机上访问证书所在地及IP,安装成功。
实验2 应用证书实现SSL加密网站5、申请证书,通过在虚拟机上访问http://10.10.44.126/certsrv打开网页然后在从申请证书一步一步的申请高级证书结果申请成功,并且我颁发了证书并给予安装,从而提高了网站的安全保护,具体可从我访问了https:// 10.10.44.126中跳出窗口给予用户提醒和警告课以看出证书的颁发成功的而且安装成功,而且网站受到了安全保护。
6、设置用户需通过安全途径访问网站,设置安全途径设置成功。
7、我设置让网站也能对客户端进行身份认证,并且给客户端颁发证书,并且注意在对客户端设置证书时应在客户端上进行,然后再到证书颁发机构颁发证书,在到客户端安装证书,才可以让客户端成功的得到证书颁发机构给颁发给它的证书,所以颁发成功,接着在到客户端访问网站在客户端网页上选择证书,所以让客户端可以访问网站,这样设置使得网站的安全得到了保障,我设置成功。
参考:毕业论文(设计)工作记录及成绩评定册题目:学生姓名:学号:专业:班级:指导教师:职称:助理指导教师:职称:年月日实验中心制使用说明一、此册中各项内容为对学生毕业论文(设计)的工作和成绩评定记录,请各环节记录人用黑色或蓝色钢笔(签字笔)认真填写(建议填写前先写出相应草稿,以避免填错),并妥善保存。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.1 数字证书的概念
数字证书也称为数字标识(Digital Certificate,或Digital ID)。它提供了一种在Internet等公共网络 中进行身份验证的方式,是用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权 威的证书认证机构(Certificate Authority,CA)发行,在网络中可以通过从CA中获得的数字证书来 识别对方的身份。通俗地讲,数字证书就是个人或单位在Internet等公共网络上的身份证。 比较专业的数字证书定义是:数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息 以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般 情况下,证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信 息,证书的格式遵循相关国际标准。 通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不可否认性交易者身份 的确定性这四大网络安全要素得到保障。
图2
数字签名的实现过程
5.2.4 证书认证机构(CA) 证书认证机构( ) 在整个加密解密过程中,仅拥有密钥(公开密钥和私有密钥)是不够的, 在整个加密解密过程中,仅拥有密钥(公开密钥和私有密钥)是不够的,还 必须申请相应的数字证书( 必须申请相应的数字证书(digital certification)或数据标识(digital ID), )或数据标识( ), 这样才可能利用密钥执行信息加密和身份验证操作。在这里, 这样才可能利用密钥执行信息加密和身份验证操作。在这里,密钥相当于 “汽车”,而数字证书相当于“驾驶证”,只有汽车而没有驾驶证是无法开 汽车” 而数字证书相当于“驾驶证” 车上路的,同样只有驾驶证而没有汽车也无法使驾驶证发挥作用。所以,密 车上路的,同样只有驾驶证而没有汽车也无法使驾驶证发挥作用。所以, 钥和数字证书应该是构成该系统的必备条件。为了便于数字证书的管理, 钥和数字证书应该是构成该系统的必备条件。为了便于数字证书的管理,出 现了一些专门的数字证书管理机构,负责发放和管理数字证书, 现了一些专门的数字证书管理机构,负责发放和管理数字证书,将这一机构 称为“证书认证机构” 称为“证书认证机构”,或“认证中心”(Certificate Authority,CA)。 认证中心” , )。
PKI根据公开密钥学(Public Key Cryptography)来提供前面介绍的加密和 根据公开密钥学( 根据公开密钥学 ) 验证功能,在此过程中需要公开密钥和私有密钥来支持,其中: 验证功能,在此过程中需要公开密钥和私有密钥来支持,其中: 公开密钥(Public Key)。公开密钥也称为公共密钥(简称为“公钥”), 公开密钥( )。公开密钥也称为公共密钥 )。公开密钥也称为公共密钥(简称为“公钥” 在安全系统中公开密钥不需要进行保密,是向网络中的所有用户公开的。 在安全系统中公开密钥不需要进行保密,是向网络中的所有用户公开的。对 于一个安全系统来说,公开密钥是唯一的。 于一个安全系统来说,公开密钥是唯一的。 私有密钥(Private Key)。私有密钥简称为“私钥”,是用户个人拥有的 私有密钥( )。私有密钥简称为“私钥” )。私有密钥简称为 密码,它存在于用户自己的计算机或其他介质中,只有该用户自己才能使用。 密码,它存在于用户自己的计算机或其他介质中,只有该用户自己才能使用。 私有密钥需要安全保存和管理。 私有密钥需要安全保存和管理。 在信息的安全传输中,发送信息前可以通过公开密钥对其进行加密, 在信息的安全传输中,发送信息前可以通过公开密钥对其进行加密,接收方 在接收到信息后再利用自己的私有密钥进行解密。 在接收到信息后再利用自己的私开密钥加密法传输信息
5.2.3 公开密钥验证法 数字签名”是通过一个单向函数对要传送的报文进行处理得到的, 数字签名”是通过一个单向函数对要传送的报文进行处理得到的,用以认证 信息来源并核实信息是否发生变化的一个字母数字串。 信息来源并核实信息是否发生变化的一个字母数字串。 用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名, 用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名,而对方 在收到该信息后, 在收到该信息后,能够通过此数字签名来验证信息是否确实是由发送方发送 来的,同时还可以确认信息在发送过程中是否被篡改。从实现原理来看, 来的,同时还可以确认信息在发送过程中是否被篡改。从实现原理来看,数 字签名其实就是对加密、解密的应用。签名的过程为加密过程, 字签名其实就是对加密、解密的应用。签名的过程为加密过程,查看签名的 过程为解密过程。 过程为解密过程。
重点难点
熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和 配置方法 掌握数字证书的使用方法
随着网络应用的快速发展,相应的安全问题也越来越 明显,形式各样的安全威胁越来越突出。在随之产生的各 种网络安全解决方案中,数字证书便是其中一种。与其他 安全技术和解决方案相比,数字证书服务具有高效、实用、 方便使用等特点。本讲在介绍数字证书、PKI等网络安全 设施的基本概念后,以Windows Server 2003操作系统为 主,介绍数字证书服务器的安装、配置和使用方法。
5.2.2 公开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理, 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理, 其中公开密钥用来进行加密,而私有密钥用来进行解密, 其中公开密钥用来进行加密,而私有密钥用来进行解密,这种加密和解密的处 理方式也称为“非对称” 理方式也称为“非对称”(asymmetric)加密法。另外,还有一种称为“秘 )加密法。另外,还有一种称为“ 密密钥加密法” ),该算法也称为 密密钥加密法”(secret key encryption),该算法也称为“对称” ),该算法也称为“对称” symmetric)加密法, (symmetric)加密法,这种方法在进行加密和解密的过程中都使用同一个密 钥。
5.2 PKI的概念和组成 的概念和组成
目前,计算机网络中的安全体系分为 体系和非PKI安全体系两大类。其中, 安全体系两大类。 目前,计算机网络中的安全体系分为PKI体系和非 体系和非 安全体系两大类 其中, 安全体系的应用最为广泛, 密码” 非PKI安全体系的应用最为广泛,例如用户大量使用的“用户名称 密码”的 安全体系的应用最为广泛 例如用户大量使用的“用户名称+密码 形式就属于非PKI体系。由于非PKI体系的安全性相对较弱,所以近年来 体系。由于非 体系的安全性相对较弱, 形式就属于非 体系 体系的安全性相对较弱 所以近年来PKI 安全体系得到了越来越广泛的关注和应用
如图3所示,当用户在申请证书时,必须输入申请者的详细资料:如姓名、地址、 如图 所示,当用户在申请证书时,必须输入申请者的详细资料:如姓名、地址、电子 所示 邮箱等,这些信息将被发送到一个称为加密服务提供者( 邮箱等,这些信息将被发送到一个称为加密服务提供者(Cryptographic Service Provider,CSP)的程序,由CSP负责创建密钥、吊销密钥,以及使用密钥执行各种加、 , 负责创建密钥、 )的程序, 负责创建密钥 吊销密钥,以及使用密钥执行各种加、 解密操作。 会自动建立一对密钥: 解密操作。CPS会自动建立一对密钥:一个公开密钥和一个私有密钥。CSP会将私有密 会自动建立一对密钥 一个公开密钥和一个私有密钥。 会将私有密 钥存储到用户(申请者)计算机的注册表中, 钥存储到用户(申请者)计算机的注册表中,然后将证书申请信息和公开密钥一并发送 进行管理。 到CA进行管理。在进行加密、解密时,当用户需要某一用户的公开密钥时,就会向 进行管理 在进行加密、解密时,当用户需要某一用户的公开密钥时,就会向CA 进行查询,并将得到的数字证书保存在自己的计算机中。 进行查询,
第5讲 数字证书服务器的配置与应用
★ 学习目标 ★
熟悉数字证书的概念和功能 熟悉PKI与数字证书之间的关系 熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和配置方法 掌握数字证书的使用方法 掌握数字证书的管理方法
5.2.1 PKI的概念 的概念 PKI(Public Key Infrastructure,公钥基础设施)为网上信息的传输提供了 ( ,公钥基础设施) 加密( 加密(Encryption)和验证(Authentication)功能,在信息发送前对其进 )和验证( )功能, 行加密处理,当对方接收到信息后, 行加密处理,当对方接收到信息后,能够验证该信息是否确实是由发送方发 送的信息,同时还可以确定信息的完整性( ),即信息在发送过程中 送的信息,同时还可以确定信息的完整性(Integrity),即信息在发送过程中 ), 未被他人非法篡改。数字证书是PKI中最基本的元素,所有安全操作都主要通 中最基本的元素, 未被他人非法篡改。数字证书是 中最基本的元素 过证书来实现。 的组成除数字证书之外, 过证书来实现。PKI的组成除数字证书之外,还包括签署这些证书的认证、数 的组成除数字证书之外 还包括签署这些证书的认证、 字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口( 字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口(API)等基 ) 本构成部分。 本构成部分。
2. 从属 . 从属CA 从属CA主要用来发放用于保护电子邮件安全的证书、提供网站SSL安全传输 从属 主要用来发放用于保护电子邮件安全的证书、提供网站 安全传输 主要用来发放用于保护电子邮件安全的证书 的证书、用来登录 域的智能卡证书、 的证书、用来登录Windows Server 2003域的智能卡证书、用来提供基于 域的智能卡证书 L2TP的VPN认证的证书等。也可以发放证书给其下一层的从属 。从属 的 认证的证书等。 认证的证书等 也可以发放证书给其下一层的从属CA。从属CA 必须先向其父CA(可能是根 ,也可能是从属CA)取得证书后, 必须先向其父 (可能是根CA,也可能是从属 )取得证书后,才可以发 放证书。 放证书。 提示:对于 来说, 提示:对于Windows 2000、Windows XP、Windows Server 2003来说, 、 、 来说 如果该计算机已经信任了根CA,那么他们将会自动信任该根 下的所有从属 如果该计算机已经信任了根 ,那么他们将会自动信任该根CA下的所有从属 CA,这就是CA信任的继承性。但是,当用户将从属 的信任关系删除,或 ,这就是 信任的继承性 但是,当用户将从属CA的信任关系删除 信任的继承性。 的信任关系删除, 从属CA的证书已经过期后,就不存在以上的继承关系。 从属 的证书已经过期后,就不存在以上的继承关系。 的证书已经过期后