1、2023-1-22项目9配置与管理数字证书服务器项目项目9配置与管理数字证配置与管理数字证书服务器书服务器项目9配置与管理数字证书服务器项目9 配置与管理数字证书服务器 9.3.1 9.3.1 了解企业证书的意义与适用了解企业证书的意义与适用 9.3.2 9.3.2 认识认识CACA模式模式9.3.3 9.3.3 安装企业证书服务架设企业安装企业证书服务架设企业根根9.3.4 9.3.4 申请和使用证书申请和使用证书9.3.5 9.3.5 签名与加密电子邮件签名与加密电子邮件9.3.6 9.3.6 安装企业从属安装企业从属CACA9.3 安装企业CA和申请证书9.2 项目设计及准备9.2.1
2、9.2.1 项目设计项目设计9.2.2 9.2.2 项目准备项目准备 9.5 9.5 数字证书服务器实训数字证书服务器实训9.1 相关知识9.1.1 9.1.1 数字证书数字证书9.1.2 PKI9.1.2 PKI 9.1.3 9.1.3 内部内部CACA和外部和外部CACA9.1.4 9.1.4 颁布证书的过程颁布证书的过程9.1.5 9.1.5 证书吊销证书吊销9.1.6 CA9.1.6 CA的层次结构的层次结构 9.4 管理数字证书9.4.1 9.4.1 备份与还原备份与还原CACA9.4.2 9.4.2 自动或手工发放证书自动或手工发放证书 9.4.3 9.4.3 吊销证书吊销证书9.
3、4.4 9.4.4 导入与导出用户的证书导入与导出用户的证书9.4.5 9.4.5 更新证书更新证书项目9配置与管理数字证书服务器 对于大型的计算机网络,数据的安全和管理的自动化对于大型的计算机网络,数据的安全和管理的自动化历来都是人们追求的目标,特别是历来都是人们追求的目标,特别是InternetInternet的迅猛发展,的迅猛发展,在在InternetInternet上处理事务、交流信息和交易等方式越来越广上处理事务、交流信息和交易等方式越来越广泛,越来越多的重要数据要在网上传输,网络安全问题也泛,越来越多的重要数据要在网上传输,网络安全问题也更加被重视,尤其是在电子商务活动中,必须保证
4、交易双更加被重视,尤其是在电子商务活动中,必须保证交易双方能够互相确认身份,安全地传输敏感信息,同时还要防方能够互相确认身份,安全地传输敏感信息,同时还要防止被人截获、篡改,或者假冒交易等。因此如何保证重要止被人截获、篡改,或者假冒交易等。因此如何保证重要数据不受到恶意的损坏,成为网络管理最关键的问题之一。数据不受到恶意的损坏,成为网络管理最关键的问题之一。而通过部署公钥基础机构(而通过部署公钥基础机构(PKIPKI),利用),利用PKIPKI提供的密钥体提供的密钥体系来实现数字证书签发、身份认证、数据加密和数字签名系来实现数字证书签发、身份认证、数据加密和数字签名等功能,可以为网络业务的开展
5、提供安全保证。等功能,可以为网络业务的开展提供安全保证。项目描述项目描述项目9 配置与管理数字证书服务器项目9配置与管理数字证书服务器 了解数字证书了解数字证书 了解了解CACA的层次结构的层次结构 掌握企业掌握企业CACA的安装与证书申请的安装与证书申请 掌握数字证书的管理方法及技巧掌握数字证书的管理方法及技巧项目目标项目目标项目9 配置与管理数字证书服务器项目9配置与管理数字证书服务器9.1 相关知识数字证书数字证书PKIPKI内部内部CACA和外部和外部CACA颁发证书的过程颁发证书的过程证书吊销证书吊销CACA的层次结构的层次结构项目9 配置与管理数字证书服务器项目9配置与管理数字证书
6、服务器概述Windows 2003中有两种验证协议,Kerberos和公钥基础结构(Public Key Infrastructure,PKI),这两者的不同之处在于:Kerberos是对称密钥,而PKI是非对称密钥。对称密钥加密和解密的密钥相同。非对称密钥加密和解密密钥不同。项目9配置与管理数字证书服务器数字证书简介数字证书是一段包含用户身份信息、用户公钥信息和身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。项目9配置与管理数字证书服务器数字证书数字证书是各类终端实体和最终用户在
7、网上进行信息交流和商务活动的身份证明。数字证书是一个经证书认证中心(CA)数字签名的,包含公开密钥拥有者信息和公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。项目9配置与管理数字证书服务器PKI公钥基础结构(Public Key Infrastructure,PKI)是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构(CA)和其他注册机构(RA)。一个单位选择使用Windows来部署PKI的原因有很多:安全性强。安全性强。智能卡登陆、加密文件
8、系统智能卡登陆、加密文件系统(EFS)、)、IPsec(Internet协议安全性)协议安全性)简化管理。简化管理。其他机会。其他机会。项目9配置与管理数字证书服务器浏览器浏览器加密文件系加密文件系统统加密加密 E-Mail数字标示数字标示智能卡智能卡数字签名数字签名IPSEC项目9配置与管理数字证书服务器证书的用途证书的用途证书提供下述功能:服务器身份验证服务器身份验证利用证书为网络中的客户利用证书为网络中的客户机鉴别服务器机鉴别服务器客户机身份验证客户机身份验证利用证书为服务器提供对利用证书为服务器提供对客户机的认证(如:远程访问功能和智能卡身客户机的认证(如:远程访问功能和智能卡身份验证
9、)份验证)程序代码签署程序代码签署(数字签名数字签名)利用与密钥对有利用与密钥对有关的证书签署活动内容关的证书签署活动内容加密加密E-mailE-mail安全电子邮件,利用与密钥对安全电子邮件,利用与密钥对有关的证书签署电子邮件消息(用于加密信有关的证书签署电子邮件消息(用于加密信函)。函)。EFSEFS(加密文件系统)(加密文件系统)利用与密钥对有关利用与密钥对有关的证书,加密和解密用于还原恢复加密数据的的证书,加密和解密用于还原恢复加密数据的对称密钥。对称密钥。IPSecIPSec利用与密钥对有关的证书,加密基利用与密钥对有关的证书,加密基于于IPIP层的传输。层的传输。项目9配置与管理数
10、字证书服务器认证中心(CA)认证中心(CA):负责提供和指派加密密钥、解密密钥、身份验证。CA通过发放证书来分布密钥。证书中通过发放证书来分布密钥。证书中包含公共密钥和一组属性,包含公共密钥和一组属性,CA可将证可将证书发给某个计算机、用户帐号或者服务。书发给某个计算机、用户帐号或者服务。CA扮演了一种担保人的角色。扮演了一种担保人的角色。项目9配置与管理数字证书服务器内部内部CA和外部和外部CA外部外部CACA:外部商用:外部商用CACA,为成千上万的用,为成千上万的用户提供认证服务。户提供认证服务。内部内部CACA:面向企业内部用户、计算机:面向企业内部用户、计算机或服务器的策略模型或服务
11、器的策略模型。项目9配置与管理数字证书服务器颁发证书的过程认证中心CA颁发证书涉及如下4个步骤:(1)CA收到证书请求信息,包括个人资料和公钥等。(2)CA对用户提供的信息进行核实。(3)CA用自己的私钥对证书进行数字签名。(4)CA将证书发给用户。项目9配置与管理数字证书服务器证书吊销证书的吊销使得证书在自然过期之前便宣告作废。可能的原因包括:证书拥有者的私钥泄漏或被怀疑泄漏。证书拥有者的私钥泄漏或被怀疑泄漏。发现证书是用欺骗手段获得的。发现证书是用欺骗手段获得的。证书拥有者的情况发生了改变。证书拥有者的情况发生了改变。项目9配置与管理数字证书服务器CA的层次结构Windows Server
12、 2003 PKIWindows Server 2003 PKI采用了分层采用了分层CACA模型。模型。项目9配置与管理数字证书服务器CA的层次结构证书层次结构是一种信任模式。证书层次结构是一种信任模式。在这种模在这种模式中,通过在式中,通过在CACA之间建立父之间建立父/子关系,创子关系,创建了认证路径。建了认证路径。1、根CA(根本权威)-是一个机构的PKL中最可信任的CA类型。通常情况下,根通常情况下,根CACA的物理安全性和证书的物理安全性和证书发放策略比下层发放策略比下层CACA更严格。更严格。在大多数机构中,只将根在大多数机构中,只将根CACA用于向其他用于向其他CACA,即下层,
13、即下层CACA发放证书。发放证书。2、下层CA-已经被机构中的另一个CA鉴定过的CA。项目9配置与管理数字证书服务器CA的层次结构通常,下层通常,下层CACA针对特定的用途发放证书(例如针对特定的用途发放证书(例如安全电子邮件、基于安全电子邮件、基于webweb的身份验证,或者智的身份验证,或者智能卡身份验证)。此外,下层能卡身份验证)。此外,下层CACA也可以向其也可以向其他的、更下层的他的、更下层的CACA发放证书。发放证书。提示:父父CACA和子和子CACA彼此没有从属关系,不需要彼此没有从属关系,不需要使所有的使所有的CACA共享一个公共的顶级父共享一个公共的顶级父CA(CA(或根或根
14、CA)CA)。项目9配置与管理数字证书服务器9.2 项目设计 及准备 项目设计项目设计 项目准备项目准备项目9 配置与管理数字证书服务器项目9配置与管理数字证书服务器9.3 安装企业CA和申请证书了解企业证书的意义与适用了解企业证书的意义与适用认识认识CACA模式模式安装证书服务并架设企业根安装证书服务并架设企业根CACA申请和使用证书申请和使用证书签名与加密电子邮件签名与加密电子邮件安装企业从属安装企业从属CACA项目9 配置与管理数字证书服务器项目9配置与管理数字证书服务器企业CA的安装与证书申请若要使用证书服务,必须在服务器上安装并部署企业CA,然后由用户向该企业CA申请证书,使用公开密
15、钥和私有密钥来对要传送的信息进行加密和身份验证。项目9配置与管理数字证书服务器企业证书的意义与适用企业证书的意义与适用加密的目的:以某种方式将数据变得难懂,加密的目的:以某种方式将数据变得难懂,使得只有预期用户能够阅读它。使得只有预期用户能够阅读它。加密加密:通过数学运算将:通过数学运算将明文和加密密钥明文和加密密钥结合起来,产生密文。结合起来,产生密文。解密解密:通过数学运算将:通过数学运算将密文和解密密钥密文和解密密钥结合起来,产生明文。结合起来,产生明文。公共密钥加密技术用到了两个密钥:公共密钥加密技术用到了两个密钥:加密密钥和解密密钥密钥(key):一个随机字符串与某种算一个随机字符串
16、与某种算法的联合使用。法的联合使用。公共密钥加密技术公共密钥加密技术项目9配置与管理数字证书服务器公共密钥加密技术公共密钥加密技术系统使用一对密钥来完成对数据的加密解密:系统使用一对密钥来完成对数据的加密解密:公共密钥(公钥)公共密钥(公钥):是自由发布的,可以公:是自由发布的,可以公开,以供他人向自己传输信息时加密使用。开,以供他人向自己传输信息时加密使用。私用密钥(私钥)私用密钥(私钥):在系统中保存,从不发:在系统中保存,从不发布,只有拥有对应私钥的本人才能解密,从布,只有拥有对应私钥的本人才能解密,从而保证数据传输的保密性。而保证数据传输的保密性。项目9配置与管理数字证书服务器公共密钥
17、加密技术公共密钥加密技术A加密B的公钥B解密B的私钥密文明文加密模型项目9配置与管理数字证书服务器公共密钥身份验证公共密钥身份验证(使用密钥对)(使用密钥对)与公共密钥加密技术类似,公共密钥身份验与公共密钥加密技术类似,公共密钥身份验证也使用了证也使用了密钥对。但它不利用发送者的私用密钥解密消息,而但它不利用发送者的私用密钥解密消息,而是利用发送者的公共密钥鉴别和确认该消是利用发送者的公共密钥鉴别和确认该消息的发送者的有效性。这一息的发送者的有效性。这一私用密钥被称为数字签名。项目9配置与管理数字证书服务器公共密钥身份验证公共密钥身份验证数字签名说明:加密技术可以提供安全性和机密性,而数字签名
18、可以确认信息的真实性和来源。数字签名:一种由消息、文件或者其他数字一种由消息、文件或者其他数字化编码信息的创建者将其身份标识和这些化编码信息的创建者将其身份标识和这些消息利用私钥约束在一起的方法。消息利用私钥约束在一起的方法。数字签名用于发送者的不可抵赖性,因为私数字签名用于发送者的不可抵赖性,因为私钥只有自己有,所以当接收者用你的公钥钥只有自己有,所以当接收者用你的公钥解密后就可以证明是你无疑。解密后就可以证明是你无疑。数字签名本身就是数据,因此它们可以与受数字签名本身就是数据,因此它们可以与受保护的原数据一起进行传输,供接收者验保护的原数据一起进行传输,供接收者验证。证。项目9配置与管理数
19、字证书服务器公共密钥身份验证公共密钥身份验证数字签名使用私钥对签名数据进行加密,可以确保达到下述目的:只有拥有私钥的人才能进行数字签名。只有拥有私钥的人才能进行数字签名。任何人都可以通过相应的公钥鉴别数字签名的任何人都可以通过相应的公钥鉴别数字签名的真伪。真伪。如果对签名后进行了数据的任何修改,数字签如果对签名后进行了数据的任何修改,数字签名将失效。名将失效。项目9配置与管理数字证书服务器公共密钥身份验证公共密钥身份验证A加密A的私钥B解密A的公钥密文明文认证模型明文项目9配置与管理数字证书服务器CA模式Windows 2003支持两类认证中心(CA):企业CA和独立存在的CA。每类每类CA中
20、都包含中都包含根根CA和下层和下层CA。安装认证服务时可选择4种CA模式:1.企业根企业根CA2.企业从属企业从属CA3.独立根独立根CA4.独立从属独立从属CA项目9配置与管理数字证书服务器CA模式n企业根企业根CA 是顶级根,企业根是顶级根,企业根CA利用活动目录确定请求利用活动目录确定请求者的身份,并确定请求者是否具有为特定的的者的身份,并确定请求者是否具有为特定的的证书类型所要求的安全性权限。证书类型所要求的安全性权限。n独立存在的根独立存在的根CA 是顶级根,它可以是,也可不是某个域的成员是顶级根,它可以是,也可不是某个域的成员并不要求有活动目录。还可以断开与网络的连并不要求有活动目
21、录。还可以断开与网络的连接接n企业下层企业下层CA 在机构内发放证书,但企业下层在机构内发放证书,但企业下层CA不是最可不是最可信的信的CA。你可以利用某个企业下层。你可以利用某个企业下层CA针对特定针对特定用途发放证书。它必须有一个父用途发放证书。它必须有一个父CAn独立存在的下层独立存在的下层CA 它作为一个孤立的证书服务器运行,或者位于它作为一个孤立的证书服务器运行,或者位于某个某个CA信任层次结构内。你为公司以外的实体信任层次结构内。你为公司以外的实体发放证书,你应该建立独立存在的下层发放证书,你应该建立独立存在的下层CA项目9配置与管理数字证书服务器架设企业根架设企业根CA(1)(1
22、)准备工作。在企业网络中创建活动目录,将要架设为企业根CA的服务器加入至活动目录,并升级为域外控制器。安装应用程序服务Web组件,并确保添加Active Server Page(ASP)组件,便于用户以Web方式申请CA证书。默认情况下,默认情况下,Windows 2003Windows 2003安装程序安装程序不安装证书服务。不安装证书服务。重要说明:重要说明:安装了正式服务后,计算安装了正式服务后,计算机不能再被重新命名,也不能加入到某机不能再被重新命名,也不能加入到某个域中,或者从某个域中删除。个域中,或者从某个域中删除。注:注:为了利用证书服务的为了利用证书服务的WebWeb组件,必组
23、件,必须先安装须先安装IISIIS。项目9配置与管理数字证书服务器架设企业根架设企业根CA(2)(2)添加证书服务组件。运行“Windows组件向导”,在“组件”列表框中选中“证书服务”复选框。(3)选择CA类型。在“CA类型”对话框中选中“企业根CA”单选按钮。(4)CA识别信息。在“此CA的公用名称”文本框中设置此CA在Active Directory内的公用名称,此CA默认的有效年限为5年。项目9配置与管理数字证书服务器架设企业根架设企业根CA(3)(5)证书数据库设置。选择证书数据库文件和日志文件的目录。CACA发出的证书默认存储在:发出的证书默认存储在:WINNTsystem32Ce
24、rtlogWINNTsystem32Certlog(6)证书服务安装完成后,在“管理工具”中会增加“证书颁发机构”服务。证书颁发机构:证书颁发机构:用于对用于对CACA进行管理的控制进行管理的控制台,位于安装有证书服务的服务器上。台,位于安装有证书服务的服务器上。证书服务的证书服务的WebWeb注册支持注册支持用于请求证书的用于请求证书的WebWeb页。页。访问:访问:http:/CAhttp:/CA服务器名服务器名/certsrv/certsrv项目9配置与管理数字证书服务器申请和使用证书申请和使用证书域用户申请企业CA证书的方式有两种:利用利用“证书向导证书向导”申请证书申请证书以以Web
25、Web方式申请证书方式申请证书独立CA申请证书时,只能通过Web浏览器方式。项目9配置与管理数字证书服务器利用利用“证书向导证书向导”申请证书申请证书(1)打开MMC控制台,选择“文件”“添加/删除管理单元”,在对话框中的“独立”选项卡中单击“添加”,选择“证书”“我的用户账户”。(2)运行证书申请向导。在MMC证书控制台窗口中展开“证书-当前用户”选项,右击“个人”选项,在弹出的快捷菜单中选择“所有任务”“申请新证书”选项,启动“证书申请向导”。项目9配置与管理数字证书服务器利用利用“证书向导证书向导”申请证书申请证书(3)选择证书类型。(4)证书的名称和描述。项目9配置与管理数字证书服务器
26、以以WebWeb方式申请证书方式申请证书项目9配置与管理数字证书服务器以以WebWeb方式申请证书方式申请证书项目9配置与管理数字证书服务器以以WebWeb方式申请证书方式申请证书项目9配置与管理数字证书服务器以以WebWeb方式申请证书方式申请证书注意:独立CA在收到申请信息后,不能自动核准与发放证书,需要人工核准并颁发证书,然后客户端才能安装证书。项目9配置与管理数字证书服务器从属CA的安装 安装下层安装下层CACA时,必须从相应的父时,必须从相应的父CACA获取一个获取一个证书。证书。为某个下层CA获取证书如果可以联机使用某个父如果可以联机使用某个父CACA,可以采用该方法,可以采用该方
27、法获取证书。获取证书。从文件安装证书如果不能联机父如果不能联机父CACA,则创建证书请求文件提交,则创建证书请求文件提交给父给父CA,CA,由父由父CACA提供针对这个文件的证书,接提供针对这个文件的证书,接受到证书后,必须安装该证书。受到证书后,必须安装该证书。项目9配置与管理数字证书服务器9.4 管理数字证管理数字证书书备份与还原备份与还原CACA自动或手工发放证书自动或手工发放证书吊销证书吊销证书导入与导出用户的证导入与导出用户的证书书更新证书更新证书项目9 配置与管理数字证书服务器项目9配置与管理数字证书服务器数字证书的管理数字证书的管理CA的备份与还原发放证书吊销证书导入与导出用户的
28、证书更新证书项目9配置与管理数字证书服务器CACA的备份和还原的备份和还原重要说明重要说明:如果:如果IISIIS元库丢失或被破坏,在恢元库丢失或被破坏,在恢复复CACA时,必须先恢复时,必须先恢复IISIIS元库。元库。备份备份CACA备份备份CACA的频繁速度依赖于发放的证书数目。发的频繁速度依赖于发放的证书数目。发放的证书越多,备份越频繁。放的证书越多,备份越频繁。操作步骤:(认证颁发机构)操作步骤:(认证颁发机构)恢复恢复CACA从备份复制件还原从备份复制件还原CACA。操作步骤:(认证颁发机构)操作步骤:(认证颁发机构)项目9配置与管理数字证书服务器发放证书1.自动发放证书当用户向企
29、业CA申请证书时,企业CA会自动通过Active Directory来查询用户的身份,以确定是否有权限申请此证书,然后自动将核准的证书发放给用户。2.手动发放证书独立CA不具备向Active Directorv查询用户身份的功能,因此,当用户在向独立CA申请证书时必须自行输入用户的身份信息。并且独立CA默认不会自动发放用户所申请的证书,必须由独立CA的系统管理员在检查完用户的申请信息后,再决定是否要手工发放此证书。项目9配置与管理数字证书服务器手动发放证书手动发放证书复查待处理的证书请求复查待处理的证书请求发放待处理的证书请求发放待处理的证书请求项目9配置与管理数字证书服务器吊销证书吊销证书用户所申请的证书都有一定的有效期,一般默认有效期为1年。当用户离开企业后,证书将不能够继续使用,应当及时予以吊销。另外,用户也可以吊销自己尚未到期的证书。被吊销的证书将加入到“证书吊销列表”中。如果用户只是暂时离开企业,那么在回到公司后,还可以为其解除并恢复吊销的证书。2023-1-22项目9配置与管理数字证书服务器