CA认证的流程和原理.pdfVIP

以家为家，以乡为乡，以国为国，以天下为天下。——《管子·牧民》 CA 认证的流程和原理 AD CS(活动目录证书服务)是微软的公钥基础结构（PKI ）的实现。PKI处理颁发并管理用于 加密和身份验证的的数字证书的组件及过程。 AD CS 颁发的数字证书可以用于加密文件系统、 电子邮件加密、安全套接字层 SSL和身份验证。 安装了 AD CS 的服务器成为证书颁发机构 CA。 1. 数字证书 数字证书是一种电子凭据用于验证个人，组织和计算机。证书颁发机构颁发和认证证书。 数字证书提供了一种方法来验证证书持有者的身份。证书使用加密技术来解决两个实体之间的 问题。 数字证书都用于非对称加密，它需要两个密钥，第一个密钥是私钥，它由被颁发了数字证 书的用户或计算机安全地存储，第二个密钥是分发到其它用户和计算机的公钥。由一个密钥加 人之为学，不日进则日退，独学无友，则孤陋而难成；久处一方，则习染而不自觉。——《顾炎武》 百学须先立志。——朱熹 密的数据只能由另一个密钥解密。这种关系确保对加密数据的保护。 一张证书包含下面的数据： 1. 公用密钥证书主题的公钥和私钥对。这样可以使用证书来验证拥有私钥的个人或计算 机的标识。例如，一台 web 服务器的数字证书包括 web 服务器的主机名和 IP 地址 2. 有关申请证书的使用者的信息 3. 有关 CA 颁发证书的详细信息，包括证书有效性的信息，包括如何使用证书以及它的 有效期。例如，可能限制一个证书只用于加密文件系统，证书只在特定时间期有效，通常是两 年或更短，证书过期之后就不能再使用它了。 Enhanced Key Usage 是证书的一个可选的扩展属性，这个属性包含一个目标标识符 （OID ），用于应用程序或者服务。每个OID 是一个独特的数字序列。 Key Usage: 证书允许主体执行特定任务。为了帮助控制证书在其预定的目的以外的使用， 限制自动放置在证书。密钥用法 （Key Usage ）就是一个限制方法来决定一个证书可以被用来 干什么。它允许管理员颁发证书，它只能用于特定任务或用于更广泛的功能。如果没有指定密 钥用法 ，证书可以用于任何目的。 对于签名, key usage 可以有下列一个或者多个用途 ： 1. 数字签名 良辰美景奈何天，便赏心乐事谁家院。则为你如花美眷，似水流年。——《汤显祖》 良辰美景奈何天，便赏心乐事谁家院。则为你如花美眷，似水流年。——《汤显祖》 2. 签名一种起源的证据 3. 证书签名 4. CRL 签名 2. CA 证书颁发机构 CA 是向用户和计算机颁发数字证书的 PKI 组件，当组织实现数字证书时，他们必须考虑是 使用 AD CS 还是一个外部 CA 来实现。内部 CA 的主要优点是成本，对于颁发的每个证书都没 有额外成本。而如果使用外部 CA(三方 CA) ，每个颁发的证书都有一定费用。 CA 的主要作用如下： 1. 验证证书请求者的身份：当一张证书颁发给一个用户、计算机或者服务的时候，CA 会验证请求者身份来确保证书只办法给正确的用户或机器 2. 将证书办法给用户和计算机 3. 管理证书吊销情况：CA 会定期发布 CRL ，CRL 包含证书的序列号以及被吊销的情 况。 3. 请求和颁发证书的过程 用户、计算机和服务请求和接收来自 CA 的证书。请求和接收证书的过程被称为注册。通常， 用户或计算机启动注册通过提供独特的信息，如电子邮件地址或通用名称，和一个新生成的公 钥。在产生证书之前 CA 使用此信息来验证用户的身份。 先天下之忧而忧，后天下之乐而乐。——范仲淹 我尽一杯，与君发三愿：一愿世清平，二愿身强健，三愿临老头，数与君相见。——《白居易》 1 ．生成密钥对。 申请人生成一个公钥和私钥对，或被组织的权威指定一个密钥对。申请 人将密钥对存放在本地存储的磁盘上或如智能卡的硬件设备 2 ． 申请人提供请求的证书模板所需的证书信息请求，并将它发送到 CA。证书请求包括公 共和