tnq400-05

tnq400-05内容摘要：

CSP 证书管理 服务 Msg stds (PKCS) CryptoAPI 应用程序 经认证的代码 安全 通道 网络 APIs SSPI 阅读器 智能卡 服务 公钥体系结构 Windows 2020 PKI组件  Active Directory  证书服务  信任管理服务  策略管理服务  CryptoAPI APIs 和保护性存储 PK应用程序  Windows 2020包括很多方面的 PK 应用程序 :  客户端身份验证 (SSL/TLS)  Web服务器身份验证和加密  加密和签名电子邮件 (S/MIME)  数字式签名内容  驱动程序代码签名  文件系统等级的磁盘加密 (EFS)  基于智能卡的登录  网络等级的身份验证 /加密 (IPSec)  远程访问 (拔号和 VPN)  经验证的目录访问 (带有 SSL 的 LDAP)  为其它应用程序开发框架 证书授权机构  发行证书，以实现：  服务器验证， 客户端验证，安全电子邮件， …  同 Active Directory集成  发布证书和 CRLs  CA信息  证书注册，使用：  ActiveX174。 控件， Win32174。 向导，或者 1 插入智能卡，导致Winlogon显示 GINA 2 用户输入 PIN 5 Kerberos在一个 PKINIT登录请求中将证书发送给 KDC 7 KDC返回 TGT， 使用一个会话密钥进行加密，而它又依次使用用户的公钥进行加密 8 Sm智能卡使用允许 LSA登记用户的私人密钥对TGT进行解码 6 KDC接下来在DS搜索规则对证书进行核实 阅读器 3 GINA将PIN传递给LSA SC 4 LSA 访问智能卡并从卡中接收 证书信息 LSA Kerberos Kerberos KDC 智能卡登录 PKI演示  请求和管理证书  废止的证书列表  证书策略  智能卡注册  智能卡登录 PKI的最佳练习  规划 CA的物理安全性， CPS  建立三级 CA分层结构  根节点应该脱机和库存  外部发布 (证书， CRLs， CPS 叙述 )  首先进行简单的要素操作； IPSEC, EFS, 然后再 S/MIME  不要惧怕实验，你可以经常撤回 CA的并再试一次  备份 ! PKI 小测验  Windows 2020 PKI的实现是私 有的吗 ?  它基于一组标准，是实现互用性的关键 !  ITU  RSA PKCS  IETF: PKIX, SSL/TLS, S/MIME  PC/SC 安全 Web 服务器 客户端 证书授权 带有 SSL/TLS的 HTTP 信任关系 安全 Web访问 证书注册 SSL 客户端验证  使用  用于多种协议的单用户 ID  安全帐号管理  使用现存的基础结构  帐号管理和访问控制  从信任证书授权机构接受第三方 证书  商业间的验证 SSL 客户端验证 SChannel SSP 客户端证书  服务器 可信 Cas的证书存储 验证服务  域 组织单元 (OU) 用户 2. 按用户名在目录中定位用户对象 访问标识  3. 基于组成员关系建立 Windows NT访问标识 1. 证实用记的基于可信的 CA, CRL的证书 服务器资源  ACL 4. 模仿客户端 ， 对象访问验证 证书映射  验证  公钥和 Active Directory  授权  基于帐号组成员关系进行访问控制  可替换的安全标识  一对一  主体 + 发行者 , 单一证书  多对一。