15利用公共密鑰基礎結構配置網(wǎng)絡安全性ppt課件

1、2022/7/12利用公共密鑰根底構造配置網(wǎng)絡平安性5 2022/7/125-1概述公共密鑰根底構造PKIPublic Key Infrastructure用于網(wǎng)絡平安，維護數(shù)據(jù)2000系統(tǒng)包括一個本機PKI以充分利用2000平安性體系構造的優(yōu)點2022/7/125-2初步引見公共密鑰根底構造PKI2000PKI：加密和身份驗證包括智能卡驗證、EFS、IPSec對于電子商務和要求分布式平安性的方案來說： 公共密碼系統(tǒng)是至關重要的2022/7/12 公共密鑰加密技術被加密的數(shù)據(jù)：恣意方式電子郵件、信譽卡數(shù)字、網(wǎng)絡流量運用公鑰、私鑰兩個密鑰二者在數(shù)學上彼此相關聯(lián)2022/7/12公共密鑰加密數(shù)字信

2、封加密信息經過網(wǎng)絡發(fā)送23A78Alice加密信息用 Bob的 公共密鑰1Data3A78Bob解密信息用Bob的私有密鑰3Data2022/7/12 密鑰key一個隨機字符串與某種算法的結合運用私鑰：要保守公鑰：對一切潛在的呼應者完全公開在啟用了PKI功能的程序中，密鑰對用戶來說通常是透明的。如：EFS2022/7/12公共密鑰身份驗證數(shù)字簽名信息經過網(wǎng)絡發(fā)送2*Alice標志信息用Alice的私有密鑰1*Bob驗證信息用Alice的公共密鑰32022/7/12 數(shù)字簽名：驗證發(fā)送者如簽署驅動程序數(shù)字簽名采用散列算法保證：假設單個字節(jié)發(fā)生了變化，會生成完全不同的散列，使簽名無效。用于身份驗證

3、、完好性和防重發(fā)的的散列函數(shù)MD5，128個二進制位的密鑰SHA，160個二進制位的密鑰2022/7/12補充資料：數(shù)字簽名散列算法原理發(fā)送方簽名信息，同時創(chuàng)建音訊摘要并用私鑰加音訊摘要接納方公鑰解密音訊摘要再創(chuàng)建一個音訊摘要二者比較，以保證數(shù)據(jù)的完好性2022/7/12發(fā)放該證書，用做PKI內的平安性憑證4計算機，用戶，或者效力CA*CA接受一個證書懇求1確認該懇求者的信息2CA用本人的私有密鑰對數(shù)字證書進展簽名3認證中心CA證書中包含公共密鑰和一組屬性2022/7/12 認證中心CA擔任提供和指派加密密鑰、解密密鑰和身份驗證外部的CA和內部的CA外：大型的商用CA內：如2000證書效力發(fā)放

4、證書的過程見前頁動畫收回證書CA擔任宣告證書的無效發(fā)布“證書撤銷清單CRL2022/7/12證書層次構造運用證書，必需有公共的信任點CA根CA，根本權威普通不用于向終端用戶發(fā)放證書下層CA下層CA下層CA信任信任信任2022/7/12Windows 2000 PKI域控制器DCSSL和 IPSec證書效力發(fā)放和管理數(shù)字證書活動目錄用于PKI的發(fā)布效力啟用PKI功能的運用程序域用戶計算機如： IE、IIS、Outlook2022/7/12 平安性協(xié)議SSL：網(wǎng)景Netscape開發(fā)的協(xié)議平安套接層SSL用于在Internet通訊中確保平安性和性可用于客戶機、效力器、客服的身份驗證IPSec：用于

5、在IP層支持平安的信息包交換證書的用途效力器身份驗證，如電子商務中驗證站點客戶機身份驗證，如遠程訪問，智能卡EFS、IPSec2022/7/12企業(yè)根CA企業(yè)子CA只需企業(yè)管理員，才干安裝企業(yè)CA用于企業(yè)內部：企業(yè)CA要求懇求證書的用戶和計算機在AD中有一個帳號AD、DNS、身份：企業(yè)管理組獨立根CA獨立子CA用于企業(yè)之外：獨立存在的CA不要求活動目錄5-3部署證書效力2022/7/12選擇CA模型 企業(yè)根 CA 在證書層次構造中是頂級CA，利用AD確定懇求者的身份，通常只為下層CA發(fā)放證書獨立根 CA在證書層次構造中是頂級CA，不要求AD企業(yè)下層CA獲得證書從其它CA，要求AD。不是最可信任

6、的，但可只用于特定用途，如：電子郵件、WEB、智能卡驗證獨立下層CA獲得證書從其它CA，不要求AD。需求父CA，如一個外部的商用CA2022/7/12安裝證書效力 選擇一個CA類型設置高級選項輸入標識信息指定數(shù)據(jù)庫和日志文件的位置安裝“證書效力：添加/刪除程序2022/7/12Windows Components WizardCA Certificate RequestRequest the certificate for this CA by sending the request directly to a parent CA or saving the request to the fi

7、le and sending this file to the CA.Send the request directly to a CA already on the network.Computer name:Parent CA:Save the request to a file:Request file:C:CAConfigPHOENIX_User1BrowseBrowseCancel創(chuàng)建下層CA：得到一個“證書懇求假設一個父CA聯(lián)機假設一個父CA脫機，存入軟盤2022/7/12 來自父CA的文件最低限制應該包含：下層CA的證書和完全的認證途徑實驗中：獨立子CA第一步：安裝此CA證書途徑

8、過程子CA在安裝“證書效力時提出“證書懇求父CA頒發(fā)證書父的管理工具CA待處置的懇求子CA安裝證書子的管理工具CA安裝證書需指定父CA的計算機名2022/7/12備份和復原證書效力 Certificate AuthorityAction ViewTreeNameCertification Authority (Local)Revoked CertificatesSave CA certificates and configurationWin2153A CA一切義務ViewRefreshExport List.PropertiesHelp備份 CAStart Service復原 CARenew

9、 CA CertificateStop Service用來啟動CA備份/恢復導游2022/7/12 備份引薦：CA作為系統(tǒng)形狀的組成部分予以備份利用管理工具CA，備份依賴于IIS的元數(shù)據(jù)庫，應保證其完好發(fā)出的證書越多，越應該及時備份2022/7/12懇求證書：“證書懇求導游MMC證書僅適用：從企業(yè)CA懇求證書時要求用戶訪問權益利用證書模板向計算機發(fā)放證書可利用公共密鑰戰(zhàn)略中的自動證書設置值證書效力WEB頁MS的方向演示5-4利用證書2022/7/12查看證書Console RootCertificates Current UesrTrusted Root Certification Autho

10、rConsoleWindowHelpActionViewFavoritesTreeFavoritesConsole RootCertificates Current UserPersonalTrusted Root CertificatesCertificatesEnterprise TrustIntermediate Certification AuthoriActive Directory User ObjectIssued ToIssued ByEquifax Secure eBusinesEquifax Secure eBusiness CA-2Equifax Secure Globa

11、l eBEquifax Secure Global eBusinessEUnet International Root EUnet International Root CAFESTE, Public Notary CertsFESTE, Public Notary CertsFESTE, Verified CertsFESTE, Verified CertsFirst Data Digital CertificFirst Data Digital Certificates Inc.FNMT Class 2 CAFNMT Class 2 CAGlobalSign Root CAGlobalSi

12、gn Root CAGTE Cyber Trust Global GTE Cyber Trust Global RootGTE Cyber Trust RootGTE Cyber Trust RootGTE Cyber Trust RootGTE Cyber Trust Rootvalicert/ valicert/ valicert/ valicert/ valicert/ valicert/ IPS SERVIDORESIPS SERVIDORESMicrosoft Authenticode(Microsoft Authenticode(tm) RooMicrosoft Root Auth

13、orityMicrosoft Root AuthorityNetLock Expressz (Class NetLock Expressz (Class C) TanNetLock Kozjegyzoi (ClasNetLock Kozjegyzoi (Class A) TTrusted Root Certifications Certification Authorities store contains 107 certificatesCertificateGeneralDetailsCertification PathCertification InformationThis certi

14、ficate is intended to:Ensures the identity of a remote computerProves your identity to a remote computerEnsures software came from software publisherProtects software from alteration after publicationProtects messagesAllows data to be signed with the current lineIssued to:Microsoft Root AuthorityIss

15、ued by:Microsoft Root AuthorityValid from1/10/1997 to 12/31/2020Issuer StatementOK2022/7/125-5管理證書當用戶向獨立CA提交證書懇求時這一懇求被視為待處置的直到CA管理員同意或者回絕為止發(fā)放證書：回絕/頒發(fā)宣告證書無效：已頒發(fā)的證書，吊銷發(fā)布證書撤銷清單CRL：已吊銷的，發(fā)行CRL客戶可在IE中下載CRL2022/7/12宣告證書無效Revoke this CertificateRequest IDRequester NameBinary CertificateSerial NumCertificate

16、 AuthorityAction ViewTreeCertification Authority (Local)Revoked Certificates頒發(fā)的證書Pending RequestsFailed RequestsPolicy SettingsWin2153A CA一切義務RefreshHelp吊銷證書Open2NWTRADERS-BEGIN CERT24dbf9e024e925f124ef12b224f6d6152553d5b72558fb822ffd8774 當?shù)蹁N的證書發(fā)行之后，吊銷的證書出如今CRL中2022/7/12Certification AuthorityConsol

17、eWindowHelpActionViewCertification AuthorityCertificate Services (Local)Manually publish current CRL吊銷的證書Issued CertifiMSTestPending ReqFailed Reque一切義務ViewNew window from hereRefreshPropertiesHelp發(fā)行Request IDBinary CertificateSerial Number-BEGIN CERTIFICATE-.1aaaf7000000012-BEGIN CERTIFICATE-.1c7d7

18、400000014 E-.1e41b500000016Certificate Revocation ListGeneralRevocation ListCertification Revocation List InformationOKFieldValueVersionV2IssuerMSTest, user1microsoftEffective DateThursday, December 10, 1999 Next UpdateMonday December 14, 1999 6:Signature Algorithmsha1RSAValue:發(fā)布證書撤銷清單2022/7/12MMC證書可選擇能否導出私有密鑰導入時，需設置“私有密鑰為可導出的導入和導出證書2022/7/125-6針對證書配置活動目錄外部用戶：AD中無帳號活動目錄AD稱號映射外部用戶必需有證書外部用戶必需有用戶帳號外部用戶的證書必需由信任的CA發(fā)行必需在外部用戶證書和AD帳號之間創(chuàng)建一個稱號映射外部用戶20