Windows-NS-CHAP6PKI與證書服務(wù)課件

1、PKI與證書服務(wù)第五章Chapter本章目標(biāo)理解PKI的相關(guān)理論掌握Windows網(wǎng)絡(luò)中的CA管理配置和管理企業(yè)內(nèi)部的CA了解基本的加密算法2PKI(公鑰基礎(chǔ)結(jié)構(gòu))公鑰基礎(chǔ)結(jié)構(gòu) 公鑰加密技術(shù) 數(shù)字證書 證書發(fā)放機(jī)構(gòu)（CA） 注冊權(quán)威機(jī)構(gòu)（RA） 3對稱加密加密和解密用的密鑰相同 DES 、3DES優(yōu)勢與缺點實現(xiàn)簡單加密速度快通信雙方必須相互認(rèn)識，并同意采用同一密鑰 保存和管理密鑰十分復(fù)雜 安全的傳送密鑰也非常困難4發(fā)送方接收方對稱密鑰加密對稱密鑰解密密文明文傳送兩個密鑰相同對稱加密（Cont.）5發(fā)送方接收方接收方的公鑰加密接收方的私鑰解密密文明文傳送接收方的密鑰對公鑰私鑰非對稱加密（Cont

2、.）多個用戶加密的信息只能由一個用戶解讀 7發(fā)送方接收方發(fā)送方的私鑰加密發(fā)送方的公鑰解密密文明文傳送發(fā)送方的密鑰對公鑰私鑰一個用戶加密的信息，多個用戶解讀 非對稱加密（Cont.）8PGP主界面創(chuàng)建密鑰OUTLOOK與PGP的集成PGP（cont.）10加密簽名加密又簽名PGP（cont.）11HASH算法雜湊算法輸入長度不固定的字符串，返回固定長度字符串無法查找經(jīng)HASH操作后生成特定HASH值的原報文（不可逆性） 無法查找兩個經(jīng)HASH操作后生成相同HASH值的不同報文 SHA、MD512數(shù)字簽名身份驗證 ，數(shù)據(jù)的完整性 創(chuàng)建消息摘要消息摘要經(jīng)過私鑰加密接收方用同樣的算法創(chuàng)建出一個新的消息

3、摘要 與用公鑰解密的消息摘要進(jìn)行比較 如果這兩個消息摘要互相匹配，則可保證完整性 14發(fā)送方接收方傳送HASH算法消息摘要發(fā)送方私鑰加密的消息摘要 消息 消息消息摘要 消息消息摘要新創(chuàng)建的消息摘要發(fā)送方公鑰解密消息摘要相同的HASH算法對比兩個消息摘要數(shù)字簽名（cont.）15Windows Server 2003證書服務(wù)中可以查看證書的狀態(tài) 數(shù)字證書17證書的用途信息的保密性 交易者身份的確定性 不可否認(rèn)性 不可修改性 18證書申請過程證書申請 RA確認(rèn)用戶 證書策略處理 RA提交用戶申請信息到CA CA為用戶生成密鑰對 CA將數(shù)字證書傳送給批準(zhǔn)該用戶的RA RA將數(shù)字證書傳送給用戶 用戶驗

4、證CA頒發(fā)的證書 19證書申請過程（cont.）201. 在Windows組件中安裝證書服務(wù)2.安裝證書服務(wù)后，計算機(jī)名和域成員身份都不能更改 3. 證書可以通過Web注冊安裝證書服務(wù)21創(chuàng)建CA 企業(yè)根CA 企業(yè)從屬CA 獨立根CA 獨立從屬CA 222.添加/刪除管理單元 3. 添加管理單元 5. 為用戶賬戶管理證書4. 選擇證書管理單元6. 證書管理單元安裝完畢，單擊確定7. 申請證書8. 證書申請向?qū)?.鍵入MMC命令通過管理控制臺申請證書249. 選擇證書類型10. 為新證書鍵入名稱和描述11. 完成證書申請向?qū)?2. 證書申請成功申請的證書通過管理控制臺申請證書（Cont.）251

5、2345查看企業(yè)根CA證書 271. 雙擊要查看的證書2. 查看證書3. 證書路徑查看已頒發(fā)的證書 28證書的導(dǎo)入證書的導(dǎo)出證書的導(dǎo)入和導(dǎo)出291. 吊銷證書2. 證書吊銷的原因3. 證書已吊銷吊銷證書301234將證書映射到用戶賬戶 31本章總結(jié)PKI體系結(jié)構(gòu)采用證書來管理公鑰，通過第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在Internet上驗證用戶的身份，保證了網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性對稱加密就是加密和解密用的密鑰是相同的。非對稱加密算法需要兩個密鑰：公鑰和私鑰32本章總結(jié)（cont.）公鑰與私鑰是一對，如果用公鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私鑰才能解密；如果用私

6、鑰對數(shù)據(jù)進(jìn)行加密，那么只有用對應(yīng)的公鑰才能解密PGP是一個基于RSA公鑰系統(tǒng)的郵件加密軟件。HASH（哈希）算法也稱為雜湊算法，這是一個簡單的不可逆過程33本章總結(jié)（cont.）數(shù)據(jù)加密以公鑰作為加密密鑰，以用戶私鑰作為解密密鑰；數(shù)字簽名以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰CA是PKI公鑰基礎(chǔ)結(jié)構(gòu)中的核心部分。它負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶的數(shù)字證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗證用戶的身份34本章總結(jié)（cont.）CA的主要功能：證書的頒發(fā)、證書的更新、證書的查詢、證書的吊銷和證書的歸檔在Windows Server 2003中的證書服務(wù)按證書頒發(fā)機(jī)構(gòu)可以分為以下四種類型：企業(yè)根CA、企業(yè)從屬CA、獨立根CA和獨立從屬CA35本章總結(jié)（cont.）證書申請可以通過Windows管理控制臺申請，也可以通過Web頁申請。因為企業(yè)根CA位于CA層次的最高層，所以它會給自己頒發(fā)了一張證書36實驗?zāi)繕?biāo)安裝證書服務(wù)配置證書服務(wù)37實驗拓?fù)浣Y(jié)構(gòu)客戶機(jī)客戶