【正文】 ? 發(fā)送帶簽名和加密的電子郵件：選擇菜單：工具 〉 選項，彈出對話框，選擇安全屬性頁，復選“加密帶發(fā)郵件的內容和附件”，“給待發(fā)郵件添加數(shù)字簽名” ，“以明文簽名發(fā)送郵件” ，向對方發(fā)送一個電子郵件，這時，接收者就會收到一個用自己公鑰加密的電子郵件。 ? 選擇剛才申請的證書 ，并選擇哈希算法和加密算法， ? 下面描述如何發(fā)送加密的電子郵件。 2022/2/8 91 用證書發(fā)送安全電子郵件 ? Outlook 2022發(fā)送簽名和加密的電子郵件的步驟如下 ? 首先需要向 CA服務器申請數(shù)字證書，注意類型必須是電子郵件保護證書。在“目錄安全性”屬性頁單擊“編輯”按鈕，彈出設置“安全通道”對話框，復選“要求安全通道（ SSL）”，也就是訪問此網(wǎng)站必須使用 HTTPS協(xié)議，還可以設置“要求 128位加密”，但這樣設置后，如果用戶使用 IE5瀏覽器就不能正常訪問了，如果網(wǎng)站要求用戶使用客戶端證書實現(xiàn)強身份認證，則選“要求客戶端證書”，如果網(wǎng)站既可以不使用客戶端證書，也可以使用客戶端證書，則選“接受客戶端證書”。 2022/2/8 87 PKI的應用 ? 證書在 IIS（ Inter信息服務器）中的應用 在 IIS 站點設置證書服務的步驟如下 ? 選擇 IIS網(wǎng)站 右擊需要申請 SSL證書的網(wǎng)站屬性，再點擊“目錄安全性”屬性頁，最下面有一個“安全通信”欄。 ? 3）選高級證書申請。頒發(fā)的證書可以選中并改變?yōu)榈蹁N的證書； ? 掛起的申請：是已經(jīng)提交申請而沒有頒發(fā)證書，可以選擇一個申請頒發(fā)。 2022/2/8 83 CA的安裝和證書申請 ? 證書管理 可以通過控制臺管理證書。這時會彈出對話框，提示“安裝證書服務后，計算機名和域成員身份都不能更改 ……” 2022/2/8 82 CA的安裝和證書申請 ? 彈出對話框，選擇 CA類型，選擇“企業(yè)根 CA”， 并復選“用自定義設置生成密鑰對和 CA證書” ? 在出現(xiàn)的“公鑰 /私鑰對”中保持默認值，下一步 ? 要求輸入 CA的名稱，這里在“ CA識別信息”窗口中輸入 CA的名稱“ test_PKI”，如圖 38所示，單擊下一步，其他選擇默認值。基于 RSA算法的安全電子郵件軟件PGP(Pretty Good Privacy)，采用了這一信任模型。不同的 CA所簽發(fā)的數(shù)字證書能夠互相認證 ， 就需要使用交叉認證技術 . ? 所謂 交叉認證 就是通過 在獨立的 CA間建立起信任關系，使得它們各自的終端用戶建立起信任關系 。對于終端實體而言，它需要信任根 CA，中間的 CA可以不必關心。 ? 根 CA依次為其下級 CA頒發(fā)證書 。 2022/2/8 74 信任模型 ? 實際網(wǎng)絡環(huán)境中不可能只有一個 CA，多個認證機構之間的信任關系必須保證 :原有的 PKI用戶不必依賴和信任專一的 CA，否則將無法進行擴展、管理和包含。 CA對公鑰證書進行存檔，如果用戶私鑰注明不是用于簽名，則 CA對用戶私鑰也進行存檔。用戶自己選擇產(chǎn)生密鑰對的長度和方法，負責私鑰的存放；然后向 CA提交自己的公鑰和身份證明。 B用相同的散列算法對收到的明文再進行一次運算，得到一個新的信息摘要，對兩個信息摘要進行比較，如果一致，說明收到的信息沒有被篡改過。 ? 證書申請者從認證中心處得到的 數(shù)字證書 和 用戶的私鑰 ，通常 保存在申請證書所用電腦硬盤的隱秘空間里，一般人無法獲取 ，但可以通過程序導出，存儲在 USB盤或其它的計算機里，這樣用戶數(shù)字證書和私鑰就可以在其它的計算機上使用并完成備份。 ? 最終實體證書更新，有以下兩種方式： ? 執(zhí)行人工 密鑰更新 ：用戶向 RA提出更新證書的申請，RA根據(jù)用戶的申請信息更新用戶的證書。 2022/2/8 63 證書撤銷 ? 證書由于某種原因需要作廢，比如用戶身份姓名的改變、私鑰被竊或泄漏、用戶與所屬企業(yè)關系變更等， PKI需要使用一種方法，通知其他用戶不要再使用該用戶的公鑰證書， 這種通知、警告機制 被稱為 證書撤銷 。 ? 資料庫發(fā)布 ? 將用戶的證書信息和證書撤銷信息， 存儲在用戶可以方便訪問的數(shù)據(jù)庫中或其他形式的資料庫 中。驗證實體通過證書獲得簽名實體可信的公開密鑰，驗證消息發(fā)送方的數(shù)字簽名，對消息發(fā)送實體進行身份認證； ? 加密數(shù)據(jù)的解密實體 。 2022/2/8 57 證書格式 v3數(shù)字證書字段名及說明 字段名 說明 Version 版本號 Serial number 證書唯一序列號 Signature algorithm ID CA簽名使用算法 Issuer name CA名 Validity period 證書生效日期和失效日期 Subject (user) name 證書主體 Subject public key information 證書主體公開密鑰信息 Issuer unique identifier CA唯一標識 Subject unique identifier 證書主體唯一標識 Extensions 證書擴充內容 Signature on the above field CA對以上內容的簽名 2022/2/8 58 證書的申請 ? PKI 系統(tǒng)的 證書申請、審核、制作、發(fā)布、發(fā)放、存儲和使用 的工作流程，見圖所示 2022/2/8 59 證書的申請 ? 證書的申請有 離線申請方式 和 在線申請方式 兩種： ? 離線申請方式 ? 用戶 持有關證件到注冊中心 RA進行書面申請 。 ? 1993年： ，定義了 v2版的證書格式和修改了上一版的 CRL格式。 2022/2/8 51 CA ? PKI中的核心部件 ? 負責產(chǎn)生數(shù)字證書 ? 將 用戶的公鑰和用戶屬性信息組合在一起 ，然后進行數(shù)字簽名，按 特定的格式標準組織 ，得到完整的PKI數(shù)字證書 2022/2/8 52 相互關系示意圖 證書序列號 xxxxx: 有效期 : ,2022 ,2022 用戶名 組織名 部門 Status: 公鑰 : ie86502hhd009dkias736ed55ewfgk98dszbcvcqm85k309nviidywtoofkkr2834kl 簽名信息 公鑰 認證機構 私鑰 2022/2/8 53 一般的證書產(chǎn)生流程 狀態(tài)查詢 認證機構 證書資料庫 注冊機構RA 發(fā)布證書及 CRL 私鑰 證書 公鑰 證書申請 證書 公鑰 公鑰 公鑰 2022/2/8 54 交叉認證 Cross Certification ? CA對另一個 CA的認證，稱為 交叉認證 ? 和對用戶的檢查類似，要檢查另一個 CA的各種情況，包括 CP/CPS。 ? 當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰（證書）對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣的信息在傳輸和存放時就可以保證安全性。 它是由認證中心發(fā)放并經(jīng)過認證中心簽名的， 包含證書擁有者及其公開密鑰相關信息的一種電子文件 ，可以用來證明數(shù)字證書持有者的真實身份。 ? 業(yè)務受理點（ LRA）的全面管理。 ? RA可以認為是 CA的代表處、辦事處 ，負責證書申請者的信息錄入、審核及證書發(fā)放等具體工作；同時，對發(fā)放的證書完成相應的管理功能。 ? 5）證書撤銷 ： 產(chǎn)生和發(fā)布證書吊銷列表 ，驗證證書狀態(tài)；或提供在線證書查詢服務 OCSP（ Online Certificate Status Protocol），驗證證書狀態(tài)。 CA的主要功能有 : ? 1）證書審批 ：接收并驗證最終用戶數(shù)字證書的申請，確定是否接收最終用戶數(shù)字證書的申請。 ? ? PKI的應用非常廣泛，包括在 Web服務器和瀏覽器之間的通信、電子郵件、 電子數(shù)據(jù)交換（ EDI）、在因特網(wǎng)上的 信用卡交易 和虛擬專用網(wǎng)（ VPN） 等方面。 ? 3. 認證中心 ? 認證中心是 PKI的信任基礎 ，它負責管理密鑰和數(shù)字證書的整個生命周期。 2022/2/8 38 PKI 系統(tǒng)結構 PKI應用 證書簽發(fā)系統(tǒng) 注冊機構 RA 認證中心 CA 軟硬件系統(tǒng) PKI策略 PKI 系統(tǒng)結構 2022/2/8 39 PKI 系統(tǒng)結構 ? 1. PKI策略 ? PKI策略是一個包含如何在實踐中增強和支持安全策略的一些操作過程的 詳細文檔 ，它建立和定義了一個組織信息安全方面的 指導方針 ，同時也定義了密碼系統(tǒng)使用的處理方