江蘇省電子政務(wù)證書(shū)認(rèn)證系統(tǒng)應(yīng)用的培訓(xùn)材料課件

江蘇省電子政務(wù)證書(shū)認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料2006年11月江蘇省電子政務(wù)證書(shū)認(rèn)證系統(tǒng)提綱數(shù)字證書(shū)基礎(chǔ)介紹 --20分鐘南京CA分中心系統(tǒng)設(shè)計(jì) --10分鐘LDAP/OCSP標(biāo)準(zhǔn)和開(kāi)發(fā)接口 --10分鐘MSCAPI/PKCS#11標(biāo)準(zhǔn)和開(kāi)發(fā)接口 --20分鐘系統(tǒng)二次開(kāi)發(fā)接口 --30分鐘總結(jié)提綱數(shù)字證書(shū)基礎(chǔ)介紹 --20分鐘數(shù)字證書(shū)基礎(chǔ)介紹數(shù)字證書(shū)基礎(chǔ)介紹數(shù)字證書(shū)基礎(chǔ)

PKI（公開(kāi)密鑰基礎(chǔ)設(shè)施）是通過(guò)使用公鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全，進(jìn)行數(shù)據(jù)加密和用戶(hù)身份驗(yàn)證的體系。

--對(duì)稱(chēng)算法

--非對(duì)稱(chēng)算法

--摘要算法

--算法應(yīng)用全過(guò)程

數(shù)字證書(shū)基礎(chǔ)PKI（公開(kāi)密鑰基礎(chǔ)設(shè)施）是通過(guò)使用對(duì)稱(chēng)算法原理。

相同對(duì)稱(chēng)算法原理相同對(duì)稱(chēng)算法問(wèn)題

對(duì)于實(shí)際應(yīng)用而言，問(wèn)題是如何管理這些對(duì)稱(chēng)密鑰并保證其安全性。

對(duì)稱(chēng)算法問(wèn)題對(duì)于實(shí)際應(yīng)用而言，問(wèn)題是如何管理這些對(duì)非對(duì)稱(chēng)算法原理

不同非對(duì)稱(chēng)算法原理不同加密方式比較

對(duì)稱(chēng)非對(duì)稱(chēng)密鑰數(shù)量單個(gè)Key一對(duì)Key型態(tài)Key必須保密一個(gè)是公開(kāi)的Key，一個(gè)是私用的Key管理簡(jiǎn)單，但不容易管理需要數(shù)字證書(shū)和CA加密速度非?？燧^快應(yīng)用用于大量資料的加密處理用于特定需求，處理小量資料的加密和簽名加密方式比較對(duì)稱(chēng)非對(duì)稱(chēng)密鑰數(shù)量單個(gè)Key一對(duì)Key型態(tài)Ke摘要算法原理用來(lái)辨別數(shù)據(jù)是否被篡改將數(shù)據(jù)通過(guò)摘要算法產(chǎn)生輸出結(jié)果產(chǎn)生的結(jié)果為固定長(zhǎng)度，通常為128或160bits--不同輸入長(zhǎng)度，相同輸出長(zhǎng)度

--數(shù)字摘要不可能編造出相同摘要的數(shù)據(jù)文件文件中任一單元被修改，摘要結(jié)果大不相同摘要算法原理用來(lái)辨別數(shù)據(jù)是否被篡改摘要算法應(yīng)用使用摘要算法的作用：用來(lái)檢驗(yàn)數(shù)據(jù)的完整性用來(lái)產(chǎn)生簽章的數(shù)據(jù)源摘要算法應(yīng)用使用摘要算法的作用：摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源算法應(yīng)用全過(guò)程數(shù)字信封算法應(yīng)用全過(guò)程數(shù)字信封算法應(yīng)用全過(guò)程算法應(yīng)用全過(guò)程小結(jié)

PKI的作用：

--機(jī)密性

--真實(shí)性

--身份認(rèn)證

--不可否認(rèn)小結(jié)PKI的作用：南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)原則

設(shè)計(jì)原則安全保密第一原則技術(shù)安全和管理安全并重原則準(zhǔn)確了解保護(hù)對(duì)象原則多層次多安全單元保護(hù)防范原則責(zé)任與風(fēng)險(xiǎn)分散和最小授權(quán)原則綜合性全方位和統(tǒng)一的保護(hù)與防范原則用戶(hù)使用方便原則不斷發(fā)展的動(dòng)態(tài)原則

南京市CA分中心系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)說(shuō)明南京市CA分中心采用雙證書(shū)體系頒發(fā)的證書(shū)類(lèi)型--個(gè)人證書(shū)

--單位證書(shū)

--設(shè)備證書(shū)頒發(fā)的證書(shū)遵循X.509V3標(biāo)準(zhǔn)南京市CA分中心系統(tǒng)說(shuō)明南京市CA分中心采用雙證書(shū)體系數(shù)字證書(shū)內(nèi)容數(shù)字證書(shū)內(nèi)容數(shù)字證書(shū)內(nèi)容數(shù)字證書(shū)內(nèi)容CRL列表具體內(nèi)容CRL列表具體內(nèi)容應(yīng)用架構(gòu)

LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)準(zhǔn)應(yīng)用架構(gòu)LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)證書(shū)應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)

證書(shū)開(kāi)發(fā)接口是為應(yīng)用程序開(kāi)發(fā)者提供安全平臺(tái)接口，提供1024/128位強(qiáng)度的加密算法，任何使用政務(wù)證書(shū)的應(yīng)用系統(tǒng)都可以通過(guò)接口實(shí)現(xiàn)集成，所有的功能和機(jī)制都由該接口實(shí)現(xiàn)（包括證書(shū)驗(yàn)證，黑名單查詢(xún)等）。提供的接口包括：OCSP/LDAP/CSP/PKCS#11/CKeySDK，提供的接口支持Windows,Linux,Unix等平臺(tái)。

證書(shū)應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國(guó)家密碼行業(yè)相關(guān)要求進(jìn)行建設(shè)的應(yīng)用系統(tǒng)在進(jìn)行證書(shū)嵌入改造過(guò)程中，可以分為兩個(gè)層次，即服務(wù)器端和客戶(hù)端服務(wù)器端接口部分，南京市CA分中心遵循LDAPV3標(biāo)準(zhǔn)客戶(hù)端接口部分，南京市CA分中心遵循MSCAPI/PKCS#11標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國(guó)家密碼行業(yè)相關(guān)要求LDAP/OCSP標(biāo)準(zhǔn)和開(kāi)發(fā)接口介紹LDAP/OCSP標(biāo)準(zhǔn)和開(kāi)發(fā)接口介紹LDAP概念LDAP（輕量目錄訪問(wèn)協(xié)議）的英文全稱(chēng)是LightweightDirectoryAccessProtocol。它是基于X.500標(biāo)準(zhǔn)的，但是簡(jiǎn)單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP。

LDAP最大的優(yōu)勢(shì)是：可以在任何計(jì)算機(jī)平臺(tái)上，用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶(hù)端程序訪問(wèn)LDAP目錄。而且也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。

LDAP協(xié)議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議。

LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)。

LDAP概念LDAP（輕量目錄訪問(wèn)協(xié)議）的英文LDAP概念

LDAP（LightweightDirectoryAcessProtocol）是目錄服務(wù)在TCP/IP上的實(shí)現(xiàn)（RFC1777V2版和RFC2251V3版）。它是對(duì)X500的目錄協(xié)議的移植，但是簡(jiǎn)化了實(shí)現(xiàn)方法，所以稱(chēng)為輕量級(jí)的目錄服務(wù)。在LDAP中目錄是按照樹(shù)型結(jié)構(gòu)組織，目錄由條目（Entry）組成，條目相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中表的記錄；條目是具有區(qū)別名DN（DistinguishedName）的屬性（Attribute）集合，DN相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)表中的關(guān)鍵字（PrimaryKey）；屬性由類(lèi)型（Type）和多個(gè)值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中的域（Field）由域名和數(shù)據(jù)類(lèi)型組成，

只是為了方便檢索的需要，LDAP中的Type可以有多個(gè)Value，而不是關(guān)系數(shù)據(jù)庫(kù)中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。

LDAP中條目的組織一般按照特定關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫(kù)，而不是關(guān)系數(shù)據(jù)庫(kù)。

LDAP協(xié)議集還規(guī)定了DN的命名方法、存取控制方法、搜索格式、復(fù)制方法、URL格式、開(kāi)發(fā)接口等。

LDAP概念LDAP（LightweLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweightDirectoryAccessProtocol(v3)RFC2252–LDAP(v3):AttributeSyntaxDefinitionsRFC2253–LDAP(v3):UTF-8StringRepresentationofDistinguishedNamesRFC2254–StringRepresentationofLDAPSearchFiltersRFC2255–TheLDAPURLFormatRFC2256–ASummaryofX.500(96)UserSchemaforusewithLDAP(v3)RFC2829–AuthenticationMethodsforLDAPRFC2830–LDAP(v3):ExtensionsforTransportLayerSecurityLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweighLDAP接口函數(shù)定義1．LDAP*

ldap_init(

PCHAR

HostName,

ULONG

PortNumber);參數(shù)說(shuō)明：HostName：LDAP服務(wù)器IP地址

PortNumber：LDAP服務(wù)器端口號(hào)2．ULONGldap_simple_bind_s(

LDAP*ld,

PCHARdn,

PCHARpasswd);

參數(shù)說(shuō)明：

ld：Sessionhandledn：用戶(hù)DN，可以為NULLpasswd：可以為NULLLDAP接口函數(shù)定義1．LDAP*ldap_init(LDAP接口函數(shù)3.ULONGldap_search_s(

LDAP*ld,

UNICODEPTCHARbase,

ULONGscope,

UNICODEPTCHARfilter,

UNICODEPTCHARattrs[],

ULONGattrsonly,

LDAPMessage**res);參數(shù)說(shuō)明：

ld：Sessionhandle dn：查找項(xiàng)

scope：查找域，可以為L(zhǎng)DAP_SCOPE_SUBTREE filter：過(guò)濾項(xiàng)

attrs[]：其他屬性值

attrsonly：是否返回值

res：LDAP服務(wù)器返回值LDAP接口函數(shù)3.ULONGldap_search_sLDAP接口函數(shù)4．LDAPMessage*ldap_first_entry(LDAP*ld,LDAPMessage*res);參數(shù)說(shuō)明：

ld：Sessionhandle

res：查找返回結(jié)果

5．structberval**ldap_get_values_len(LDAP*ExternalHandle,LDAPMessage*Message,UNICODEPTCHARattr );參數(shù)說(shuō)明：

ExternalHandle：Sessionhandle Message：ldap_first_entry返回的結(jié)構(gòu)

attr：指定返回類(lèi)型

LDAP接口函數(shù)4．LDAPMessage*ldap_f南京市LDAP構(gòu)架

“推”方式“拉”方式南京市LDAP構(gòu)架“推”方式“拉”方式南京市LDAP配置

服務(wù)器IP地址端口，注意：不是389匿名登錄南京市LDAP配置服務(wù)器IP地址端口，注意：不是389匿名南京市LDAP配置CRL列表南京市LDAP配置CRL列表南京市LDAP配置南京市LDAP配置LDAP客戶(hù)端及開(kāi)發(fā)工具

LDAP所支持的客戶(hù)端工具有很多種，目前比較流行的有LDAPExplorerTool、LDAPBrowers等等。

LDAPExplorerTool工具下載地址：/

LDAP客戶(hù)端及開(kāi)發(fā)工具LDAP所支持的客戶(hù)端工具OCSP概念

在線證書(shū)狀態(tài)協(xié)議（OCSP）是維持服務(wù)器和其他網(wǎng)絡(luò)資源安全的兩種常用方案中的一種。另一種更老的方式（某種程度上被OCSP所替代）是證書(shū)注銷(xiāo)列表（CRL）。

OCSP克服了CRL主要的限制：必須在客戶(hù)端頻繁地下載更新數(shù)據(jù)，才能保證列表的當(dāng)前性。當(dāng)用戶(hù)試圖訪問(wèn)某服務(wù)器時(shí)，OCSP會(huì)發(fā)送一個(gè)證書(shū)狀態(tài)信息的請(qǐng)求。服務(wù)器返回一個(gè)“當(dāng)前”、“終止”或“未知”的回復(fù)。該協(xié)議規(guī)定了在服務(wù)器（它包含證書(shū)狀態(tài)）與客戶(hù)應(yīng)用程序（它被告知狀態(tài)）之間傳遞信息的語(yǔ)法。OCSP給與使用已終止的證書(shū)的用戶(hù)一定的寬限期，這樣他們?cè)谥匦律暾?qǐng)前可以在一定時(shí)間內(nèi)訪問(wèn)服務(wù)器。OCSP概念在線證書(shū)狀態(tài)協(xié)議（OCSP）是維OCSP遵循標(biāo)準(zhǔn)

遵循OCSPv1、OCSPv2標(biāo)準(zhǔn)協(xié)議遵循標(biāo)準(zhǔn)的高強(qiáng)度非對(duì)稱(chēng)加密算法遵循X.509V3證書(shū)標(biāo)準(zhǔn)遵循HTTP1.1協(xié)議標(biāo)準(zhǔn)遵循XML標(biāo)準(zhǔn)遵循國(guó)際電聯(lián)ASN.1編碼規(guī)則遵循CMP標(biāo)準(zhǔn)

OCSP遵循標(biāo)準(zhǔn)遵循OCSPv1、OCSPv2標(biāo)準(zhǔn)OCSP工作原理OCSP工作原理OCSP接口函數(shù)INTCheckCertFromOcspServer（

char*Ip,

intport,

char*CaCert,

char*UserCert);參數(shù)說(shuō)明：

Ip:ocspserver地址

Port:ocspserver端口

CaCert：CA證書(shū)

UserCert：被查詢(xún)的用戶(hù)證書(shū)OCSP接口函數(shù)INTCheckCertFromOcsp小結(jié)南京市CA分中心系統(tǒng)LDAP/OCSP采用標(biāo)準(zhǔn)技術(shù)架構(gòu)建議大部分應(yīng)用通過(guò)訪問(wèn)LDAP獲取證書(shū)驗(yàn)證信息特定應(yīng)用可采用LDAP/OCSP混合驗(yàn)證證書(shū)LDAP/OCSP的作用是給用戶(hù)開(kāi)放針對(duì)南京市CA分中心頒發(fā)的數(shù)字證書(shū)進(jìn)行驗(yàn)證所必須的資源

小結(jié)南京市CA分中心系統(tǒng)LDAP/OCSP采用標(biāo)準(zhǔn)技術(shù)架構(gòu)MSCAPI/PKCS#11標(biāo)準(zhǔn)和開(kāi)發(fā)介紹MSCAPI/PKCS#11標(biāo)準(zhǔn)和開(kāi)發(fā)介紹USBKey軟件架構(gòu)USBKey軟件架構(gòu)基于MSCAPI的具體實(shí)現(xiàn)基于MSCAPI的具體實(shí)現(xiàn)基于MSCAPI的具體實(shí)現(xiàn)提供基于cKey加密算法的CSP應(yīng)用程序不能直接與CSP進(jìn)行通訊應(yīng)用程序通過(guò)調(diào)用CryptoAPI接口函數(shù)來(lái)與CSP進(jìn)行通訊

基于MSCAPI的具體實(shí)現(xiàn)提供基于cKey加密算法的CS基于MSCAPI的具體實(shí)現(xiàn)CAPI函數(shù)的具體說(shuō)明在MSDN上可以查到。

基于MSCAPI的具體實(shí)現(xiàn)CAPI函數(shù)的具體說(shuō)明在MSD基于PKCS#11的具體實(shí)現(xiàn)

基于PKCS#11的具體實(shí)現(xiàn)系統(tǒng)二次開(kāi)發(fā)接口系統(tǒng)二次開(kāi)發(fā)接口CKey619SDK函數(shù)說(shuō)明CKey619SDK.chmCKey619SDK函數(shù)說(shuō)明CKey619SDK.chm總結(jié)總結(jié)總結(jié)針對(duì)應(yīng)用，南京市CA分中心系統(tǒng)均采用標(biāo)準(zhǔn)技術(shù)架構(gòu)

LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)準(zhǔn)總結(jié)針對(duì)應(yīng)用，南京市CA分中心系統(tǒng)均采用標(biāo)準(zhǔn)技術(shù)架構(gòu)LDAP總結(jié)針對(duì)特定應(yīng)用，例如：數(shù)字簽名、網(wǎng)頁(yè)簽章等等我們將提供C編寫(xiě)的SDK開(kāi)發(fā)包供用戶(hù)調(diào)用總結(jié)針對(duì)特定應(yīng)用，例如：數(shù)字簽名、網(wǎng)頁(yè)簽章等等總結(jié)

應(yīng)用系統(tǒng)進(jìn)行證書(shū)嵌入改造過(guò)程中，難點(diǎn)和工作量不體現(xiàn)在程序的開(kāi)發(fā)上，而在于現(xiàn)有系統(tǒng)配置上。

——SSL的啟用和配置

總結(jié)應(yīng)用系統(tǒng)進(jìn)行證書(shū)嵌入改造過(guò)程中，難點(diǎn)和工作量不體現(xiàn)在謝謝大家！謝謝大家！討論討論江蘇省電子政務(wù)證書(shū)認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料2006年11月江蘇省電子政務(wù)證書(shū)認(rèn)證系統(tǒng)提綱數(shù)字證書(shū)基礎(chǔ)介紹 --20分鐘南京CA分中心系統(tǒng)設(shè)計(jì) --10分鐘LDAP/OCSP標(biāo)準(zhǔn)和開(kāi)發(fā)接口 --10分鐘MSCAPI/PKCS#11標(biāo)準(zhǔn)和開(kāi)發(fā)接口 --20分鐘系統(tǒng)二次開(kāi)發(fā)接口 --30分鐘總結(jié)提綱數(shù)字證書(shū)基礎(chǔ)介紹 --20分鐘數(shù)字證書(shū)基礎(chǔ)介紹數(shù)字證書(shū)基礎(chǔ)介紹數(shù)字證書(shū)基礎(chǔ)

PKI（公開(kāi)密鑰基礎(chǔ)設(shè)施）是通過(guò)使用公鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全，進(jìn)行數(shù)據(jù)加密和用戶(hù)身份驗(yàn)證的體系。

--對(duì)稱(chēng)算法

--非對(duì)稱(chēng)算法

--摘要算法

--算法應(yīng)用全過(guò)程

數(shù)字證書(shū)基礎(chǔ)PKI（公開(kāi)密鑰基礎(chǔ)設(shè)施）是通過(guò)使用對(duì)稱(chēng)算法原理。

相同對(duì)稱(chēng)算法原理相同對(duì)稱(chēng)算法問(wèn)題

對(duì)于實(shí)際應(yīng)用而言，問(wèn)題是如何管理這些對(duì)稱(chēng)密鑰并保證其安全性。

對(duì)稱(chēng)算法問(wèn)題對(duì)于實(shí)際應(yīng)用而言，問(wèn)題是如何管理這些對(duì)非對(duì)稱(chēng)算法原理

不同非對(duì)稱(chēng)算法原理不同加密方式比較

對(duì)稱(chēng)非對(duì)稱(chēng)密鑰數(shù)量單個(gè)Key一對(duì)Key型態(tài)Key必須保密一個(gè)是公開(kāi)的Key，一個(gè)是私用的Key管理簡(jiǎn)單，但不容易管理需要數(shù)字證書(shū)和CA加密速度非?？燧^快應(yīng)用用于大量資料的加密處理用于特定需求，處理小量資料的加密和簽名加密方式比較對(duì)稱(chēng)非對(duì)稱(chēng)密鑰數(shù)量單個(gè)Key一對(duì)Key型態(tài)Ke摘要算法原理用來(lái)辨別數(shù)據(jù)是否被篡改將數(shù)據(jù)通過(guò)摘要算法產(chǎn)生輸出結(jié)果產(chǎn)生的結(jié)果為固定長(zhǎng)度，通常為128或160bits--不同輸入長(zhǎng)度，相同輸出長(zhǎng)度

--數(shù)字摘要不可能編造出相同摘要的數(shù)據(jù)文件文件中任一單元被修改，摘要結(jié)果大不相同摘要算法原理用來(lái)辨別數(shù)據(jù)是否被篡改摘要算法應(yīng)用使用摘要算法的作用：用來(lái)檢驗(yàn)數(shù)據(jù)的完整性用來(lái)產(chǎn)生簽章的數(shù)據(jù)源摘要算法應(yīng)用使用摘要算法的作用：摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源算法應(yīng)用全過(guò)程數(shù)字信封算法應(yīng)用全過(guò)程數(shù)字信封算法應(yīng)用全過(guò)程算法應(yīng)用全過(guò)程小結(jié)

PKI的作用：

--機(jī)密性

--真實(shí)性

--身份認(rèn)證

--不可否認(rèn)小結(jié)PKI的作用：南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)原則

設(shè)計(jì)原則安全保密第一原則技術(shù)安全和管理安全并重原則準(zhǔn)確了解保護(hù)對(duì)象原則多層次多安全單元保護(hù)防范原則責(zé)任與風(fēng)險(xiǎn)分散和最小授權(quán)原則綜合性全方位和統(tǒng)一的保護(hù)與防范原則用戶(hù)使用方便原則不斷發(fā)展的動(dòng)態(tài)原則

南京市CA分中心系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)說(shuō)明南京市CA分中心采用雙證書(shū)體系頒發(fā)的證書(shū)類(lèi)型--個(gè)人證書(shū)

--單位證書(shū)

--設(shè)備證書(shū)頒發(fā)的證書(shū)遵循X.509V3標(biāo)準(zhǔn)南京市CA分中心系統(tǒng)說(shuō)明南京市CA分中心采用雙證書(shū)體系數(shù)字證書(shū)內(nèi)容數(shù)字證書(shū)內(nèi)容數(shù)字證書(shū)內(nèi)容數(shù)字證書(shū)內(nèi)容CRL列表具體內(nèi)容CRL列表具體內(nèi)容應(yīng)用架構(gòu)

LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)準(zhǔn)應(yīng)用架構(gòu)LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)證書(shū)應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)

證書(shū)開(kāi)發(fā)接口是為應(yīng)用程序開(kāi)發(fā)者提供安全平臺(tái)接口，提供1024/128位強(qiáng)度的加密算法，任何使用政務(wù)證書(shū)的應(yīng)用系統(tǒng)都可以通過(guò)接口實(shí)現(xiàn)集成，所有的功能和機(jī)制都由該接口實(shí)現(xiàn)（包括證書(shū)驗(yàn)證，黑名單查詢(xún)等）。提供的接口包括：OCSP/LDAP/CSP/PKCS#11/CKeySDK，提供的接口支持Windows,Linux,Unix等平臺(tái)。

證書(shū)應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國(guó)家密碼行業(yè)相關(guān)要求進(jìn)行建設(shè)的應(yīng)用系統(tǒng)在進(jìn)行證書(shū)嵌入改造過(guò)程中，可以分為兩個(gè)層次，即服務(wù)器端和客戶(hù)端服務(wù)器端接口部分，南京市CA分中心遵循LDAPV3標(biāo)準(zhǔn)客戶(hù)端接口部分，南京市CA分中心遵循MSCAPI/PKCS#11標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國(guó)家密碼行業(yè)相關(guān)要求LDAP/OCSP標(biāo)準(zhǔn)和開(kāi)發(fā)接口介紹LDAP/OCSP標(biāo)準(zhǔn)和開(kāi)發(fā)接口介紹LDAP概念LDAP（輕量目錄訪問(wèn)協(xié)議）的英文全稱(chēng)是LightweightDirectoryAccessProtocol。它是基于X.500標(biāo)準(zhǔn)的，但是簡(jiǎn)單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP。

LDAP最大的優(yōu)勢(shì)是：可以在任何計(jì)算機(jī)平臺(tái)上，用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶(hù)端程序訪問(wèn)LDAP目錄。而且也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。

LDAP協(xié)議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議。

LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)。

LDAP概念LDAP（輕量目錄訪問(wèn)協(xié)議）的英文LDAP概念

LDAP（LightweightDirectoryAcessProtocol）是目錄服務(wù)在TCP/IP上的實(shí)現(xiàn)（RFC1777V2版和RFC2251V3版）。它是對(duì)X500的目錄協(xié)議的移植，但是簡(jiǎn)化了實(shí)現(xiàn)方法，所以稱(chēng)為輕量級(jí)的目錄服務(wù)。在LDAP中目錄是按照樹(shù)型結(jié)構(gòu)組織，目錄由條目（Entry）組成，條目相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中表的記錄；條目是具有區(qū)別名DN（DistinguishedName）的屬性（Attribute）集合，DN相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)表中的關(guān)鍵字（PrimaryKey）；屬性由類(lèi)型（Type）和多個(gè)值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中的域（Field）由域名和數(shù)據(jù)類(lèi)型組成，

只是為了方便檢索的需要，LDAP中的Type可以有多個(gè)Value，而不是關(guān)系數(shù)據(jù)庫(kù)中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。

LDAP中條目的組織一般按照特定關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫(kù)，而不是關(guān)系數(shù)據(jù)庫(kù)。

LDAP協(xié)議集還規(guī)定了DN的命名方法、存取控制方法、搜索格式、復(fù)制方法、URL格式、開(kāi)發(fā)接口等。

LDAP概念LDAP（LightweLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweightDirectoryAccessProtocol(v3)RFC2252–LDAP(v3):AttributeSyntaxDefinitionsRFC2253–LDAP(v3):UTF-8StringRepresentationofDistinguishedNamesRFC2254–StringRepresentationofLDAPSearchFiltersRFC2255–TheLDAPURLFormatRFC2256–ASummaryofX.500(96)UserSchemaforusewithLDAP(v3)RFC2829–AuthenticationMethodsforLDAPRFC2830–LDAP(v3):ExtensionsforTransportLayerSecurityLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweighLDAP接口函數(shù)定義1．LDAP*

ldap_init(

PCHAR

HostName,

ULONG

PortNumber);參數(shù)說(shuō)明：HostName：LDAP服務(wù)器IP地址

PortNumber：LDAP服務(wù)器端口號(hào)2．ULONGldap_simple_bind_s(

LDAP*ld,

PCHARdn,

PCHARpasswd);

參數(shù)說(shuō)明：

ld：Sessionhandledn：用戶(hù)DN，可以為NULLpasswd：可以為NULLLDAP接口函數(shù)定義1．LDAP*ldap_init(LDAP接口函數(shù)3.ULONGldap_search_s(

LDAP*ld,

UNICODEPTCHARbase,

ULONGscope,

UNICODEPTCHARfilter,

UNICODEPTCHARattrs[],

ULONGattrsonly,

LDAPMessage**res);參數(shù)說(shuō)明：

ld：Sessionhandle dn：查找項(xiàng)

scope：查找域，可以為L(zhǎng)DAP_SCOPE_SUBTREE filter：過(guò)濾項(xiàng)

attrs[]：其他屬性值

attrsonly：是否返回值

res：LDAP服務(wù)器返回值LDAP接口函數(shù)3.ULONGldap_search_sLDAP接口函數(shù)4．LDAPMessage*ldap_first_entry(LDAP*ld,LDAPMessage*res);參數(shù)說(shuō)明：

ld：Sessionhandle

res：查找返回結(jié)果

5．structberval**ldap_get_values_len(LDAP*ExternalHandle,LDAPMessage*Message,UNICODEPTCHARattr );參數(shù)說(shuō)明：

ExternalHandle：Sessionhandle Message：ldap_first_entry返回的結(jié)構(gòu)

attr：指定返回類(lèi)型

LDAP接口函數(shù)4．LDAPMessage*ldap_f南京市LDAP構(gòu)架

“推”方式“拉”方式南京市LDAP構(gòu)架“推”方式“拉”方式南京市LDAP配置

服務(wù)器IP地址端口，注意：不是389匿名登錄南京市LDAP配置服務(wù)器IP地址端口，注意：不是389匿名南京市LDAP配置CRL列表南京市LDAP配置CRL列表南京市LDAP配置南京市LDAP配置LDAP客戶(hù)端及開(kāi)發(fā)工具

LDAP所支持的客戶(hù)端工具有很多種，目前比較流行的有LDAPExplorerTool、LDAPBrowers等等。

LDAPExplorerTool工具下載地址：/

LDAP客戶(hù)端及開(kāi)發(fā)工具LDAP所支持的客戶(hù)端工具OCSP概念

在線證書(shū)狀態(tài)協(xié)議（OCSP）是維持服務(wù)器和其他網(wǎng)絡(luò)資源安全的兩種常用方案中的一種。另一種更老的方式（某種程度上被OCSP所替代）是證書(shū)注銷(xiāo)列表（CRL）。

OCSP克服了CRL主要的限制：必須在客戶(hù)端頻繁地下載更新數(shù)據(jù)，才能保證列表的當(dāng)前性。當(dāng)用戶(hù)試圖訪問(wèn)某服務(wù)器時(shí)，OCSP會(huì)發(fā)送一個(gè)證書(shū)狀態(tài)信息的請(qǐng)求。服務(wù)器返回一個(gè)“當(dāng)前”、“終止”或“未知”的回復(fù)。該協(xié)議規(guī)定了在服務(wù)器（它包含證書(shū)狀態(tài)）與客戶(hù)應(yīng)用程序（它被告知狀態(tài)）之間傳遞信息的語(yǔ)法。OCSP給與使用已終止的證書(shū)的用戶(hù)一定的寬限期，這樣他們?cè)谥匦律暾?qǐng)前可以在一定時(shí)間內(nèi)訪問(wèn)服務(wù)器。OCSP概念在線證書(shū)狀態(tài)協(xié)議（OCSP）是維OCSP遵循標(biāo)準(zhǔn)

遵