PKI与证书服务应用.docx
- 文档编号:8860398
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:21
- 大小:1.42MB
PKI与证书服务应用.docx
《PKI与证书服务应用.docx》由会员分享,可在线阅读,更多相关《PKI与证书服务应用.docx(21页珍藏版)》请在冰豆网上搜索。
PKI与证书服务应用
理论部分
一.公匙基础结构(PKI)
1.PKI的概念
是通过使用公匙技术和数字证书来确保信息的安全
2.PKI的组成
公匙加密技术:
由公匙和私匙组成
数字证书:
用于用户的身份验证
CA(证书颁发机构):
负责发布,更新和吊销证书
RA(注册机构):
接受用户的请求
3.公匙加密技术:
由公匙和私匙组成。
两者成对生成;不能根据一
推算处另一个;公匙对外公开,私匙只有私匙持有人才知道;私匙应该由私匙持有人才妥善保管
1).数据加密(提高数据的机密性):
发送放以接受方的公匙加密,接受
收到数据后,使用自己的私匙解密
2).数字签名(作用是:
身份验证;数据的完整性;操作的不可否认性):
送方以自己私匙传输数据,接授方以发送方的公匙解密
4.X.509:
是由国际电信联盟(ITU-T)制定的数字证书标准,已应用许
网络安全应用程序,包括IP安全(IPsec).安全套接层(SSL).安全电子交易(SET).安全多媒体Inerter邮件扩展(S/MIME)等
5.使用PKI的协议:
安全套接层(SSL);IP安全(IPsec);HTTPS安全超文
协议
二.证书颁发机构
1.什么是证书:
PKI中的数字证书简称证书,它把公匙和拥有对应私
的主体的标识信息捆绑在一起。
证书包含:
使用者的公匙值和标识
息.有效期.颁发者的标识信息和数字签名
2.CA的作用:
CA可以自己创建,也可是第三方机构,在复杂的认证体
中,各层CA按照结构形成树,根CA处于核心地位,功能是认证授权
3.证书的发放过程
用户提交证书申请信息给RA,RA验证通过后,提交给CA,CA对用户
证书进行数字签名,之后传给RA,RA又传给用户.用户还要验证CA颁
的证书
6.安装证书服务
在Windows2008中安装,在角色中添加证书服务,按照提示完成安装。
在“指定安装类型”窗口中有“企业”和“独立”两个选项
企业CA和独立CA,他们的区别是:
企业CA需要AD服务;安装根CA时,对域中所有的用户和计算机,会被自动添加到受信任的根证书颁发机构的证书存储区
独立CA不AD服务;向独立CA提交证书时,证书申请者必须在证书申请时提供所有关于自己的标识信息以及所需的证书类型;默认情况下,发送到独立CA的证书被挂起,还的验证申请者,并手动颁发。
三.证书服务的应用(给Eeb服务其申请证书)
1.在Windows2008服务器上安装证书服务(独立)
2.在Web服务器上,打开IIS,双击中间窗口‘服务器证书’,‘创建
证书申请’,完成证书的申请;使用‘https:
//证书服务器
IP/certsrv’单击‘证书申请’‘高级证书申请’,在‘高级证书申请’
页面中选择使用Base64编码的证书申请,并将刚申请到的证书复制
到文本框中
3.在证书服务器上颁发刚申请的证书(企业CA不需要)
4.在Web服务器上,使用‘https:
//证书服务器的IP/certsrv’页
面,在‘证书已颁发’页面中,选择‘Base64编码’单击‘下载证
书’,名为hao.cer,保存到相应的地方,后缀为cer
5.并且还要下载CA证书并载Web服务器上打开控制台,载控制台中添加证书,将下载的CA证书导入(在企业CA不需)
6.载Web服务器上打开IIS,单击‘完成证书申请’,将刚下载的hao.cer证书导入
7.编辑并帮定SSL,并进行验证
操作部分
实验环境:
一个CA证书服务器一个Web服务器一个客户机要求保证用户密码和访问的数据在传输的安全性
需求描述:
在CA服务器上安装CA证书服务
在Web服务器生成Web证书申请
通过IE浏览器,提交证书申请
证书申请批准后,下载Web服务器证书
为Web服务器安装证书并配置SSL
使用HTTPS协议访问网站一验证结果
实验过程:
一安装CA证书服务
在Web服务器上生成证书申请
提交证书申请
在CA服务器颁发证书
二在web服务器上,下载证书
三下载CA证书
在web服务器
打开控制台,把证书导入web服务器
四完成证书申请
五编辑棒定并设置SSL
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PKI 证书 服务 应用