15利用公共密鑰基礎(chǔ)結(jié)構(gòu)配置網(wǎng)絡(luò)安全性

1、利用公共密鑰基礎(chǔ)結(jié)構(gòu)配置網(wǎng)絡(luò)安全性5 2022/8/35-1概述公共密鑰基礎(chǔ)結(jié)構(gòu)PKIPublic Key Infrastructure用于網(wǎng)絡(luò)安全，保護(hù)數(shù)據(jù)2000系統(tǒng)包括一個(gè)本機(jī)PKI以充分利用2000安全性體系結(jié)構(gòu)的優(yōu)點(diǎn)2022/8/35-2初步介紹公共密鑰基礎(chǔ)結(jié)構(gòu)（PKI）2000PKI：加密和身份驗(yàn)證包括智能卡驗(yàn)證、EFS、IPSec對(duì)于電子商務(wù)和要求分布式安全性的方案來(lái)說(shuō)： 公共密碼系統(tǒng)是至關(guān)重要的2022/8/3 公共密鑰加密技術(shù)被加密的數(shù)據(jù)：任意形式電子郵件、信用卡數(shù)字、網(wǎng)絡(luò)流量使用公鑰、私鑰兩個(gè)密鑰二者在數(shù)學(xué)上彼此相關(guān)聯(lián)2022/8/3公共密鑰加密（數(shù)字信封）加密信息通過(guò)網(wǎng)絡(luò)

2、發(fā)送23A78Alice加密信息用 Bob的 公共密鑰1Data3A78Bob解密信息用Bob的私有密鑰3Data2022/8/3 密鑰（key）一個(gè)隨機(jī)字符串與某種算法的聯(lián)合應(yīng)用私鑰：要保守機(jī)密公鑰：對(duì)所有潛在的響應(yīng)者完全公開在啟用了PKI功能的程序中，密鑰對(duì)用戶來(lái)說(shuō)通常是透明的。（如：EFS）2022/8/3公共密鑰身份驗(yàn)證（數(shù)字簽名）信息通過(guò)網(wǎng)絡(luò)發(fā)送2*Alice標(biāo)記信息用Alice的私有密鑰1*Bob驗(yàn)證信息用Alice的公共密鑰32022/8/3 數(shù)字簽名：驗(yàn)證發(fā)送者如簽署驅(qū)動(dòng)程序數(shù)字簽名采用散列算法保證：如果單個(gè)字節(jié)發(fā)生了變化，會(huì)生成完全不同的散列，使簽名無(wú)效。用于身份驗(yàn)證、完整性

3、和防重發(fā)的的散列函數(shù)MD5，128個(gè)二進(jìn)制位的密鑰SHA，160個(gè)二進(jìn)制位的密鑰2022/8/3補(bǔ)充材料：數(shù)字簽名散列算法原理發(fā)送方簽名信息，同時(shí)創(chuàng)建消息摘要并用私鑰加消息摘要接收方（公鑰解密）消息摘要再創(chuàng)建一個(gè)消息摘要二者比較，以保證數(shù)據(jù)的完整性2022/8/3發(fā)放該證書，用做PKI內(nèi)的安全性憑證4計(jì)算機(jī)，用戶，或者服務(wù)CA*CA接受一個(gè)證書請(qǐng)求1確認(rèn)該請(qǐng)求者的信息2CA用自己的私有密鑰對(duì)數(shù)字證書進(jìn)行簽名3認(rèn)證中心CA證書中包含公共密鑰和一組屬性2022/8/3 認(rèn)證中心CA負(fù)責(zé)提供和指派加密密鑰、解密密鑰和身份驗(yàn)證外部的CA和內(nèi)部的CA外：大型的商用CA內(nèi)：如2000證書服務(wù)發(fā)放證書的過(guò)程

4、（見(jiàn)前頁(yè)動(dòng)畫）收回證書CA負(fù)責(zé)宣告證書的無(wú)效發(fā)布“證書撤銷清單”（CRL）2022/8/3證書層次結(jié)構(gòu)使用證書，必須有公共的信任點(diǎn)（CA）根CA，根本權(quán)威一般不用于向終端用戶發(fā)放證書下層CA下層CA下層CA信任信任信任2022/8/3Windows 2000 PKI域控制器DCSSL和 IPSec證書服務(wù)發(fā)放和管理數(shù)字證書活動(dòng)目錄用于PKI的發(fā)布服務(wù)啟用PKI功能的應(yīng)用程序域用戶計(jì)算機(jī)如： IE、IIS、Outlook2022/8/3 安全性協(xié)議SSL：網(wǎng)景Netscape開發(fā)的協(xié)議安全套接層SSL用于在Internet通信中確保安全性和機(jī)密性可用于客戶機(jī)、服務(wù)器、客服的身份驗(yàn)證IPSec：用

5、于在IP層支持安全的信息包交換證書的用途服務(wù)器身份驗(yàn)證，如電子商務(wù)中驗(yàn)證站點(diǎn)客戶機(jī)身份驗(yàn)證，如遠(yuǎn)程訪問(wèn)，智能卡EFS、IPSec2022/8/3企業(yè)根CA企業(yè)子CA只有企業(yè)管理員，才能安裝企業(yè)CA用于企業(yè)內(nèi)部：企業(yè)CA要求請(qǐng)求證書的用戶和計(jì)算機(jī)在AD中有一個(gè)帳號(hào)AD、DNS、身份：企業(yè)管理組獨(dú)立根CA獨(dú)立子CA用于企業(yè)之外：獨(dú)立存在的CA不要求活動(dòng)目錄5-3部署證書服務(wù)2022/8/3選擇CA模型 企業(yè)根 CA 在證書層次結(jié)構(gòu)中是頂級(jí)CA，利用AD確定請(qǐng)求者的身份，通常只為下層CA發(fā)放證書獨(dú)立根 CA在證書層次結(jié)構(gòu)中是頂級(jí)CA，不要求AD企業(yè)下層CA獲得證書從其它CA，要求AD。不是最可信任的

6、，但可只用于特定用途，如：電子郵件、WEB、智能卡驗(yàn)證獨(dú)立下層CA獲得證書從其它CA，不要求AD。需要父CA，如一個(gè)外部的商用CA2022/8/3安裝證書服務(wù) 選擇一個(gè)CA類型設(shè)置高級(jí)選項(xiàng)輸入標(biāo)識(shí)信息指定數(shù)據(jù)庫(kù)和日志文件的位置安裝“證書服務(wù)”：添加/刪除程序2022/8/3Windows Components WizardCA Certificate RequestRequest the certificate for this CA by sending the request directly to a parent CA or saving the request to the send

7、ing this the CA.Send the request directly to a CA already on the network.Computer name:Parent CA:Save the request to a file:Request file:C:CAConfigPHOENIX_User1BrowseBrowseCancel創(chuàng)建下層CA：得到一個(gè)“證書請(qǐng)求”如果一個(gè)父CA聯(lián)機(jī)如果一個(gè)父CA脫機(jī)，存入軟盤2022/8/3 來(lái)自父CA的文件最低限度應(yīng)該包含：下層CA的證書和完全的認(rèn)證路徑實(shí)驗(yàn)中：獨(dú)立子CA第一步：安裝此CA證書路徑過(guò)程子CA在安裝“證書服務(wù)”時(shí)提出“證

8、書請(qǐng)求”父CA頒發(fā)證書父的管理工具CA待處理的請(qǐng)求子CA安裝證書子的管理工具CA安裝證書需指定父CA的計(jì)算機(jī)名2022/8/3備份和還原證書服務(wù) Certificate AuthorityAction ViewTreeNameCertification Authority (Local)Revoked CertificatesSave CA certificates and configurationWin2153A CA所有任務(wù)ViewRefreshExport List.PropertiesHelp備份 CAStart Service還原 CARenew CA CertificateSto

9、p Service用來(lái)啟動(dòng)CA備份/恢復(fù)向?qū)?022/8/3 備份推薦：CA作為系統(tǒng)狀態(tài)的組成部分予以備份利用管理工具CA，備份依賴于IIS的元數(shù)據(jù)庫(kù)，應(yīng)保證其完好發(fā)出的證書越多，越應(yīng)該及時(shí)備份2022/8/3請(qǐng)求證書：“證書請(qǐng)求”向?qū)В∕MC證書）僅適用：從企業(yè)CA請(qǐng)求證書時(shí)要求用戶訪問(wèn)權(quán)力利用證書模板向計(jì)算機(jī)發(fā)放證書可利用公共密鑰策略中的自動(dòng)證書設(shè)置值證書服務(wù)WEB頁(yè)（MS的方向）演示5-4利用證書2022/8/3查看證書Console RootCertificates Current UesrTrusted Root Certification AuthorConsoleWindowHe

10、lpActionViewFavoritesTreeFavoritesConsole RootCertificates Current UserPersonalTrusted Root CertificatesCertificatesEnterprise TrustIntermediate Certification AuthoriActive Directory User ObjectIssued ToIssued ByEquifax Secure eBusinesEquifax Secure eBusiness CA-2Equifax Secure Global eBEquifax Secu

11、re Global eBusinessEUnet International Root EUnet International Root CAFESTE, Public Notary CertsFESTE, Public Notary CertsFESTE, Verified CertsFESTE, Verified CertsFirst Data Digital CertificFirst Data Digital Certificates Inc.FNMT Class 2 CAFNMT Class 2 CAGlobalSign Root CAGlobalSign Root CAGTE Cy

12、ber Trust Global GTE Cyber Trust Global RootGTE Cyber Trust RootGTE Cyber Trust RootGTE Cyber Trust RootGTE Cyber Trust Root IPS SERVIDORESIPS SERVIDORESMicrosoft Authenticode(Microsoft Authenticode(tm) RooMicrosoft Root AuthorityMicrosoft Root AuthorityNetLock Expressz (Class NetLock Expressz (Clas

13、s C) TanNetLock Kozjegyzoi (ClasNetLock Kozjegyzoi (Class A) TTrusted Root Certifications Certification Authorities store contains 107 certificatesCertificateGeneralDetailsCertification PathCertification InformationThis certificate is intended to:Ensures the identity of a remote computerProves your

14、identity to a remote computerEnsures software came from software publisherProtects software from alteration after publicationProtects e-mail messagesAllows data to be signed with the current lineIssued to:Microsoft Root AuthorityIssued by:Microsoft Root AuthorityValid from1/10/1997 to 12/31/2020Issu

15、er StatementOK2022/8/35-5管理證書當(dāng)用戶向獨(dú)立CA提交證書請(qǐng)求時(shí)這一請(qǐng)求被視為待處理的直到CA管理員批準(zhǔn)或者拒絕為止發(fā)放證書：拒絕/頒發(fā)宣告證書無(wú)效：已頒發(fā)的證書，吊銷發(fā)布證書撤銷清單CRL：已吊銷的，發(fā)行CRL客戶可在IE中下載CRL2022/8/3宣告證書無(wú)效Revoke this CertificateRequest IDRequester NameBinary CertificateSerial NumCertificate AuthorityAction ViewTreeCertification Authority (Local)Revoked Certif

16、icates頒發(fā)的證書Pending RequestsFailed RequestsPolicy SettingsWin2153A CA所有任務(wù)RefreshHelp吊銷證書Open2NWTRADERS-BEGIN CERT24dbf9e024e925f124ef12b224f6d6152553d5b72558fb822ffd8774 當(dāng)?shù)蹁N的證書發(fā)行之后，吊銷的證書出現(xiàn)在CRL中2022/8/3Certification AuthorityConsoleWindowHelpActionViewCertification AuthorityCertificate Services (Local

17、)Manually publish current CRL吊銷的證書Issued CertifiMSTestPending ReqFailed Reque所有任務(wù)ViewNew window from hereRefreshPropertiesHelp發(fā)行Request IDBinary CertificateSerial Number-BEGIN CERTIFICATE-.1aaaf7000000012-BEGIN CERTIFICATE-.1c7d7400000014 E-.1e41b500000016Certificate Revocation ListGeneralRevocation

18、 ListCertification Revocation List InformationOKFieldValueVersionV2IssuerMSTest, Effective DateThursday, December 10, 1999 Next UpdateMonday December 14, 1999 6:Signature Algorithmsha1RSAValue:發(fā)布證書撤銷清單2022/8/3MMC證書可選擇是否導(dǎo)出私有密鑰導(dǎo)入時(shí)，需設(shè)置“私有密鑰為可導(dǎo)出的”導(dǎo)入和導(dǎo)出證書2022/8/35-6針對(duì)證書配置活動(dòng)目錄（外部用戶：AD中無(wú)帳號(hào)）活動(dòng)目錄AD名稱映射外部用戶必須有證書外部用戶必須有用戶帳號(hào)外部用戶的證書必須由信任的CA發(fā)行必須在外部用戶證書和AD帳號(hào)之間創(chuàng)建一個(gè)名稱映射外部用戶2022/8/3 對(duì)外部