1、PKI与证书服务应用理论部分一. 公匙基础结构(PKI)1. PKI的概念是通过使用公匙技术和数字证书来确保信息的安全2. PKI的组成公匙加密技术: 由公匙和私匙组成数字证书:用于用户的身份验证 CA(证书颁发机构):负责发布,更新和吊销证书 RA(注册机构):接受用户的请求3. 公匙加密技术:由公匙和私匙组成。两者成对生成;不能根据一推算处另一个;公匙对外公开, 私匙只有私匙持有人才知道; 私匙应该由私匙持有人才妥善保管1).数据加密(提高数据的机密性):发送放以接受方的公匙加密,接受收到数据后,使用自己的私匙解密2).数字签名(作用是:身份验证;数据的完整性;操作的不可否认性):送方以自
2、己私匙传输数据,接授方以发送方的公匙解密4. X.509: 是由国际电信联盟(ITU-T)制定的数字证书标准,已应用许网络安全应用程序,包括IP安全(IPsec).安全套接层(SSL).安全电子交易(SET).安全多媒体Inerter邮件扩展(S/MIME)等5. 使用PKI的协议: 安全套接层(SSL); IP安全(IPsec);HTTPS安全超文协议二. 证书颁发机构1. 什么是证书: PKI中的数字证书简称证书,它把公匙和拥有对应私的主体的标识信息捆绑在一起。证书包含:使用者的公匙值和标识息.有效期.颁发者的标识信息和数字签名2. CA的作用:CA可以自己创建,也可是第三方机构,在复杂的
3、认证体中,各层CA按照结构形成树,根CA处于核心地位,功能是认证授权3. 证书的发放过程用户提交证书申请信息给RA,RA验证通过后,提交给CA,CA对用户证书进行数字签名,之后传给RA,RA又传给用户.用户还要验证CA颁的证书6. 安装证书服务在Windows 2008中安装,在角色中添加证书服务,按照提示完成安装。在“指定安装类型”窗口中有“企业”和“独立”两个选项企业CA和独立CA,他们的区别是:企业CA需要AD服务;安装根CA时,对域中所有的用户和计算机,会被自动添加到受信任的根证书颁发机构的证书存储区独立CA不AD服务;向独立CA提交证书时,证书申请者必须在证书申请时提供所有关于自己的
4、标识信息以及所需的证书类型;默认情况下,发送到独立CA的证书被挂起,还的验证申请者,并手动颁发。三证书服务的应用(给Eeb服务其申请证书)1在Windows 2008服务器上安装证书服务(独立)2在Web服务器上,打开IIS,双击中间窗口服务器证书,创建证书申请,完成证书的申请;使用https:/ 证书服务器IP/certsrv单击证书申请高级证书申请,在高级证书申请页面中选择使用Base64编码的证书申请,并将刚申请到的证书复制到文本框中3在证书服务器上颁发刚申请的证书(企业CA不需要)4在Web服务器上,使用https:/ 证书服务器的IP/certsrv页面,在证书已颁发页面中,选择Ba
5、se64编码单击下载证书,名为hao.cer,保存到相应的地方,后缀为cer5并且还要下载CA证书并载Web服务器上打开控制台,载控制台中添加证书,将下载的CA证书导入(在企业CA不需)6载Web服务器上打开IIS,单击完成证书申请,将刚下载的hao.cer 证书导入7编辑并帮定SSL,并进行验证操作部分实验环境:一个CA证书服务器 一个Web服务器 一个客户机 要求保证用户密码和访问的数据在传输的安全性需求描述:在CA服务器上安装CA证书服务 在Web服务器生成Web证书申请 通过IE浏览器,提交证书申请 证书申请批准后,下载Web服务器证书 为Web服务器安装证书并配置SSL 使用HTTPS协议访问网站一验证结果实验过程: 一 安装CA证书服务 在Web服务器上生成证书申请提交证书申请在CA服务器颁发证书二 在web服务器上,下载证书三 下载CA证书在web服务器打开控制台,把证书导入web服务器四 完成证书申请五 编辑棒定并设置SSL