15利用公共密鑰基礎(chǔ)結(jié)構(gòu)配置網(wǎng)絡(luò)安全性

1、利用公共密鑰基礎(chǔ)結(jié)構(gòu)配置網(wǎng)絡(luò)安全性5 2022/8/35-1概述公共密鑰基礎(chǔ)結(jié)構(gòu)PKIPublic Key Infrastructure用于網(wǎng)絡(luò)安全，保護數(shù)據(jù)2000系統(tǒng)包括一個本機PKI以充分利用2000安全性體系結(jié)構(gòu)的優(yōu)點2022/8/35-2初步介紹公共密鑰基礎(chǔ)結(jié)構(gòu)（PKI）2000PKI：加密和身份驗證包括智能卡驗證、EFS、IPSec對于電子商務(wù)和要求分布式安全性的方案來說： 公共密碼系統(tǒng)是至關(guān)重要的2022/8/3 公共密鑰加密技術(shù)被加密的數(shù)據(jù)：任意形式電子郵件、信用卡數(shù)字、網(wǎng)絡(luò)流量使用公鑰、私鑰兩個密鑰二者在數(shù)學(xué)上彼此相關(guān)聯(lián)2022/8/3公共密鑰加密（數(shù)字信封）加密信息通過網(wǎng)絡(luò)

2、發(fā)送23A78Alice加密信息用 Bob的 公共密鑰1Data3A78Bob解密信息用Bob的私有密鑰3Data2022/8/3 密鑰（key）一個隨機字符串與某種算法的聯(lián)合應(yīng)用私鑰：要保守機密公鑰：對所有潛在的響應(yīng)者完全公開在啟用了PKI功能的程序中，密鑰對用戶來說通常是透明的。（如：EFS）2022/8/3公共密鑰身份驗證（數(shù)字簽名）信息通過網(wǎng)絡(luò)發(fā)送2*Alice標(biāo)記信息用Alice的私有密鑰1*Bob驗證信息用Alice的公共密鑰32022/8/3 數(shù)字簽名：驗證發(fā)送者如簽署驅(qū)動程序數(shù)字簽名采用散列算法保證：如果單個字節(jié)發(fā)生了變化，會生成完全不同的散列，使簽名無效。用于身份驗證、完整性

3、和防重發(fā)的的散列函數(shù)MD5，128個二進制位的密鑰SHA，160個二進制位的密鑰2022/8/3補充材料：數(shù)字簽名散列算法原理發(fā)送方簽名信息，同時創(chuàng)建消息摘要并用私鑰加消息摘要接收方（公鑰解密）消息摘要再創(chuàng)建一個消息摘要二者比較，以保證數(shù)據(jù)的完整性2022/8/3發(fā)放該證書，用做PKI內(nèi)的安全性憑證4計算機，用戶，或者服務(wù)CA*CA接受一個證書請求1確認(rèn)該請求者的信息2CA用自己的私有密鑰對數(shù)字證書進行簽名3認(rèn)證中心CA證書中包含公共密鑰和一組屬性2022/8/3 認(rèn)證中心CA負(fù)責(zé)提供和指派加密密鑰、解密密鑰和身份驗證外部的CA和內(nèi)部的CA外：大型的商用CA內(nèi)：如2000證書服務(wù)發(fā)放證書的過程

4、（見前頁動畫）收回證書CA負(fù)責(zé)宣告證書的無效發(fā)布“證書撤銷清單”（CRL）2022/8/3證書層次結(jié)構(gòu)使用證書，必須有公共的信任點（CA）根CA，根本權(quán)威一般不用于向終端用戶發(fā)放證書下層CA下層CA下層CA信任信任信任2022/8/3Windows 2000 PKI域控制器DCSSL和 IPSec證書服務(wù)發(fā)放和管理數(shù)字證書活動目錄用于PKI的發(fā)布服務(wù)啟用PKI功能的應(yīng)用程序域用戶計算機如： IE、IIS、Outlook2022/8/3 安全性協(xié)議SSL：網(wǎng)景Netscape開發(fā)的協(xié)議安全套接層SSL用于在Internet通信中確保安全性和機密性可用于客戶機、服務(wù)器、客服的身份驗證IPSec：用

5、于在IP層支持安全的信息包交換證書的用途服務(wù)器身份驗證，如電子商務(wù)中驗證站點客戶機身份驗證，如遠程訪問，智能卡EFS、IPSec2022/8/3企業(yè)根CA企業(yè)子CA只有企業(yè)管理員，才能安裝企業(yè)CA用于企業(yè)內(nèi)部：企業(yè)CA要求請求證書的用戶和計算機在AD中有一個帳號AD、DNS、身份：企業(yè)管理組獨立根CA獨立子CA用于企業(yè)之外：獨立存在的CA不要求活動目錄5-3部署證書服務(wù)2022/8/3選擇CA模型 企業(yè)根 CA 在證書層次結(jié)構(gòu)中是頂級CA，利用AD確定請求者的身份，通常只為下層CA發(fā)放證書獨立根 CA在證書層次結(jié)構(gòu)中是頂級CA，不要求AD企業(yè)下層CA獲得證書從其它CA，要求AD。不是最可信任的

6、，但可只用于特定用途，如：電子郵件、WEB、智能卡驗證獨立下層CA獲得證書從其它CA，不要求AD。需要父CA，如一個外部的商用CA2022/8/3安裝證書服務(wù) 選擇一個CA類型設(shè)置高級選項輸入標(biāo)識信息指定數(shù)據(jù)庫和日志文件的位置安裝“證書服務(wù)”：添加/刪除程序2022/8/3Windows Components WizardCA Certificate RequestRequest the certificate for this CA by sending the request directly to a parent CA or saving the request to the send

7、ing this the CA.Send the request directly to a CA already on the network.Computer name:Parent CA:Save the request to a file:Request file:C:CAConfigPHOENIX_User1BrowseBrowseCancel創(chuàng)建下層CA：得到一個“證書請求”如果一個父CA聯(lián)機如果一個父CA脫機，存入軟盤2022/8/3 來自父CA的文件最低限度應(yīng)該包含：下層CA的證書和完全的認(rèn)證路徑實驗中：獨立子CA第一步：安裝此CA證書路徑過程子CA在安裝“證書服務(wù)”時提出“證

8、書請求”父CA頒發(fā)證書父的管理工具CA待處理的請求子CA安裝證書子的管理工具CA安裝證書需指定父CA的計算機名2022/8/3備份和還原證書服務(wù) Certificate AuthorityAction ViewTreeNameCertification Authority (Local)Revoked CertificatesSave CA certificates and configurationWin2153A CA所有任務(wù)ViewRefreshExport List.PropertiesHelp備份 CAStart Service還原 CARenew CA CertificateSto

9、p Service用來啟動CA備份/恢復(fù)向?qū)?022/8/3 備份推薦：CA作為系統(tǒng)狀態(tài)的組成部分予以備份利用管理工具CA，備份依賴于IIS的元數(shù)據(jù)庫，應(yīng)保證其完好發(fā)出的證書越多，越應(yīng)該及時備份2022/8/3請求證書：“證書請求”向?qū)В∕MC證書）僅適用：從企業(yè)CA請求證書時要求用戶訪問權(quán)力利用證書模板向計算機發(fā)放證書可利用公共密鑰策略中的自動證書設(shè)置值證書服務(wù)WEB頁（MS的方向）演示5-4利用證書2022/8/3查看證書Console RootCertificates Current UesrTrusted Root Certification AuthorConsoleWindowHe

10、lpActionViewFavoritesTreeFavoritesConsole RootCertificates Current UserPersonalTrusted Root CertificatesCertificatesEnterprise TrustIntermediate Certification AuthoriActive Directory User ObjectIssued ToIssued ByEquifax Secure eBusinesEquifax Secure eBusiness CA-2Equifax Secure Global eBEquifax Secu

11、re Global eBusinessEUnet International Root EUnet International Root CAFESTE, Public Notary CertsFESTE, Public Notary CertsFESTE, Verified CertsFESTE, Verified CertsFirst Data Digital CertificFirst Data Digital Certificates Inc.FNMT Class 2 CAFNMT Class 2 CAGlobalSign Root CAGlobalSign Root CAGTE Cy

12、ber Trust Global GTE Cyber Trust Global RootGTE Cyber Trust RootGTE Cyber Trust RootGTE Cyber Trust RootGTE Cyber Trust Root IPS SERVIDORESIPS SERVIDORESMicrosoft Authenticode(Microsoft Authenticode(tm) RooMicrosoft Root AuthorityMicrosoft Root AuthorityNetLock Expressz (Class NetLock Expressz (Clas

13、s C) TanNetLock Kozjegyzoi (ClasNetLock Kozjegyzoi (Class A) TTrusted Root Certifications Certification Authorities store contains 107 certificatesCertificateGeneralDetailsCertification PathCertification InformationThis certificate is intended to:Ensures the identity of a remote computerProves your

14、identity to a remote computerEnsures software came from software publisherProtects software from alteration after publicationProtects e-mail messagesAllows data to be signed with the current lineIssued to:Microsoft Root AuthorityIssued by:Microsoft Root AuthorityValid from1/10/1997 to 12/31/2020Issu

15、er StatementOK2022/8/35-5管理證書當(dāng)用戶向獨立CA提交證書請求時這一請求被視為待處理的直到CA管理員批準(zhǔn)或者拒絕為止發(fā)放證書：拒絕/頒發(fā)宣告證書無效：已頒發(fā)的證書，吊銷發(fā)布證書撤銷清單CRL：已吊銷的，發(fā)行CRL客戶可在IE中下載CRL2022/8/3宣告證書無效Revoke this CertificateRequest IDRequester NameBinary CertificateSerial NumCertificate AuthorityAction ViewTreeCertification Authority (Local)Revoked Certif

16、icates頒發(fā)的證書Pending RequestsFailed RequestsPolicy SettingsWin2153A CA所有任務(wù)RefreshHelp吊銷證書Open2NWTRADERS-BEGIN CERT24dbf9e024e925f124ef12b224f6d6152553d5b72558fb822ffd8774 當(dāng)?shù)蹁N的證書發(fā)行之后，吊銷的證書出現(xiàn)在CRL中2022/8/3Certification AuthorityConsoleWindowHelpActionViewCertification AuthorityCertificate Services (Local

17、)Manually publish current CRL吊銷的證書Issued CertifiMSTestPending ReqFailed Reque所有任務(wù)ViewNew window from hereRefreshPropertiesHelp發(fā)行Request IDBinary CertificateSerial Number-BEGIN CERTIFICATE-.1aaaf7000000012-BEGIN CERTIFICATE-.1c7d7400000014 E-.1e41b500000016Certificate Revocation ListGeneralRevocation

18、 ListCertification Revocation List InformationOKFieldValueVersionV2IssuerMSTest, Effective DateThursday, December 10, 1999 Next UpdateMonday December 14, 1999 6:Signature Algorithmsha1RSAValue:發(fā)布證書撤銷清單2022/8/3MMC證書可選擇是否導(dǎo)出私有密鑰導(dǎo)入時，需設(shè)置“私有密鑰為可導(dǎo)出的”導(dǎo)入和導(dǎo)出證書2022/8/35-6針對證書配置活動目錄（外部用戶：AD中無帳號）活動目錄AD名稱映射外部用戶必須有證書外部用戶必須有用戶帳號外部用戶的證書必須由信任的CA發(fā)行必須在外部用戶證書和AD帳號之間創(chuàng)建一個名稱映射外部用戶2022/8/3 對外部