No3.1 认证中心及证书原理.pptVIP

寒水教研 寒水教研 No.3.1认证中心及证书原理 内容提要 公钥基础设施PKI ２ CA 认证中心 ３ 数字证书 １ 电子商务证书体系 4 公共证书使用 ５ 目录在CA中的应用 ６ 知识结构 PKI与证书服务应用 公钥基础结构 CA 在Web服务器上设置SSL 什么是PKI 公钥加密技术 生成证书申请 提交证书申请 颁发证书 什么是证书 CA的作用 证书的发放过程 在Web服务器上安装证书 安装证书服务 启用安全通道 使用HTTPS协议访问网站 证书的导出和导入 １、数字证书 数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 Issuer (CA) Subject (Bob) Subject’s Public Key Public Bob Digital Signature HASH Signed with trusted private key Private CA 包含用户身份信息的文件: CA 的名称 (颁发机构) Bob 的名称 (对象) Bob 的公钥 由可信的第三方进行签名(CA) 使用CA的私钥 保证信息的真实性和完整性 数字证书 PKI系统(CA系统)的产物 数字证书是PKI技术的现实载体，通过数字证书我们可以实现身份认证、信息加密、签名等一系列的安全操作 网络世界的电子身份证 与现实世界的身份证类似 能够证明个人、团体或设备的身份 拥有者拥有证书公钥对应的私钥 由可信的颁发机构颁发 比如身份证由公安局颁发一样 颁发机构对证书进行签名 与身份证上公安局的盖章类似 可以由颁发机构证明证书是否有效 可防止擅改证书上的任何资料 姓名 地址 公司 电话号码 Email地址 … 实现数字证书 公钥基础设施 证书颁发机构 客户申请证书 PKI CA Client ２、公钥基础设施PKI PKI(Public Key Infrastructure) 公钥基础设施: PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。 CA RA 终端 用户 目录 服务 申请与审核 证书归档 证书终止 证书注销 证书发布 证书生成 存储证书 发放证书 更新证书 吊销证书 审批证书 申请证书 CA认证中心 ３、CA认证中心 姓名 地址 公司 电话号码 Email地址 … CA证书颁发体系 发布本地CA策略 对下级机构进行认证和鉴别 产生和管理下属机构的证书 接收和认证RA证书请求 签发和管理证书、CRL 发布证书CRL 密钥安全生成及管理 交叉认证 RA 受理点 受理点 RA 受理点 CA 受理点 集中式 CA 操作 用户向中心 CA 提供身份 中心 CA 生成证书 中心 CA 发行证书 证书 需求 ID + 1 2 3 1 2 3 分布式 CA 操作 证书 证书请求 证书 1 2 4 5 LRA 3 CA 用户向 LRA证明身份 LRA 向CA发送证书请求 LRA 向用户发行证书 1 2 5 中心 CA生成证书 中心 CA将证书送给 LRA 3 4 需求 ID + 分步式 CA 操作 上海 LRA 成都 LRA 广州 LRA CA 北京 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 摘要 签名算法 散列 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 数字签名 CA的私钥 待签名消息 用户证书 CA生成用户证书流程 说明： 如果用户的CA是相同的，则鉴别工程结束，否则 CA 的证书还需用 该 CA的上级 CA之公钥来进行验证，直至采用可信 CA的公钥验证后才结束。 用户证书 鉴别机制 用户CA的 公钥 结果 否定 肯定 停止 CA可信？ 用该CA颁发 者的证书验证它 是 否 证书验证流程 4、电子商务证书体系 5、公共证书使用 申请 使用 Phase 3 填写申请表 提供证件 缴纳费用 下载证书 安装证书 应用证书 注销证书 相关文档浏览 6、目录在CA中的应用 CA需要解决的两个问题： 1、证书生命周期管理问题：如何创建、维护和销毁证书 2、证书定位问题：如何快速找到对方的证书 目录在CA中的作用： 1、目录是整个证书生命周期的管理中心。 2、在目录中存储、管理证书(Certificate)和撤销列表(CRL) 3、通过目录服务提供有效的证书发布和查询功能 4、通过目录服务安全可靠地发布CRL,提供CRL查询服务 存储数字证书，只能由签发服务器进行写操作；把数字证书信息实时推向从LDAP。 与主服务器内数据保持一致，只接受查询不能修改和