[信息与通信]PKI技术.ppt

网络安全基础 第9章 PKI 技术 内容提要 PKI概述 证书基础 证书的申请 证书的自动注册 证书的导入/导出 吊销证书和发布证书吊销列表 PKI在文件传输加密与数字签名方面的应用 9.1 PKI概述 1．什么是PKI PKI（Public Key Infrastructure，公钥基础设施）的理论基础是非对称密码技术，以数字证书为媒介，从技术上解决网上身份认证、信息的完整性和不可抵赖性等安全问题，为诸如电子商务、电子政务、网上银行和网上证券等网络应用提供可靠的安全服务、具有通用性的安全基础设施。它既是一种技术方案，又代表一种认证体系，其定义不断延伸和扩展。 9.1 PKI概述 2．PKI的体系结构 9.2 证 书 基 础 9.2.1 证书服务概述 1．证书服务 在 Windows 操作系统中使用证书服务来创建证书颁发机构（Certificate Authority，CA），该颁发机构负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表（CRL）。 证书服务还可应用于： ① 使用Web或证书 Microsoft 管理控制台（MMC）管理单元从CA为用户注册证书，或者通过自动注册透明地为用户注册证书； ② 根据CA所使用的策略，使用证书模板帮助简化在申请证书时申请者必须作出的选择； ③ 利用Active Directory目录服务，发布信任的根证书、已颁发的证书、CRL； ④使用智能卡实现登录到Windows操作系统域的能力。 9.2.1 证书服务概述 2．证书策略 证书策略是一组指导或规则，用于在处理证书申请、颁发证书、吊销证书和发布CRL时使用。这些指导是CA上的管理策略和配置设置的组合。安装证书服务时，将CA配置为具有默认规则和设置集。 9.2.1 证书服务概述 3．处理证书申请 用户可以使用IE等浏览器来申请证书或者使用证书管理单元从企业CA申请证书，或者管理员可配置证书自动注册来透明地为用户申请和安装证书。 9.2.1 证书服务概述 4．CA的安全考虑 关于CA的安全问题，应考虑其的具体安全运作，主要包括以下几方面： （1）物理保护 在物理位置上对CA服务器进行隔离，服务器放在只允许安全管理员访问的房间，这样可大大减少此类攻击的可能性。 （2）备份/恢复 如果出现硬件故障，则CA可能会丢失有关信息。这可能会引起大量的管理和操作性问题，而且可阻碍现有证书的吊销。证书服务支持使用“备份”来备份CA，以便能在事后恢复。这是整个CA管理过程的一个重要内容。 （3）密钥管理 CA的密钥是其最珍贵的财产，因为私钥提供了认证过程中相互信任的基础。加密硬件设备可提供防篡改的密钥存储，并将加密操作与服务器上运行的其他软件分离。这将减小CA密钥被泄露的可能性。证书服务支持来自其他源的加密服务提供程序（CSP），但是，Windows中包含的文档特定于Windows包含的软件CSP。如果使用其他来源的CSP，那么应该与供应商确认该CSP可与证书服务一同使用。 9.2.1 证书服务概述 5．自定义证书服务 证书服务包括一些可编程接口，这样开发人员可以创建对其他传输、策略以及证书属性和格式的支持。 9.2.2 证书服务的安装 要使用证书服务，首先要在服务器上安装“证书服务”，并对企业的证书颁发机构进行配置。在安装之前需注意以下事项： （1）在 CA 安装结束后，不能更改安装期间提供的初始信息，例如，证书颁发机构的名称； （2）安装证书颁发机构前，应首先配置计算机的域设置（例如，加入域或将服务器升级为域控制器），一旦安装完证书颁发机构，这些设置就无法更改； （3）如果还未通过Internet信息服务启用Active Server Pages，系统将提示您激活它们。证书颁发机构的Web界面要求运行Active Server Page； 9.2.2 证书服务的安装 要使用证书服务，首先要在服务器上安装“证书服务”，并对企业的证书颁发机构进行配置。在安装之前需注意以下事项： （4）企业根CA的选择要求主机是域的成员，并且它使用Active Directory目录服务。安装企业 CA的管理员必须拥有Active Directory的写入权限； （5）如果对Active Directory具有写权限，则指定共享文件夹是可选的，一般情况下对企业证书颁发机构不这么做； （6）为CA选择的有效期将决定CA何时“到期”，如果将企业证书颁发机构安装为企业管理员或委派的用户，在卸载企业证书颁发机构时，您必须使用该Enterprise Admin或委派的用户账户； （7）安装证书颁发机构之后，即可将证书模板添加至证书颁发机构，并将证书颁发机构配置为允许主题请求基于模板的证书。 9.2.2 证书服务的