1、第4章 數(shù)字證書,4.1 數(shù)字證書簡介 4.2 數(shù)字證書的格式 4.3 數(shù)字證書的申請與發(fā)放 4.4 數(shù)字證書的分發(fā) 4.5 數(shù)字證書的撤銷 4.6 個人數(shù)字證書的應用安全電子郵件 4.7 分析評價,目錄,引例：證書認證風暴席卷中國金融界,中國金融認證中心是什么機構(gòu)？數(shù)字證書為何物？電子支付指引為何提倡數(shù)字認證服務呢？數(shù)字證書機制真有從未被攻破那么神奇嗎？,數(shù)字證書是指標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)。,4.1數(shù)字證書簡介,1.個人證書 個人證書是指用戶向?qū)Ψ奖砻鎮(zhèn)€人身份的證明。 2.單位證書 單位證書是指頒發(fā)給獨立的單位、組織，在互聯(lián)網(wǎng)上用來證明該單位、組織身份的證書。,4.1數(shù)字證書簡介,

2、3.服務器證書 服務器證書是指頒發(fā)給Web或其他需要安全鑒別的服務器證明服務器身份的信息。 4.安全郵件證書 5.代碼簽名證書 6.根證書,4.1數(shù)字證書簡介,4.2 數(shù)字證書的格式,4.2.1 基本數(shù)字證書格式 4.2.2 數(shù)字證書擴展標準,4.2.1 基本數(shù)字證書格式 X.509數(shù)字證書格式的三個不同版本 證書中的數(shù)據(jù)域,4.2數(shù)字證書的格式,4.2.2 數(shù)字證書擴展標準 1.密鑰信息的擴展 2.政策信息擴展 3.主體及發(fā)放者屬性擴展 4.認證路徑約束擴展 5.與數(shù)字證書撤銷表相關的擴展,4.2數(shù)字證書的格式,4.3 數(shù)字證書的申請與發(fā)放,4.3.1 數(shù)字證書的管理機構(gòu)簡介 4.3.2 數(shù)

3、字證書的申請與生成 4.3.3 數(shù)字證書的更新,4.3.1 數(shù)字證書的管理機構(gòu)簡介 認證機構(gòu)CA又稱認證中心、證書授予機構(gòu)，是指承擔網(wǎng)上認證服務，能簽發(fā)數(shù)字證書并能確認用戶身份的受大家信任的第三方機構(gòu)。,4.3數(shù)字證書的申請與發(fā)放,4.3.2 數(shù)字證書的申請和生成 進入測試頁面：,4.3數(shù)字證書的申請與發(fā)放,4.3.2 數(shù)字證書的申請和生成 申請測試證書：,4.3數(shù)字證書的申請與發(fā)放,4.3.2 數(shù)字證書的申請和生成 證書申請確認：,4.3數(shù)字證書的申請與發(fā)放,4.3.2 數(shù)字證書的申請和生成 創(chuàng)建RSA交換密鑰：,4.3數(shù)字證書的申請與發(fā)放,4.3.2 數(shù)字證書的申請和生成 生成證書序列號：

4、,4.3數(shù)字證書的申請與發(fā)放,4.3.2 數(shù)字證書的申請和生成 查看安裝的證書：,4.3數(shù)字證書的申請與發(fā)放,4.3.3 數(shù)字證書的更新,4.3數(shù)字證書的申請與發(fā)放,4.3 數(shù)字證書中公私密鑰對的管理,4.3.1 密鑰對的生成 4.3.2 私鑰的保護 4.3.3 密鑰對的更新,4.3.1 密鑰對的生成 兩種方法： 由密鑰對持有者系統(tǒng)生成 由密鑰管理中心系統(tǒng)生成 4.3.2 私鑰的保護 保護方法： 將私鑰存儲在不可寫的硬件模塊或標記中，如智能卡中 將私鑰存儲在計算機硬盤或其他數(shù)據(jù)存儲媒介上的加密數(shù)據(jù)文件中 將私鑰存儲在數(shù)字證書服務器上，當用戶通過了服務器的鑒定，并在服務器上使用了一段時間后，該服

5、務器會將私鑰傳送給用戶,4.3 公私密鑰對的管理,4.3.3 密鑰對的更新 與加密有關的密鑰對 數(shù)字簽名密鑰對 認證機構(gòu)數(shù)字簽名密鑰對,4.3 公私密鑰對的管理,4.4 數(shù)字證書的申請與更新,4.4.1 數(shù)字證書管理機構(gòu)作用 4.4.2 數(shù)字證書的申請注冊 4.4.3 數(shù)字證書的生成 4.4.4 數(shù)字證書的更新,4.4.1 數(shù)字證書管理機構(gòu)的作用 注冊機構(gòu)RA，本身并不發(fā)放數(shù)字證書，但RA可以確認、批準或拒絕數(shù)字證書申請人的申請，隨后由CA給經(jīng)過批準的申請人發(fā)放數(shù)字證書。 RA功能： 注冊、注銷、批準或拒絕對數(shù)字證書屬性的變更要求 確認數(shù)字證書申請人的合法性 批準生成密鑰對和數(shù)字證書的請求及恢

6、復備份密鑰的請求 批準撤銷或暫停數(shù)字證書的請求（需相應CA支持） 向有權(quán)擁有身份標記的人當面分發(fā)標記或恢復舊標記,4.4 數(shù)字證書的申請與更新,4.4.2 數(shù)字證書的申請注冊 身份確認方法： 了解私有文件 親自到場 身份證明文件 4.4.3 數(shù)字證書的生成 數(shù)字證書的生成步驟 數(shù)字證書申請人將數(shù)字證書內(nèi)容信息提供給認證機構(gòu) 認證機構(gòu)確認信息的正確性 由CA給數(shù)字證書加上數(shù)字簽名 將數(shù)字證書的一個副本傳送給用戶 將數(shù)字證書的一個副本傳送到數(shù)字證書數(shù)據(jù)庫，以便公布 數(shù)字證書的一個副本可以由CA或其他實體存檔 CA將數(shù)字證書生成及發(fā)放過程中的細節(jié)記錄在審計日志中,4.4 數(shù)字證書的申請與更新,4.4

7、.4 數(shù)字證書的更新 每份數(shù)字證書的生命周期都是有限的。在數(shù)字證書期滿后需要更換數(shù)字證書。另外，密鑰對也需要定期更換，而一旦更換了密鑰對，那就需要用新的數(shù)字證書。,4.4 數(shù)字證書的申請與更新,4.4 數(shù)字證書的分發(fā),4.4.1 利用數(shù)字簽名分發(fā)數(shù)字證書 4.4.2 利用目錄服務分發(fā)數(shù)字證書,4.5 數(shù)字證書的撤銷,4.5.1 請求撤銷數(shù)字證書 4.5.2 撤銷數(shù)字證書的方法 4.5.3 X.509標準的數(shù)字證書撤銷表,4.5.1 請求撤銷數(shù)字證書 4.5.2 撤銷數(shù)字證書的方法 1.證書撤銷列表CRL,4.5數(shù)字證書的撤銷,4.5.2 撤銷數(shù)字證書的方法 2.在線查詢機制 3.前向安全證書撤

8、銷方案,4.5數(shù)字證書的撤銷,4.5.3 X.509標準的數(shù)字證書撤銷表 X.509的CRL格式,4.5數(shù)字證書的撤銷,4.5.3 X.509標準的數(shù)字證書撤銷表 證書撤銷列表1,4.5數(shù)字證書的撤銷,4.5.3 X.509標準的數(shù)字證書撤銷表 證書撤銷列表2,4.5數(shù)字證書的撤銷,4.6 個人數(shù)字證書的應用安全電子郵件,4.6.1 安全電子郵件簡介 4.6.2 安全電子郵件證書的工作方式 4.6.3 Outlook Express的設置 4.6.4 綁定證書 4.6.5 發(fā)送數(shù)字簽名電子郵件,4.6.1 安全電子郵件簡介 4.6.2 安全電子郵件證書的工作方式 1.采用個人和單位證書發(fā)送安全

9、電子郵件 2.直接給電子信箱的所有人或單位的電子郵件地址頒發(fā)數(shù)字證書,4.6個人數(shù)字證書的應用安全電子郵件,4.6.3 Outlook Express的設置 Outlook Express的界面,4.6個人數(shù)字證書的應用安全電子郵件,4.6.3 Outlook Express的設置 郵件中沒有設置時的界面,4.6個人數(shù)字證書的應用安全電子郵件,4.6.3 Outlook Express的設置 輸入電子郵件地址,4.6個人數(shù)字證書的應用安全電子郵件,4.6.3 Outlook Express的設置 收發(fā)郵件服務器設置,4.6個人數(shù)字證書的應用安全電子郵件,4.6.3 Outlook Express的設置 身份驗證,4.6個人數(shù)字證書的應用安全電子郵件,4.6.3 Outlook Express的設置 完成郵件設置,4.6個人數(shù)字證書的應用安全電子郵件,4.6.4 綁定證書 在郵件中綁定數(shù)字證書,4.6個人數(shù)字證書的應用安全電子郵件,4.6.4 綁定證書 選擇要使用的數(shù)字證書,4.6個人數(shù)字證書的應用