新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   >>中国XML论坛<<     W3CHINA.ORG讨论区     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
  •   Add to Google

    >> 操作系统研究。UEFI
    [返回] 中文XML论坛 - 专业的XML技术讨论区计算机理论与工程『 操作系统原理 』 → 使用 Windows Server 2003 规划和实现交叉认证和限定从属 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 3646 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: 使用 Windows Server 2003 规划和实现交叉认证和限定从属 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     lio3695 帅哥哟,离线,有人找我吗?处女座1988-8-25
      
      
      等级:大二期末(汇编考了97分!)
      文章:200
      积分:453
      门派:XML.ORG.CN
      注册:2007/12/31

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给lio3695发送一个短消息 把lio3695加入好友 查看lio3695的个人资料 搜索lio3695在『 操作系统原理 』的所有贴子 引用回复这个贴子 回复这个贴子 查看lio3695的博客楼主
    发贴心情 使用 Windows Server 2003 规划和实现交叉认证和限定从属

    简介限定从属是对证书颁发机构层次结构执行交叉认证的过程,该认证过程使用基本约束、策略约束、命名约束和应用程序约束来限制应从合作伙伴 CA 层次结构处或同一组织内的次要层次结构处接受哪些证书。在 Windows 2000 网络中无法实现 CA 层次结构上真正意义的交叉认证。唯一可行的备用方案是定义信任特定 CA 和限制证书使用的证书信任列表 (CTL)。通过使用限定从属,CA 管理员可以明确定义 CA 管理员组织信任的合作伙伴 PKI 所颁发的证书。限定从属还提供了在组织中根据策略规范划分和控制证书颁发的方法。本白皮书中将分别提供一些示例来对这两种方案进行阐释。

    在本白皮书中,术语“限定从属”是指在实现基本约束、名称约束、应用程序约束、策略约束或混合约束的两 CA 间进行的交叉认证。有了这种认证,便可以根据 RFC 2459 以及后来 RFC 3280 中定义的规则和定义,来限制应信任合作伙伴或次要 CA 层次结构中的哪些证书。

    内容范围本白皮书的内容范围是描述使用限定从属控制多组织 PKI 层次结构间关系的方法。本白皮书描述了为定义 PKI 层次结构间关系而实现的各种约束,提供了限定从属方案以及执行限定从属过程的演练。

    本白皮书中使用的术语应用程序约束 限制限定从属配置中证书用途的约束。提供的证书中必须包含要求合作伙伴组织接受的应用程序约束。

    颁发机构信息访问 (AIA) 包含可在其中检索颁发 CA 证书的 URL 位置的证书扩展。AIA 扩展可以包含 HTTP、FTP、LDAP 或 FILE URL。

    颁发机构密钥标识符 (AKI) 供证书链接引擎使用的证书扩展,证书链接引擎可以使用该证书扩展来确定应使用哪个证书来签名所提交的证书。AKI 可以包含颁发者名称和序列号、公共密钥信息,或根本不包含任何信息。将证书 AKI 扩展中的信息与 CA 证书使用者密钥标识符 (SKI) 扩展中的信息进行匹配,即可以构建证书链。

    CaPolicy.inf 一个配置文件,存储在 %SystemRoot% 文件夹中,在安装证书和续订 CA 证书时需用该文件定义 CA 的配置设置。

    CRL 分发点 (CDP) 指示可从何处检索 CA 证书吊销列表的证书扩展。该扩展可包含多个 HTTP、FTP、File 或 LDAP URL,用于 CRL 的检索。

    证书信任列表 (CTL) 限制证书使用的一种方法,该方法限制与指定 CA 相链接的证书仅可在一段时间内使用,或仅可用于特定用途。这种方法在 Windows 2000 网络中使用较为广泛。在 Windows Server 2003 环境中,限制组织间证书用途的首选方法是限定从属。

    证书吊销列表 (CRL) 由 CA 颁发的数字签名列表,其中包含该 CA 颁发的已被吊销的证书的列表。此列表包含证书的序列号、证书吊销日期和吊销原因。应用程序可以执行 CRL 检查,以确定所提交证书的吊销状态。

    交叉认证 为与两个根 CA 相链接的 CA 颁发从属 CA 证书的过程。

    交叉证书颁发机构证书 一个 CA 为另一个 CA 的签名密钥对(也就是为另一个 CA 的公共验证密钥)颁发的证书。

    名称约束 名称约束,用于限制向 CA 所提交的证书申请中允许或排除的名称。

    颁发策略约束 策略约束,用于定义受组织信任的证书所必须遵循的颁发实践。组织中的颁发策略对象标识符 (OID) 将被映射到合作伙伴组织中相匹配的对象标识符,以便于您的 PKI 能够识别所提交证书中的对象标识符。

    Policy.inf 一个配置文件,在定义限定从属时需用该文件来定义要对 CA 证书应用的约束。

    公钥基础结构 (PKI) PKI 为组织提供了在公共网络上使用公钥加密安全交换数据的能力。PKI 由颁发数字证书的 CA、存储证书的目录(包括 Windows 2000 和 Windows Server 2003 中的 Active Directory)以及颁发给网络上安全实体的 X.509 证书组成。PKI 提供了基于证书的凭据验证,并确保凭据不会被吊销、破坏或修改。

    限定从属 用基本约束、名称约束、应用程序约束和颁发策略约束配置交叉认证,以控制合作伙伴组织可以信任的证书的过程。


       收藏   分享  
    顶(0)
      




    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2007/12/31 18:58:00
     
     GoogleAdSense处女座1988-8-25
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 操作系统原理 』的所有贴子 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/11/28 22:17:58

    本主题贴数1,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    46.875ms