微軟系統(tǒng)工程師、微軟企業(yè)架構(gòu)專家課程CA證書服務(wù)配置及管理

1、微軟微軟企業(yè)管理專家企業(yè)管理專家、微軟企業(yè)架構(gòu)專家課程、微軟企業(yè)架構(gòu)專家課程 第六次課程第六次課程 證書服務(wù)配證書服務(wù)配 置及管理置及管理 configuring ad cs pki 的概述 部署 ca 層次結(jié)構(gòu) 安裝 ad cs 管理 ca 什么是 pki？ 通過 pki 管理 ida 和提高安全性 pki 解決方案的組件 通過 pki 解決方案驗證證書 ad cs 的支持 pki lesson 1: overview of pki what is pki? a public key infrastructure (pki): 是軟件、 加密技術(shù)、 進(jìn)程，和服務(wù)，使組織能夠保護(hù)通信和商業(yè)交易

2、的 組合 依賴的經(jīng)過身份驗證的用戶和受信任的資源之間的數(shù)字證書 pki enhances infrastructure security by providing: 保密 完整性 真?zhèn)?認(rèn)可 discussion: managing ida and enhancing security by using pki pki 解決方案向您的組織而會提供哪些好處？ 舉出可以使用證書增強(qiáng)安全性的服務(wù)的少數(shù)的例 子。 pki 解決方案如何支持 ida 管理？ 組件的 pki 解決方案 證書頒發(fā)機(jī)構(gòu)數(shù)字證書 證書吊銷列表 & 聯(lián)機(jī)響應(yīng) 證書模版 公鑰-啟用應(yīng)用程 序和服務(wù) 證書和 ca 管理 工具 aia

3、和 crl 分發(fā) 點 通過 pki 解決方案驗證證書 啟用 pki 的應(yīng)用程序使用 cryptoapi 來驗證證書。 證書發(fā)現(xiàn)路徑驗證吊銷檢查 ad cs 的支持 pki ca ad cs ca web 注冊 聯(lián)機(jī)響應(yīng)程序網(wǎng)絡(luò)設(shè)備注冊 服務(wù) lesson 2:部署 ca 層次結(jié)構(gòu) ca 概述 用于實現(xiàn) ca 選項 ca 類型 獨立 vs 企業(yè) ca ca 層次結(jié)構(gòu)中的使用場合 什么是經(jīng)認(rèn)證層次結(jié)構(gòu)？ overview of ca 證書頒發(fā)機(jī)構(gòu) 自身證書的 問題 驗證證書請求者 的身份 向用戶、 計 算機(jī)和服務(wù) 發(fā)出 證書 向用戶、 計算機(jī)和 服務(wù)發(fā)出證書 discussion:用于實現(xiàn) ca

4、選項 優(yōu)點和缺點使用外部公共 ca 是什么？ 優(yōu)點和缺點使用內(nèi)部的 ca 是什么？ ca 類型 是 ca 最受信任的類型在 pki 基礎(chǔ)結(jié)構(gòu)中。 是自簽名的證書。 其他問題證書從屬 ca。 擁有物理安全及證書發(fā)行策略通常比從屬 ca 更嚴(yán)格的 root ca 由另一個 ca 頒發(fā) 解決特定的用法政策、 組織或地理邊 界、 負(fù)載平衡，和容錯能力 向窗體分層的 pki 基礎(chǔ)結(jié)構(gòu)其他核證 機(jī)關(guān)發(fā)出證書 subordinate ca 獨立與企業(yè)獨立與企業(yè) ca 獨立獨立 cas企業(yè)企業(yè) cas 如有的話，必須使用獨立 的 ca ca （根或中級 / 政策） 處于脫機(jī)狀態(tài)。 這是因為獨立的 ca 未加

5、入一個 ad ds 域。 需要使用 active directory 需要 ad ds 可以使用組策略傳播證 書受信任的根 ca 證書 存儲 用戶提供標(biāo)識信息并指定 的證書類型 將用戶證書和 crl 發(fā) 布到 ad ds 不需要證書模板頒發(fā)證書基于證書模板 所有證書請求保留掛起至 管理員批準(zhǔn) 支持自動注冊簽發(fā)證明 書 ca 層次結(jié)構(gòu)中的使用場合層次結(jié)構(gòu)中的使用場合 root subordinate rasefss/mime indiacanadausa root subordinate root subordinate root subordinate manufacturin g engin

6、eeri ng accountin g employee contracto r partner 證書使用證書使用 位置位置 部門部門組織單位組織單位 什么是經(jīng)過認(rèn)證層次結(jié)構(gòu)？什么是經(jīng)過認(rèn)證層次結(jié)構(gòu)？ root ca root ca organization 1 organization 2 subordinat e ca subordinat e ca root ca root ca organization 1 organization 2 subordinat e ca subordinat e ca 在根目錄在根目錄 ca 級別的認(rèn)證級別的認(rèn)證 經(jīng)認(rèn)證從屬經(jīng)認(rèn)證從屬 ca 到根到根 c

7、a lesson 3: installing ad cs 安裝根 ca 的注意事項。 如何安裝 ad cs 如根 ca。 安裝附屬 ca。 如何 capolicy.inf 文件被用于安裝。 ca 管理控制臺的概述 安裝根 ca 的注意事項 計算機(jī)名稱和域成員 name and configuration 私人密鑰配置 validity period certificate database and log location csp default: 2048 key character length hash algorithm certificate # 規(guī)劃根 ca demonstrati

8、on:如何安裝 ad cs 作為根 ca 為企業(yè)根 ca 安裝 ad cs 服務(wù)器角色 安裝一個附屬 ca 的注意事項 計算機(jī)名稱和域成員 name and configuration 私人密鑰配置 validity period certificate database and log location 申請附屬 ca 證書 csp default: 2048 key character length hash algorithm certificate # 規(guī)劃根 ca 如何 capolicy.inf 文件被用于安裝 capolicy.inf 文件存儲在 %windir %文件夾根或從屬

9、ca。 此文 件定義： 認(rèn)證執(zhí)行語句(cps) 對象標(biāo)識符(oid) crl 發(fā)布間隔 ca 重建設(shè)置 密鑰大小 證書有效性期間 cdp 和 aia 路徑 demonstration: ca 管理控制臺的概述 打開 ca 管理控制臺和檢討可用的選項 lesson 4:管理 ca 什么是 crl？ crl 已發(fā)布 將發(fā)布 aias 和 cdp 何處？ 配置 aia 和 crl 提供 什么是什么是 crl？ 增量增量 crl 使用使用 windows xp (r) 的客戶的客戶 端計算機(jī)或端計算機(jī)或 windows server 2003 基礎(chǔ)基礎(chǔ) crl 所有撤銷所有撤銷 的證書的證書 大發(fā)布間

10、隔大發(fā)布間隔 最后基礎(chǔ)最后基礎(chǔ) crl 證書證書 較短的發(fā)布間隔較短的發(fā)布間隔 + - 大尺寸大尺寸 小尺寸小尺寸 客戶端計算機(jī)使用客戶端計算機(jī)使用 任何版本的任何版本的 windows (r) crl 是如何發(fā)布的是如何發(fā)布的 cert3 base crl# 1 revoke cert5 delta crl# 2 cert5 revoke cert7 cert5 cert7 delta crl# 3 cert3 cert5 cert7 time base crl# 2 發(fā)布 aias 和 cdp 的位置 offline root ca 發(fā)布根證書 ca 和 url： active direc

11、tory web 服務(wù)器 ftp 服務(wù)器 文件服務(wù)器 internet firewallfirewall external web server active directory ftp server internal web serverfile server 如何配置 aia 和 crl 可用性 若要配置 aia 和 cdp 設(shè)置 發(fā)布最新版本的 crl 將發(fā)布到 http 位置的 crl 和 ca 證書脫機(jī)根 ca 以查看該 crl 若要將 crl 和 ca 證書發(fā)布到 active directory 部署和管理證書 通過 ad cs 部署證書。 部署證書通過自動注冊。 吊銷證書。 配

12、置證書模板。 配置證書恢復(fù)。 lesson 1:通過 ad cs 部署證書 什么是數(shù)字證書？ 證書生命周期概述。 證書注冊方法。 通過 web 注冊取得證書。 通過手動注冊取得證書。 如何手動為 web 服務(wù)獲取證書 什么是 ndes？ 什么是數(shù)字證書? 公鑰加密密鑰 信息對象 ca 信息 數(shù)字證書 證書生命周期概述 用戶、 計算機(jī)或服務(wù)從 ca 請求證 書。 1 ca 生成證書。 2 ca 分發(fā)證明書，以用戶、 計算機(jī) 或服務(wù)。 3 與啟用 pki 的應(yīng)用程序一起使用 證書. 4 在其生存期內(nèi)底到達(dá)該證書。 5 證書是過期、 續(xù)期，或撤銷 6 證書注冊方法 methoduse 自動執(zhí)行請求、

13、 檢索和存儲這些基于域 的計算機(jī)的證書 自動執(zhí)行請求、 檢索和存儲這些基于域 的計算機(jī)的證書 從網(wǎng)站位于 ca 請求證書 發(fā)出證書自動注冊不可用時 提供代表的另一個用戶的請求證書權(quán) ca 管理員 web enrollment manual enrollment auto enrollment enrollment agents 以使用 web 注冊取得證書 connect to http:/servername/certsrv by using a web browser. click request a certificate. select the type of certificate

14、that you want to request. type or verify your identification. install the certificate. 2 3 1 5 4 使用手動注冊取得證書 certificates mmc web serverndes manual enrollment demonstration:如何手動為 web 服務(wù)獲取證書 to use iis and perform web site enrollment by using one of the manual enrollment methods 什么是 ndes? ca network r

15、outer network ndes: 使用簡單的證書注冊協(xié)議與兼容的網(wǎng)絡(luò)設(shè)備如路由器和交換機(jī)進(jìn) 行通信 通常實現(xiàn) ipsec 函數(shù)如 active directory 證書服務(wù)角色服務(wù) 需要 internet 信息服務(wù) lesson 2:通過自動注冊部署證書 使用自動注冊的優(yōu)點 自動注冊的運作 discussion:優(yōu)點和使用自動注冊 如何自動注冊可以簡化您的組織中的證書管理？ 可以從自動注冊受益的應(yīng)用程序的示例是什么？ 自動注冊的運作 證書模板配置為允許，注冊，和接收證書的 用戶的自動注冊權(quán)限。 客戶端計算機(jī)下一組策略刷新間隔期間接收 證書。 要啟用自動注冊創(chuàng)建 an active dir

16、ectory (r) 組策略對象 (gpo)。 該 gpo 鏈接 到適當(dāng)?shù)恼军c、 域或組織單位。 ca 配置為發(fā)出該模板。 certificate template certificate authority gpo client machine lesson 3:撤銷證書 為撤銷證書的原因代碼 如何撤銷證書 什么是聯(lián)機(jī)的響應(yīng)程序？ 如何聯(lián)機(jī)響應(yīng)工作 配置聯(lián)機(jī)的響應(yīng)程序的步驟 如何配置聯(lián)機(jī)的響應(yīng)程序 為撤銷證書的原因代碼 reason code description key compromise 被盜的計算機(jī)或智能卡是丟失。 ca compromiseca 證書受到影響。 challenge

17、 of affiliation員工是終止或暫停。 superseded 替換頒發(fā)的證書。 cease of operation 智能卡已失敗或有效的用戶名稱 已更改。 certificate hold 證書是置于保持暫時的工作。 unspecified 證書吊銷無需提供一個原因。 demonstration:如何撤銷證書 撤銷頒發(fā)以前的證書， 什么是聯(lián)機(jī)的響應(yīng)程序？ 使用在線證書狀態(tài)協(xié)議驗證和 吊銷檢查使用 http 接收并響應(yīng)動態(tài)單個請求 支持僅 windows serveru (r) 2008 和 windows vistauc 1 u 174? 的計算 機(jī) 函數(shù)如給多個 ca 的響應(yīng) o

18、nline responder 如何聯(lián)機(jī)響應(yīng)工作 應(yīng)用程序驗證的證書，包含 ocsp 響應(yīng)的位置。 聯(lián)機(jī)響應(yīng)程序接收到請求通過 http，如果找不到緩 存的 ocsp 響應(yīng)。 聯(lián)機(jī)響應(yīng)程序 web 代理組件解碼，并驗證請求。 聯(lián)機(jī)響應(yīng)程序接受請求并檢查本地 crl. web 代理進(jìn)行編碼，并發(fā)送回客戶端響應(yīng) 配置聯(lián)機(jī)的響應(yīng)程序的步驟 安裝聯(lián)機(jī)響應(yīng)程序角 色服務(wù) 配置 ca 創(chuàng)建撤銷配置 stop start demonstration:如何配置聯(lián)機(jī)的響應(yīng)程序 若要配置 ca 以支持聯(lián)機(jī)響應(yīng)程序 安裝和配置聯(lián)機(jī)響應(yīng)程序角色服務(wù) lesson 4:配置證書模板 什么是證書模板？ 證書模板版本 證書

19、模板類別和用途 配置證書模板權(quán)限 更新證書模板的方法 如何修改和啟用證書模板 什么是證書模板？ 格式和內(nèi)容的證明書 創(chuàng)建和提交有效的證書請求的過程 允許讀取、 注冊的安全原則或自動注冊證書 權(quán)限來讀取，注冊自動注冊，或修改證書模板 certificate templates define the: 證書模板版本 提供為了向后兼容 默認(rèn)情況下安裝 ca 時創(chuàng)建 不能修改或刪除，但可以被復(fù)制到成為版本 2 或 3 模板 version 1: 允許在該模板中的自定義的大多數(shù)設(shè)置 安裝一個 ca 時提供幾個預(yù)配置的模板 version 2: 支持 suite b 加密設(shè)置。 包括加密、 數(shù)字簽名、 密

20、鑰 exchange，和哈希的高級的選項。 僅支持 windows serveru (r) 2008 和 windows vistauc 1 u 174? version 3: 證書模板類別和用途 categorysingle purposemultiple purpose users computers 基本 efs 經(jīng)過身份驗證的會話 智能卡登錄 管理員 用戶 智能卡用戶 web 服務(wù)器 ipsec 計算機(jī) 域控制器 配置證書模板權(quán)限 permissiondescription 允許修改所有屬性的安全原則 允許在 active directory 中查找該 證書，注冊時的安全原則 允許修改

21、除外權(quán)限的所有屬性的安全原 則 允許注冊根據(jù)證書模板的證書的安全原 則 允許接收證書通過自動注冊過程的安全 原則 full control write enroll autoenrollment read 更新證書模板的方法 修改原始的證書模板，把新的設(shè)置 。 updated modifying 一個或多個證書模板替換為一個更 新的證書模板。 superseding smart card smart card smart cards two-factor original demonstration:如何修改和啟用證書模板 若要創(chuàng)建，修改，并取代模板 發(fā)出要使用的 ca 證書 配置證書恢復(fù) 密

22、鑰存檔和恢復(fù)的重要性 手動導(dǎo)出證書和私人密鑰 配置自動密鑰存檔 如何配置密鑰存檔 恢復(fù)丟失的密鑰 如何恢復(fù)丟失的鍵 密鑰存檔和恢復(fù)的重要性 刪除用戶配置文件刪除用戶配置文件 重新安裝操作系統(tǒng)重新安裝操作系統(tǒng) 磁盤已損壞磁盤已損壞 計算機(jī)被盜計算機(jī)被盜 keys get lost when: data recovery methods that use: 密鑰存檔和密鑰恢復(fù)代理密鑰存檔和密鑰恢復(fù)代理 手動密鑰存檔和恢復(fù)手動密鑰存檔和恢復(fù) 手動導(dǎo)出證書和私人密鑰 您可以使用以下導(dǎo)出證書您可以使用以下導(dǎo)出證書: 證書證書 mmc 管理單元管理單元 mmc 管理單元中的證書頒發(fā)機(jī)構(gòu)管理單元中的證書頒發(fā)

23、機(jī)構(gòu) certutil.exe outlook internet explorer (r) 使用該工具取決于該證書所基于的證書模板使用該工具取決于該證書所基于的證書模板. 配置自動存檔密鑰 配置和發(fā)出的證書模板密鑰恢復(fù)代理配置和發(fā)出的證書模板密鑰恢復(fù)代理. 若要配置自動密鑰存檔若要配置自動密鑰存檔: 配置和發(fā)出的證書模板密鑰恢復(fù)代理配置和發(fā)出的證書模板密鑰恢復(fù)代理. 啟用鍵在啟用鍵在 ca 上存檔上存檔. 修改并啟用密鑰存檔的所需的證書模板。修改并啟用密鑰存檔的所需的證書模板。 如何配置密鑰存檔 配置和發(fā)出的證書模板密鑰恢復(fù)代理。 要指定一個人是關(guān)鍵恢復(fù)代理及注冊該證書。 要啟用密鑰歸檔在 c

24、a 上。 要修改并啟用密鑰存檔的所需的證書模板 恢復(fù)丟失的密鑰 證書管理器查找證證書管理器查找證 書序列號書序列號。 2 專用密鑰丟失或?qū)Ｓ妹荑€丟失或 損壞。損壞。 1 證書管理器從證書管理器從 ca 中提取數(shù)字中提取數(shù)字 pkcs # 7。 3 用戶導(dǎo)入私鑰用戶導(dǎo)入私鑰. 6 該該 kra 恢復(fù)私鑰?；謴?fù)私鑰。 5 證書管理器將數(shù)字證書管理器將數(shù)字 pkcs # 7 轉(zhuǎn)移轉(zhuǎn)移 到該到該 kra. 4 serial #: 00ad036 pkcs#7 配置 ipsec module overview ipsec 的概述 配置連接安全規(guī)則 配置 ipsec nap 執(zhí)行 lesson 1: ov

25、erview of ipsec ipsec 好處 建議使用 ipsec 用于配置 ipsec 的工具 什么是連接安全規(guī)則？ 演示： 配置常規(guī) ipsec 設(shè)置 benefits of ipsec ipsec 是一系列的協(xié)議，允許安全加密通過不安全的網(wǎng)絡(luò)兩臺計算機(jī)之間是一系列的協(xié)議，允許安全加密通過不安全的網(wǎng)絡(luò)兩臺計算機(jī)之間 的通信的通信 ipsec 有兩個目標(biāo)：有兩個目標(biāo)： 以保護(hù)以保護(hù) ip 數(shù)據(jù)包，并抵御網(wǎng)絡(luò)攻擊數(shù)據(jù)包，并抵御網(wǎng)絡(luò)攻擊 在發(fā)送和接收計算機(jī)上配置在發(fā)送和接收計算機(jī)上配置 ipsec 使兩臺計算機(jī)將安全的數(shù)據(jù)發(fā)送給對方使兩臺計算機(jī)將安全的數(shù)據(jù)發(fā)送給對方 ipsec 保護(hù)通過使用

26、加密和數(shù)據(jù)簽名的網(wǎng)絡(luò)通信保護(hù)通過使用加密和數(shù)據(jù)簽名的網(wǎng)絡(luò)通信 ipsec 策略定義通信策略定義通信 ipsec 檢查、檢查、 如何保護(hù)和加密的交通和如何保護(hù)和加密的交通和 ipsec 對等對等 方進(jìn)行身份驗證的類型方進(jìn)行身份驗證的類型 ipsec的推薦用途 recommended uses of ipsec include: 進(jìn)行身份驗證和加密主機(jī)主機(jī)交通進(jìn)行身份驗證和加密主機(jī)主機(jī)交通 進(jìn)行身份驗證和加密通信服務(wù)器進(jìn)行身份驗證和加密通信服務(wù)器 l2tp / 對于對于 vpn 連接的連接的 ipsec 站點站點隧道站點站點隧道 執(zhí)行邏輯網(wǎng)絡(luò)執(zhí)行邏輯網(wǎng)絡(luò) notes page over-flow

27、slide. do not print slide. see notes pane. 用于配置 ipsec 的工具 to configure ipsec, you can use: 具有高級安全性具有高級安全性 mmc 的的 windows 防火墻防火墻 （用于（用于 windows server 2008 和和 windows vista） ip 安全策略安全策略 mmc （用于混合環(huán)境和配置適用于所有（用于混合環(huán)境和配置適用于所有 windows 版本的策略）版本的策略） netsh 命令行工具命令行工具 什么是連接安全規(guī)則？ 連接安全規(guī)則涉及連接安全規(guī)則涉及: 他們開始通信之前，請驗證兩

28、臺計算機(jī)。他們開始通信之前，請驗證兩臺計算機(jī)。 兩臺計算機(jī)之間發(fā)送的信息安全。兩臺計算機(jī)之間發(fā)送的信息安全。 使用密鑰交換、使用密鑰交換、 身份驗證、身份驗證、 數(shù)據(jù)完整性和數(shù)據(jù)加密（可選）數(shù)據(jù)完整性和數(shù)據(jù)加密（可選） 防火墻規(guī)則和連接規(guī)則被相關(guān)防火墻規(guī)則和連接規(guī)則被相關(guān): 防火墻規(guī)則允許通信通過，但做不安全的交通防火墻規(guī)則允許通信通過，但做不安全的交通 連接安全規(guī)則可以保護(hù)，通信，但創(chuàng)建連接安全規(guī)則不允許連接安全規(guī)則可以保護(hù)，通信，但創(chuàng)建連接安全規(guī)則不允許 通過防火墻的交通通過防火墻的交通 demonstration:配置常規(guī) ipsec 設(shè)置 in this demonstration,

29、you will see how to configure general ipsec settings in windows firewall with advanced security lesson 2:配置連接安全規(guī)則 選擇連接安全規(guī)則類型 什么是終結(jié)點？ 選擇身份驗證要求 身份驗證方法 確定用戶配置文件 演示： 配置連接安全規(guī)則 選擇連接安全規(guī)則類型 rule typedescription 隔離限制連接基于您定義的身份驗證條件 身份驗證豁免 豁免特定計算機(jī)或一組或范圍的 ip 地址 從要求進(jìn)行身份驗證。 授予訪問權(quán)限與其此計算機(jī)必須進(jìn)行通信 之前身份驗證這些基建計算機(jī)發(fā)生 服務(wù)器端

30、到服務(wù) 器 驗證兩臺特定計算機(jī)、 兩個組織的計算機(jī)、 兩個子網(wǎng)或特定的計算機(jī)與一組計算機(jī)或 子網(wǎng) 隧道 提供保護(hù)通過隧道終結(jié)點 vpn 或 l2tp ipsec 隧道的兩個對等計算機(jī)之間的通信 自定義使您可以使用特殊設(shè)置創(chuàng)建規(guī)則 什么是終結(jié)點？ encrypted ip packet esp trlr esp auth esp hdr new ip hdr ip hdrdata esp 隧道模式隧道模式 esp 傳輸模式傳輸模式 encrypted data esp trlr esp auth esp hdr ip hdr ip hdrdata 選擇身份驗證要求 optiondescription 請求入站和出站連接的身份驗 證 要求對所有入站 / 出站通信進(jìn) 行身份驗證，但允許連接，如 果身份驗證失敗 出站連接要求身份驗證為入站 連接和請求身份驗證 需要入站進(jìn)行身份驗證或?qū)?阻止 出站能身