没有合适的资源?快使用搜索试试~ 我知道了~
首页详解:PKI技术、CA证书技术
资源详情
资源评论
资源推荐
PKI 技术
组织需要增强数据安全性和身份管理的强大凭据。您可以使用证书来保护数据并管理组织内外
用户和计算机的身份凭证。
公钥基础结构(PKI)是软件,加密技术,流程和服务的组合,使组织能够保护其通信和业务
事务。PKI 保护通信和业务事务的能力基于经过身份验证的用户与可信资源之间的数字证书交
换。
您可以设计 PKI 解决方案以满足组织的以下安全和技术要求:
保密。您使用 PKI 加密存储或传输的数据。
诚信。您使用 PKI 对数据进行数字签名。数字签名可帮助您识别其他用户或进程是否已修
改数据。
真实性。PKI 提供了几种真实性机制。认证数据通过散列算法(例如 Shivest Hash
Algorithm 1(SHA1))来生成消息摘要。然后使用发件人的私钥对邮件摘要进行数字
签名,以证明邮件摘要是由发件人生成的。
不可否认性。对数据进行数字签名时,数字签名可提供签名数据完整性的证明和数据来源
的证明。第三方可以随时验证数据的完整性和来源。对数据进行数字签名的证书的所有者
不能驳斥此验证。
PKI 技术架构
PKI 的体系结构涉及实现各种相互依赖的技术和流程,以便可以颁发,验证,续订和撤销证书。
这些技术包括:
运行证书服务并提供证书注册,吊销和其他证书管理服务的服务器之一。
Active Directory 目录服务或提供帐户管理,策略分发和证书发布服务的其他目录服务。
域控制器,可以在请求证书时对最终用户和计算机进行身份验证。
域客户端计算机和用户,它们为特定目的请求,接收和使用证书。虽然服务和非域客户端
也可以使用证书,但在大多数 Windows PKI 环境中,域用户和计算机是证书的主要收件
人和用户。在某些情况下,域客户端可以是从属 CA,它请求并接收证书,授权其颁发自
己的证书。
下图说明了 PKI 技术的体系结构。
PKI 技术架构
PKI 技术组件
PKI 的关键技术组件及其与 PKI 架构图的关系如下表所述。
PKI 的组成部分
组件 描述
证书 提供 PKI 的基础。数字证书是与组织用于对用户进行身份验证的公钥
和私钥相关联的电子凭证。证书在运行证书服务的服务器上创建,并
存储在客户端和 Active Directory 等目录中。
证书模
板
可用于定义数字证书的内容和目的,包括发布要求;实施的扩展,例
如应用程序策略或扩展密钥用法;CA 颁发的证书的注册权限和注册权
限。证书模板存储在 Active Directory 中,并由企业 CA 用于提供证
书的默认属性。
证书服
务
核心操作系统的一部分,允许企业充当自己的 CA,并颁发和管理数字
证书。证书服务包括管理已颁发证书,发布 CA 证书和 CRL,配置
CA,导入和导出证书和密钥以及恢复已归档私钥的工具。
组件 描述
CA 的 已配置证书服务以颁发,验证和管理证书的服务器。Windows
Server 2003 支持多层 CA 层次结构和交叉认证的信任网络。这包括
离线和在线 CA.
证书撤
销列表
CA 认为不再可用的证书列表。证书具有指定的生命周期,但 CA 可以
通过称为证书吊销的过程来减少此生命周期。发布者可以使用任何类
型的目录服务,包括 X.500,轻量级目录访问协议(LDAP)或特定
操作系统(包括 Active Directory)中的目录来存储 CRL。发布者还
可以在 Web 服务器上发布 CRL。
证书政
策和实
践声明
这两份文件概述了如何使用 CA 及其证书,可以放在这些证书中的信
任程度,信任被破坏时的法律责任等等。这些文档还可以定义或影响
PKI 设计,操作和使用,包括如何配置 CA,如何处理客户端请求以及
撤销证书的准则和过程。
证书政
策
对证书范围的可配置限制。证书策略可以根据需要实施,允许证书路
径长度,合格从属 CA 允许或排除的命名空间范围,组织信任证书中
显示的身份的范围,以及可以在与某些证书相结合。
证书和
CRL
存储库
目录服务或存储和发布证书的其他位置。在 Windows Server 2003
域环境中,Active Directory 是基于 Windows Server 2003 的 CA
颁发的证书的最可能的发布点。
组件 描述
支持
PKI 的
应用程
序
支持 PKI 的应用程序示例包括:加密文件系统(EFS),Microsoft
Internet Explorer,Microsoft Money,Internet 信息服务
(IIS),路由和远程访问,Microsoft Outlook 和 Microsoft
Outlook Express。还包括各种适用于 Windows 2000 和 Windows
Server 2003 证书服务的第三方应用程序。
PKI 技术方案
PKI 由一个或多个扮演特定角色的 CA 组成。每种类型的一个或多个 CA 可以组合在 CA 层次结
构中。
CA 层次结构中的角色
为 CA 层次结构中的每个 CA 分配一个角色,该角色由 CA 在 CA 层次结构中的位置确定。CA
层次结构中的常见角色包括根 CA,策略 CA 和颁发 CA.
根 CA.
根 CA 是 CA 层次结构中的最高 CA,并且是 CA 层次结构中 CA 颁发的所有证书的信任点。如
果用户,计算机或服务信任根 CA,则它们会隐式信任 CA 层次结构中所有其他 CA 颁发的所有
证书。
根 CA 与所有其他 CA 的不同之处在于它颁发自己的证书。这意味着证书的 Issuer 和 Subject
字段包含相同的可分辨名称。根 CA 仅向直接从属于其他 CA 的 CA 颁发证书。
政策 CA.
策略 CA 通常位于 CA 层次结构的第二层,直接位于根 CA 之下。在此方案中,根 CA 通常称为
父 CA,因为根 CA 向策略 CA 颁发了从属证书颁发机构证书。实际上,向其他 CA 颁发证书的
任何 CA 都称为父 CA.从父 CA 接收证书的 CA 称为从属 CA.
策略 CA 的作用是描述组织为保护其 PKI 而实施的策略和过程,验证证书持有者身份的过程以
及强制管理证书的过程的过程。策略 CA 仅向其他 CA 颁发证书。接收这些证书的 CA 必须维护
并实施策略 CA 定义的策略。
除非您组织的不同部门,部门或地点需要不同的颁发政策和程序,否则不必使用策略 CA.但是,
如果您的组织需要不同的颁发策略和过程,则必须将策略 CA 添加到层次结构以定义每个唯一
策略。例如,组织可以为其向员工内部颁发的所有证书实施一个策略 CA,并为其向非员工颁
发的所有证书实施另一个策略 CA.
颁发 CA.
颁发 CA 通常位于 CA 层次结构的最低层。颁发 CA 向其他计算机,用户,网络设备,服务或其
他颁发 CA 颁发证书。颁发 CA 始终在线。
颁发 CA 的父 CA 可以是根 CA,策略 CA 或其他颁发 CA.颁发 CA 必须强制执行 CA 层次结构
中颁发 CA 上方的策略 CA 中描述的策略和过程。
CA 层次结构的类型
您可以使用两种 CA 模型之一:根层次结构或交叉认证信任。Windows Server 2003 网络识
别并支持这两种模型。
根层次结构
在根 CA 层次结构中,组织的 CA 层次结构中的所有 CA 都链接到公共根 CA.下图说明了根 CA
层次结构。
根 CA 层次结构
根 CA 层次结构:
剩余63页未读,继续阅读
海风6645
- 粉丝: 3
- 资源: 26
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- RTL8188FU-Linux-v5.7.4.2-36687.20200602.tar(20765).gz
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
- SPC统计方法基础知识.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论5