windows网络服务--PKI与证书服务应用 

 

        ca  (certification authority)认证中心

        authentication  验证

        authorization   核准  授权

        pki   (pubile key infrastructure)公钥加密基础结构

        ssl   (secure socket layer)安全套接字层

        https (secure hypertext transfer protocol)安全超文本传输

 本章主要学习 

               PKI的概念和认证流程

               企业cd的管理

               在web站点上应用证书

  PKI公钥加密基础结构):通过使用公钥技术和数字签名来确保信息安全,并负责数字证书持有者的身份的一种技术,PKI由公钥加密技术、数字证书、认证机构(ca)、注册机构(ra)等组成。认证机构(ca)是PKI的核心,并负责管理PKI中所有用户的数字证书的生成、分发、验证和撤销。注册机构(ra)负责接受用户的请求为ca分担了部分任务。

公钥加密技术

公钥和私钥的关系:

                公钥和私钥是成对出现的,互不相同,可以互相加密和解密。

                不能根据一个密钥来推算出另一个密钥。

                公钥对外公开,私钥只有持有人才知道。

对称加密和非对称加密:

              对称加密:使用同一个密钥进行加密、解密。

              非对称加密:使用公钥和私钥进行加解密、安全性更高。

    数据加密: 具有机密性   

    数字签名 :具有身份验证性、数据的完整性、操作的不可否认性

              消息由签名者即发送方自己签名发送,签名者不能也难于否认。

         消息自签发到接受这段过程中是否发生过修改,签发的消息是否是真实的


数字加密的过程  

                      发送方使用接收方的公钥加密数据

                      接收方使用自己的私钥解密数据

     windows网络服务--PKI与证书服务应用_网络技术

数字签名的过程

     发送方     

 对原始数据执行HASH算法得到摘要值

                 发送方用自己私钥加密摘要值

                 将加密的摘要值与原始数据发送给接收方

            windows网络服务--PKI与证书服务应用_网络技术_02

SSL(安全套接字层):即信息在传输过程中使用的安全通道

                   认证用户和服务器,确保数据发送到正确的客户机和服务器

                   加密数据以防止数据中途被窃取

                   维护数据的完整性,确保数据在传输ds过程中不被改变

            

HTTPS:使用SSL来实现安全的通信


什么是证书?

             证书用于保证密钥的合法性

             证书的主体可以是用户、计算机、服务等

             证书格式遵循X.509标准

数字证书包含信息

             使用者的公钥值

             使用者标识信息(如名称和电子邮件地址)

             有效期(证书的有效时间)

             颁发者标识信息

             颁发者的数字签名 

证书服务器 (CA)的作用

                处理证书申请

                发放证书

                更新证书

                接受最终用户数字证书的查询、撤销

                产生和发布证书吊销列表(CRL)

                数字证书归档

操作步骤:1. 在2003或08上添加Active Directory证书服务  2.选择角色服务  3.指定企业安装类型   4. 指定CA类型     5.新建私钥   6. 配置加密     7. 完成角色安装并测试

windows网络服务--PKI与证书服务应用_PKI_03
windows网络服务--PKI与证书服务应用_网络技术_04
然后再用客户机加入域,(ca可以和域控制器安装在一起),用客户机输入ca服务器的ip地址,如:192.168.10.1/certsrv申请证书

申请证书


1.运行 Internet 信息服务管理器

2.创建证书申请

3.配置可分辨名称属性

4.指定证书文件名

5.证书文件内容

windows网络服务--PKI与证书服务应用_PKI_05

  用客户机输入ca服务器的ip地址,如:192.168.10.1/certsrv申请证书

提交申请证书

            1.访问证书服务器并申请证书

            2.使用高级证书申请

            3.使用Base64编码证书申请

            4.提交证书申请

windows网络服务--PKI与证书服务应用_PKI_06

颁发证书

            企业CA会自动颁发证书

          1.独立CA颁发挂起的申请

          2.下载证书

windows网络服务--PKI与证书服务应用_PKI_07

完成后还需在Web服务器上安装证书

                          1.完成证书申请

           配置Web证书

                         2.编辑绑定

                         3.添加网站绑定

                         4.SSL设置

                         5.使用HTTPS协议访问网站,如://https;//192.168.10.1

windows网络服务--PKI与证书服务应用_PKI_08


windows网络服务--PKI与证书服务应用_PKI_09
windows网络服务--PKI与证书服务应用_PKI_10  证书服务器还可手动为客户机颁发证书,证书还可以导入和导出,当每次访问该网站时都能保证是安全的了。