1、第14章 证书服务配置与管理本章学习目标 本章主要讲解证书服务器的配置与管理。通过本章学习,读者应该掌握以下知识:证书服务的基本概念;安装与配置证书服务器;客户端证书安装与使用;14.1 证书服务的基本概念 公钥数字证书(又称为公钥证书、数字证书、certificates)简称证书,是用于身份验证的经过(权威机构)数字签名的声明(以文件的形式存在)。证书将公钥与保存对应私钥的实体绑定在一起,证书一般由可信的权威第三方CA中心(权威授权机构)颁发,CA 对其颁发证书进行数字签名,以保证所颁发证书的完整性和可鉴别性。CA可以为用户、计算机或服务等各类实体颁发证书。图14-1 证书数据结构图14-2
2、 证书对话框图14-3 查看证书详细信息14.2 安装与配置Windows Server 2003证书服务 14.2.1 安装证书服务 14.2.2 证书服务管理14.2.1 安装证书服务 安装证书服务器的步骤如下:步骤一,选择“开始”/“设置”/“控制面板”/“添加或删除程序”,选择“添加/删除Windows组件”,在出现的如图14-4所示对话框中,选择“证书服务”复选框,并单击“详细信息”按钮,出现如图14-5所示“证书服务”子组件详细对话框。图14-4 安装Windows 2003证书服务组件图14-5 证书服务子组件对话框 步骤二,在如图14-5所示证书服务详细内容对话框中,选择“证书
3、服务CA”和“证书服务Web注册支持”,“证书Web注册支持”服务选项,允许用户以浏览器模式访问Windows Server 2003证书服务器,申请证书。单击“确定”按钮,返回图14-4所示对话框界面,单击“下一步”按钮继续。步骤三,在出现如图14-6所示“CA类型”对话框中,选择“独立根”和“用自定义设置生成密匙对和CA证书”选项,这里我们构建企业自己独立的CA服务器。单击“下一步”按钮继续。图14-6 设置CA类型对话框 步骤四,在出现的如图14-7所示对话框中进行加密服务提供程序的设置,选择散列算法(建议选用SHA-1)和密匙长度。根据安全应用的需要可以选择512、1024或2048位
4、密钥长度。单击“下一步”按钮。步骤五,在出现的如图14-8所示对话框中输入CA的识别信息,本例中设置为Henan University of Technology,即CA的公共名称(CN,Common Name)为Henan University of Technology。用户可以任意设置为本企业的标识名称。单击“下一步”继续。图14-7 选择加密服务提供程序对话框图14-8 设置CA标识名称对话框 步骤六,在出现如图14-9所示对话框中进行证书数据库、证书日志存储路径的设置。单击“下一步”弹出一询问停止IIS服务的对话框,选择“是”停止IIS服务,接下来系统开始组件安装。图14-9 证书数
5、据库设置对话框图14-10 证书服务器证书入口共享文件夹 图14-11 证书Web服务入口14.2.2 证书服务管理 证书服务安装好后,可以使用管理工具中“证书颁发机构”工具对证书服务器进行管理。通过“开始”/“程序”/“管理工具”/“证书颁发机构”,打开“证书颁发机构”管理控制台窗口,如图14-12所示,显示此计算机上已经安装好证书服务,而且已经自动启动运行。图14-12 证书颁发机构管理控制台窗口图14-13 处理挂起的证书请求图14-14 处理颁发的证书14.3 客户端申请和安装证书 14.3.1 安装CA证书 14.3.2 申请并安装客户证书 14.3.3 证书应用14.3.1 安装C
6、A证书图14-15 访问证书服务器图14-16 下载CA证书页面图14-17 证书导入文件选择图14-18 选择证书导入区域图14-19 安全警告对话框图14-20 证书浏览对话框14.3.2 申请并安装客户证书图14-21 申请用户证书页面图14-22 申请电子邮件保护证书图14-23 证书申请页面图14-24 查询证书申请图14-25 查询证书申请14.3.3 证书应用图14-26 邮件帐户设置图14-27为邮件安全服务添加证书图14-28 为邮件安全服务添加证书图14-29 使用Outlook Express签名加密邮件本章小结 本章介绍了Windows Server 2003证书服务的概念、服务的安装与配置,给出了完整的用户申请数字证书的过程,并以安全电子邮件为例,介绍了使用Outlook电子邮件程序实现邮件的签名与加密的安全服务。使用Windows Server 2003证书服务可以架构企业内部自己的CA中心,依靠数字证书应用拓展网络安全服务与应用。
