Windows-NS-CHAP5PKI與證書服務(wù)課件

1、PKI與證書服務(wù)第五章Chapter內(nèi)容回顧掌握Windows環(huán)境下NAT的配置方法安裝和使用代理服務(wù)器軟件2本章目標(biāo)理解PKI的相關(guān)理論掌握Windows網(wǎng)絡(luò)中的CA管理配置和管理企業(yè)內(nèi)部的CA了解基本的加密算法3PKI(公鑰基礎(chǔ)結(jié)構(gòu))公鑰基礎(chǔ)結(jié)構(gòu) 公鑰加密技術(shù) 數(shù)字證書 證書發(fā)放機構(gòu)（CA） 注冊權(quán)威機構(gòu)（RA） 4對稱加密加密和解密用的密鑰相同 DES 、3DES優(yōu)勢與缺點實現(xiàn)簡單加密速度快通信雙方必須相互認(rèn)識，并同意采用同一密鑰 保存和管理密鑰十分復(fù)雜 安全的傳送密鑰也非常困難5非對稱加密非對稱加密算法需要兩個密鑰 :公鑰 私鑰 一個用于加密，另一個則用作解密不能根據(jù)一個密鑰來推算得出

2、另一個密鑰 公鑰對外公開，私鑰只有其持有人才知道RSA 7發(fā)送方接收方接收方的公鑰加密接收方的私鑰解密密文明文傳送接收方的密鑰對公鑰私鑰非對稱加密（Cont.）多個用戶加密的信息只能由一個用戶解讀 8PGPPretty Good Privacy 基于RSA公鑰系統(tǒng)的郵件加密軟件 128位的二進(jìn)制數(shù)作為消息摘要MD5算法 與RSA公鑰系統(tǒng)的原理相同 10PGP主界面創(chuàng)建密鑰OUTLOOK與PGP的集成PGP（cont.）11加密簽名加密又簽名PGP（cont.）12數(shù)據(jù)加密公鑰加密，私鑰解密保證所發(fā)送數(shù)據(jù)的機密性 不能完全保證數(shù)據(jù)的完整性和不可抵賴性 14數(shù)字簽名身份驗證 ，數(shù)據(jù)的完整性 創(chuàng)建消

3、息摘要消息摘要經(jīng)過私鑰加密接收方用同樣的算法創(chuàng)建出一個新的消息摘要 與用公鑰解密的消息摘要進(jìn)行比較 如果這兩個消息摘要互相匹配，則可保證完整性 15證書頒發(fā)機構(gòu)權(quán)威公正的第三方機構(gòu) CA的功能：證書的頒發(fā) 證書的查詢證書的吊銷 證書的歸檔 17Windows Server 2003證書服務(wù)中可以查看證書的狀態(tài) 數(shù)字證書18證書的用途信息的保密性 交易者身份的確定性 不可否認(rèn)性 不可修改性 19證書申請過程證書申請 RA確認(rèn)用戶 證書策略處理 RA提交用戶申請信息到CA CA為用戶生成密鑰對 CA將數(shù)字證書傳送給批準(zhǔn)該用戶的RA RA將數(shù)字證書傳送給用戶 用戶驗證CA頒發(fā)的證書 20證書申請過程

4、（cont.）211. 在Windows組件中安裝證書服務(wù)2.安裝證書服務(wù)后，計算機名和域成員身份都不能更改 3. 證書可以通過Web注冊安裝證書服務(wù)221. 創(chuàng)建企業(yè)根CA2. 選擇加密程序和對密鑰對的設(shè)置3. 輸入CA的識別信息4. 證書數(shù)據(jù)庫設(shè)置5. 停止IIS服務(wù)6. 完成安裝新安裝的證書服務(wù)創(chuàng)建企業(yè)根CA242.添加/刪除管理單元 3. 添加管理單元 5. 為用戶賬戶管理證書4. 選擇證書管理單元6. 證書管理單元安裝完畢，單擊確定7. 申請證書8. 證書申請向?qū)?.鍵入MMC命令通過管理控制臺申請證書251. 鍵入：“http:/IP地址/certsrv”2. 歡迎頁面3. 選擇證

5、書類型4. 正在等待服務(wù)器的響應(yīng)5. 安裝此證書6. 證書安裝完畢通過Web注冊申請證書通過Web注冊申請證書 2712345查看企業(yè)根CA證書 281. 雙擊要查看的證書2. 查看證書3. 證書路徑查看已頒發(fā)的證書 29證書的導(dǎo)入證書的導(dǎo)出證書的導(dǎo)入和導(dǎo)出301. 吊銷證書2. 證書吊銷的原因3. 證書已吊銷吊銷證書311234將證書映射到用戶賬戶 32本章總結(jié)PKI體系結(jié)構(gòu)采用證書來管理公鑰，通過第三方的可信機構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在Internet上驗證用戶的身份，保證了網(wǎng)上數(shù)據(jù)的機密性、完整性對稱加密就是加密和解密用的密鑰是相同的。非對稱加密算法需要兩個密

6、鑰：公鑰和私鑰33本章總結(jié)（cont.）公鑰與私鑰是一對，如果用公鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私鑰才能解密；如果用私鑰對數(shù)據(jù)進(jìn)行加密，那么只有用對應(yīng)的公鑰才能解密PGP是一個基于RSA公鑰系統(tǒng)的郵件加密軟件。HASH（哈希）算法也稱為雜湊算法，這是一個簡單的不可逆過程34本章總結(jié)（cont.）數(shù)據(jù)加密以公鑰作為加密密鑰，以用戶私鑰作為解密密鑰；數(shù)字簽名以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰CA是PKI公鑰基礎(chǔ)結(jié)構(gòu)中的核心部分。它負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶的數(shù)字證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗證用戶的身份35本章總結(jié)（cont.）CA的主要功能：證書的頒發(fā)、證書的更新、證書的查詢、證書的吊銷和證書的歸檔在Windows Server 2003中的證書服務(wù)按證書頒發(fā)機構(gòu)可以分為以下四種類型：企業(yè)根CA、企業(yè)從屬CA、獨立根CA和獨立從屬CA36本章總結(jié)（cont.）證書申請可以通過Windows管理控制臺申請，也可以通過Web頁申請。因為企業(yè)根CA位于CA層次的最高層，所以它會給自己頒發(fā)了一張證書37實驗?zāi)繕?biāo)安裝證書服務(wù)配置證書服務(wù)38實驗拓?fù)浣Y(jié)構(gòu)客戶