公钥架构PKI的部署和应用
公钥架构的组成部分:非对称密钥、证书、证书颁发机构(CA)、使用者、应用程序
1、非对称密钥指公钥私钥对,由非对称函数生成,一般在证书申请者本地生产,或由专门的应用程序生成。
2、证书将一个公钥证书申请者的具体信息绑定在一起,由CA审核颁发,由CA维护。
3、使用者包括用户、计算机、服务。
独立CA和企业CA的区别:
独立CA
独立CA不要求域环境,其数据信息独立存放在本地数据库,不与域集成,可安装在任何一台windows 20002003服务器的计算机上。在部署上独立CA简单,不用考虑域环境因素,但证书的申请、信任、续订等要靠手动进行,无法与组策略结合使用,因此独立CA适用于小型的证书应用场合,如建立SSL网站。
企业CA
1、与域集成、需要活动目录服务,数据库信息存储在活动目录中
2、当用户安装企业CA时,组策略配置域中所有用户和计算机自动信任该CA
3、可以颁发具有登陆域功能的智能卡证书
4、当在域中安装了企业CA以后,域中的DC会自动向该CA申请证书
CA的功能:
1、审核证书请求并颁发证书
2、证书续订
3、管理证书吊销
4、维护CA证书分发点
5、维护CA自身证书
证书的应用场合:
证书主要用来进行身份验证、加密、数字签名
    客户端访问虚拟专用网络×××
客户端访问×××网络时,可使用证书加密,主要指L2TP ×××访问
    网关至网关的×××
在网关至网关的×××应用中,使用证书加密,提高安全性
    IPSec
IPSec使用证书加密网路中传输的数据
    Web安全性
在网站中配置证书,加密HTTP传输的内容。还可以配置客户端证书验证
    加密文件系统(EFS
使用证书对文件系统进行加密
    安全电子邮件
使用证书对邮件进行加密和数字签名
    智能卡
微软CA支持智能卡,即将证书写入到智能卡中,在安全性要求高的应用中,可以部署智能卡,智能卡常用于Kerberos登陆和×××验证
    无线网络连接
无线网络可以使用证书进行网络接入身份验证,提高无线网络的安全
    代码签名
使用证书对代码进行签名,用户可在应用程序中设置只下载经过数字签名的代码