WindowsCA-证书服务器配置课件.ppt

1、1密码学Windows_CA_证书服务器配置证书服务器配置2目录31.CA1.CA中心中心 CA中心又称中心又称CA机构，即证书授权中心机构，即证书授权中心(Certificate Authority)，或称证书授权机构，作为电子商务交易中受信，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。任的第三方，承担公钥体系中公钥的合法性检验的责任。负责证书颁发、吊销、更新和续订等证书管理任务和负责证书颁发、吊销、更新和续订等证书管理任务和CRL（被被CA吊销的证书的列表吊销的证书的列表）发布和事件日志记录等几项发布和事件日志记录等几项重要的任务。重要的任务。

2、41.CA1.CA中心中心 CA中心为每个使用公开密钥的用户发放一个数字证书，中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡机构的数字签名使得攻击者不能伪造和篡改证书。在改证书。在SET交易中，交易中，CA不仅对持卡人、商户发放证书，不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电理所有参与

3、网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。子交易的核心环节。51.CA1.CA中心中心 电子商务的安全是通过使用加密手段来达到的，非对称电子商务的安全是通过使用加密手段来达到的，非对称密钥加密技术（公开密钥加密技术）是电子商务系统中主要密钥加密技术（公开密钥加密技术）是电子商务系统中主要的加密技术，主要用于对称加密密钥的分发（数字信封）、的加密技术，主要用于对称加密密钥的分发（数字信封）、数字签名的实现数字签名的实现(进行身份认证和信息的完整性检验进行身份认证和信息的完整性检验)和交易防和交易防抵赖等。抵赖等。CA体系为用户的公钥签发证书，以实现公钥的分发体系为用户的公钥签发

4、证书，以实现公钥的分发并证明其合法性。该证书证明了该用户拥有证书中列出的公并证明其合法性。该证书证明了该用户拥有证书中列出的公开密钥。证书是一个经证书授权中心数字签名的包含公开密开密钥。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循钥拥有者信息以及公开密钥的文件。证书的格式遵循X.509标标准。准。61.CA1.CA中心中心 认证中心（认证中心（CACertificate Authority）作为权威的、可）作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证

5、书。它作为一个权威机构，对网上交易的实体所需的数字证书。它作为一个权威机构，对密钥进密钥进 行有效地管理，颁发证书证明密钥的有效性，并将公行有效地管理，颁发证书证明密钥的有效性，并将公开密钥同某一个实体（消费者、商户、银行）联系在一起。开密钥同某一个实体（消费者、商户、银行）联系在一起。它负责产生、分配并管理所有参与网上信息交换各方所需的它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书，因此是安全电子信息交换的核心。数字证书，因此是安全电子信息交换的核心。71.CA1.CA中心中心 为保证客户之间在网上传递信息的安全性、真实性、可为保证客户之间在网上传递信息的安全性、真实性、可靠性

6、、完整性和不可抵赖性，不仅需要对客户的身份真实性靠性、完整性和不可抵赖性，不仅需要对客户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。安全电子交易协议标准的安全证书。数字证书管理中心是保证电子商务安全的基础设施。它数字证书管理中心是保证电子商务安全的基础设施。它负责电子证书的申请、签发、制作、废止、认证和管理，提负责电子证书的申请、签发、制作、废止、认证和管理，提供网上客户身份认证、数字签名

7、、电子公证、安全电子邮件供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。等服务等业务。81.CA1.CA中心中心 随着认证中心随着认证中心(或称或称CA中心中心)的出现，使得开放网络的安的出现，使得开放网络的安全问题得以迎刃而解。利用数字证书、全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高数字签名、数字信封等加密技术，可以建立起安全程度极高的加解密和身份认证系统，确保电子交易有效、安全地进行，的加解密和身份认证系统，确保电子交易有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（保密从而使

8、信息除发送方和接收方外，不被其他方知悉（保密性）；保证传输过程中不被篡改（完整性和一致性）；发送性）；保证传输过程中不被篡改（完整性和一致性）；发送方确信接收方不是假冒的（身份的真实性和不可伪装性）；方确信接收方不是假冒的（身份的真实性和不可伪装性）；发送方不能否认自己的发送行为（不可抵赖性）。发送方不能否认自己的发送行为（不可抵赖性）。9CA的架构 CA认证的主要工具是认证的主要工具是CA中心为网上作业主体颁发的数中心为网上作业主体颁发的数字证书。字证书。CA架构包括架构包括PKI结构、高强度抗攻击的公开加解密结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技算法、数字签名技术、身

9、份认证技 术、运行安全管理技术、术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的角色看，可靠的信任责任体系等等。从业务流程涉及的角色看，包括包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从书目录服务、证书审批和作废处理系统。从CA的层次结构来的层次结构来看，看，可以分为认证中心（根可以分为认证中心（根CA）、密钥管理中心（）、密钥管理中心（KM）、）、认证下级中心（子认证下级中心（子CA）、证书审批中心（）、证书审批中心（RA中心）、证书中心）、证书审批受理点（审批受理点（RAT）等

10、。）等。CA中心一般要发布认证体系声明书，中心一般要发布认证体系声明书，向服务的对象郑重声明向服务的对象郑重声明CA的政策、保证安全的措施、服务的的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。范围、服务的质量、承担的责任、操作流程等条款。10CA的架构 根据根据PKI的结构，身份认证的实体需要有一对密钥，分别的结构，身份认证的实体需要有一对密钥，分别为私钥和公钥。其中的私钥是保密的，公钥是公开的。从原为私钥和公钥。其中的私钥是保密的，公钥是公开的。从原理上讲，不能从公钥推导出私钥，穷举法来求私钥则由于目理上讲，不能从公钥推导出私钥，穷举法来求私钥则由于目前的技术、

11、运算工具和时间的限制而不可能。每个实体的密前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现，即一个公钥必定对应一个私钥。公钥钥总是成对出现，即一个公钥必定对应一个私钥。公钥 加密加密的信息必须由对应的私钥才能解密，同样，私钥做出的签名，的信息必须由对应的私钥才能解密，同样，私钥做出的签名，也只有配对的公钥才能解密。公钥有时用来传输对称密钥，也只有配对的公钥才能解密。公钥有时用来传输对称密钥，这就是数字信封技术。这就是数字信封技术。11CA的架构 密钥的管理政策是把公钥和实体绑定，由密钥的管理政策是把公钥和实体绑定，由CA中心把实体中心把实体的信息和实体的公钥制作成数字证书，证

12、书的尾部必须有的信息和实体的公钥制作成数字证书，证书的尾部必须有CA中心的数字签名。由于中心的数字签名。由于CA中心的数字签名是不可伪造的，因中心的数字签名是不可伪造的，因此实体的数字证书不可伪造。此实体的数字证书不可伪造。CA中心对实体的物理身份资格中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的字证书对应起来。由于实体都信任提供第三方服务的CA中心，中心，因此，实体可以信任由因此，实体可以信任由CA中心颁发数字证书的其他实体，放中心颁发数字证书的其他实体，放心地在网

13、上进行作业和交易。心地在网上进行作业和交易。12CA的职责CA中心主要职责是颁发和管理数字证书。其中心任务是颁发中心主要职责是颁发和管理数字证书。其中心任务是颁发数字证书，并履行用户身份认证的责任。数字证书，并履行用户身份认证的责任。CA中心在安全责任中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面，需要十分严格的政策和规程，人员安全、密钥管理等方面，需要十分严格的政策和规程，要有完善的安全机制。另外要有完善的安全审计、运行监控、要有完善的安全机制。另外要有完善的安全审计、运行监控、容灾备份、事故快速

14、反应等实施措施，容灾备份、事故快速反应等实施措施，对身份认证、访问控对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。制、防病毒防攻击等方面也要有强大的工具支撑。13CA的职责 CA中心的证书审批业务部门则负责对证书申请者进行资中心的证书审批业务部门则负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此，它应是能够承担这些责任的机构担任；的一切后果，因此，它应是能够承担这些责任的机构担任；证

15、书操作部门（证书操作部门（Certificate Processor，简称，简称CP）负责为已）负责为已授权的申请者制作、发放和管理证书，授权的申请者制作、发放和管理证书，并承担因操作运营错并承担因操作运营错误所产生的一切后果，包括失密和为没有授权者发放证书等，误所产生的一切后果，包括失密和为没有授权者发放证书等，它可以由审核业务部门自己担任，也可委托给第三方担任。它可以由审核业务部门自己担任，也可委托给第三方担任。14CA中的数字证书 数字安全证书就是标志网络用户身份信息的一系列数据，数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在用来在网络通讯中

16、识别通讯各方的身份，即要在Internet上解上解决决我是谁我是谁的问题，就如同现实中我们每一个人都要拥有一的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。份或某种资格。在网上电子交易中，在网上电子交易中，商户需要确认持卡人是信用卡或借商户需要确认持卡人是信用卡或借记卡的合法持有者，同时持卡人也必须能够鉴别商户是否是记卡的合法持有者，同时持卡人也必须能够鉴别商户是否是合法商户，是否被授权接受某种品牌的信用卡或借记卡支付。合法商户，是否被授权接受某种品牌的信用卡或借记卡支付。为处理这为

17、处理这 些关键问题，必须有一个大家都信赖的机构来发放些关键问题，必须有一个大家都信赖的机构来发放数字安全证书。数字安全证书就是参与网上交易活动的各方数字安全证书。数字安全证书就是参与网上交易活动的各方（如持卡人、商家、支付网关）（如持卡人、商家、支付网关）身份的代表，每次交易时，身份的代表，每次交易时，都要通过数字安全证书对各方的身份进行验证。数字安全证都要通过数字安全证书对各方的身份进行验证。数字安全证书是由权威公正的第三方机构即书是由权威公正的第三方机构即CA中心签发的，它在证书申中心签发的，它在证书申请被认证中心批请被认证中心批 准后，通过登记服务机构将证书发放给申请准后，通过登记服务机

18、构将证书发放给申请者。者。15CA中的数字证书 数字安全证书是一个经证书授权中心数字签名的包含公数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字一个公开密钥、名称以及证书授权中心的数字 签名。一般情签名。一般情况下证书中还包括密钥的有效时间，发证机关况下证书中还包括密钥的有效时间，发证机关(证书授权中心证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。一个标准的国际标准。

19、一个标准的X.509数字安全证书包含以下一数字安全证书包含以下一些内容：些内容：l证书的版本信息；证书的版本信息；l证书的序列号，每个证书都有一个唯一的证书序列号；证书的序列号，每个证书都有一个唯一的证书序列号；l证书所使用的签名算法；证书所使用的签名算法；l证书的发行机构名称，命名规则一般采用证书的发行机构名称，命名规则一般采用X.500格式；格式；l证书的有效期，现在通用的证书一般采用证书的有效期，现在通用的证书一般采用UTC时间格式；时间格式；l证书所有人的名称，命名规则一般采用证书所有人的名称，命名规则一般采用X.500格式；格式；l证书所有人的公开密钥；证书所有人的公开密钥；l证书发

20、行者对证书的签名证书发行者对证书的签名16CA中心的作用 CA为电子商务服务的证书中心，是为电子商务服务的证书中心，是PKI（Public Key Infrastructure）体系的核心。它为客户的公开密钥签发公钥）体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书，并提供一系列密钥生命周期内证书、发放证书和管理证书，并提供一系列密钥生命周期内的管理服务。它将客户的公的管理服务。它将客户的公 钥与客户的名称及其他属性关联钥与客户的名称及其他属性关联起来，为客户之间电子身份进行认证。证书中心是一个具有起来，为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三

21、方机构。它是电子商务存权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。在和发展的基础。17CA中心的作用l自身密钥的产生、存储、备份自身密钥的产生、存储、备份/恢复、归档和销毁恢复、归档和销毁l从根从根CA开始到直接给客户发放证书的各层次开始到直接给客户发放证书的各层次CA，都有其自身的密，都有其自身的密钥对。钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生，中心的密钥对一般由硬件加密服务器在机器内直接产生，并存储于加密硬并存储于加密硬 件内，或以一定的加密形式存放于密钥数据库内。件内，或以一定的加密形式存放于密钥数据库内。加密备份于加密备份于IC卡或其他存储介质

22、中，并以高等级的物理安全措施保卡或其他存储介质中，并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标护起来。密钥的销毁要以安全的密钥冲写标 准，彻底清除原有的准，彻底清除原有的密钥痕迹。需要强调的是，根密钥痕迹。需要强调的是，根CA密钥的安全性至关重要，它的泄密钥的安全性至关重要，它的泄露意味着整个公钥信任体系的崩溃，所以露意味着整个公钥信任体系的崩溃，所以CA的密钥保护必须按照的密钥保护必须按照最高安全级最高安全级 的保护方式来进行设置和管理。的保护方式来进行设置和管理。18CA中心的作用l为认证中心与各地注册审核发放机构的安全加密通信提供为认证中心与各地注册审核发放机构的安全

23、加密通信提供安全密钥管理服务安全密钥管理服务l在客户证书的生成与发放过程中，除了有在客户证书的生成与发放过程中，除了有CA中心外，还有注册机中心外，还有注册机构、审核机构和发放机构（对于有外部介质的证书）的存在。行业构、审核机构和发放机构（对于有外部介质的证书）的存在。行业使用范围内的证书，使用范围内的证书，其证书的审批控制，可由独立于其证书的审批控制，可由独立于CA中心的行中心的行业审核机构来完成。业审核机构来完成。CA中心在与各机构进行安全通信时，可采用中心在与各机构进行安全通信时，可采用多种手段。对于使用证书机制的安全通信，各机构多种手段。对于使用证书机制的安全通信，各机构（通信端）的（

24、通信端）的密钥产生、发放与管理维护，都可由密钥产生、发放与管理维护，都可由CA中心来完成。中心来完成。19CA中心的作用l确定客户密钥生存周期，实施密钥吊销和更新管理确定客户密钥生存周期，实施密钥吊销和更新管理 l每一张客户公钥证书都会有有效期，密钥对生命周期的长短由签发每一张客户公钥证书都会有有效期，密钥对生命周期的长短由签发证书的证书的CA中心来确定。各中心来确定。各CA系统的证书有效期限有所不同，一般系统的证书有效期限有所不同，一般大约为大约为23年。年。20CA中心的作用l密钥更新不外为以下两种情况：密钥对到期、密钥泄露后密钥更新不外为以下两种情况：密钥对到期、密钥泄露后需要启用新的密

25、钥对（证书吊销）。密钥对到期时，客户需要启用新的密钥对（证书吊销）。密钥对到期时，客户一般事先非常清楚，可以采用重新申请的方式实施更新。一般事先非常清楚，可以采用重新申请的方式实施更新。l采用证书的采用证书的公钥公钥吊销，是通过吊销吊销，是通过吊销公钥证书公钥证书来实现的。来实现的。公公钥证书钥证书的吊销来自于两个方向，一个是上级的主动吊销，的吊销来自于两个方向，一个是上级的主动吊销，另一个是下级主动申请证书的吊销。当上级另一个是下级主动申请证书的吊销。当上级CA对下级对下级CA不能信赖时（如上级发现下级不能信赖时（如上级发现下级CA的的私钥私钥有泄露的可能），有泄露的可能），它可以主动停止下

26、级它可以主动停止下级CA公钥证书公钥证书的合法使用。当客户发现的合法使用。当客户发现自己的自己的私钥私钥泄露时，也可泄露时，也可 主动申请主动申请公钥证书公钥证书的吊销，防止的吊销，防止其他客户继续使用该公钥来加密重要信息，而使非法客户其他客户继续使用该公钥来加密重要信息，而使非法客户有盗取机密的可能。一般而言，在有盗取机密的可能。一般而言，在电子商务电子商务实际应用中，实际应用中，可能会较少出现私可能会较少出现私 钥泄露的情况，多数情况是由于某个客钥泄露的情况，多数情况是由于某个客户由于组织变动而调离该单位，需要提前吊销代表企业身户由于组织变动而调离该单位，需要提前吊销代表企业身份的该客户的

27、证书。份的该客户的证书。212.服务器证书服务器证书 服务器证书是服务器证书是SSL数字证书的一种形式，意指通过提交数字证书的一种形式，意指通过提交数字证书来证明您的身份或表明您有权访问在线服务。再者数字证书来证明您的身份或表明您有权访问在线服务。再者简单来说，通过使用服务器证书可为不同站点提供身份鉴定简单来说，通过使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全。然而，并不是所有网站并保证该站点拥有高强度加密安全。然而，并不是所有网站都需要添加服务器证书，但强烈建议只要是与用户、服务器都需要添加服务器证书，但强烈建议只要是与用户、服务器进行交互连结操作，以及涉及到密码、隐

28、私等内容的网站页进行交互连结操作，以及涉及到密码、隐私等内容的网站页面，才需要服务器安全认证证书。面，才需要服务器安全认证证书。22SSL证书 SSL证书是数字证书的一种，类似于驾驶证、护照和营证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。业执照的电子副本。SSL证书通过在客户端浏览器和证书通过在客户端浏览器和Web服务器之间建立一服务器之间建立一条条SSL安全通道（安全通道（Secure socket layer(SSL)安全协议是由安全协议是由Netscape Communication公司设计开发。该安全协议主要公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对

29、传送的数据进行加密和用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于成为该领域中全球化的标准。由于SSL技术已建立到所有主技术已建立到所有主要的浏览器和要的浏览器和WEB服务器程序中，因此，仅需安装服务器证服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活书就可以激活该功能了）。即通过它可以激活SSL协议，实协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。

30、保证了双方传递信息的安全性，而且用户可据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。以通过服务器证书验证他所访问的网站是否是真实可靠。23SSL证书 数位签名又名数字标识、签章数位签名又名数字标识、签章(即即 Digital Certificate，Digital ID)，提供了一种在网上进行身份验证的方法，是用，提供了一种在网上进行身份验证的方法，是用来标志和证明网路通信双方身份的数字信息文件，概念类似来标志和证明网路通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份证相似。日常生活中的司机驾照或身份证相似。数字签名主要用于

31、发数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。网上缴税以及网上购物等安全的网上电子交易活动。24SSL证书优点 一般说来，在网上进行电子商务交易时，交易双方需要一般说来，在网上进行电子商务交易时，交易双方需要使用数字签名来表明自己的身份，并使用数字签名来进行有使用数字签名来表明自己的身份，并使用数字签名来进行有关的交易操作。随着电子商务的盛行，数位签章的颁发机构关的交易

32、操作。随着电子商务的盛行，数位签章的颁发机构 CA（如（如GlobalSign）中心将为电子商务的发展提供可靠的中心将为电子商务的发展提供可靠的安全保障。安全保障。一个有效、可信的一个有效、可信的 SSL 数字证书包括一个公共密钥和一数字证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。因此，浏览器指向一个安全域时，密的信息。因此，浏览器指向一个安全域时，SSL 将同步确将同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。一般而言，由密钥。一

33、般而言，由 CA 业者发出的数字证书，有别于国内业者发出的数字证书，有别于国内浏览器业者比对域名信息等方式，采取更为严格的企业及所浏览器业者比对域名信息等方式，采取更为严格的企业及所有权验证，为电商环境树立更为可信的运作环境。有权验证，为电商环境树立更为可信的运作环境。25SSL证书认证原理 安全套接字层安全套接字层(SSL)技术通过加密信息和提供鉴权，保技术通过加密信息和提供鉴权，保护网站安全。一份护网站安全。一份 SSL 证书包括一个公共密钥和一个私用密证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。钥。公共密钥用于加密信息，私用密钥用于解译加密的信息

34、。浏览器指向一个安全域时，浏览器指向一个安全域时，SSL 同步确认服务器和客户端，同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。一个保证消息的隐私性和完整性的安全会话。SSL的工作原理中包含如下三个协议：的工作原理中包含如下三个协议：l握手协议（握手协议（Handshake protocol）l记录协议（记录协议（Record protocol）l警报协议（警报协议（Alert protocol）26SSL证书认证原理l握手协议握手协议l握手协议是客户机和服务器用握手协议是

35、客户机和服务器用SSL连接通信时使用的第一个子协议，连接通信时使用的第一个子协议，握手协议包括客户机与服务器之间的一系列消息。握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证，协商加协议就是握手协议。该协议允许服务器和客户机相互验证，协商加密和密和MAC算法以及保密密钥，用来保护在算法以及保密密钥，用来保护在SSL记录中发送的数据。记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。握手协议是在应用程序的数据传输之前使用的。27SSL证书认证原理l记录协议记录协议l记录协议在客户机和服务器握手成功后使用，即客户机和

36、服务器鉴记录协议在客户机和服务器握手成功后使用，即客户机和服务器鉴别对方和确定安全信息交换使用的算法后，进入别对方和确定安全信息交换使用的算法后，进入SSL记录协议，记录记录协议，记录协议向协议向SSL连接提供两个服务：连接提供两个服务：（1）保密性：使用握手协议定义的秘密密钥实现）保密性：使用握手协议定义的秘密密钥实现 （2）完整性：握手协议定义了）完整性：握手协议定义了MAC，用于保证消息完整性，用于保证消息完整性28SSL证书认证原理l警报协议警报协议l客户机和服务器发现错误时，向对方发送一个警报消息。如果是致客户机和服务器发现错误时，向对方发送一个警报消息。如果是致命错误，则算法立即关

37、闭命错误，则算法立即关闭SSL连接，双方还会先删除相关的会话号，连接，双方还会先删除相关的会话号，秘密和密钥。每个警报消息共秘密和密钥。每个警报消息共2个字节，第个字节，第1个字节表示错误类型，个字节表示错误类型，如果是警报，则值为如果是警报，则值为1，如果是致命错误，则值为，如果是致命错误，则值为2；第；第2个字节制个字节制定实际错误类型。定实际错误类型。29证书功能 服务器部署了服务器部署了 SSL 证书后可以确保用户在浏览器上输入证书后可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强

38、度加密传输的，是不可能被非法器之间的传输链路上是高强度加密传输的，是不可能被非法篡改和窃取的。同时向网站访问者证明了服务器的真实身份，篡改和窃取的。同时向网站访问者证明了服务器的真实身份，此真实身份是通过第三方权威机构验证的。也就是说有两大此真实身份是通过第三方权威机构验证的。也就是说有两大作用：数据加密和身份认证。作用：数据加密和身份认证。30证书功能l确认网站真实性（网站身份认证）：确认网站真实性（网站身份认证）：l用户需要登录正确的网站进行在线购物或其它交易活动，但由于互用户需要登录正确的网站进行在线购物或其它交易活动，但由于互联网的广泛性和开放性，使得互联网上存在着许多假冒、钓鱼网站，

39、联网的广泛性和开放性，使得互联网上存在着许多假冒、钓鱼网站，用户如何来判断网站的真实性，如何信任自己正在访问的网站，可用户如何来判断网站的真实性，如何信任自己正在访问的网站，可信网站将帮你确认网站的身份。当用户需要确认网站身份的时候，信网站将帮你确认网站的身份。当用户需要确认网站身份的时候，只需要点击浏览器地址栏里面的锁头标志即可。只需要点击浏览器地址栏里面的锁头标志即可。31证书功能l保证信息传输的机密性：保证信息传输的机密性：l用户在登录网站在线购物或进行各种交易时，需要多次向服务器端用户在登录网站在线购物或进行各种交易时，需要多次向服务器端传送信息，而这些信息很多是用户的隐私和机密信息，

40、直接涉及经传送信息，而这些信息很多是用户的隐私和机密信息，直接涉及经济利益或私密，如何来确保这些信息的安全呢？可信网站将帮您建济利益或私密，如何来确保这些信息的安全呢？可信网站将帮您建立一条安全的信息传输加密通道。立一条安全的信息传输加密通道。32证书功能 在在SSL会话产生时，服务器会传送它的证书，用户端浏会话产生时，服务器会传送它的证书，用户端浏览器会自动的分析服务器证书，并根据不同版本的浏览器，览器会自动的分析服务器证书，并根据不同版本的浏览器，从而产生从而产生40位或位或128位的会话密钥，用于对交易的信息进行位的会话密钥，用于对交易的信息进行加密。所有的过程都会自动完成，对用户是透明

41、的，因而，加密。所有的过程都会自动完成，对用户是透明的，因而，服务器证书可分为两种：最低服务器证书可分为两种：最低40位和最低位和最低128位（这里指的位（这里指的是是SSL会话时生成加密密钥的长度，密钥越长越不容易破解）会话时生成加密密钥的长度，密钥越长越不容易破解）证书。证书。最低最低40位的服务器证书在建立会话时，根据浏览器版本位的服务器证书在建立会话时，根据浏览器版本不同，可产生不同，可产生40位或位或128位的位的SSL会话密钥用来建立用户浏会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低览器与服务器之间的安全通道。而最低128位的服务器证书不位的服务器证书不受浏览器版本的限

42、制可以产生受浏览器版本的限制可以产生128位以上的会话密钥，实现高位以上的会话密钥，实现高级别的加密强度，无论是级别的加密强度，无论是IE或或Netscape浏览器，即使使用强浏览器，即使使用强行攻击的办法破译密码，也需要行攻击的办法破译密码，也需要10年。年。33证书分类SSL证书依据功能和品牌不同分类有所不同，但证书依据功能和品牌不同分类有所不同，但SSL证书作证书作为国际通用的产品，最为重要的便是产品兼容性（即证书根为国际通用的产品，最为重要的便是产品兼容性（即证书根预埋技术），因为他解决了网民登录网站的信任问题，网民预埋技术），因为他解决了网民登录网站的信任问题，网民可以通过可以通过S

43、SL证书轻松识别网站的真实身份。证书轻松识别网站的真实身份。SSL证书分为证书分为如下种类：如下种类：扩展验证型(EV)SSL证书组织验证型(OV)SSL证书域名验证型（DV）SSL证书34证书工作流程l用户连接到你的Web站点，该Web站点受服务器证书所保护。（可由查看 URL的开头是否为https:来进行辩识，或浏览器会提供你相关的信息）。l你的服务器进行响应，并自动传送你网站的数字证书给用户，用于鉴别你的网站。l用户的网页浏览器程序产生一把唯一的会话钥匙码，用以跟网站之间所有的通讯过程进行加密。l使用者的浏览器以网站的公钥对交谈钥匙码进行加密，以便只有让你的网站得以阅读此交谈钥匙码。l具

44、有安全性的通讯过程已经建立。这个过程仅需几秒中时间，且使用者不需进行任何动作。依不同的浏览器程序而定，使用者会看到一个钥匙的图标变得完整，或一个门栓的图标变成上锁的样子，用于表示工作阶段具有安全性。352.服务器证书 服务器证书服务器证书(server certificates)组成组成Web服务器的服务器的SSL安全功能的唯一的数字标识。通过相互信任的第三方组织获安全功能的唯一的数字标识。通过相互信任的第三方组织获得，并为用户得，并为用户 提供验证您提供验证您Web站点身份的手段。服务器证书站点身份的手段。服务器证书包含详细的身份验证信息，如服务器内容附属的组织、颁发包含详细的身份验证信息，

45、如服务器内容附属的组织、颁发证书的组织以及称为公开密钥的唯一的身份验证文件。这意证书的组织以及称为公开密钥的唯一的身份验证文件。这意味着服务器证书确保用户关于味着服务器证书确保用户关于web服务器内容的验证，同时服务器内容的验证，同时意味着建立的意味着建立的HTTP连接是安全的。连接是安全的。36服务器证书厂商 常见的安全套接字层常见的安全套接字层(SSL)证书认证机构有证书认证机构有VeriSign，GlobalSign，WoSign 等，为网站、内联网和外联网的电子等，为网站、内联网和外联网的电子商务及通讯提供安全保护。商务及通讯提供安全保护。CA 机构通过加密功能和严格的鉴机构通过加密功

46、能和严格的鉴权措施，保护着服务器的安全。拥有代表着互联网高度安全权措施，保护着服务器的安全。拥有代表着互联网高度安全性的可信任标志，并为每一位网站访问者启用最强大的性的可信任标志，并为每一位网站访问者启用最强大的 SSL 加密功能。目前加密功能。目前VeriSign通过其国内合作伙伴天威诚信，提通过其国内合作伙伴天威诚信，提供该服务，赛门铁克公司在供该服务，赛门铁克公司在2010年收购了年收购了VeriSign公司数字公司数字证书业务，增加了数字证书中安全漏洞扫描业务，使得证书证书业务，增加了数字证书中安全漏洞扫描业务，使得证书安全服务更加的全面。安全服务更加的全面。GlobalSign 则直

47、接在中国提供服务器则直接在中国提供服务器证书的申请、审核和认证。证书的申请、审核和认证。37互联网上的最受信任标志 财富财富 500 强企业中超过强企业中超过 93%的公司和世界的公司和世界 40 家最大的家最大的银行都选择银行都选择 SSL 证书安全策略，因为他们都深知互联网安全证书安全策略，因为他们都深知互联网安全重要性。他们之所以信任重要性。他们之所以信任 SSL 证书服务，正是由于先进的加证书服务，正是由于先进的加密技术和严格的业务鉴权实践。如果您的网站使用密技术和严格的业务鉴权实践。如果您的网站使用 SSL 证书证书(SSL Certificates)，并显示了签章，并显示了签章(S

48、ecured Seal)，您的客，您的客户就知道他们的交易安全可靠，并且充分信赖您的网站。户就知道他们的交易安全可靠，并且充分信赖您的网站。38最高等级的服务器证书 目前最高等级的服务器证书为目前最高等级的服务器证书为extended validation ssl certificates，翻译为中文即扩展验证（，翻译为中文即扩展验证（EV）SSL证书，该证证书，该证书经过最彻底的身份验证，确保证书持有组织的真实性。绿书经过最彻底的身份验证，确保证书持有组织的真实性。绿色地址栏将循环显示组织名称和作为色地址栏将循环显示组织名称和作为CA的机构名称（如的机构名称（如GlobalSign），从而最

49、大限度上确保网站的安全性，树立网），从而最大限度上确保网站的安全性，树立网站可信形象，不给欺诈钓鱼网站以可乘之机。站可信形象，不给欺诈钓鱼网站以可乘之机。39服务器证书工作原理 安全套接字层安全套接字层(SSL)技术通过加密信息和提供鉴权，保技术通过加密信息和提供鉴权，保护您的网站安全。一份护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，信息。浏览器指向一个安全域时，SSL 同步确认服务器和客同步确认服务器和客户端，并创建一

50、种加密方式和一个唯一的会话密钥。它们可户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。以启动一个保证消息的隐私性和完整性的安全会话。40服务器证书工作原理l使用扩展确认的安全网站专业版使用扩展确认的安全网站专业版(Secure Site Pro with EV)：真正的：真正的 128 位扩展确认位扩展确认当您进行在线商务活动时，利用扩展确认和当您进行在线商务活动时，利用扩展确认和128位位SSL加密技术增强加密技术增强客户对您的信心，同时，还为每一位网站访问者提供最强大的加密服客户对您的信心，同时，还为每一位网站访问者提供最强大的加密服务。另