当前位置:文档之家 › Windows服务配置--PKI 与证书服务应用

Windows服务配置--PKI 与证书服务应用

  • 格式:ppt
  • 大小:2.39 MB
  • 文档页数:26

下载文档原格式

  / 26

合集下载

PKI技术说明书

PKI技术说明书

PKI技术说明书
PKI,全称为公钥基础设施,是一种电子安全技术。

它提供了一种可靠的方式来识别和认证不同的网络实体,包括个人、组织和设备。

PKI使用一种加密机制来确保通信的保密性和完整性。

PKI技术的基础是公钥加密。

每个用户都会有一个配对的公钥和私钥。

公钥可以公开分享,而私钥是保密的。

通过使用公钥加密,消息可以被安全地传输,只有私钥持有者才能解密并获得消息内容。

PKI通过认证机构(CA)来实现身份验证。

CA是一个可信的实体,它颁发数字证书来证明特定实体的身份。

数字证书包含公钥、实体信息和CA的签名。

当一个实体和另一个实体通信时,它可以使用数字证书来验证另一个实体的身份,从而确保通信的安全性和可靠性。

PKI技术的优点包括:
1. 安全性:PKI技术提供了一种可靠的方式来确保通信的机密性和完整性。

通过使用数字证书来验证身份,PKI可以防止未经授权的访问和欺骗。

2. 可扩展性:PKI技术可以扩展到大型组织和系统,包括跨国
企业和政府机构。

3. 可信性:由于数字证书是由可信的第三方机构颁发的,因此PKI技术是可信的。

PKI技术的应用包括电子邮件加密、安全网站访问、虚拟私人网络(VPN)等。

随着在线交易和电子商务的快速增长,PKI技术的需求将继续增长。

介绍几种目前应用广泛的PKI-API

介绍几种目前应用广泛的PKI-API
26
PKCS#11的调用方式
我们看看PKCS#11函数功能的调用方式
就可以大致地了解PKCS#11的数据结构和用 户管理
27
调用PKCS#11——1
C_Initialize
初始化PKCS#11函数库,必须的过程
C_OpenSession
与密码设备的某个slot建立会话
注意:此处的密码设备Cryptographic Token,可以是硬件 或者软件
31
PKCS#11中的证书管理
证书是作为一种Object存在的
类似于Key,也是一种Object 称为Certificate Object
对于1个存储在PKCS#11设备中的证书,具有如下的各种属性:
是否可信Trusted(由调用者自主地设定) Subject/Issuer/Key Identifier/Serial Number 证书的完整编码
信任锚证书 证书和CRL
20
CryptoAPI中实现的功能1
Base Cryptography Functions
其中大部分是再次调用CSP来实现的
Certificate and Certificate Store Functions
对Certificate Store中的数据增加、删除、查询等 新建、删除Certificate Store等
对于Certificate Holder,主要是密钥 对于PKI Client,主要是证书和CRL
Certificate Holder
多个CPS,拥有自己的证书和相应的非对称密钥
19
CryptoAPI中的数据存储结构
对于PKI Client
有多个Certificate Store,用不同的名字区分 每次Certificate Store存储:

PKI组件及其应用(共53张)

PKI组件及其应用(共53张)
• 交叉证明为不同PKI实现相互集成提供了方便途径
子CA1
交叉证明
子CA2
第36页,共53页。
3.2.3 混合 模型 (hùnhé)
• 混合(Hybrid)模型是证书层次结构同交叉证明的结合 • 交叉证明可以在两个层次结构的任何两个CA间进行,
信任仅存在于这两个CA及其下面的子CA之间 • 混合模型很灵活,公司可以根据不同的业务需要建立不
第17页,共53页。
3.1.3.1 PKCS(续)
• PKCS#13目前尚未发布,其焦点集中于使用椭圆曲线 加密系统进行数据的加密和签发
• PKCS#14目前尚未发布,它将是一个关于伪随机数生 成的标准
• PKCS#15可使不同的智能卡供应商和不同的支持智能 卡的应用程序以一种通用格式(géshi)存储加密系统令牌
签名算法(SignatureAlgorithm)
签名值(SignatureValue)
第24页,共53页。
CA签发证书所使用的数字签名算 法
CA创建的实际数字签名
3.1.4.1 CRL(续)
• CA将CRL公布于一个公共存储库,终端实体都可以对 该存储库进行(jìnxíng)检索
• 主体在收到一个证书时,首先检索CRL,判断这个证 书是否是有效的
证书
Certificate Authority
第10页,共53页。
3.1.1 证书颁发(bānfā)机构(CA)(续)
• CA是PKI的核心 • CA管理证书 • 主体登记证书的过程 • CA可以续借和更新证书
第11页,共53页。
3.1.1 证书(zhèngshū)颁发机构(CA)(续) —— CA生成证书的过程
第34页,共53页。

3 公钥基础设施(PKl)

3 公钥基础设施(PKl)

陈家琪网络安全技术-第3章公钥基础设施(PKI)
Windows 2000中,获得密钥对和证书
陈家琪网络安全技术-第3章公钥基础设施(PKI)17陈家琪网络安全技术-第3章公钥基础设施(PKI)18
PKI中的证书
Ø证书(certificate),有时候简称为cert
ØPKI适用于异构环境中,所以证书的格式在所使
用的范围内必须统一
Ø证书是一个机构颁发给一个安全个体的证明,所
法以证书的权威性取决于
网络安全技术-第3章公钥基础设施(PKI)20
网络安全技术-第3章公钥基础设施(PKI)21
证书的主要内容

证书的CA的X.500 DN名字。

包括、组织机构、单位部门和通用
,包括证书开始生效的日期和日期和时间。

每次
使用证书时,在有效期内。

网络安全技术-第3章公钥基础设施
CA层次结构
于一个运行CA的大型权威机构而言作不能仅仅由一个CA来完成
以建立一个CA层次结构
根CA
陈家琪网络安全技术-第3章公钥基础设施(PKI)31
网络安全技术-第3章公钥基础设施(PKI)
33
陈家琪网络安全技术-第3章公钥基础设施(PKI)
申请一个证书PKCS#10
陈家琪网络安全技术-第3章公钥基础设施(PKI)。

Windows中的证书服务及应用1PKI和CA概述

Windows中的证书服务及应用1PKI和CA概述
由于以后要在Web页面中处理证书CA证书请求、 下载证书等,所以,要先安装好IIS并启用ASP,后 安装“证书服务”。 下面介绍安装证书服务的操作步骤。 (1)在Windows Server 2003中在进入“控制 面板”,运行“添加或删除程序/添加删除Windows组 件”,进入“Windows组件向导”对话框,选中“证书 服务”选项。
5.5 证书的审核与管理
证书的审核与管理Windows Server 2003服务 器上进行。 (1)当有客户机通过网站申请了证书之后,在 Windows Server 2003服务器上,依次单击“开始/ 管理工具/证书颁发机构”菜单,打开“证书颁发机 构”控制台窗口。在主窗口中展开树状目录,单击“ 挂起的申请”项,找到刚才申请的证书,然后右键单 击该项,选择“所有任务/颁发”。
(3)单击“安装此CA证书链”链接,弹出一 个证书指纹安全警告对话框,显示了证书指纹。 (4)单击“是”按钮,安装好证书链之后, 系统提示“CA证书链已成功安装”。 (5)回到地址为“http://证书服务器IP地址 /certsrv/default.asp”的证书服务欢迎页面。
(6)单击“申请一个证书”,打开“申请一 个证书”页面。 (7)单击“高级证书申请”,打开“高级证 书申请”页面。
(1)在Windows XP客户端的IE浏览器的地址 栏中,再次输入“http://证书服务器IP地址 /certsrv/default.asp”访问证书注册页面。 (2)单击“查看挂起的证书申请的状态”链接, 打开“查看挂起的证书申请的状态”页面。
(3)单击要查看的证书申请,如“客户端身 份验证证书”,可看到“证书已颁发”页面。 (4)单击“安装此证书”链接,打开“证书 已安装”页面,提示新证书已经成功安装。

国开网络应用服务管理实训5

国开网络应用服务管理实训5

实验目的1. 了解 PKI 体系2.了解用户进行证书申请和 CA 颁发证书过程3.掌握证书服务的安装及配置方法4.掌握使用数字证书配置安全站点的方法实验原理PKI 简介PKI 是 Public Key Infrastructure 的缩写,通常译为公钥基础设施。

PKI 通过延伸到用户的接口为各种网络应用提供安全服务,包括身份认证、识别、数字签名、加密等。

一方面 PKI 对网络应用提供广泛而开放的支撑:另一方面, PKI 系统的设计、开发、生产及管理都可以独立进行,不需要考虑应用的特殊性。

PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的完整性、机密性、不可否认性。

PKI 组件PKI 主要包括==认证中心 CA==、==注册机构 RA==、==证书服务器==、==证书库==、==时间服务器==和==PKI 策略==等。

CA 用于创建和发布证书,还负责维护和发布证书废除列表 CRL。

根CA 证书,是一种特殊的证书,它使用 CA 自己的私钥对自己的信息和公钥进行签名。

RA 负责申请者的登记和初始鉴别,在 PKI体系结构中起承上启下的作用,一方面向 CA 转发安全服务器传输过来的证书申请请求,另一方面向 LDAP(轻量目录访问协议)服务器和安全服务器转发 CA 颁发的数字证书和证书撤消列表。

证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。

证书库是发布证书的地方,提供证书的分发机制。

到证书库访问可以得到希望与之通信的实体的公钥和查询最新的 CRL。

它一般采用LDAP 目录访问协议,其格式符合 X.500 标准。

时间服务器:提供单调增加的精确的时间源,并且安全的传输时间戳,对时间戳签名以验证可信时间值的发布者。

PKI 安全策略建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。

Windows服务试题

Windows 网络服务期末考试题(选择题:每题2分)1) Internet 上的Web站点可以为用户提供丰富多彩的不同信息,网站服务的主要功能有Web服务软件提供,则下列可以提供网站服务功能的软件是()(选择两项)A ApacheB IISC FrontPageD Dreamweaver2) 某公司在Windows Server2008 服务器上搭建了DHCP服务。

由于硬件故障,导致服务器宕机。

此时最佳的恢复DHCP服务的方式是()(选择一项)A 使用DHCP数据库备份信息在另一台服务器上恢复服务B 将其它计算机上的操作系统全盘拷贝到宕机的服务器上,然后重新安装DHCP服务C 通过安全模式进入到操作系统中,然后启动DHCP服务继续提供服务D 没有办法,只能等待更换新的服务器。

然后重新安装操作系统和服务3)Benet公司使用Wiindows Server 2008 搭建了DNS服务器。

管理员希望定期刷新DNS 的缓存,可以使用的命令是()(选择一项)A ipconfig/allB ipconfig/flushdnsC ipocnfig/releaseD ipconfig/displaydns4)Benet 公司的管理员接到员工BOB 反映,在输入的URL地址时,无法访问到网站信息。

而其他员工都可以正常访问,造成这种情况的原因是()(选择一项)A 员工BOB 的客户机指定了错误的DNS服务器地址B 公司的防火墙阻止了对的访问C 网站的服务器出现了故障,导致无法访问D 员工BOB的客户机没有启用路由和远程访问服务5) 以下对Windows Server 2008 证书服务的描述正确的是()。

(选择一项)A)独立CA需要活动目录服务的支持B)安装证书服务后,输入http://证书服务器IP/certsvr可以申请证书C)企业CA在接到证书申请后会自动颁发证书D)独立CA在接到证书申请后会自动颁发证书6)在创建完Windows Server 2008 域时,默认有两个GPO,他们分别是()。

Windows Sever 2003 证书身份验证机制

第九章证书身份验证机制
9.1 PKI(公共密钥基础结构)
PKI是一个提供强大的开放数据加密和支持加密服务的方法。

9.2 证书服务-----CA
证书服务提供可自定义的服务,用以颁发和管理在使用公钥技术的软件安全系统中所用的证书。

可在Windows 操作系统中使用证书服务来创建证书颁发机构(CA),该颁发机构负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表。

9.3 安装和配置证书服务
在Server1上打开控制面板-添加/删除程序-添加/删除Windows组件(A)-证书服务
右击计算机-管理-IIS-默认网站-
在Server2上的浏览器中输入:192.168.0.10/certsrv -申请一个证书
在server1管理工具-证书颁发机构-颁发的证书中可以看到server2提交的证书
重点三:证书的备份和恢复以及CA的备份和恢复。

数字证书服务器的配置与应用


5.1 数字证书的概念
数字证书也称为数字标识(Digital Certificate,或Digital ID)。它提供了一种在Internet等公共网络 中进行身份验证的方式,是用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权 威的证书认证机构(Certificate Authority,CA)发行,在网络中可以通过从CA中获得的数字证书来 识别对方的身份。通俗地讲,数字证书就是个人或单位在Internet等公共网络上的身份证。 比较专业的数字证书定义是:数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息 以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般 情况下,证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信 息,证书的格式遵循相关国际标准。
5.2.1 PKI的概念
PKI(Public Key Infrastructure,公钥基础设施)为网上信息的传输提供了 加密(Encryption)和验证(Authentication)功能,在信息发送前对其进 行加密处理,当对方接收到信息后,能够验证该信息是否确实是由发送方发 送的信息,同时还可以确定信息的完整性(Integrity),即信息在发送过程中 未被他人非法篡改。数字证书是PKI中最基本的元素,所有安全操作都主要通 过证书来实现。PKI的组成除数字证书之外,还包括签署这些证书的认证、数 字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口(API)等基 本构成部分。
通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不可否认性交易者身份 的确定性这四大网络安全要素得到保障。
5.2 PKI的概念和组成
目前,计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类。其中, 非PK3;密码”的 形式就属于非PKI体系。由于非PKI体系的安全性相对较弱,所以近年来PKI 安全体系得到了越来越广泛的关注和应用

PKI基本知识


ITU-T X.509
• X.509
– 国际标准:idt ISO/IEC9594-8:1998 ITU-T Rcc.X.509:1997
– X.509是PKI的雏形,PKI是在X.509标准的基础 上发展起来的
– 已经达到标准化的最高水平,非常稳定 – X.509标准有三个版本,版本2和版本3是对版
• 废除证书一般是把证书列入证书撤销列表 中(CRL)来实现
PKI应用系统接口
• PKI的价值在于使用户能够方便地使用加密 、数字签名等安全服务
• 一个完整的PKI必须提供良好的应用接口, 使得各种应用能够以安全、一致、可信的 方式与PKI进行交互,确保所建立起来的网 络环境的可信性。
PKI的功能
国内PKI发展现状
国内现状-服务提供商
• 创原世纪 • 国创科技 • 信安科技 • 吉大正元 • 天威诚信 • 国瑞数码
著名的CA机构
• 目前世界上最著名的CA认证中心是美国Verisign公司, 发展到目前为止已经为超过2700万web站点提供了认证 服务,其个人客户就更多了,世界500强的绝大多数企 业的网上业务都用Verisign的认证服务。
令人可以信任的环境和机制
– 信息的机密性 – 信息的完整性 – 信息的真实性 – 不可抵赖性
为什么需要PKI
PKI的组成部分
• 证书签发机构(CA) • 证书注册机构(RA) • 证书库 • 密钥备份及恢复系统 • 证书废除处理系统 • 应用系统接口
证书签发机构CA
• CA(Certificate Authority)是PKI的核心 • CA对任何一个主体的公钥进行公证 • CA通过签发证书将主体与公钥进行捆绑
– 加密传输
密钥备份与恢复
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

22/33
实验案例:为Web站点启用HTTPS 4-2
4.0
实现思路
安装CA证书服务 在Web服务器上生成Web证书申请 通过IE浏览器,提交证书申请 证书申请批准后,下载Web服务器证书 为Web服务器安装证书 在Web服务器上配置SSL 使用HTTPS协议访问网站以验证结果
18/33
选择申请的Web证书
证书的导入与导出
4.0
证书的导入与导出
导出证书 导入证书
导出时设置的密码
导入时使用,保证 证书安全性
19/33
本章总结
4.0
PKI 概念 公钥加密技术
公钥基础结构 X.509
PKI 协议 什么是证书 CA 的作用 PKI与证书服务应用 证书颁发机构
证书的颁发过程 安装证书服务
11/33
证书的颁发过程
4.0
证书申请 1 用户 2 RA确认用户 7 RA将证书传给 用户/用户自己 取回 RA
RA提交申请信 息到CA 4 CA 6 CA将证书传给 RA
3
处理策略
5 证书目录
证书验证
12/33
小结
4.0
请思考
什么是数据加密? 什么是数字签名? CA的作用是什么? 简述证书的发放过程?
23/33
实验案例:为Web站点启用HTTPS 4-3
4.0
学员练习1
在DC服务器上安装证书服务
• 安装活动目录 • 安装证书 – 企业 – 根CA
生成证书申请
• Internet信息服务管理器中创建证书申请
提交证书申请
40分钟完成
24/33
实验案例:为Web站点启用HTTPS 4-4
颁发者标识信息
颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发
10ficate Authority,证书颁发机构) CA的核心功能是颁发和管理数字证书 CA的作用
处理证书申请 发放证书 更新证书 接受最终用户数字证书的查询、撤销 产生和发布证书吊销列表(CRL) 数字证书归档 ……
私钥应该由密钥的持有人妥善保管
根据实现的功能不同,可分为数据加密和数字签名
6/33
数据加密
4.0
发送方使用接收方的公钥加密数据 接收方使用自己的私钥解密数据
发送方A B的公钥 传输 B的私钥 接收方B
明文
密文
密文
明文
数据加密能保证所发送数据的机密性
7/33
数字签名
4.0
发送方
4.0
学员练习2
下载证书并安装 为Web站点配置SSL 使用HTTPS协议访问网站以验证结果
40分钟完成
25/33
3/33
本章结构
4.0
PKI 概念 公钥加密技术
公钥基础结构 X.509
PKI 协议 什么是证书 CA 的作用 PKI与证书服务应用 证书颁发机构
证书的颁发过程 安装证书服务
证书的申请和颁发
证书服务应用
证书的安装与使用 证书的导入与导出
4/33
PKI 概念
4.0
PKI
公钥基础设施(Public Key Infrastructure) 通过使用公钥技术和数字签名来确保信息安全 由公钥加密技术、数字证书、CA、RA组成
PKI体系能够实现的功能有
身份验证 数据完整性
数据机密性
操作的不可否认性
5/33
公钥加密技术
4.0
公钥加密技术是PKI的基础 公钥与私钥关系
公钥和私钥是成对生成的,互不相同,互相加密与解密 不能根据一个密钥来推算出另一个密钥
公钥对外公开,私钥只有私钥持有人才知道
证书的申请和颁发
证书服务应用
证书的安装与使用 证书的导入与导出
20/33
第五章 PKI 与证书服务应用
—— 上机部分
实验案例:为Web站点启用HTTPS 4-1
4.0
需求描述
BENET公司有一个Web站点,域名为 启用基本身份验证方式 保证用户密码和访问的数据在传输时的安全性 为Web站点启用HTTPS方式访问
第五章 PKI 与证书服务应用
—— 理论部分
课程回顾
4.0
VPN与拔号连接相比有哪些优点? VPN有哪些组成要素? VPN服务器通过几种方式给客户机分配IP地址? 配置远程访问服务器主要有哪些内容?
2/33
技能展示
4.0
理解PKI的相关理论 理解证书的发放过程 掌握证书服务的安装 掌握企业CA的管理 掌握在Web服务器上设置SSL
子级 CA :从属于组织中的另一个 CA 独立 CA :不需要 AD服务
15/33
证书服务的应用3-1
4.0
申请证书
运行 Internet 信息服务管理器 创建证书申请 配置可分辨名称属性 指定证书文件名 证书文件内容
16/33
证书服务的应用3-2
4.0
提交申请证书
访问证书服务器并申请证书 使用高级证书申请 使用Base64编码证书申请 提交证书申请
13/33
证书的安装与使用
4.0
案例环境
BENET公司有一个Web站点 员工出差通过Web网站提交销售记录 客户通过Web站点提交订单 保证网络传输数据的安全
Internet 客户端
Web服务器
14/33
安装证书服务
4.0
添加Active Directory证书服务 选择角色服务 指定企业安装类型 指定CA类型 新建私钥 配置加密 完成角色安装并测试 根CA :组织环境中的第一个证书服务器 企业 CA :需要有AD服务
HTTPS
使用SSL来实现安全的通信
IPSec
目前已经成为最流行的VPN解决方案
9/33
什么是证书
4.0
证书用于保证密钥的合法性 证书的主体可以是用户、计算机、服务等 证书格式遵循X.509标准 数字证书包含信息
使用者的公钥值
使用者标识信息(如名称和电子邮件地址) 有效期(证书的有效时间)
颁发证书
企业CA自动颁发证书
独立CA颁发挂起的申请
下载证书
17/33
证书服务的应用3-3
4.0
Web服务器上安装证书
完成证书申请
配置Web证书
编辑绑定 添加网站绑定 SSL设置
查找从Web证书管理器中下载的证书
使用HTTPS协议访问网站
忽略:无论用户是否拥有证书,都将被授 予访问权限 接受:用户可以使用客户端证书访问资源, 但证书并不是必须的 必须:服务器在将用户与资源连接之前要 验证客户端证
对原始数据执行HASH算法得到摘要值 发送方用自己私钥加密摘要值 将加密的摘要值与原始数据发送给接收方
发送方A A的私钥 传输 A的公钥 接收方B
明文
密文
密文
明文
数字签名保证数据完整性、身份验证和不可否认
8/33
PKI协议
4.0
SSL
认证用户和服务器,确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性,确保数据在传输过程中不被改变