数字证书服务器配置和应用.ppt

网络配置与应用;★ 学习目标 ★ 熟悉数字证书的概念和功能 熟悉PKI与数字证书之间的关系 熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和配置方法 掌握数字证书的使用方法 掌握数字证书的管理方法 ; 重点难点 熟悉基于Windows Server 2003数字证书服务的功能特点 掌握基于Windows Server 2003数字证书服务器的安装和配置方法 掌握数字证书的使用方法; ;数字证书也称为数字标识（Digital Certificate，或Digital ID）。它提供了一种在Internet等公共网络中进行身份验证的方式，是用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权威的证书认证机构（Certificate Authority，CA）发行，在网络中可以通过从CA中获得的数字证书来识别对方的身份。通俗地讲，数字证书就是个人或单位在Internet等公共网络上的身份证。 比较专业的数字证书定义是：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下，证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准。 通过数字证书就可以使信息传输的必威体育官网网址性、数据交换的完整性、发送信息的不可否认性交易者身份的确定性这四大网络安全要素得到保障。;目前，计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类。其中，非PKI安全体系的应用最为广泛，例如用户大量使用的“用户名称+密码”的形式就属于非PKI体系。由于非PKI体系的安全性相对较弱，所以近年来PKI安全体系得到了越来越广泛的关注和应用 ;5.2.1 PKI的概念 PKI（Public Key Infrastructure，公钥基础设施）为网上信息的传输提供了加密（Encryption）和验证（Authentication）功能，在信息发送前对其进行加密处理，当对方接收到信息后，能够验证该信息是否确实是由发送方发送的信息，同时还可以确定信息的完整性（Integrity），即信息在发送过程中未被他人非法篡改。数字证书是PKI中最基本的元素，所有安全操作都主要通过证书来实现。PKI的组成除数字证书之外，还包括签署这些证书的认证、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口（API）等基本构成部分。 ;PKI根据公开密钥学（Public Key Cryptography）来提供前面介绍的加密和验证功能，在此过程中需要公开密钥和私有密钥来支持，其中： ? 公开密钥（Public Key）。公开密钥也称为公共密钥（简称为“公钥”），在安全系统中公开密钥不需要进行必威体育官网网址，是向网络中的所有用户公开的。对于一个安全系统来说，公开密钥是唯一的。 ? 私有密钥（Private Key）。私有密钥简称为“私钥”，是用户个人拥有的密码，它存在于用户自己的计算机或其他介质中，只有该用户自己才能使用。私有密钥需要安全保存和管理。 在信息的安全传输中，发送信息前可以通过公开密钥对其进行加密，接收方在接收到信息后再利用自己的私有密钥进行解密。;5.2.2 公开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理，其中公开密钥用来进行加密，而私有密钥用来进行解密，这种加密和解密的处理方式也称为“非对称”（asymmetric）加密法。另外，还有一种称为“秘密密钥加密法”（secret key encryption），该算法也称为“对称”（symmetric）加密法，这种方法在进行加密和解密的过程中都使用同一个密钥。 ;5.2.3 公开密钥验证法 数字签名”是通过一个单向函数对要传送的报文进行处理得到的，用以认证信息来源并核实信息是否发生变化的一个字母数字串。 用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名，而对方在收到该信息后，能够通过此数字签名来验证信息是否确实是由发送方发送来的，同时还可以确认信息在发送过程中是否被篡改。从实现原理来看，数字签名其实就是对加密、解密的应用。签名的过程为加密过程，查看签名的过程为解密过程。 ;5.2.4 证书认证机构（CA） 在整个加密解密过程中，仅拥有密钥（公开密钥和私有密钥）是不够的，还必须申请相应的数字证书（digital certification）或数据标识（digital ID），这样才可能利用密钥执行信息加密和身份验证操作。在这里，密钥相当于“汽车”，而数字证书相当于“驾驶证”，只有汽车而没有驾驶证是无法开车上路的，同样只有驾驶证而没有汽车也无法使驾驶证发挥