【正文】 可以認證其他 CA，也可以直接為終端實體頒發(fā)證書，但在實際應用中，為了便于管理，用于認證下級 CA，不為用戶認證終端實體。 ? 終端實體就是 PKI的用戶 ，處于層次模型的葉子節(jié)點，其證書由其父節(jié)點 CA頒發(fā) 。對于終端實體而言，它需要信任根 CA，中間的 CA可以不必關心。 ? 層次模型中，除根 CA之外的每個節(jié)點 CA上，至少需要保存兩種數(shù)字證書。 ? 向上證書 ：父節(jié)點 CA發(fā)給它的證書； ? 向下證書 : 由它頒發(fā)給其他 CA或者終端實體的證書。 2022/2/8 78 分布式信任模型 ? 信任結構 把信任分散在兩個或多個 CA上 ， 而每個 CA所在的子系統(tǒng)構成系統(tǒng)的子集 ，并且是一個嚴格的層次結構 。不同的 CA所簽發(fā)的數(shù)字證書能夠互相認證 ， 就需要使用交叉認證技術 . ? 所謂 交叉認證 就是通過 在獨立的 CA間建立起信任關系，使得它們各自的終端用戶建立起信任關系 。 終 端 實 體 A根 C A 1 終 端 實 體 B根 C A 2交 叉 認 證2022/2/8 79 基于 Web模型的信任模型 ? Web模型主要依賴于流行的瀏覽器，當前流行的幾款瀏覽器如微軟的 IE瀏覽器、 Mozila的 firefox(火狐貍瀏覽器 ) 等都預裝了許多 CA的證書。 ? Web模型在方便性和簡單互操作性方面有明顯的優(yōu)勢，但是也存在許多問題： ? 容易信任偽造的 CA ? 沒有實用的機制來撤銷嵌入到瀏覽器中的根證書。 2022/2/8 80 以用戶為中心的信任模型 ? 在以用戶為中心的信任模型中，各用戶自己決定信任哪些證書?；?RSA算法的安全電子郵件軟件PGP(Pretty Good Privacy)，采用了這一信任模型。 2022/2/8 81 PKI的應用 以為 Windows2022為例，介紹 CA的安裝和使用，以及證書在 IIS中的應用和利用證書發(fā)送安全電子郵件。 CA的安裝和證書申請 ? 證書安裝 ? 1）使用 administrator身份登錄到 Windows 2022。 ? 2）、單擊控制面板中的“添加或刪除程序”，在 Windows組件向導勾選“證書服務”復選框，單擊彈出的對話框“是”按扭。這時會彈出對話框，提示“安裝證書服務后，計算機名和域成員身份都不能更改 ……” 2022/2/8 82 CA的安裝和證書申請 ? 彈出對話框，選擇 CA類型，選擇“企業(yè)根 CA”， 并復選“用自定義設置生成密鑰對和 CA證書” ? 在出現(xiàn)的“公鑰 /私鑰對”中保持默認值，下一步 ? 要求輸入 CA的名稱，這里在“ CA識別信息”窗口中輸入 CA的名稱“ test_PKI”，如圖 38所示，單擊下一步，其他選擇默認值。 ? 保持證書數(shù)據(jù)庫及其日志信息的保存位置默認值，單擊“下一步”按扭，在隨后的停止 Inter信息服務的對話框中，單擊“是”。 ? 系統(tǒng)在確定停止 IIS 服務的運行后，系統(tǒng)便會開始安裝證書服務器相關的組件以及程序。在出現(xiàn)的安裝完成窗口中單擊“完成”。 2022/2/8 83 CA的安裝和證書申請 ? 證書管理 可以通過控制臺管理證書。 ? 在系統(tǒng)菜單運行處輸入 mmc命令，啟動一個控制臺。 ? 在“文件”菜單中單擊“添加 /刪除管理單元” ? 選擇添加“證書頒發(fā)機構”單元。 2022/2/8 84 CA的安裝和證書申請 ? CA中包括以下子樹： ? 吊銷的證書：由于密鑰泄密等原因已經吊銷的證書； ? 頒發(fā)的證書：由客戶端申請并已經頒發(fā)，而且處于有效期可用的證書。頒發(fā)的證書可以選中并改變?yōu)榈蹁N的證書； ? 掛起的申請：是已經提交申請而沒有頒發(fā)證書，可以選擇一個申請頒發(fā)。 ? 失敗的申請：是沒有通過的申請。 ? 證書模版：是可以頒發(fā)證書的模版，安裝證書組件時，只有選擇企業(yè)根才可以管理證書模板， 2022/2/8 85 CA的安裝和證書申請 ? 證書申請 ? 以下步驟進行證書的申請 ? 1）首先在申請證書的主機上，打開網(wǎng)址 IP地址 /certsrv，申請證書。 ? 2）選擇創(chuàng)建并向此 CA提交一個申請。 ? 3）選高級證書申請。 ? 4）用戶可以選擇證書類型，證書類型的多少取決于 CA服務器端證書模版目錄下的證書類型以及證書的屬性。 2022/2/8 86 CA的安裝和證書申請 ? 查看所申請的證書 ? 啟動 IE瀏覽器，單擊“工具”菜單，并選擇“ Inter選項”。 ? 選擇“內容”屬性頁，并單擊“證書”按鈕。 2022/2/8 87 PKI的應用 ? 證書在 IIS（ Inter信息服務器）中的應用 在 IIS 站點設置證書服務的步驟如下 ? 選擇 IIS網(wǎng)站 右擊需要申請 SSL證書的網(wǎng)站屬性，再點擊“目錄安全性”屬性頁，最下面有一個“安全通信”欄。點擊“服務器證書”就開始證書申請向導， 2022/2/8 88 證書在 IIS（ Inter信息服務器）中的應用 ? 選擇證書 ? 證書向導的第一步是選擇生成證書，生成證書有多種方法： ? 新建證書是向建立 CA申請生成一個新證書，需要進一步填寫相關信息； ? 選擇一個分配的現(xiàn)有證書是從已經申請的證書中選擇一個證書； ? 另外兩種方法是從密鑰管理器備份文件或以 pfx格式保存的文件導入，這種文件需要預先申請，并以文件形式保存； ? 最后一個則是將遠程服務站點的證書復制到本地。 2022/2/8 89 證書在 IIS（ Inter信息服務器）中的應用 ? 申請證書 ? 需申請證書時，選擇立即將證書請求發(fā)送到聯(lián)機證書頒發(fā)機構，并填寫一些相關信息，注意一定要設置防火墻開放 443端口。 ? 提交證書請求 ? 彈出對話框顯示剛才設置的信息，單擊完成， ? 設置有關參數(shù) ? 證書安裝成功后，網(wǎng)站即可以提供 HTTPS服務，還可以進一步設置。在“目錄安全性”屬性頁單擊“編輯”按鈕，彈出設置“安全通道”對話框，復選“要求安全通道（ SSL）”，也就是訪問此網(wǎng)站必須使用 HTTPS協(xié)議，還可以設置“要求 128位加密”，但這樣設置后，如果用戶使用 IE5瀏覽器就不能正常訪問了，如果網(wǎng)站要求用戶使用客戶端證書實現(xiàn)強身份認證，則選“要求客戶端證書”，如果網(wǎng)站既可以不使用客戶端證書，也可以使用客戶端證書，則選“接受客戶端證書”。 2022/2/8 90 用證書發(fā)送安全電子郵件 ? 安全電子郵件主要解決如下問題： ? 保密性：電子郵件信息即使被竊取也不泄露郵件的內容 ? 身份認證：利用發(fā)信人的數(shù)字證書確定發(fā)信人身份，不致他人冒充。 ? 不可否認性：收信人則根據(jù)隨郵件發(fā)送的證書上的發(fā)信人公鑰，驗證信息是發(fā)信人所發(fā)，而發(fā)信人無法否認。 ? 完整性：利用發(fā)信人數(shù)字證書在傳送前對電子郵件進行數(shù)字簽名，保證電子郵件信息不能被他人在傳輸過程中修改。 2022/2/8 91 用證書發(fā)送安全電子郵件 ? Outlook 2022發(fā)送簽名和加密的電子郵件的步驟如下 ? 首先需要向 CA服務器申請數(shù)字證書，注意類型必須是電子郵件保護證書。 ? 啟動 outlook 2022，選擇菜單 〉 工具 〉 選項，彈出對話框。 ? 選擇安全屬性頁，復選“給待發(fā)郵件添加數(shù)字簽名”、“以明文簽名發(fā)送郵件”，選擇“設置”按鈕，彈出“更改安全設置對話框” 2022/2/8 92 用證書發(fā)送安全電子郵件 ? 單擊“選擇”按鈕。選擇剛才申請的證書。 ? 選擇剛才申請的證書 ，并選擇哈希算法和加密算法， ? 下面描述如何發(fā)送加密的電子郵件。 ? 導出證書，從收到的帶簽名和證書郵件中導入發(fā)送者的證書，單擊紅色飄帶彈出對話框，并單擊“詳細信息”，彈出對話框，選擇 “簽字人：” ，并單擊“查看信息” 按鈕，彈出屬性頁，選擇“查看證書按鈕”，彈出屬性頁對話框，選擇“詳細信息”，及“復制到文件”按鈕，把證書復制到文件。 2022/2/8 93 用證書發(fā)送安全電子郵件 ? 向通信薄中聯(lián)系人添加證書。 選擇菜單“工具” 〉 “通信薄”，選擇上述添加到通信薄聯(lián)系人作為接收者，選擇證書屬性頁，單擊“導入”按鈕，導入剛才導出的證書文件。 ? 發(fā)送帶簽名和加密的電子郵件：選擇菜單：工具 〉 選項，彈出對話框，選擇安全屬性頁，復選“加密帶發(fā)郵件的內容和附件”，“給待發(fā)郵件添加數(shù)字簽名” ，“以明文簽名發(fā)送郵件” ，向對方發(fā)送一個電子郵件，這時，接收者就會收到一個用自己公鑰加密的電子郵件。