数字证书服务器的配置与应用

5.2.2 公开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理， 其中公开密钥用来进行加密，而私有密钥用来进行解密，这种加密和解密的处 理方式也称为“非对称”（asymmetric）加密法。另外，还有一种称为“秘 密密钥加密法”（secret key encryption），该算法也称为“对称” （symmetric）加密法，这种方法在进行加密和解密的过程中都使用同一个密 钥。
如图3所示，当用户在申请证书时，必须输入申请者的详细资料：如姓名、地址、电子 邮箱等，这些信息将被发送到一个称为加密服务提供者（Cryptographic Service Provider，CSP）的程序，由CSP负责创建密钥、吊销密钥，以及使用密钥执行各种加、 解密操作。CPS会自动建立一对密钥：一个公开密钥和一个私有密钥。CSP会将私有密 钥存储到用户（申请者）计算机的注册表中，然后将证书申请信息和公开密钥一并发送 到CA进行管理。在进行加密、解密时，当用户需要某一用户的公开密钥时，就会向CA
5.1 数字证书的概念
数字证书也称为数字标识（Digital Certificate，或Digital ID）。它提供了一种在Internet等公共网络 中进行身份验证的方式，是用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权 威的证书认证机构（Certificate Authority，CA）发行，在网络中可以通过从CA中获得的数字证书来 识别对方的身份。通俗地讲，数字证书就是个人或单位在Internet等公共网络上的身份证。 比较专业的数字证书定义是：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息 以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般 情况下，证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信 息，证书的格式遵循相关国际标准。
重点难点
熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和
配置方法 掌握数字证书的使用方法
随着网络应用的快速发展，相应的安全问题也越来越 明显，形式各样的安全威胁越来越突出。在随之产生的各 种网络安全解决方案中，数字证书便是其中一种。与其他 安全技术和解决方案相比，数字证书服务具有高效、实用、 方便使用等特点。本讲在介绍数字证书、PKI等网络安全 设施的基本概念后，以Windows Server 2003操作系统为 主，介绍数字证书服务器的安装、配置和使用方法。
5.2.1 PKI的概念
PKI（Public Key Infrastructure，公钥基础设施）为网上信息的传输提供了 加密（Encryption）和验证（Authentication）功能，在信息发送前对其进 行加密处理，当对方接收到信息后，能够验证该信息是否确实是由发送方发 送的信息，同时还可以确定信息的完整性（Integrity），即信息在发送过程中 未被他人非法篡改。数字证书是PKI中最基本的元素，所有安全操作都主要通 过证书来实现。PKI的组成除数字证书之外，还包括签署这些证书的认证、数 字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口（API）等基 本构成部分。
图1 张三与李四之间利用公开密钥加密法传输信息
5.2.3 公开密钥验证法 数字签名”是通过一个单向函数对要传送的报文进行处理得到的，用以认证 信息来源并核实信息是否发生变化的一个字母数字串。 用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名，而对方 在收到该信息后，能够通过此数字签名来验证信息是否确实是由发送方发送 来的，同时还可以确认信息在发送过程中是否被篡改。从实现原理来看，数 字签名其实就是对加密、解密的应用。签名的过程为加密过程，查看签名的 过程为解密过程。
PKI根据公开密钥学（Public Key Cryptography）来提供前面介绍的加密和 验证功能，在此过程中需要公开密钥和私有密钥来支持，其中： • 公开密钥（Public Key）。公开密钥也称为公共密钥（简称为“公钥”）， 在安全系统中公开密钥不需要进行保密，是向网络中的所有用户公开的。对 于一个安全系统来说，公开密钥是唯一的。 • 私有密钥（Private Key）。私有密钥简称为“私钥”，是用户个人拥有的 密码，它存在于用户自己的计算机或其他介质中，只有该用户自己才能使用。 私有密钥需要安全保存和管理。 在信息的安全传输中，发送信息前可以通过公开密钥对其进行加密，接收方 在接收到信息后再利用自己的私有密钥进行解密。
通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不可否认性交易者身份 的确定性这四大网络安全要素得到保障。
5.2 PKI的概念和组成
目前，计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类。其中， 非PKI安全体系的应用最为广泛，例如用户大量使用的“用户名称+密码”的 形式就属于非PKI体系。由于非PKI体系的安全性相对较弱，所以近年来PKI 安全体系得到了越来越广泛的关注和应用
第5讲 数字证书服务器的配置与应用
★ 学习目标 ★
熟悉数字证书的概念和功能 熟悉PKI与数字证书之间的关系 熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和配置方法 掌握数字证书的使用方法 掌握数字证书的管理方法
图2 数字签名的实现过程
5.2.ห้องสมุดไป่ตู้ 证书认证机构（CA）
在整个加密解密过程中，仅拥有密钥（公开密钥和私有密钥）是不够的，还 必须申请相应的数字证书（digital certification）或数据标识（digital ID）， 这样才可能利用密钥执行信息加密和身份验证操作。在这里，密钥相当于 “汽车”，而数字证书相当于“驾驶证”，只有汽车而没有驾驶证是无法开 车上路的，同样只有驾驶证而没有汽车也无法使驾驶证发挥作用。所以，密 钥和数字证书应该是构成该系统的必备条件。为了便于数字证书的管理，出 现了一些专门的数字证书管理机构，负责发放和管理数字证书，将这一机构 称为“证书认证机构”，或“认证中心”（Certificate Authority，CA）。