信息安全技术(HCIA-Security)-第十一章-PKI证书体系课件.pptx

1、PKI证书体系第1页前言l数字签名技术不但证明了信息未被篡改，还证明了发送方的身份。但也存在一定问题，如果攻击者伪造接收方的公钥，那么发送方发送的信息将被攻击者用私钥解密而窥探，因而接收方公钥的真实性将直接决定数据传输的机密性。l此时，需要一种方法确保一个特定的公钥属于一个特定的拥有者。第2页目标l学完本课程后，您将能够：p描述PKI证书体系架构p掌握PKI证书体系工作机制第3页目录1.数字证书数字证书2.PKI体系架构3.PKI工作机制第4页数字证书l数字证书简称证书，它是一个经证书授权中心（即在PKI中的证书认证机构CA）数字签名的文件，包含拥有者的公钥及相关身份信息。l证书有四种类型p自

2、签名证书pCA证书p本地证书p设备本地证书第5页证书结构l最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。第6页证书格式l设备支持三种文件格式保存证书。格式格式描述描述PKCS#12以二进制格式保存证书，可以包含私钥，也可以不包含私钥。常用的后缀有：.P12和.PFX。DER以二进制格式保存证书，不包含私钥。常用的后缀有：.DER、.CER和.CRT。PEM以ASCII码格式保存证书，可以包含私钥，也可以不包含私钥。常用的后缀有：.PEM、.CER和.CRT。第7页目录1.数字证书2.PKI体系架构体系架构3.PKI工作机制第8页PKI必要性第9页PKI基本概念l公钥基础设施PKI（

3、Public Key Infrastructure），是一种遵循既定标准的证书管理平台，它利用公钥技术能够为所有网络应用提供安全服务。lPKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。第10页PKI体系架构l一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。第12页PKI生命周期lPKI的核心技术就围绕着本地证书的申请、颁发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。第14页证书申请l通常情况下PKI实体会生成一对公私钥，公钥和自己的身份信息（包含在证书注册请求消息中）被发送给CA用来生成本地证书，私钥PKI实体自己保存用来数

4、字签名和解密对端实体发送过来的密文。lPKI实体向CA申请本地证书有以下两种方式p在线申请p离线申请（PKCS#10方式）第15页目录1.数字证书2.PKI体系架构3.PKI工作机制工作机制第16页PKI工作过程l针对一个使用PKI的网络，配置PKI的目的就是为指定的PKI实体向CA申请一个本地证书，并由设备对证书的有效性进行验证。第18页证书应用场景-通过HTTPS登录Web第19页证书应用场景-IPSec VPN第20页证书应用场景-SSL VPN第21页思考题1.以下哪个不属于USG6000系列防火墙支持的证书格式？（）A.PKCS#12B.DERC.PEMD.TXT2.PKI体系由哪几个部分组成?（）A.终端实体B.证书认证机构C.证书注册机构D.证书/CRL存储库第22页本章总结lPKI体系架构组成及生命周期lPKI工作机制l证书的格式及证书内容的含义l证书的常见应用场景第23页谢谢