4_使用公共密鑰基礎(chǔ)結(jié)構(gòu)配置網(wǎng)絡(luò)安全

1、使用公共密鑰基礎(chǔ)結(jié)構(gòu)配置網(wǎng)絡(luò)安全目錄概述介紹公共密鑰基礎(chǔ)結(jié)構(gòu)部署證書(shū)服務(wù)使用證書(shū)管理證書(shū)為證書(shū)配置活動(dòng)目錄排除證書(shū)服務(wù)的故障附錄1概述組織機(jī)構(gòu)的網(wǎng)絡(luò)可能由intranet> internet和extranet組成。在這些網(wǎng)絡(luò)屮都 有潛在的危險(xiǎn)存在，一些被未經(jīng)授權(quán)且心懷歹意的個(gè)別人訪問(wèn)網(wǎng)絡(luò)，金圖篡改和 破壞網(wǎng)上數(shù)據(jù)信息。一個(gè)規(guī)劃周密的公共密鑰基礎(chǔ)結(jié)構(gòu)(pki)可以幫助組織機(jī) 構(gòu)保護(hù)數(shù)據(jù)信息，并在機(jī)構(gòu)范圍內(nèi)分布與管理驗(yàn)證憑證。windows 2k/03操作系 統(tǒng)包括一個(gè)本機(jī)的pki,它的設(shè)計(jì)充分利用了 windows 2k/03安全體系結(jié)構(gòu)優(yōu)點(diǎn)。公鑰基礎(chǔ)結(jié)構(gòu)(通?？s寫(xiě)為pki)是指使用公鑰加

2、密檢驗(yàn)和驗(yàn)證電子事務(wù)中 每一方有效性的數(shù)字證書(shū)、證書(shū)頒發(fā)機(jī)構(gòu)(ca)和其他注冊(cè)機(jī)構(gòu)(ra)系統(tǒng)。介紹公共密鑰基礎(chǔ)結(jié)構(gòu)(pki)在windows 2003屮，可以將公共密鑰的安全性用于很多領(lǐng)域的加密和身份 驗(yàn)證，包括智能卡驗(yàn)證、加密文件系統(tǒng)efs和internet協(xié)議安全性ipses。注:windows 2003 中的 pki 支持由 internet engineering task force (ietf)和 rsa data secutity inc 開(kāi)發(fā)的標(biāo)準(zhǔn)。參考頁(yè)面：http:/www. microso techno l/windowsserver2003/zh-chs/lib ra

3、r y/serverhelp/8ce4fc9c-b84e-49a4-8447-ea00d6a75aec.mspx?mfr=true1、公共密鑰加密技術(shù)公共密鑰加密技術(shù)使用兩個(gè)密鑰：加密密鑰和解密密鑰。(公共密鑰加密技 術(shù)是一種使用兩個(gè)密鑰實(shí)現(xiàn)加密、解密的方法，這兩個(gè)密鑰不同，但在數(shù)學(xué)上彼 比相關(guān)聯(lián))所謂密鑰(key)就是一個(gè)隨機(jī)字符串與某種算法的聯(lián)合應(yīng)用。采用公共密 鑰加密技術(shù)時(shí)，每一個(gè)用戶有一對(duì)數(shù)學(xué)上相互關(guān)聯(lián)的密鑰，包括：一個(gè)私用密鑰(private key):用戶自已保存一個(gè)公共密鑰(public key ):可以完全公開(kāi)在所有場(chǎng)合注：在啟用了 pki的功能程序中，已經(jīng)提供了數(shù)據(jù)加密技術(shù)。

4、所以在這樣的 程序屮使用上述密鑰對(duì)用戶來(lái)說(shuō)是透明的。加密的口標(biāo)是以某種方式將數(shù)據(jù)信息變換成難以理解的代碼，只有預(yù)期的用 戶能夠閱讀它。在一種典型的方案中，發(fā)送者利用接收者的公共密鑰加密一個(gè)消息，只有該 接收者擁有用來(lái)解密該消息的私用密鑰才能解密消息。同吋，你的公鑰可供他人 所用，他人就可以用你的共鑰向你發(fā)送加密消息，這些消息只能利用你的私鑰才 能被解密。公共密鑰加密技術(shù)的基本屬性是：加密密鑰和解密密鑰采用是不同的方法， 而公鑰的功能是單向的。當(dāng)你用一個(gè)公鑰加密文檔時(shí)，明文被轉(zhuǎn)換為密碼文本。 解密密鑰與加密密鑰冇關(guān)，但又不等于加密密鑰。利用解密密鑰將密碼文本轉(zhuǎn)換 回明文。如果竊密者截獲了在傳輸過(guò)

5、程屮加密的消息，該消息因?yàn)槭敲艽a文本， 又沒(méi)冇私鑰，所以是不口j讀的2、公共密鑰身份驗(yàn)證公共密鑰身份驗(yàn)證也使用一對(duì)密鑰。公共密鑰身份驗(yàn)證技術(shù)是利用公共密鑰密碼系統(tǒng)，來(lái)驗(yàn)證和確認(rèn)電子數(shù)據(jù)的 始發(fā)者的真實(shí)性，這些電子數(shù)據(jù)可能是電子郵件，電子商務(wù)或其它電子事務(wù)中。 與公共密鑰加密技術(shù)類(lèi)似，公共密鑰身份驗(yàn)證也利用一對(duì)密鑰。然而，它是利用 發(fā)送者的私用密鑰加密消息，利用發(fā)送者的公共密鑰解密消息，來(lái)驗(yàn)證和確認(rèn)該 消息的發(fā)送者的有效性。這一私用密鑰被叫做數(shù)字簽名。數(shù)字簽名將私鑰和公鑰 的角色交換了。注：加密技術(shù)可以提供安全性和機(jī)密性，而數(shù)字簽名可以確認(rèn)信息的真實(shí)性 和來(lái)源的可靠性。數(shù)字簽名是一種驗(yàn)證消息、文

6、件，或其它數(shù)字化編碼信息的始發(fā)者真實(shí)性的 手段。它將這些始發(fā)者的身份和這些信息約束在一起。數(shù)字簽名木身是一個(gè)二進(jìn) 位序列，附著在數(shù)字文檔后面。數(shù)字簽名可以確保達(dá)到下述冃的：只有某個(gè)擁有私用密鑰的人才能創(chuàng)建數(shù)字簽名。任何一個(gè)能夠訪問(wèn)對(duì)應(yīng)的公共密鑰的人都可以確認(rèn)該數(shù)字簽名。注：數(shù)字簽名采用的算法是所謂的散列算法3. 認(rèn)證中心（ca）認(rèn)證中心（ca）負(fù)責(zé)提供和指派加密密鑰、解密密鑰及身份驗(yàn)證。ca通過(guò)發(fā) 放證書(shū)來(lái)分布密鑰。證書(shū)中包含公共密鑰和一組屬性。ca可以將證書(shū)發(fā)送給某 個(gè)計(jì)算機(jī)、用戶帳戶或者服務(wù)。證書(shū)：證書(shū)是被簽署的文檔。證書(shū)將公共密鑰與其它的信息相匹配。證書(shū)由發(fā)放證 書(shū)的ca簽署。ca的簽署

7、保證了公共密鑰的確屬于提供這一密鑰的團(tuán)體外部的ca和內(nèi)部的ca：ca可以是一個(gè)外部的發(fā)放機(jī)構(gòu)（如大型的商用ca向數(shù)百萬(wàn)用戶發(fā)放證 書(shū)）。ca也可以是內(nèi)部的發(fā)放機(jī)構(gòu)（如公司某個(gè)部門(mén)安裝服務(wù)器用于發(fā)放和確 認(rèn)證書(shū)）。每一個(gè)ca決定它的證書(shū)內(nèi)包含什么屬性，以及它在發(fā)放證書(shū)之間采 用什么機(jī)制確認(rèn)這些屬性。注：每個(gè)機(jī)構(gòu)的ca策略都不一樣，所以為了使用其證書(shū)，要求你信任發(fā)放 證書(shū)的機(jī)構(gòu)的策略此外，每一個(gè)ca都有一個(gè)用來(lái)確認(rèn)它自已身份的證書(shū)。這一證書(shū)或者是由 另一個(gè)可信任的ca發(fā)出的，或者是由其自身發(fā)出的。發(fā)放證書(shū)的過(guò)程 ca接受證書(shū)請(qǐng)求ca按照它的ca身份證明條件檢驗(yàn)該請(qǐng)求者的信息 ca利用它的私用密鑰將

8、它的數(shù)字簽名應(yīng)用于該證書(shū) ca發(fā)放該證書(shū)，將它用做pki內(nèi)的安全憑證（例：銀行系統(tǒng)實(shí)際上也是使用的pki系統(tǒng)進(jìn)行安全驗(yàn)證，如中請(qǐng)?jiān)诰€銀行 后，會(huì)在你的計(jì)算機(jī)中安裝由這個(gè)銀行發(fā)布的證書(shū)）收回證書(shū)ca也負(fù)責(zé)宣告證書(shū)的無(wú)效，并發(fā)表“證書(shū)撤消清單” crl （通常證書(shū)會(huì)有 有效期，有效期滿之后會(huì)自動(dòng)撤消證書(shū)，有的情況需要在這個(gè)有效期滿之前要撤消證書(shū)，這種情況出現(xiàn)的理由如下所述)證書(shū)主題的私用密鑰受到損害，或者被懷疑受到損害發(fā)現(xiàn)證書(shū)是騙取的作為信任實(shí)體的證卩主題的狀態(tài)發(fā)生變化4. 證書(shū)層資結(jié)構(gòu)證書(shū)層次結(jié)構(gòu)是一種信任模型。在這種模型中，通過(guò)在ca之間建立父/子 關(guān)系，創(chuàng)建了認(rèn)證路徑。構(gòu)成證書(shū)層次結(jié)構(gòu)的成分

9、包括：根ca,已被根ca驗(yàn) 證的下層ca,和已經(jīng)被其它下層ca驗(yàn)證的下層ca。根ca根ca(rootca),有時(shí)也加做根本權(quán)威。它是一個(gè)機(jī)構(gòu)的pki中最值得信 任的ca類(lèi)型。通常情況下，根ca的物理安全性和證書(shū)發(fā)放策略比下層ca 更嚴(yán)格。如果根ca受到危害，或者向某個(gè)未經(jīng)授權(quán)的實(shí)體發(fā)放了證書(shū)，那么在 你的公司中，所有基于證書(shū)的安全性都突然變得易受到攻擊。但是在大多數(shù)機(jī)構(gòu) 小，只將根ca用于向其它c(diǎn)a (下層ca)發(fā)放證書(shū)。下層ca下層ca (subordinate ca)是已經(jīng)被你的組織機(jī)構(gòu)屮另一個(gè)ca驗(yàn)證過(guò)的 cao通常下層ca針對(duì)特定的用途發(fā)放證書(shū)。下層ca也可以向其它的、更下 層的ca發(fā)

10、放證書(shū)。5、window 2000/2003 pki為了利用公共密鑰加密帶來(lái)的好處，組織機(jī)構(gòu)需要有一個(gè)支持用于的基礎(chǔ)結(jié) 構(gòu)。windows 2000/2003提供的pki由一組服務(wù)組成，這組服務(wù)則由一組相互連 接的組件提供。這些組件協(xié)同工作，用來(lái)給用戶和應(yīng)用程序提供基于公共密鑰的 安全性服務(wù)。windows 2000/2003 pki的主要組件包括：證書(shū)服務(wù)：它是核心的操作系統(tǒng)服務(wù)。它使各項(xiàng)業(yè)務(wù)作為它們自己的ca, 并發(fā)放和管理數(shù)字證書(shū)。活動(dòng)目錄：用于pki的發(fā)布服務(wù)。證書(shū)的發(fā)布使得證書(shū)和證書(shū)撤消列表 （crl）能夠在一個(gè)機(jī)構(gòu)內(nèi)公開(kāi)可用。啟用了 pki功能的應(yīng)用程序：這些應(yīng)用程序利用pki進(jìn)行

11、加密和身份驗(yàn)證。安全性協(xié)議：_windows 2000/2003 pki組件還采用了工業(yè)安全性協(xié)議，其屮包括： 安全套接字層ssl （用于在internet通信中確保安全性和機(jī)密性） internet協(xié)議安全ipsec （用于在ip層支持安全的信息包交換） 傳輸層安全tls （提供網(wǎng)絡(luò)層之上兩端通信的安全性和機(jī)密性的協(xié)議）證書(shū)的用途：在windows 2000/2003中安全性服務(wù)和程序使用證書(shū)，提供身份驗(yàn)證、數(shù)據(jù) 完整性和跨越非安全網(wǎng)絡(luò)（如internet）進(jìn)行的安全通信。證書(shū)提供下述功能。服務(wù)器身份驗(yàn)證：使用證書(shū)對(duì)照客戶機(jī)驗(yàn)證服務(wù)器 客戶機(jī)身份驗(yàn)證：使用證書(shū)對(duì)照服務(wù)器驗(yàn)證客戶機(jī) 程序代碼簽

12、署：使用與密鑰對(duì)有關(guān)的證書(shū)簽署活動(dòng)內(nèi)容 安全電子郵件：使用與密鑰對(duì)有關(guān)的證書(shū)簽署電子郵件消息efs：使用與密鑰對(duì)有關(guān)的證書(shū)，加密和解密用于還原恢復(fù)加密數(shù)據(jù)的對(duì)稱(chēng) 密鑰ipsec：使用與密鑰對(duì)冇關(guān)的證書(shū)，加密基于ip的網(wǎng)絡(luò)數(shù)據(jù)流部署證書(shū)服務(wù)在部署pki解決方案時(shí)，首先做出的選擇是采用哪種ca層次結(jié)構(gòu)模型。 通過(guò)安裝證書(shū)服務(wù)，可以創(chuàng)建一個(gè)ca,用于發(fā)放運(yùn)行pki所必需的證書(shū)。windows server 2003提供兩種級(jí)別的ca, 一個(gè)是“企業(yè)” ca,另一個(gè)是“獨(dú) 立”ca,選擇哪一種取決于安裝過(guò)程中使用的策略模塊。策略模塊決定了 ca收 到證書(shū)請(qǐng)求吋所進(jìn)行的操作。在每一個(gè)類(lèi)型屮，都可以有一根

13、ca和一個(gè)或多個(gè) 下層cao通常，如果組織為windows server 2003域的一部分，若對(duì)此組織內(nèi)部的用 戶或計(jì)算機(jī)頒發(fā)證書(shū)（單個(gè)網(wǎng)絡(luò)內(nèi)部為用戶或計(jì)算機(jī)發(fā)放證書(shū)），應(yīng)安裝金業(yè) cao企業(yè)ca要求所冇請(qǐng)求證書(shū)的用戶和計(jì)算機(jī)在活動(dòng)目錄屮冇一個(gè)帳戶。如果對(duì)此組織外部的用戶或計(jì)算機(jī)頒發(fā)證書(shū)（單個(gè)網(wǎng)絡(luò)外部為為用戶或計(jì)算 機(jī)發(fā)放證書(shū)），應(yīng)安裝獨(dú)立cao獨(dú)立存在的ca也可以不是某個(gè)域的成員，并 且不要求活動(dòng)目錄。企業(yè)ca要求所有請(qǐng)求證書(shū)的客戶端在active directory中都冇一個(gè)條目， 而獨(dú)立ca不需要。此外，在頒發(fā)用于登錄windows server 2003域的證卩時(shí)， 企業(yè)ca比獨(dú)立c

14、a更簡(jiǎn)便。在企業(yè)ca和 獨(dú)立ca級(jí)別內(nèi)部，有兩種類(lèi)型的ca, 一個(gè)是“根” ca, 另一個(gè)是“從屬” cao根ca是組織信任的根基。在必要的情況下，根ca證書(shū)可通過(guò)啟用從屈c(diǎn)a來(lái)實(shí)施策略和向終端用戶頒發(fā)證書(shū)。1、選擇ca模型yindovstindovs 組件可以添加或刪除windows的組件。彎饗蠶瞬譬蠶疇器嚴(yán)示只會(huì)安沁件的ca類(lèi)型選擇您想設(shè)置的ca類(lèi)型。組件:目應(yīng)用程序服務(wù)器24.4 mb 上壽遠(yuǎn)程安裝服務(wù)1.9 mb，逮遠(yuǎn)程存儲(chǔ)3.5 mb| q 證書(shū)服務(wù)1.4 mbif'"終端服冬器0.0 mb zj描述:安裝證書(shū)頒發(fā)機(jī)構(gòu)(ca)以便頒發(fā)證書(shū)用于公鑰安全程序。a筮亞很迖

15、瑟c企並應(yīng)雇caqr)c獨(dú)立根ca(s)獨(dú)立從屬ca(t)-ca類(lèi)型的描述企業(yè)中杲夷信任的cao應(yīng)該在安裝其他ca之前安裝。廠用自定義設(shè)置生成密鑰對(duì)和ca證書(shū))在實(shí)現(xiàn)證書(shū)服務(wù)吋，做出的第一個(gè)選擇就是決定采用哪種ca模型。在安裝 證書(shū)服務(wù)時(shí)，可以從四個(gè)不同的ca模型屮選擇一種，每一種都可以使ca冇不 同的特征和性能。企業(yè)根ca企業(yè)根ca在證書(shū)層次結(jié)構(gòu)中是頂級(jí)cao企業(yè)根ca利用活動(dòng)目錄確定請(qǐng) 求者的身份，并確定請(qǐng)求者是否具有為請(qǐng)求特定的證書(shū)類(lèi)型所要求的安全性權(quán) 限。(通常企業(yè)根ca只為下層ca發(fā)放證書(shū)。)安裝企業(yè)根ca,必須具備以下條件：活動(dòng)目錄威名系統(tǒng)（dns）對(duì)dns、活動(dòng)0錄和ca服務(wù)器的

16、管理特權(quán)企業(yè)從屬（下層）ca企業(yè)從屬（下層）ca在機(jī)構(gòu)內(nèi)發(fā)放證書(shū)，但是企業(yè)企業(yè)從屬（下層）ca 不是最值得信任的cao可以利用某個(gè)金業(yè)從屬（下層）ca針對(duì)特定的用途發(fā) 放證書(shū)。企業(yè)從屬（下層）ca必須有一個(gè)父ca獨(dú)立根ca （獨(dú)產(chǎn)存在的根ca）獨(dú)產(chǎn)存在的根ca在證書(shū)層次結(jié)構(gòu)中是頂級(jí)cao獨(dú)立存在的ca也可以不 是某個(gè)域的成員，并耳不要求活動(dòng)目錄。通常，根ca只向下層ca發(fā)放證書(shū)。獨(dú)立從屬ca （獨(dú)產(chǎn)存在的下層ca）獨(dú)立存在的下層ca作為一個(gè)孤立的證書(shū)服務(wù)器運(yùn)行，位于某個(gè)ca信任層 次結(jié)構(gòu)內(nèi)。安裝一個(gè)獨(dú)立存在的下層ca必須具備下述條件： 一個(gè)父ca在本地服務(wù)囂上的管理特權(quán)2、安裝證書(shū)服務(wù)重要說(shuō)明

17、：ca部署之后哪些內(nèi)容不能更改：計(jì)算機(jī)名不能再重新命名。在安裝時(shí)需提交的一些基本信息（比如ca名稱(chēng)），在ca安裝完成之 后不能再更改。在安裝證書(shū)頒發(fā)機(jī)構(gòu)之后，不能更改計(jì)算機(jī)的域設(shè)置，比如：加入一個(gè)域 或?qū)⒎?wù)器提升為域控制器。如果以企業(yè)管理員或委派用戶的身份安裝企業(yè)ca,則在卸載企業(yè)ca時(shí) 必須使用企業(yè)管理員或委派用戶的帳戶。安裝和配置：證書(shū)服務(wù)是windows的服務(wù)器產(chǎn)品自帶的一個(gè)服務(wù)，只是在默認(rèn)情況下是 不安裝的，我們需要手動(dòng)進(jìn)行添加，我們依次點(diǎn)擊“開(kāi)始一設(shè)置一控制面板一添 加/刪除程序”再點(diǎn)''添加/刪除windows組件，并找到''證書(shū)服務(wù)組件c)n終端

18、服苗器 *了應(yīng)用程序服務(wù)器耆遠(yuǎn)程安裝服務(wù)夠遠(yuǎn)程存儲(chǔ)mb jj24.4 mb 311.9 mb3.5 mb證書(shū)服務(wù)mb鬱饗霧鑼隸蠶鄴艇灰色框表示只5組件的描述：安裝證書(shū)頒發(fā)機(jī)構(gòu)(ca)以便頒發(fā)證書(shū)用于公鑰安全程序。選小“證書(shū)服務(wù)”復(fù)選框。然后會(huì)出現(xiàn)一個(gè)對(duì)話框，通知您在證書(shū)服務(wù)安裝 之后計(jì)算機(jī)不能被重新命名以及計(jì)算機(jī)不能加入域或從域屮刪除。單擊“是” o注意：如果要使用證書(shū)服務(wù)的web組件，應(yīng)單擊“應(yīng)用服務(wù)器”(但不要 選中它的復(fù)選框)以確保“iis”復(fù)選框已選中，然后單擊“詳細(xì)信息”，選中"internet 信息服務(wù)(iis)”，然后單擊“確定”。單擊“下一步”在“ca類(lèi)型”頁(yè)面上，選

19、擇一個(gè)類(lèi)型，然后單擊“下一步”。lindovs魁件自導(dǎo)ca類(lèi)型選擇您想設(shè)置的ca類(lèi)型。a淪亞握亙卿c 企亞ks caqr)c獨(dú)立根car獨(dú)立從屬ca(t)-ca類(lèi)型的描述:一:企業(yè)中攝受信任的cao應(yīng)該在安裝苴他ca之前安裝。廠用自定義設(shè)置生成密鑰對(duì)和ca證書(shū))注鼠私鑰總亙存福碌地服夯器匸 除非使用加密硬件設(shè)備。在公鑰被 存放在證書(shū)上的情況下，私鑰被存儲(chǔ)在設(shè)備上。公鑰位于證帖中。在“ca信息標(biāo)識(shí)”頁(yè)而捉供適于您的站點(diǎn)和組織的信息標(biāo)識(shí)。1. 、在“此ca的公用名稱(chēng)”中，輸入證書(shū)頒發(fā)機(jī)構(gòu)的公用名稱(chēng)。ca名稱(chēng)（或公用名稱(chēng)）很重要，因?yàn)橐盟鼇?lái)標(biāo)識(shí)在active directory中 創(chuàng)建的ca對(duì)象。

20、2. 、其中“冇效期”是ca有效的時(shí)間，即安全和管理之間的權(quán)衡。請(qǐng)記住, 在每次根證書(shū)到期的時(shí)候，管理員必須更新所有信任關(guān)系，并要采取一些管理性 步驟把ca轉(zhuǎn)移到新的證書(shū)上。在大多數(shù)企業(yè)壞境中，通常的時(shí)間期限是2年 或5年。證書(shū)數(shù)據(jù)庫(kù)(c):|c： wind0wssystem32certlogm瀏覽(q). |證書(shū)數(shù)據(jù)庫(kù)日志):|c：wind0wssystem32certlog|瀏覽|廠將配置信息存儲(chǔ)在共享文件夾中$) 共享文件夾(m):1瀏覽迅)|廠保留現(xiàn)有的證書(shū)數(shù)據(jù)庫(kù)g)tindovs證書(shū)數(shù)齬庫(kù)設(shè)置輸入證書(shū)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志和配置信息的位置。<上1步(£)|下一步) >

21、;|取消 | 幫助 |在“證書(shū)數(shù)據(jù)庫(kù)設(shè)置”頁(yè)而，單擊“下一步”接受證書(shū)數(shù)據(jù)庫(kù)的默認(rèn)存儲(chǔ)路 徑和證書(shū)數(shù)據(jù)庫(kù)f1志，然后確認(rèn)“將配置信息存儲(chǔ)在共享文件夾內(nèi)”沒(méi)有選中。注意：安裝程序可能會(huì)給岀“不能創(chuàng)建共享文件夾”的警告信息，這是預(yù) 料中的，因?yàn)樗鶅泳W(wǎng)絡(luò)接口都已禁用。安全的做法是忽略這一警告，繼續(xù)進(jìn)行后 面的操作。此外一定要將證書(shū)數(shù)據(jù)庫(kù)和證書(shū)數(shù)據(jù)庫(kù)f1志存儲(chǔ)在本地ntfs驅(qū)動(dòng) 器上。單擊“下一步”完成安裝。單擊“完成”關(guān)閉向?qū)А?chuàng)建下層cayindovs組件向?qū)a證書(shū)申詰通過(guò)將申諫直援送到父ca,或?qū)⑸曛O存入文件并將該文件送到ca,來(lái)為® ca審話證書(shū)g將更請(qǐng)直養(yǎng)發(fā)送紙網(wǎng)絡(luò)上的互動(dòng)門(mén)計(jì)算

22、機(jī)名c)：2|瀏覽®. 1父 ca(£):zl將申諳保存到一個(gè)文件0)。申諳文件尸*2home瀏覽1<上一步)下一步) >取消幫助1注：在安裝下層ca時(shí)，需要從相應(yīng)的父ca處獲取一個(gè)證書(shū)。如果某個(gè)父ca可以聯(lián)機(jī)在線使用，為了獲取證書(shū)，按如下步驟操作：1、在“ca證書(shū)請(qǐng)求”中，單擊“直接向已經(jīng)在網(wǎng)絡(luò)上的ca發(fā)送請(qǐng)求”2、在“計(jì)算機(jī)名稱(chēng)”中，鍵入或者瀏覽安裝冇父ca的計(jì)算機(jī)的名稱(chēng)3、在“父ca”列表中，單擊所需父ca的名稱(chēng)如果不能聯(lián)機(jī)使用父ca,為了獲取證書(shū)，按如下步驟操作：在“ca證書(shū)請(qǐng)求”中，單擊“將請(qǐng)求保存到文件”。在“請(qǐng)求文件”中， 鍵入將存儲(chǔ)該請(qǐng)求的文件的

23、文件名和所在路徑。然后從父ca獲取證書(shū)。來(lái)自父 ca的文件最低限度應(yīng)該包含卜層ca的證書(shū)和完全的認(rèn)證路徑。從文件安裝證書(shū)在安裝下層ca過(guò)程中，首先創(chuàng)建證書(shū)請(qǐng)求文件，將該文件提交到父ca。 父ca將針對(duì)這一文件提供的證書(shū)。在接收到證書(shū)之后，你必須安裝該證書(shū)。從某個(gè)文件安裝一個(gè)證書(shū)，按如下步驟操作：1、從“管理工具”菜單中打開(kāi)“認(rèn)證中心”2、在控制臺(tái)樹(shù)中，單擊該ca的名稱(chēng)3、在“動(dòng)作”菜單中，指同“所冇任務(wù)”，然后單擊“安裝ca證書(shū)”4、找到從父ca接收到的證書(shū)文件，單擊這一文件，然后單擊“打開(kāi)”。備份和還原證書(shū)服務(wù)s!gue書(shū)頒發(fā)機(jī)構(gòu)庫(kù)地)啟動(dòng)服務(wù) 停止服務(wù)(t)提交一個(gè)新的申詰)還原 caqe

24、).備份 caqb).注：當(dāng)不想備份服務(wù)器上的全部數(shù)據(jù)時(shí)，則利用“認(rèn)證中心(ca)”插件來(lái) 備份數(shù)據(jù)執(zhí)行備份和還原操作的目地是保護(hù)ca和它的操作數(shù)據(jù)，以防止由于硬件或 者存儲(chǔ)介質(zhì)失敗而造成的意久丟失。為了備份ca建議利用windws backup備份 整個(gè)服務(wù)器。備份、還原一個(gè)ca,如上圖操作使用證書(shū)在windows server中，有兩種主要的方式用于明確的請(qǐng)求證卩：利用“證帖 請(qǐng)求”向?qū)В蛘呃米C書(shū)服務(wù)web頁(yè)。只有在你從某個(gè)企業(yè)ca請(qǐng)求證書(shū)時(shí), “證書(shū)請(qǐng)求”向?qū)Р攀强捎玫摹？梢岳谩白C書(shū)服務(wù)” web頁(yè)，從獨(dú)立存在的 ca或者從企業(yè)ca請(qǐng)求證書(shū)。利用“證書(shū)請(qǐng)求”向?qū)е挥邢蚰硞€(gè)企業(yè)ca請(qǐng)

25、求證書(shū)時(shí)，“證書(shū)請(qǐng)求”向?qū)Р攀强捎玫摹Ｔ谡?qǐng)求證 書(shū)時(shí)，依賴(lài)于用戶訪問(wèn)權(quán)力的具體情況，用戶可以從不同的證書(shū)類(lèi)型小進(jìn)行選擇。 在用戶提交了證書(shū)請(qǐng)求之后，該請(qǐng)求或者立即被拒絕，或者立即被批準(zhǔn)，用戶即 被提示安裝該證書(shū)。利用證書(shū)模板說(shuō)明：為了向計(jì)算機(jī)發(fā)放證書(shū)，可以利用域控制器、計(jì)算機(jī)和web服務(wù)器模 板進(jìn)行。作為企業(yè)ca的策略設(shè)置的組成部分，企業(yè)ca可以發(fā)送特定類(lèi)型的證書(shū)。 證e類(lèi)型根據(jù)證卩模板(certificate templates)劃分。證書(shū)模板是預(yù)定義的配置。 為證書(shū)請(qǐng)求提供公共設(shè)置值。默認(rèn)情況下，可用于企業(yè)ca的證書(shū)模板如表所述。證書(shū)模板說(shuō)明管理員(admifiistmtor)允許將證書(shū)用

26、于程序代碼簽署、證書(shū)信任列表簽署、efs、安全電子郵件和客戶身份驗(yàn)證 域控制器(domain controller)允許將證書(shū)用于客八機(jī)身份驗(yàn)證和服務(wù)器身計(jì)算機(jī)(computer)基本 efs (basic efs )efs 恢復(fù)代理(efs recovery agent) 用戶(user)web 服務(wù)器(web server)份驗(yàn)證允許將證書(shū)用于客戶機(jī)身份驗(yàn)證和服務(wù)器身份驗(yàn)證只允許將證書(shū)用于efs允許將證書(shū)用于文件恢復(fù)允許將證書(shū)用于efs、安全電子郵件和客戶機(jī)身份驗(yàn)證允許將證書(shū)用于服務(wù)器身份驗(yàn)證請(qǐng)求證書(shū)利用“證書(shū)請(qǐng)求”向?qū)д?qǐng)求證書(shū)，按如下步驟操作：1. 打開(kāi)一個(gè)包含certificates

27、（證書(shū)）插件的mmc控制臺(tái)2. 在“證書(shū)插件”對(duì)話框屮，選擇“我的用戶帳戶”、“服務(wù)帳戶”，或者“計(jì) 算機(jī)帳戶”然后單擊完成3. 關(guān)閉“添加獨(dú)立存在的插件”對(duì)話框，然后單擊“確定”按鈕4. 在控制臺(tái)樹(shù)屮，展開(kāi)“證書(shū)的當(dāng)前用戶”、“證書(shū)（本地計(jì)算機(jī)）”，或者 針對(duì)選擇的服務(wù)的節(jié)點(diǎn)5. 在控制臺(tái)樹(shù)中，單擊某個(gè)邏輯存儲(chǔ)名稱(chēng)（如，personal個(gè)人的）右擊, 然后指向“所有任務(wù)”，再單擊“請(qǐng)求新證書(shū)”，用以啟動(dòng)“證書(shū)請(qǐng)求” 向?qū)В缓髥螕簟跋乱徊健卑粹o6. 在“證書(shū)模板”頁(yè)中，選擇一個(gè)證書(shū)模板7. 如果有必要的話，則單擊“高級(jí)選項(xiàng)”按鈕，用于指定下列信息：密碼服務(wù)提供者csp是否啟用強(qiáng)私用密鑰保護(hù)如

28、果啟用了強(qiáng)私用密鑰保護(hù)功能，則可確保每一次使用私用密鑰時(shí)，都 要提示輸入密碼。如果想確認(rèn)該私用密鑰沒(méi)有在耒經(jīng)你允許的情況下被 利用過(guò)，則這一選項(xiàng)就很有用。如果有多個(gè)ca可用，則指定發(fā)放該證書(shū)的ca的名稱(chēng)8. 鍵入該證書(shū)的顯示用名稱(chēng)9. 當(dāng)完成“證書(shū)請(qǐng)求”向?qū)Ш?，單擊“安裝證書(shū)”注：利用公共密鑰策略中的自動(dòng)證書(shū)設(shè)置，可以將請(qǐng)求，接收和安裝證書(shū)的 過(guò)程自動(dòng)化，這樣將為與“組策略”有關(guān)的計(jì)算機(jī)啟用自動(dòng)證書(shū)注冊(cè)功能。因此, 管理員將無(wú)需明確地注冊(cè)各個(gè)與計(jì)算機(jī)有關(guān)的證書(shū)了。利用證書(shū)服務(wù)web頁(yè)在基于windows的服務(wù)器上安裝的每一個(gè)ca,所有用戶都可以訪問(wèn)的web 頁(yè)。可以利用這些web頁(yè)提交基本的和

29、高級(jí)的證書(shū)請(qǐng)求。這些web頁(yè)是用戶 能夠從獨(dú)立存在的ca請(qǐng)求證書(shū)的唯一方式。對(duì)于那些想從金業(yè)ca請(qǐng)求證書(shū)的 用戶來(lái)說(shuō)，web頁(yè)是可選的。提交證書(shū)請(qǐng)求通過(guò)web頁(yè)提交證書(shū)請(qǐng)求，按如下步驟操作：1. 在ie瀏覽器中，連接到httpw/serveivceilstv （其中servername是要訪問(wèn) 的證書(shū)頒發(fā)機(jī)構(gòu)（ca）所在的windows 2000 web服務(wù)器的名稱(chēng)。）。主頁(yè)microsoft 證書(shū)服務(wù) 一 jiff歡迎 使用此網(wǎng)站為您的we瀏覽器，電子郵件客戶端或其他程序申請(qǐng)一個(gè)證書(shū)。通過(guò) 使用證書(shū)，您可以向通過(guò)web通信的人確認(rèn)您的身份，簽署并加密郵件，并且， 根據(jù)您申請(qǐng)的證書(shū)的類(lèi)型，執(zhí)行

30、其他安全任務(wù)。您也可以使用此網(wǎng)站下載證書(shū)頒發(fā)機(jī)構(gòu)（ca）證書(shū)，證書(shū)鏈，或證書(shū)吊銷(xiāo)列表 （crl）,或查看掛起的申請(qǐng)的狀態(tài)。有關(guān)證書(shū)服務(wù)的詳細(xì)信息，請(qǐng)參閱證書(shū)服務(wù)文檔.選擇一個(gè)任務(wù)：申請(qǐng)一個(gè)證書(shū)查看掛起的證書(shū)申請(qǐng)的狀態(tài)下載一個(gè) ca 證書(shū)，證書(shū)鏈或 crl2. 在“歡迎”頁(yè)中，在“選擇一個(gè)任務(wù)”下，單擊“請(qǐng)求/申請(qǐng)一個(gè)證書(shū)”, 然后單擊“下一步”按鈕。3. 在“選擇證書(shū)類(lèi)型”頁(yè)中，在“用戶證書(shū)請(qǐng)求”下，選擇你想請(qǐng)求的證 書(shū)類(lèi)型，然后單擊“下一步”按鈕。選擇一個(gè)證書(shū)類(lèi)型：用戶證書(shū)或者，提交一個(gè)高級(jí)證書(shū)申請(qǐng)j4. 如果有必耍的話，則鍵入證書(shū)請(qǐng)求的標(biāo)識(shí)信息，然后單擊“提交”按鈕。默認(rèn)情況下在獨(dú)立存在的

31、ca上，只有等到該ca已經(jīng)發(fā)出證書(shū)后，才有可 供安裝的證書(shū)。注：企業(yè)ca要求驗(yàn)證請(qǐng)求者的身份，并根據(jù)“活動(dòng)目錄”中的信息生成證 書(shū)。提交高級(jí)證書(shū)請(qǐng)求很多類(lèi)型的證卩請(qǐng)求，例如，針對(duì)ipsec、客戶機(jī)身份驗(yàn)證和服務(wù)器身份驗(yàn) 證的證書(shū)請(qǐng)求，要求提交高級(jí)證書(shū)請(qǐng)求。通過(guò)基于web的注冊(cè)方式請(qǐng)求高級(jí)證 書(shū)，按如下步驟操作：1在ie瀏覽器中，連接到http:seivei7certsrv （其中servername是要訪問(wèn) 的證書(shū)頒發(fā)機(jī)構(gòu)（ca）所在的windows 2000 web服務(wù)器的名稱(chēng)2. 在“歡迎”頁(yè)中，在“選擇一個(gè)任務(wù)”下，單擊“請(qǐng)求一個(gè)證書(shū)”，然后單擊“下一步”按鈕。3. 在“選擇請(qǐng)求類(lèi)型”頁(yè)

32、中，單擊“高級(jí)請(qǐng)求”下，然后單擊“下一步” 按鈕。4. 在“高級(jí)請(qǐng)求”頁(yè)中，單擊“利用窗體向這一 ca提交證書(shū)請(qǐng)求”下， 然后單擊“下一步”按鈕。5. 如果有必要的話，則鍵入證書(shū)請(qǐng)求的標(biāo)識(shí)信息，然后單擊“提交”按鈕。默認(rèn)情況下在獨(dú)立存在的ca±,只有等到該caq經(jīng)發(fā)出證書(shū)后，才有可 供安裝的證書(shū)。檢查待處理的請(qǐng)求檢查待處理的證書(shū)，按如卜步驟操作：1. 在ie瀏覽器屮，連接到http:/servei7certsrv (其小servername是要訪問(wèn) 的證書(shū)頒發(fā)機(jī)構(gòu)(ca)所在的windows 2000 web服務(wù)器的名稱(chēng)。)。2. 在“歡迎”頁(yè)屮，在“選擇一個(gè)任務(wù)”下，單擊“檢查待處

33、理的證書(shū)”, 然后單擊“下一步”按鈕。3. 選擇你想檢查的證書(shū)請(qǐng)求，然后單擊“下一步”按鈕4. 檢查該待處理的證書(shū)請(qǐng)求。待處理的證書(shū)請(qǐng)求所處的狀態(tài)是下述其中一 種：扔然待處理ca管理員一直沒(méi)有發(fā)岀該證書(shū)。單擊“刪除”，則刪除該證書(shū)請(qǐng)求已經(jīng)放發(fā) 單擊“安裝這一證帖”，則安裝該證書(shū)被拒絕與該ca的管理員聯(lián)系，以獲取進(jìn)一步的信息微軟官方：使用windows server 2003 ijf書(shū)服務(wù)網(wǎng)頁(yè) 詳解aechnet/prodtechnol/windowsserver2003/zh-chs/library/serverhel p/2830ac 5e-c b 10-49c 0-bba7-7097a2b

34、a 19b& mspx?mfr=true查看證書(shū)（略）管理證書(shū)啟動(dòng)或停止證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)使用windows界面1. 以“證書(shū)頒發(fā)機(jī)構(gòu)管理員”的身份登錄系統(tǒng)。2. 打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)。3. 單擊控制臺(tái)樹(shù)屮的證書(shū)頒發(fā)機(jī)構(gòu)（ca）的名稱(chēng)。位置證書(shū)頒發(fā)機(jī)構(gòu)（計(jì)算機(jī)）/ca名稱(chēng)4. 在“操作”菜單上，指向“所有任務(wù)”，然后單擊“啟動(dòng)服務(wù)”以啟動(dòng)服 務(wù)，或者單擊“停止服務(wù)”以停止服務(wù)。注意豪打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)”，請(qǐng)依次單擊“開(kāi)始”和“控制面板”，雙擊“管 理工具”，然后雙擊“證書(shū)頒發(fā)機(jī)構(gòu)”。通過(guò)打開(kāi)“計(jì)算機(jī)管理”，雙擊“服務(wù)和應(yīng)用程序”并單擊“服務(wù)”，也 可以啟動(dòng)或停止證書(shū)服務(wù)。在詳細(xì)信息窗格中，單

35、擊“證書(shū)服務(wù)”。在“操 作”菜單上，單擊“停止”或“啟動(dòng)”。使用命令行1. 打開(kāi)“命令捉示符”。2. 鍵入：net start certsvc啟動(dòng)服務(wù)，或鍵入net stop certsvc停止服務(wù)。發(fā)放證書(shū)當(dāng)用戶向某個(gè)獨(dú)立存在的ca提交證書(shū)請(qǐng)求時(shí)，這一請(qǐng)求將被視為待處理 的，直到ca管理員批準(zhǔn)或者拒絕該請(qǐng)求時(shí)為止。用戶必須訪問(wèn)“證書(shū)服務(wù)” web頁(yè)，以檢查待處理的證書(shū)的狀態(tài)。注：下述過(guò)程只適用于獨(dú)立存在的ca,這一 ca已經(jīng)被配置為將每一個(gè)到來(lái) 的證書(shū)請(qǐng)求加上待處理標(biāo)識(shí)。復(fù)查待處理的證書(shū)請(qǐng)求，按如下步驟操作：1、打開(kāi)“認(rèn)證中心”2、在控制臺(tái)樹(shù)屮，單擊“待處理的請(qǐng)求”3、在詳細(xì)資料窗格屮，考查

36、證書(shū)請(qǐng)求。為此，注意請(qǐng)求者的名稱(chēng)、電子郵 件地址，以及認(rèn)為對(duì)于發(fā)放該證書(shū)來(lái)說(shuō)至關(guān)重要的任何其它字段的值，然后執(zhí)行（“拒絕證書(shū)請(qǐng)求”或“發(fā)出證書(shū)”）動(dòng)作。刷新（£）宣告證書(shū)無(wú)效申詰id1申諳人姓名i二進(jìn)制證書(shū)1證書(shū)模板1序列號(hào)fej2h0m 叭盤(pán)二二西近二域控制器（do；：6105c4l頒發(fā)的證書(shū)打開(kāi)所有任務(wù)查看雇性/擴(kuò)展©）. 導(dǎo)出二進(jìn)制數(shù)據(jù)）.吊銷(xiāo)證書(shū)®注：為了宣告某個(gè)證書(shū)無(wú)效，你必須發(fā)表一個(gè)crl。單單宣告某個(gè)證書(shū)無(wú)效, 還不足以使這些信息變得公開(kāi)可用。為了維護(hù)一個(gè)機(jī)構(gòu)的pki的完整性，對(duì)于某些證書(shū)，ca管理員可能需要在 它們失效z前宣告它們無(wú)效。（如：某個(gè)證

37、書(shū)的私有密鑰遭到破壞）在這些情況 下，該證書(shū)就可能需要撤消。宣告一個(gè)已經(jīng)發(fā)岀的證書(shū)無(wú)效，按如下步驟操作：使用windows界面1. 以“證書(shū)頒發(fā)機(jī)構(gòu)管理員”或“證書(shū)管理員”的身份登錄系統(tǒng)。2. 打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)”。3. 在控制臺(tái)樹(shù)中，單擊“頒發(fā)的證書(shū)”。位置證書(shū)頒發(fā)機(jī)構(gòu)（計(jì)算機(jī)）/ca名稱(chēng)/頒發(fā)的證書(shū)4. 在詳細(xì)信息窗格中，單擊想要吊銷(xiāo)的證書(shū)。5. 在“操作”菜單上，指向“所有任務(wù)”，然后單擊“吊銷(xiāo)證書(shū)”。6. 選擇吊銷(xiāo)證書(shū)的原因并單擊“是”。使用命令行1. 打開(kāi)“命令提示符”。2. 鍵入：certutil -revoke serialnumberreasoncode值描述revoke指定吊

38、銷(xiāo)現(xiàn)有證書(shū)。serialnumber指定要吊銷(xiāo)的證書(shū)的序列號(hào)。reasoncode文件(£)操作(a)查看辺 幫助q1)q *面廚窗囤鳧虜畫(huà)證書(shū)頜發(fā)機(jī)構(gòu)體地) 自釣my吊銷(xiāo)的證書(shū)口頜發(fā)的證書(shū) 口掛起的申潔 口失敗的申潔 口證書(shū)模板申諳idi吊銷(xiāo)日期i有效吊銷(xiāo)日期i吊銷(xiāo)原因囲32007-2-.2007-2-8 0:05密鑰泄漏圈42007-2-.2007-2-8 0:04密鑰泄漏指定吊銷(xiāo)該證書(shū)的原因代碼。關(guān)于值的信息，請(qǐng)參閱"注意s要查看該命令的完整語(yǔ)法，請(qǐng)?jiān)诿钐崾痉骆I入:certutil revoke ?吊銷(xiāo)證書(shū)的有效原因代碼有:原因原因代碼未指定0密鑰泄漏1ca泄漏2

39、附屬關(guān)系已改變3被取代4操作停止5證書(shū)待定6宣告證書(shū)無(wú)效后，這個(gè)證書(shū)就被移動(dòng)到“吊銷(xiāo)的證書(shū)”文件夾中。發(fā)布證書(shū)撤消清單可以自動(dòng)或根據(jù)要求發(fā)布crl (證書(shū)撤消列表)要點(diǎn)：如果客戶機(jī)有先發(fā)表的crl的高速緩存復(fù)制件,那么即使新的crl 已經(jīng)發(fā)布，客戶機(jī)扔然可以繼續(xù)使用高速緩存的復(fù)制件,直到它的冇效性到期為 止。ca按照ca管理員指定的時(shí)間間隔，口動(dòng)發(fā)布更新后的crlo可采用“crl 發(fā)表”向?qū)?，按照需要發(fā)布crlo如果彩用人工的方式，在預(yù)定的發(fā)表時(shí)間之 前發(fā)布了 crl,那么在到達(dá)這一預(yù)定的發(fā)表時(shí)間時(shí)，crl將自動(dòng)重新發(fā)布。計(jì)劃證書(shū)吊銷(xiāo)列表的發(fā)布(設(shè)置自動(dòng)發(fā)布crl)1. 以證書(shū)頒發(fā)機(jī)構(gòu)管理員身

40、份登錄到系統(tǒng)。2. 打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)”。f t | lej ie1u | h=j l±j1負(fù)證書(shū)儉發(fā)機(jī)構(gòu)體地)申諳id1吊銷(xiāo)日期1有自韻my囲32007-2-. 2tj3.在控制臺(tái)樹(shù)屮，單擊“吊銷(xiāo)的證書(shū)s吊銷(xiāo)的證二2007-2-. 2c維li所有任務(wù)逐)查看辺刷新0)導(dǎo)出列表cl). |屬性®幫助電)d證書(shū)模板位置證書(shū)頒發(fā)機(jī)構(gòu)(計(jì)算機(jī))/ca名稱(chēng)/吊銷(xiāo)的證書(shū)4. 在“操作”菜單上，單擊“屬性”。5. 在“crl發(fā)布間隔”屮，鍵入自動(dòng)發(fā)布證書(shū)吊銷(xiāo)列表(crl)所使用的 時(shí)間間隔并單擊時(shí)間單位。采用人工方式發(fā)表crl,按如下步驟操作: 計(jì)劃證書(shū)吊銷(xiāo)列表的發(fā)布1. 以證書(shū)頒發(fā)機(jī)

41、構(gòu)管理員身份登錄到系統(tǒng)。2. 打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)”。3. 在控制臺(tái)樹(shù)中，單擊“吊銷(xiāo)的證書(shū)”。觀證書(shū)頤發(fā)機(jī)構(gòu)文件0)操作(a)查看(v)幫助(x)3位置證書(shū)頒發(fā)機(jī)構(gòu)(計(jì)算機(jī))/ca名稱(chēng)/吊銷(xiāo)的證書(shū)4. 在“操作”菜單上 右擊“吊銷(xiāo)的證書(shū)”，指向“所有任務(wù)”，然后單擊 “發(fā)布”。5. 單擊“是”，用以覆蓋寫(xiě)入先前發(fā)表的crlo注意 crl 被發(fā)布在 systemrootsystem32certsrvcertenro小 中。如果活動(dòng)目錄向舸囹血尾感申諳id囲3|吊銷(xiāo)日期|有效吊銷(xiāo)日期2007-2-8 0:042007-2-.2007-2-8 0:05所有任務(wù)qk) 查看&)刷新d) 導(dǎo)出列表

42、©j1性®幫助 是可用的，則crl還發(fā)表在活動(dòng)目錄中。如果該計(jì)算機(jī)是域成員并具有對(duì)active directory目錄服務(wù)的寫(xiě)權(quán)限，則 還向 active directory 發(fā)布 crl。 crl的發(fā)布期與crl的有效期不同。默認(rèn)情況下，crl的有效期比 crl的發(fā)布期長(zhǎng)10% （最多12小吋）以留出目錄復(fù)制的時(shí)間。crl文件名的格式，是ca的、'凈化名稱(chēng)，外加括號(hào)括起來(lái)的ca的''密鑰id"（如果ca 證書(shū)己使用新的密鑰續(xù)訂），以及.crl擴(kuò)展名。如果想了解根據(jù)ca續(xù)訂示例記錄的一些 crl示例文件名，請(qǐng)參閱下衣：方案crl文件的名稱(chēng)從

43、耒續(xù)訂其ca證書(shū)、名為、'myca"的證書(shū)頒發(fā)機(jī)構(gòu)myca .crl曾經(jīng)使用相同密鑰續(xù)訂過(guò)一次、名為、'myca"的證書(shū)頒發(fā)機(jī)構(gòu)myca .crl曾經(jīng)使用和同密鑰續(xù)訂過(guò)一次、名為、'myca的證朽頒發(fā)機(jī)構(gòu)的增量crlmyca+. crl曾經(jīng)使用新密鑰續(xù)訂過(guò)一次、名為、'myca"的證書(shū)頒發(fā)機(jī)構(gòu)myca(l).crl曾經(jīng)使用新密鑰續(xù)訂過(guò)兩次、名為''myca的證書(shū)頒發(fā)機(jī)構(gòu)myca (2).crl導(dǎo)入和導(dǎo)出證書(shū)“證書(shū)”管理單元提供了導(dǎo)出和導(dǎo)入證書(shū)的管理工具，如果需要，還包折他們的 證書(shū)路徑和私鑰?？梢詫⒆C書(shū)導(dǎo)出到pkcs

44、 #12文件、pkcs #7文件和二進(jìn)制 編碼的x.509證書(shū)文件，同時(shí)也可以從這些文件中導(dǎo)入證書(shū)。標(biāo)準(zhǔn)證書(shū)文件格式可以用以下格式導(dǎo)入和導(dǎo)出證書(shū)：個(gè)人信息交換（pkcs #12）個(gè)人信息交換格式（pfx,也稱(chēng)為pkcs #12）允許證書(shū)及相關(guān)私鑰從一臺(tái) 計(jì)算機(jī)傳輸?shù)搅硪慌_(tái)計(jì)算機(jī)或可移動(dòng)媒體。pkcs #12 （公鑰加密標(biāo)準(zhǔn)#12）是業(yè)界格式，適用于證書(shū)及相關(guān)私鑰的傳 輸、備份和還原。該操作可以在相同或不同的供應(yīng)商的產(chǎn)品之間進(jìn)行。要使用pkcs #12格式，加密服務(wù)捉供程序（csp）必須將證書(shū)和密鑰識(shí)別 為口j以導(dǎo)出。如果證書(shū)是出windows server 2003或windows 2000證

45、書(shū)頒發(fā)機(jī) 構(gòu)頒發(fā)的，則在滿足下列條件之一時(shí)該證書(shū)的私鑰將僅為可導(dǎo)出的：該證書(shū)用于加密文件系統(tǒng)（efs）或efs恢復(fù)。通過(guò)在“高級(jí)證書(shū)申請(qǐng)”證書(shū)頒發(fā)機(jī)構(gòu)的網(wǎng)頁(yè)上選中“標(biāo)記密鑰為口j導(dǎo)出” 復(fù)選框,才能申請(qǐng)?jiān)撟C書(shū)。因?yàn)閷?dǎo)出私鑰可能使私鑰暴露給無(wú)關(guān)一方，所以pkcs #12格式是 windows server 2003中支持的導(dǎo)出證書(shū)及相關(guān)私鑰的唯一格式。加密消息語(yǔ)法標(biāo)準(zhǔn)（pkcs #7）pkcs #7格式允許將證書(shū)及證書(shū)路徑中的所有證書(shū)從一臺(tái)計(jì)算機(jī)傳輸?shù)搅?一臺(tái)計(jì)算機(jī)或可移動(dòng)媒體o pkcs #7文件通常使用.p7b擴(kuò)展且與itu-tx.509 標(biāo)準(zhǔn)兼容。pkcs #7允許一些屬性（例如，反簽名）

46、與簽名相關(guān)，而一些屬性 （例如，簽名時(shí)間）可與消息內(nèi)容一起驗(yàn)證。有關(guān)pkcs #7的詳細(xì)信息，請(qǐng)參 閱rsa實(shí)驗(yàn)室網(wǎng)站上的“pkcs #7”頁(yè)面。 der編碼的二進(jìn)制x.509itu-t recommendation x.509 中定義的 asn.l der （區(qū)別編碼規(guī)則）與 itu-t recommendation x.209中定義的asn.l ber （基本編碼規(guī)則）相比，是 一個(gè)限制更嚴(yán)格的編碼標(biāo)準(zhǔn)，它構(gòu)成了 der的基礎(chǔ)。ber和der都提供了 獨(dú)立于平臺(tái)的編碼對(duì)象（如證書(shū)和消息）的方法，以便于其在設(shè)備和應(yīng)用程序z 間的傳輸。在證書(shū)編碼期間，多數(shù)應(yīng)用程序都使用der,因?yàn)樽C書(shū)的一部分

47、 （certificationrequest 的 certificationrequestinfo）必須使用 der 編碼，才能 對(duì)其進(jìn)行簽名。不在運(yùn)行windows server 2003計(jì)算機(jī)上的證書(shū)頒發(fā)機(jī)構(gòu)也可能使用該格 式，因此它支持互操作性。der證書(shū)文件使用.cer擴(kuò)展名。詳細(xì)信息，請(qǐng)參閱國(guó)際屯信聯(lián)盟（itu）網(wǎng)站上的“itut recommendation x.509,信息技術(shù)-開(kāi)放系統(tǒng)互連目錄：身份驗(yàn)證框架”。 base64 編碼的 x.509這種編碼方式主要是為使用“安全/多用途internet郵件擴(kuò)展（s/mime）” 而開(kāi)發(fā)的（s/mime是一種通過(guò)internet傳輸二

48、進(jìn)制附件的常用標(biāo)準(zhǔn)方法）。 base64將文件編碼為ascii文本格式，這樣可以減少傳送的文件在通過(guò) internet網(wǎng)關(guān)時(shí)被損壞的機(jī)率，同時(shí)，s/mime w以為電子消息發(fā)送應(yīng)用程序提 供一些加密安全服務(wù)，包描通過(guò)數(shù)字簽名來(lái)證明原件（非拒絕），通過(guò)加密、身 份驗(yàn)證和消息完整性來(lái)保證隱私和數(shù)據(jù)安全。mime （多用途internet郵件擴(kuò)展）標(biāo)準(zhǔn)（rfc 1341及其后繼者）定義了 為傳送電了郵件而進(jìn)行任意二進(jìn)制信息編碼的一種機(jī)制。由于所有符合mime標(biāo)準(zhǔn)的客戶端都可以對(duì)base64文件進(jìn)行解碼，不在 運(yùn)行windows server 2003計(jì)算機(jī)上的證書(shū)頒發(fā)機(jī)構(gòu)也可以使用該格式，所以它 支

49、持互操作性。base64證書(shū)文件使用.cer擴(kuò)展名。導(dǎo)入/導(dǎo)出證書(shū)：需先創(chuàng)建包含“證書(shū)”的mmc控制臺(tái)，步驟如下：依次單擊“開(kāi)始”、“運(yùn)行”，鍵入mmc,然后單擊“確定”。單擊“文件” 菜單上的“添加刪除單元”，然后單擊“添加”。在添加獨(dú)立管理單元中，選擇“證導(dǎo)入證書(shū)：1. 打開(kāi)“證書(shū)當(dāng)前用戶”。2. 在控制臺(tái)樹(shù)中，單擊要導(dǎo)入證書(shū)的邏輯存儲(chǔ)區(qū)。3. 在“操作”菜單上，指向“所有任務(wù)”，然后單擊“導(dǎo)入”，以啟動(dòng)“證 書(shū)導(dǎo)入向?qū)А薄?. 鍵入包含要導(dǎo)入證書(shū)的文件名。（也可以單擊“瀏覽”查找該文件。）5. 如果是pkcs#12文件,則執(zhí)行以下操作：鍵入用于加密私鑰的密碼。（可選）如果想使用嚴(yán)密私鑰保

50、護(hù)，請(qǐng)選屮“啟用嚴(yán)密私鑰保護(hù)”復(fù)選框。（可選）如果想在以后備份或傳輸密鑰，請(qǐng)選屮“標(biāo)記為可導(dǎo)出的”復(fù)選 框。6. 執(zhí)行以下任i操作：如果應(yīng)當(dāng)根據(jù)證卩類(lèi)型將證帖自動(dòng)放置在證書(shū)存儲(chǔ)區(qū)屮，請(qǐng)單擊“根據(jù)證 書(shū)類(lèi)型，自動(dòng)選擇證帖存儲(chǔ)”。如果要指定存儲(chǔ)證書(shū)的位置，請(qǐng)選擇“將所有的證書(shū)放入下列存儲(chǔ)區(qū)”， 單擊“瀏覽”，然后選擇要使用的證帖存儲(chǔ)區(qū)。導(dǎo)出證書(shū)1. 打開(kāi)“證書(shū)當(dāng)前用戶”。2. 執(zhí)行以下任一操作：如果處于“邏輯證帖存儲(chǔ)”查看模式，請(qǐng)?jiān)诳刂婆_(tái)樹(shù)中單擊“證書(shū)”。 位置證書(shū)-當(dāng)前用戶/邏輯存儲(chǔ)/證書(shū)如果處于“證書(shū)冃的”查看模式，請(qǐng)?jiān)诳刂婆_(tái)樹(shù)中，單擊目的。 位置證書(shū)當(dāng)前用戶/目的3. 在詳細(xì)信息窗格中，單擊

51、要導(dǎo)出的證書(shū)。4. 在“操作”菜單上，指向“所有任務(wù)”，然后單擊“導(dǎo)出”。5. 在“證書(shū)導(dǎo)出向?qū)А敝?，選擇“不，不要導(dǎo)出私鑰”。（該選項(xiàng)僅在私鑰 標(biāo)記為可導(dǎo)出且您可以訪問(wèn)它吋才顯示。）6. “證書(shū)導(dǎo)出向?qū)А卞峁┮韵滦畔ⅲ簡(jiǎn)螕粢糜诖鎯?chǔ)所導(dǎo)出的證書(shū)的文件格式：der編碼文件、base64編碼 文件或pkcs #7文件。如果將證書(shū)導(dǎo)出到pkcs #7文件屮，則述可選擇將所冇證書(shū)包括在證書(shū) 路徑中。導(dǎo)出帶私鑰的證書(shū)1.打開(kāi)“證書(shū)-當(dāng)前用戶”。2. 執(zhí)行下列操作之一：如果處于“邏輯證書(shū)存儲(chǔ)”查看模式，請(qǐng)?jiān)诳刂婆_(tái)樹(shù)中，單擊“證書(shū)”。 位置證書(shū)-當(dāng)前用戶/邏輯存儲(chǔ)區(qū)/證書(shū)如果處于“證書(shū)目的”查看模式，請(qǐng)

52、在控制臺(tái)樹(shù)中，單擊“目的”。位置證書(shū)-當(dāng)前用戶/目的3. 在詳細(xì)信息窗格中，單擊要導(dǎo)出的證書(shū)。4. 在“操作”菜單上，指向“所有任務(wù)”，然后單擊“導(dǎo)岀”。5. 在“證書(shū)導(dǎo)出向?qū)А卞瑔螕簟笆?，?dǎo)出私鑰”。（只有將私鑰標(biāo)記為可 導(dǎo)出且可以訪問(wèn)它時(shí)才會(huì)顯示該選項(xiàng)o）6. 在“導(dǎo)出文件格式”下，執(zhí)行以下一種或全部操作，然后單擊“下一步”。要將所有證書(shū)包括在證書(shū)路徑內(nèi)，請(qǐng)選屮“如果可能，包含證書(shū)路徑屮的 所冇證書(shū)”復(fù)選框。要啟用嚴(yán)密保護(hù)，請(qǐng)選中“啟用嚴(yán)密保護(hù)（耍求ie5.0或nt4.0sp4或 更高版本）”復(fù)選框。要在導(dǎo)出成功之后刪除私鑰，請(qǐng)選屮“如果導(dǎo)出成功，刪除私鑰”復(fù)選框。7. 在“密碼”中，鍵

53、入相關(guān)的密碼，以便對(duì)要導(dǎo)出的私鑰進(jìn)行加密。在“確 認(rèn)密碼”中，再次鍵入相同的密碼，然后單擊“下一步”。&在“文件名”中，鍵入存儲(chǔ)已導(dǎo)出的證書(shū)和私鑰的pkcs #12文件的文 件名和路徑，單擊“下一步”，然后單擊“完成”。針對(duì)證書(shū)配置活動(dòng)目錄某些機(jī)構(gòu)可能需要支持某些外部用戶的身份驗(yàn)證，而這些用戶在活動(dòng)目錄中 沒(méi)冇帳戶。為了驗(yàn)證外部用戶，需要下述條件：外部用戶必須有證卩外部用戶必須有用戶帳戶外部用戶的證書(shū)必須由這樣的ca發(fā)放，該ca是某個(gè)站點(diǎn)、域或者機(jī)構(gòu)信 任ca,或者出現(xiàn)在它們的證書(shū)信任列表中。正是這一站點(diǎn)、域或者機(jī)構(gòu)中創(chuàng)建 了該用戶帳戶。必須在該外部用戶證書(shū)和活動(dòng)目錄帳戶z間創(chuàng)建一個(gè)名

54、稱(chēng)映射。為了驗(yàn)證的 需要，創(chuàng)建這一活動(dòng)目錄帳戶。將證書(shū)映射到用戶帳戶1. 打開(kāi)"active directory用戶和計(jì)算機(jī)"。2. 在“查看”菜單上，選擇“高級(jí)功能”。3. 在控制臺(tái)樹(shù)中，單擊“users”。位置° active directory用戶和計(jì)算機(jī)域節(jié)點(diǎn)users或單擊包含該用戶帳戶的文件夾。4. 在詳細(xì)信息窗格中，單擊證書(shū)要映射到的用戶帳八。5. 在“操作”菜單上，單擊“名稱(chēng)映射”。6. 在“安全身份映射”對(duì)話框的“x. 509證書(shū)”選項(xiàng)卡上，單擊“添加”。7. 鍵入包含要映射到此用戶帳戶的證書(shū)的.cer文件名稱(chēng)和路徑，然后單擊“打開(kāi)”。&

55、執(zhí)行以下任一操作：目的將證書(shū)映射到一個(gè)帳八（一對(duì)一映射）執(zhí)行確認(rèn)“頒發(fā)者作為備用的安全標(biāo)識(shí)”和“主題作為備用的安全標(biāo)識(shí)”復(fù)選框都己選中。不管證書(shū)的頒發(fā)者是誰(shuí)，都將具有同一 主題的所有證書(shū)映射到此用八帳八（多 對(duì)一映射）清除“頒發(fā)者作為備用的安全標(biāo)識(shí)”復(fù)選 框，并確認(rèn)“主題作為備用的安全標(biāo)識(shí)”復(fù) 選框己被選中。不管證書(shū)的主題是什么，都將具有同一淸除“主題作為備用的安全標(biāo)識(shí)”復(fù)選框,頒發(fā)者的所有證書(shū)映射到此用戶帳戶并確認(rèn)“頒發(fā)者作為備用的安全標(biāo)識(shí)”復(fù)（多對(duì)一映射）選框已被選中。將證書(shū)映射到用戶帳戶將己頒發(fā)給用戶的證書(shū)映射到用戶帳戶（或創(chuàng)建與帳戶的關(guān)聯(lián)）是完全可能 的。服務(wù)器應(yīng)用程序然后可使用公鑰加密技術(shù)來(lái)驗(yàn)證使用該證書(shū)的用戶身份。如 果用戶的身份通過(guò)驗(yàn)證，則可登錄到該用