返回
使用SCEP为SSL提供证书服务

使用SCEP为SSL提供证书服务

ID:37561537

大小:284.18 KB

页数:8页

时间:2019-05-25

使用SCEP为SSL提供证书服务_第1页
使用SCEP为SSL提供证书服务_第2页
使用SCEP为SSL提供证书服务_第3页
使用SCEP为SSL提供证书服务_第4页
使用SCEP为SSL提供证书服务_第5页
资源描述:

《使用SCEP为SSL提供证书服务》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、http://www.paper.edu.cn使用SCEP为SSL提供证书服务杨扬,马跃北京邮电大学计算机科学与技术学院,北京(100876)E-mail:yywberry.student@sina.com摘要:SSL作为目前流行的保障信息安全的协议,具有保密性、消息完整性和端点认证等特性。本文使用SCEP模块为SSL提供端点认证的特性,它作为路由器上的一个模块,向CA服务器提出请求,为通信双方提供身份认证。关键词:SCEP,SSL,CA服务器,CRL中图分类号:TP3931.引言[1]SCEP(Si

2、mpleCertificateEnrollmentProtocol)是一种证书解决方案,目前广泛应用于PKIclient和CA实现。SCEP中有三种实体:终端实体、数字证书认证中心(CA)和审核[2]授权部门(RA)。终端实体是指在证书的subjectname域或者在X.509V3扩展版本中subjectAltName域中定义名字的实体。它的功能是产生一对非对称RSA密钥,发起证书申请或者证书查询请求。CA是证书的颁发机构,是PKI的核心,职责是接收终端用户的申请,决定是否为其颁发证书;处理证书的更新

3、请求;处理证书的查询请求;发布CRL等。RA协助CA负责为已授权的证书申请者制作、发放和管理证书,在RA存在的情况下,终端实体通过RA提出证书申请,此时终端实体除了获得CA自签名证书外,还要获得由CA颁发的RA证书。SCEP模块HTTP模块SSL模块TCP模块图1SCEP模块在路由器中的位置在建立SSL连接的过程中,有两处需要提供证书服务。一处是SSL服务器向客户端发送证书来证明自己的身份时,这就需要SSL服务器拥有自己的数字证书;另外一处是如果SSL服务器选择了客户端认证,那么它在获得客户端证书时就

4、需要认证客户端证书的可靠性。由于验证证书需要耗费大量的时间,如果一个SSL服务器同时为多个客户端服务,验证每个客户端的证书将耗费大量的服务器时间,降低了服务器的效率。因此,对客户端身份的验证往往不使用证书,而是通过其他的方式完成,比如用户名/口令等。所以本文只讨论SCEP为SSL申请数字证书的情况,SCEP模块在系统中的位置可以用图1表示。2.为SSL服务器申请证书SSL连接中进行服务器验证,首先要保证服务器拥有数字证书,申请证书的过程由SCEP模块完成,申请成功后将证书送至SSL信箱,SSL模块可以

5、将证书存储在内存中,启动SSL模块时自动加载证书,而无需每次重新申请证书。SCEP在申请证书前需要具备以下两个前提条件:具有一对RSA密钥;已知CA服务器-1-http://www.paper.edu.cn[2]URL。SCEP拥有的这对密钥即是将来CA颁发的服务器证书中的SubjectPublicKeyInfo域中要包含的内容,同时,SSL在剩余的建立连接过程中还要使用其中的密钥信息,因此密钥的生成可以交由SSL模块完成,之后再将密钥提供给SCEP用来申请证书。因为SCEP申请证书的过程用到了HTT

6、P消息,所以必须知道CA服务器的URL。本文使用的网络拓扑如图2所示,路由器R作为SSL服务器,其上已经装载了SCEP模块,还有一台安装了Windows2003证书服务器的机器作为CA服务器,假设其IP为13.1.1.1,CA服务器名为test(建立CA服务器时由用户填写),CA服务器在路由器内的名字为myca(此名字用来在路由器内部使用),则CA服务器的URL为http://13.1.1.1/certsrv/mscep/mscep.dll。在满足了这两个条件之后,SCEP就可以开始证书申请过程。图2

7、网路拓扑结构图SCEP在获取数字证书之前,必须先获得CA服务器证书(若RA存在,还需获得RA证书),而此时SCEP和CA之间没有公钥交换,不能进行加密通信,因此使用HTTP协议来获得证书。获取CA服务器证书的过程可以用两条消息完成:SCEP请求者发送给CA服[1][1]务器的GetCACert消息和CA服务器返回的CertRep消息,如图3所示。图3SCEP请求CA服务器的证书2.1GetCACert路由器R与myca建立TCP连接之后,SCEP发送HTTPGET:http:/13.1.1.1/cer

8、tsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=myca,Windows2003证书服务器采用了RA注册的方式,因此作为HTTP响应数据的MIME消息的内容标识域Content-Type为application/x-x509-ca-ra-cert,表明信息体包含一个以DER编码的证书链,其中包含三个证书,一个CA证书和两个RA证书,两个RA证书的其中一个用于加密,另一个用于签名

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。