項(xiàng)目9 使用證書服務(wù)保護(hù)網(wǎng)絡(luò)通信

1、服務(wù)器配置與管理服務(wù)器配置與管理項(xiàng)目項(xiàng)目9 9 使用證書服務(wù)保護(hù)網(wǎng)絡(luò)通信使用證書服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理服務(wù)器配置與管理 學(xué)習(xí)情境學(xué)習(xí)情境v場景場景1 1、網(wǎng)堅(jiān)總公司與各子公司之間、各子公司的部門之間通、網(wǎng)堅(jiān)總公司與各子公司之間、各子公司的部門之間通過過PKIPKI機(jī)制進(jìn)行安全通信。機(jī)制進(jìn)行安全通信。 2 2、網(wǎng)堅(jiān)公司員工因調(diào)動(dòng)、更替等導(dǎo)致信任關(guān)系更改，加、網(wǎng)堅(jiān)公司員工因調(diào)動(dòng)、更替等導(dǎo)致信任關(guān)系更改，加強(qiáng)證書管理和控制，確保證書安全和有效。強(qiáng)證書管理和控制，確保證書安全和有效。v平臺平臺 Windows Server 2003 Windows Server 2003系統(tǒng)提供系統(tǒng)提供PK

2、IPKI安全管理機(jī)制，通安全管理機(jī)制，通過證書服務(wù)過證書服務(wù) ，確保雙方安全、可靠地進(jìn)行通信。，確保雙方安全、可靠地進(jìn)行通信。v實(shí)施實(shí)施 本項(xiàng)目將基于本項(xiàng)目將基于Windows Server 2003Windows Server 2003在網(wǎng)堅(jiān)公司的企業(yè)在網(wǎng)堅(jiān)公司的企業(yè)網(wǎng)絡(luò)中部署企業(yè)根網(wǎng)絡(luò)中部署企業(yè)根CA,CA,實(shí)現(xiàn)企業(yè)域用戶企業(yè)實(shí)現(xiàn)企業(yè)域用戶企業(yè)CACA證書申請、證書申請、CACA證書管理和控制功能。證書管理和控制功能。服務(wù)器配置與管理服務(wù)器配置與管理學(xué)習(xí)任務(wù)學(xué)習(xí)任務(wù)任務(wù)任務(wù)1 1 安裝與配置證書服務(wù)安裝與配置證書服務(wù)任務(wù)任務(wù)2 2 管理證書服務(wù)管理證書服務(wù)服務(wù)器配置與管理服務(wù)器配置與管理任

3、務(wù)任務(wù)1 1 安裝與配置證書服務(wù)安裝與配置證書服務(wù) v 任務(wù)描述任務(wù)描述 Windows Server 2003Windows Server 2003通過通過PKIPKI安全管理機(jī)制保護(hù)用戶的信息，對安全管理機(jī)制保護(hù)用戶的信息，對用戶身份進(jìn)行驗(yàn)證。企業(yè)域內(nèi)用戶與計(jì)算機(jī)之間相互通信，關(guān)鍵用戶身份進(jìn)行驗(yàn)證。企業(yè)域內(nèi)用戶與計(jì)算機(jī)之間相互通信，關(guān)鍵信息在域內(nèi)網(wǎng)絡(luò)間的傳送都需要得到保護(hù)，以保證只有合法用戶信息在域內(nèi)網(wǎng)絡(luò)間的傳送都需要得到保護(hù)，以保證只有合法用戶才可以訪問這些信息，而未經(jīng)授權(quán)的用戶不能訪問這些信息，通才可以訪問這些信息，而未經(jīng)授權(quán)的用戶不能訪問這些信息，通過使用企業(yè)過使用企業(yè)CACA實(shí)現(xiàn)數(shù)

4、據(jù)加密和用戶身份的標(biāo)識，保證用戶的信息實(shí)現(xiàn)數(shù)據(jù)加密和用戶身份的標(biāo)識，保證用戶的信息在網(wǎng)絡(luò)傳輸過程中的可靠性和一致性。在網(wǎng)絡(luò)傳輸過程中的可靠性和一致性。 v 任務(wù)分析任務(wù)分析 公司用戶訪問網(wǎng)絡(luò)通常使用賬戶與密碼作為保證安全的手段，但公司用戶訪問網(wǎng)絡(luò)通常使用賬戶與密碼作為保證安全的手段，但是公用密碼方式極容易受到網(wǎng)絡(luò)黑客與非法入侵手段的攻擊和破是公用密碼方式極容易受到網(wǎng)絡(luò)黑客與非法入侵手段的攻擊和破解，解，Windows Server 2003Windows Server 2003通過通過PKIPKI安全管理機(jī)制保護(hù)用戶的信息，安全管理機(jī)制保護(hù)用戶的信息，對用戶身份進(jìn)行驗(yàn)證。對用戶身份進(jìn)行驗(yàn)證。服

5、務(wù)器配置與管理服務(wù)器配置與管理相關(guān)知識與技能相關(guān)知識與技能2.2.安裝與配置證書服務(wù)安裝與配置證書服務(wù) 3.3.域用戶申請并安裝證書域用戶申請并安裝證書 1. 1. PKI基礎(chǔ)知識基礎(chǔ)知識 服務(wù)器配置與管理服務(wù)器配置與管理1. 1. PKIPKI基礎(chǔ)知識基礎(chǔ)知識 vPKIPKI（Public Key InfrastructurePublic Key Infrastructure）基礎(chǔ)知識）基礎(chǔ)知識 PKIPKI即即“公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施”，是一種遵循既定標(biāo)準(zhǔn)的密鑰，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密、數(shù)字簽管理平臺，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密、數(shù)字簽名等服務(wù)，

6、還提供必需的密鑰和證書管理體系。名等服務(wù)，還提供必需的密鑰和證書管理體系。PKIPKI技技術(shù)是信息安全技術(shù)的核心，術(shù)是信息安全技術(shù)的核心，PKIPKI的基礎(chǔ)技術(shù)包括加密、的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。名等。 完整的完整的PKIPKI系統(tǒng)必須具有權(quán)威證書認(rèn)證機(jī)構(gòu)系統(tǒng)必須具有權(quán)威證書認(rèn)證機(jī)構(gòu)（Certification AuthorityCertification Authority，CACA）、數(shù)字證書庫、密）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（

7、APIAPI）等基本構(gòu)成部分，構(gòu)建等基本構(gòu)成部分，構(gòu)建PKIPKI也將圍繞著這五大系統(tǒng)來著也將圍繞著這五大系統(tǒng)來著手構(gòu)建。手構(gòu)建。 服務(wù)器配置與管理服務(wù)器配置與管理1. 1. PKIPKI基礎(chǔ)知識基礎(chǔ)知識 PKIPKI提供以下功能，確保用戶能夠在網(wǎng)絡(luò)上安全傳送信提供以下功能，確保用戶能夠在網(wǎng)絡(luò)上安全傳送信息：息： 加密發(fā)送的信息 驗(yàn)證信息 PKIPKI根據(jù)公開密鑰密碼學(xué)來提供信息加密和身份驗(yàn)證，根據(jù)公開密鑰密碼學(xué)來提供信息加密和身份驗(yàn)證，用戶需要有一組密鑰來支持用戶需要有一組密鑰來支持PKIPKI功能的實(shí)現(xiàn)：功能的實(shí)現(xiàn)： 公開密鑰（Public Key）：用戶可以將自己的公開密鑰發(fā)送給其它用戶

8、。 私有密鑰（Private Key）：密鑰為該用戶私有，且存儲在用戶的計(jì)算機(jī)內(nèi)，只有用戶自己能夠訪問。 在在PKIPKI架構(gòu)下，架構(gòu)下，CACA是可信任的機(jī)構(gòu)，它向用戶頒發(fā)有效是可信任的機(jī)構(gòu)，它向用戶頒發(fā)有效的證書。的證書。CACA主要有兩類：商業(yè)主要有兩類：商業(yè)CACA公司和公司和WindowsWindows自帶的自帶的CACA程序（稱為程序（稱為MicrosoftMicrosoft證書服務(wù)證書服務(wù)MCSMCS）。）。 服務(wù)器配置與管理服務(wù)器配置與管理1. 1. PKIPKI基礎(chǔ)知識基礎(chǔ)知識被加密的消息通過網(wǎng)被加密的消息通過網(wǎng)絡(luò)進(jìn)行傳輸絡(luò)進(jìn)行傳輸3A78Alice 使用使用 Bob 的的公

9、鑰公鑰 (Public Key) 加密消息加密消息數(shù)據(jù)數(shù)據(jù)Bob 使用使用 Bob 的的私鑰私鑰 (Private Key) 把消息解密把消息解密數(shù)據(jù)數(shù)據(jù)公鑰加密和解密過程公鑰加密和解密過程服務(wù)器配置與管理服務(wù)器配置與管理1. PKI1. PKI基礎(chǔ)知識基礎(chǔ)知識消息通過網(wǎng)絡(luò)進(jìn)行傳消息通過網(wǎng)絡(luò)進(jìn)行傳輸輸*Alice 用她的用她的私鑰私鑰 (Private Key) 對消息進(jìn)行簽名對消息進(jìn)行簽名*Bob 使用使用 Alice 的的公鑰公鑰 (Public Key) 驗(yàn)證來自驗(yàn)證來自 Alice 的消息的消息公鑰認(rèn)證過程公鑰認(rèn)證過程服務(wù)器配置與管理服務(wù)器配置與管理頒發(fā)數(shù)字簽名作為頒發(fā)數(shù)字簽名作為安全

10、證書來使用安全證書來使用1. PKI1. PKI基礎(chǔ)知識基礎(chǔ)知識*CA 接收一個(gè)認(rèn)證請接收一個(gè)認(rèn)證請求求驗(yàn)證信息驗(yàn)證信息使用私鑰把數(shù)字簽名使用私鑰把數(shù)字簽名發(fā)送給申請者發(fā)送給申請者證書申請及使用證書申請及使用服務(wù)器配置與管理服務(wù)器配置與管理1. 1. PKIPKI基礎(chǔ)知識基礎(chǔ)知識 Windows Server 2003Windows Server 2003、Windows XPWindows XP、Windows 2000Windows 2000等等計(jì)算機(jī)系統(tǒng)默認(rèn)已經(jīng)信任由一些知名的計(jì)算機(jī)系統(tǒng)默認(rèn)已經(jīng)信任由一些知名的CACA所發(fā)放的證書。所發(fā)放的證書。 在在IEIE瀏覽器的窗口中，選擇瀏覽器的

11、窗口中，選擇“工具工具”“”“InternetInternet選選項(xiàng)項(xiàng)”“”“內(nèi)容內(nèi)容”“”“證書證書”“”“受信任的根證書頒發(fā)機(jī)受信任的根證書頒發(fā)機(jī)構(gòu)構(gòu)”選項(xiàng)可以查看受信任的根證書頒發(fā)機(jī)構(gòu)，如圖選項(xiàng)可以查看受信任的根證書頒發(fā)機(jī)構(gòu)，如圖9-19-1所示。所示。圖9-1 “證書”對話框 服務(wù)器配置與管理服務(wù)器配置與管理1. PKI1. PKI基礎(chǔ)知識基礎(chǔ)知識 微軟的微軟的PKIPKI支持結(jié)構(gòu)化的支持結(jié)構(gòu)化的CACA，在該架構(gòu)下，在該架構(gòu)下CACA分為以下兩分為以下兩個(gè)級別：個(gè)級別： 根CA 從屬CA 通過安裝通過安裝“證書服務(wù)證書服務(wù)”，可以讓，可以讓W(xué)indows Server 2003Win

12、dows Server 2003扮演扮演CACA的角色，可以將其設(shè)為：的角色，可以將其設(shè)為： 企業(yè)根CA或企業(yè)從屬CA 獨(dú)立根CA或獨(dú)立從屬CA 服務(wù)器配置與管理服務(wù)器配置與管理1. PKI1. PKI基礎(chǔ)知識基礎(chǔ)知識 證證書書等等級級服務(wù)器配置與管理服務(wù)器配置與管理1. PKI1. PKI基礎(chǔ)知識基礎(chǔ)知識 頒發(fā)頒發(fā)或吊銷證書或吊銷證書頒發(fā)證書頒發(fā)證書具有具有 PKI 功能功能的應(yīng)用程序的應(yīng)用程序 Windows Windows 2003 2003 Server Server PKIPKISSL 和和 IPSec服務(wù)器配置與管理服務(wù)器配置與管理2.2. 安裝與配置證書服務(wù)安裝與配置證書服務(wù) v

13、Windows Server 2003Windows Server 2003系統(tǒng)內(nèi)置了證書服務(wù)組件，系統(tǒng)內(nèi)置了證書服務(wù)組件，默認(rèn)狀態(tài)下沒有安裝證書服務(wù)，需要另外單獨(dú)安默認(rèn)狀態(tài)下沒有安裝證書服務(wù)，需要另外單獨(dú)安裝。在本案例中，我們選擇裝。在本案例中，我們選擇IPIP地址地址00、子網(wǎng)掩碼為子網(wǎng)掩碼為的計(jì)算機(jī)作為服務(wù)器，的計(jì)算機(jī)作為服務(wù)器，在其上安裝證書服務(wù)組件，建立企業(yè)根在其上安裝證書服務(wù)組件，建立企業(yè)根CACA。 選擇選擇“開始開始”“”“控制面板控制面板”“”“添加或刪除程序添加或刪除程序”選選項(xiàng)

14、，打開添加或刪除程序窗口，單擊項(xiàng)，打開添加或刪除程序窗口，單擊“添加添加/ /刪除刪除WindowsWindows組件組件”，打開如圖，打開如圖9-29-2所示對話框。所示對話框。 圖9-2 Windows 組件安裝向?qū)υ捒蚍?wù)器配置與管理服務(wù)器配置與管理2.2. 安裝與配置證書服務(wù)安裝與配置證書服務(wù) 選擇選擇“證書服務(wù)證書服務(wù)”選項(xiàng)，單擊選項(xiàng)，單擊“下一步下一步”按鈕，打開按鈕，打開如圖如圖9-39-3所示對話框，該對話框提示安裝證書服務(wù)后，所示對話框，該對話框提示安裝證書服務(wù)后，計(jì)算機(jī)名和域成員身份不能改。計(jì)算機(jī)名和域成員身份不能改。 選中選中“企業(yè)根企業(yè)根CA”CA”及及“用自定義設(shè)置

15、生成密鑰對和用自定義設(shè)置生成密鑰對和CACA證書證書”選項(xiàng)，單擊選項(xiàng)，單擊“下一步下一步”按鈕。按鈕。圖9-3 證書服務(wù)消息框圖9-4 設(shè)置CA類型對話框服務(wù)器配置與管理服務(wù)器配置與管理2.2. 安裝與配置證書服務(wù)安裝與配置證書服務(wù) Microsoft Microsoft 證書服務(wù)的默認(rèn)證書服務(wù)的默認(rèn)CSPCSP為為“Microsoft Strong Microsoft Strong Cryptographic Provider”Cryptographic Provider”，默認(rèn)散列算法為，默認(rèn)散列算法為“SHA-SHA-1”1”，密鑰長度為，密鑰長度為20482048，選中，選中“使用現(xiàn)有

16、密鑰使用現(xiàn)有密鑰”列表框列表框中所列密鑰，單擊中所列密鑰，單擊“下一步下一步”按鈕。按鈕。 圖9-5 “公鑰/私鑰對”設(shè)置對話框服務(wù)器配置與管理服務(wù)器配置與管理2.2. 安裝與配置證書服務(wù)安裝與配置證書服務(wù) 設(shè)置該設(shè)置該CACA在在Active DirectoryActive Directory內(nèi)公用的名稱，設(shè)置內(nèi)公用的名稱，設(shè)置CACA默認(rèn)的有效期限為默認(rèn)的有效期限為5 5年，如圖年，如圖9-69-6所示。所示。圖9-6 CA識別信息對話框服務(wù)器配置與管理服務(wù)器配置與管理2.2. 安裝與配置證書服務(wù)安裝與配置證書服務(wù) 企業(yè)企業(yè)CACA的設(shè)置信息會自動(dòng)被存儲在的設(shè)置信息會自動(dòng)被存儲在Activ

17、e DirectoryActive Directory數(shù)據(jù)庫中，如果選擇圖中數(shù)據(jù)庫中，如果選擇圖中“將配置信息將配置信息”存儲在共享存儲在共享文件夾中，則會另外將其存儲到指定的共享文件夾中，文件夾中，則會另外將其存儲到指定的共享文件夾中，如圖如圖9-79-7所示。所示。圖9-7 證書數(shù)據(jù)庫設(shè)置對話框 服務(wù)器配置與管理服務(wù)器配置與管理2.2. 安裝與配置證書服務(wù)安裝與配置證書服務(wù) 在安裝過程中可能出現(xiàn)以下各對話框，進(jìn)行相關(guān)操作在安裝過程中可能出現(xiàn)以下各對話框，進(jìn)行相關(guān)操作繼續(xù)進(jìn)行安裝，最后單擊對話框中的繼續(xù)進(jìn)行安裝，最后單擊對話框中的“完成完成”按鈕，按鈕，完成證書安裝向?qū)АＭ瓿勺C書安裝向?qū)АD

18、9-10 “證書頒發(fā)機(jī)構(gòu)”窗口完成安裝完成安裝“證書服務(wù)證書服務(wù)”后，選擇后，選擇“開始開始”“”“管理工管理工具具”“”“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”來管理來管理CACA，如圖，如圖9-109-10所示。所示。 服務(wù)器配置與管理服務(wù)器配置與管理3 3域用戶申請并安裝證書域用戶申請并安裝證書 v域用戶可以使用域用戶可以使用“證書申請向?qū)ёC書申請向?qū)А焙秃汀癢ebWeb瀏覽器瀏覽器”兩種方式向企業(yè)根兩種方式向企業(yè)根CACA申請證書。假設(shè)域用戶向企申請證書。假設(shè)域用戶向企業(yè)根業(yè)根CACA申請用來保護(hù)電子郵件的證書，企業(yè)根申請用來保護(hù)電子郵件的證書，企業(yè)根CACA會通過會通過Active Direct

19、oryActive Directory自動(dòng)查詢該用戶電子郵自動(dòng)查詢該用戶電子郵件賬戶，以便針對電子郵件賬戶發(fā)放電子郵件保件賬戶，以便針對電子郵件賬戶發(fā)放電子郵件保護(hù)證書。護(hù)證書。服務(wù)器配置與管理服務(wù)器配置與管理3 3域用戶申請并安裝證書域用戶申請并安裝證書（1 1）域用戶通過）域用戶通過“證書申請向?qū)ёC書申請向?qū)А鄙暾埡桶惭b證書申請和安裝證書 打開打開MMCMMC控制臺，選擇控制臺，選擇“文件文件”“”“添加添加/ /刪除管理單刪除管理單元元”選項(xiàng)，打開選項(xiàng)，打開“添加添加/ /刪除管理單元?jiǎng)h除管理單元”對話框。對話框。 單擊單擊“添加添加”按鈕，打開按鈕，打開“添加獨(dú)立管理單元添加獨(dú)立管理單

20、元”對話對話框，在可用的獨(dú)立管理單元列表中選擇框，在可用的獨(dú)立管理單元列表中選擇“證書證書”選項(xiàng)。選項(xiàng)。服務(wù)器配置與管理服務(wù)器配置與管理3 3域用戶申請并安裝證書域用戶申請并安裝證書 單擊單擊“添加添加”按鈕，在出現(xiàn)的證書管理單元對話框中按鈕，在出現(xiàn)的證書管理單元對話框中選擇選擇“我的用戶賬戶我的用戶賬戶”單選按鈕。單選按鈕。 單擊單擊“完成完成”按鈕，并依次單擊按鈕，并依次單擊“關(guān)閉關(guān)閉”和和“確定確定”按按鈕，返回控制臺。鈕，返回控制臺。 服務(wù)器配置與管理服務(wù)器配置與管理3 3域用戶申請并安裝證書域用戶申請并安裝證書 右擊圖中右擊圖中“個(gè)人個(gè)人”列表項(xiàng)，選擇列表項(xiàng)，選擇“所有任務(wù)所有任務(wù)”

21、“”“申申請新證書請新證書”選項(xiàng)，選擇選項(xiàng)，選擇“用戶用戶”列表項(xiàng)，它提供了用列表項(xiàng)，它提供了用來將文件加密的證書、保護(hù)電子郵件安全的證書與驗(yàn)來將文件加密的證書、保護(hù)電子郵件安全的證書與驗(yàn)證客戶端身份的證書。證客戶端身份的證書。 在出現(xiàn)的在出現(xiàn)的“加密服務(wù)提供程序加密服務(wù)提供程序”對話框中，選擇對話框中，選擇加密服務(wù)提供程序和密鑰長度。加密服務(wù)提供程序和密鑰長度。 服務(wù)器配置與管理服務(wù)器配置與管理3 3域用戶申請并安裝證書域用戶申請并安裝證書 在出現(xiàn)的在出現(xiàn)的“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”對話框中，設(shè)置證書頒發(fā)對話框中，設(shè)置證書頒發(fā)機(jī)構(gòu)機(jī)構(gòu)CA CA ，為證書起一個(gè)好記的名字，設(shè)置適當(dāng)?shù)南鄳?yīng)，為

22、證書起一個(gè)好記的名字，設(shè)置適當(dāng)?shù)南鄳?yīng)描述，點(diǎn)擊描述，點(diǎn)擊“完成完成”按鈕關(guān)閉證書申請向?qū)?，完成證按鈕關(guān)閉證書申請向?qū)В瓿勺C書申請。出現(xiàn)證書申請成功對話框，單擊書申請。出現(xiàn)證書申請成功對話框，單擊“安裝證安裝證書書”，證書將安裝到本地計(jì)算機(jī)上，證書將安裝到本地計(jì)算機(jī)上 。 服務(wù)器配置與管理服務(wù)器配置與管理3 3域用戶申請并安裝證書域用戶申請并安裝證書（2 2）域用戶通過）域用戶通過“WebWeb瀏覽器瀏覽器”申請和安裝證書申請和安裝證書 啟動(dòng)啟動(dòng)IEIE瀏覽器，在地址欄中輸入企業(yè)根瀏覽器，在地址欄中輸入企業(yè)根CACA服務(wù)器地址，服務(wù)器地址，本例證書服務(wù)器地址為本例證書服務(wù)器地址為http:/1

23、0/certsrv/0/certsrv/，打開如圖，打開如圖9-219-21所示所示窗口。窗口。 圖9-21 申請證書窗口 服務(wù)器配置與管理服務(wù)器配置與管理3 3域用戶申請并安裝證書域用戶申請并安裝證書 單擊單擊“申請一個(gè)證書申請一個(gè)證書”鏈接，然后單擊鏈接，然后單擊“申請一個(gè)證申請一個(gè)證書書”鏈接鏈接 ，再單擊，再單擊“用戶證書用戶證書”鏈接，在用戶信息識鏈接，在用戶信息識別頁面中，單擊別頁面中，單擊“提交提交”按鈕。然后在出現(xiàn)的按鈕。然后在出現(xiàn)的“潛在潛在的腳本沖突的腳本沖突”消息框中單擊消息框中單擊“是是”按鈕。等待服務(wù)器按鈕。等待服

24、務(wù)器響應(yīng)并頒發(fā)證書，當(dāng)出現(xiàn)證書已頒發(fā)頁面，單擊響應(yīng)并頒發(fā)證書，當(dāng)出現(xiàn)證書已頒發(fā)頁面，單擊“安安裝此證書裝此證書”鏈接安裝證書。鏈接安裝證書。服務(wù)器配置與管理服務(wù)器配置與管理課堂練習(xí)課堂練習(xí) 1. 1. 證書申請；證書申請； 2. 2. 證書安裝證書安裝 ； 3. 3. 查看證書查看證書 。服務(wù)器配置與管理服務(wù)器配置與管理拓展與提高拓展與提高v安裝獨(dú)立根安裝獨(dú)立根CA CA 獨(dú)立根獨(dú)立根CACA不需要不需要Active DirectoryActive Directory支持，扮演獨(dú)立根支持，扮演獨(dú)立根CACA角色的計(jì)算機(jī)可以是獨(dú)立服務(wù)器、成員服務(wù)器或域角色的計(jì)算機(jī)可以是獨(dú)立服務(wù)器、成員服務(wù)器或域

25、控制器。無論是否為域內(nèi)的用戶、計(jì)算機(jī)都可向獨(dú)立控制器。無論是否為域內(nèi)的用戶、計(jì)算機(jī)都可向獨(dú)立根根CACA申請證書。申請證書。 獨(dú)立根獨(dú)立根CACA的安裝與企業(yè)根的安裝與企業(yè)根CACA的安裝過程基本相同，首的安裝過程基本相同，首先安裝先安裝IISIIS服務(wù)，然后安裝服務(wù)，然后安裝CACA證書服務(wù)，在證書服務(wù)，在CACA類型組件類型組件向?qū)υ捒蛑羞x擇向?qū)υ捒蛑羞x擇“獨(dú)立根獨(dú)立根CA”CA”選項(xiàng)。選項(xiàng)。 證書安裝完成后，單擊證書安裝完成后，單擊“開始開始”“”“程序程序”“”“管理管理工具工具”“”“服務(wù)服務(wù)”，打開系統(tǒng)服務(wù)窗口，查看證書服，打開系統(tǒng)服務(wù)窗口，查看證書服務(wù)（務(wù)（Certifica

26、te ServicesCertificate Services）是否已經(jīng)啟用。）是否已經(jīng)啟用。 服務(wù)器配置與管理服務(wù)器配置與管理拓展與提高拓展與提高v客戶端向獨(dú)立根客戶端向獨(dú)立根CACA申請證書申請證書 無論是否為域用戶，向獨(dú)立根無論是否為域用戶，向獨(dú)立根CACA申請證書都需要利用申請證書都需要利用WebWeb瀏覽器，無法通過瀏覽器，無法通過“證書申請向?qū)ёC書申請向?qū)А边M(jìn)行。進(jìn)行。v頒發(fā)證書頒發(fā)證書 使用系統(tǒng)管理員賬戶登錄到獨(dú)立根使用系統(tǒng)管理員賬戶登錄到獨(dú)立根CACA計(jì)算機(jī)上，選擇計(jì)算機(jī)上，選擇“開始開始”“”“管理工具管理工具”“”“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”選項(xiàng)，選項(xiàng)， 選擇選擇“待定申請

27、待定申請”列表項(xiàng)，在窗口的右側(cè)右擊用戶申列表項(xiàng)，在窗口的右側(cè)右擊用戶申請的證書，然后在彈出的快捷菜單中，選擇請的證書，然后在彈出的快捷菜單中，選擇“所有任所有任務(wù)務(wù)”“”“頒發(fā)頒發(fā)”選項(xiàng)，被頒發(fā)的證書將會被存放到選項(xiàng)，被頒發(fā)的證書將會被存放到“頒發(fā)的證書頒發(fā)的證書”文件夾中。文件夾中。 v下載與安裝證書下載與安裝證書服務(wù)器配置與管理服務(wù)器配置與管理任務(wù)回顧任務(wù)回顧 課堂提問課堂提問11PKI主要功能是什么？ 課堂提問課堂提問22CA等級有哪些？服務(wù)器配置與管理服務(wù)器配置與管理任務(wù)任務(wù)2 2 管理證書服務(wù)管理證書服務(wù)v任務(wù)描述任務(wù)描述 網(wǎng)堅(jiān)公司員工因業(yè)務(wù)關(guān)系時(shí)常發(fā)生人員調(diào)動(dòng)與更替，網(wǎng)堅(jiān)公司員工因

28、業(yè)務(wù)關(guān)系時(shí)常發(fā)生人員調(diào)動(dòng)與更替，在某些情況下，用戶操作不當(dāng)或誤操作可能造成證書在某些情況下，用戶操作不當(dāng)或誤操作可能造成證書信任關(guān)系損毀，因此，必須加強(qiáng)對證書進(jìn)行管理和控信任關(guān)系損毀，因此，必須加強(qiáng)對證書進(jìn)行管理和控制，確保證書安全和有效。制，確保證書安全和有效。服務(wù)器配置與管理服務(wù)器配置與管理任務(wù)任務(wù)2 2 管理證書服務(wù)管理證書服務(wù)v任務(wù)分析任務(wù)分析 公司因業(yè)務(wù)和發(fā)展需求，時(shí)常發(fā)生員工調(diào)動(dòng)與更新，公司因業(yè)務(wù)和發(fā)展需求，時(shí)常發(fā)生員工調(diào)動(dòng)與更新，新員工需要進(jìn)行證書申請，對調(diào)離員工所持的證書可新員工需要進(jìn)行證書申請，對調(diào)離員工所持的證書可能需要吊銷。在某些情況下，用戶操作不當(dāng)或誤操作能需要吊銷。在

29、某些情況下，用戶操作不當(dāng)或誤操作可能造成證書信任關(guān)系損毀，必須對證書進(jìn)行必要地可能造成證書信任關(guān)系損毀，必須對證書進(jìn)行必要地備份和恢復(fù)。通過備份和恢復(fù)。通過Windows Server 2003 Windows Server 2003 管理工具可管理工具可以對證書進(jìn)行管理和控制，確保證書安全和有效。以對證書進(jìn)行管理和控制，確保證書安全和有效。服務(wù)器配置與管理服務(wù)器配置與管理任務(wù)任務(wù)2 2 管理證書服務(wù)管理證書服務(wù)v管理證書服務(wù)需要滿足以下要求：管理證書服務(wù)需要滿足以下要求： 服務(wù)器必須安裝使用能夠提供證書服務(wù)的服務(wù)器必須安裝使用能夠提供證書服務(wù)的WindowsWindows版本，版本，如如Wi

30、ndows Server 2003Windows Server 2003企業(yè)版（企業(yè)版（EnterpriseEnterprise）、標(biāo)準(zhǔn)）、標(biāo)準(zhǔn)版（版（StandardStandard）等。）等。 服務(wù)器的服務(wù)器的IPIP地址應(yīng)是靜態(tài)的，即地址應(yīng)是靜態(tài)的，即IPIP地址、子網(wǎng)掩碼、地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等默認(rèn)網(wǎng)關(guān)等TCP/IPTCP/IP屬性均需手工設(shè)置。屬性均需手工設(shè)置。 管理證書服務(wù)需要具有系統(tǒng)管理員的權(quán)限。管理證書服務(wù)需要具有系統(tǒng)管理員的權(quán)限。 服務(wù)器配置與管理服務(wù)器配置與管理相關(guān)知識與技能相關(guān)知識與技能1.1.管理證書服務(wù)管理證書服務(wù)2.2.備份與還原備份與還原CACA3.3.吊銷證

31、書吊銷證書4.4.導(dǎo)入和導(dǎo)出證書導(dǎo)入和導(dǎo)出證書服務(wù)器配置與管理服務(wù)器配置與管理1.1.管理證書服務(wù)管理證書服務(wù)v證書服務(wù)安裝完成后，可以使用證書服務(wù)安裝完成后，可以使用Windows Server Windows Server 20032003管理工具中的管理工具中的“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”對證書服務(wù)對證書服務(wù)進(jìn)行管理。進(jìn)行管理。 單擊單擊“開始開始”“”“程序程序”“”“管理工具管理工具”“”“證書頒證書頒發(fā)機(jī)構(gòu)發(fā)機(jī)構(gòu)”選項(xiàng)，打開選項(xiàng)，打開“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”窗口，如圖窗口，如圖9-9-2626所示，顯示計(jì)算機(jī)上已經(jīng)安裝好的證書服務(wù)。右擊所示，顯示計(jì)算機(jī)上已經(jīng)安裝好的證書服務(wù)。右

32、擊要停止的證書服務(wù)，在彈出快捷菜單中選擇要停止的證書服務(wù)，在彈出快捷菜單中選擇“所有任所有任務(wù)務(wù)”“”“停止服務(wù)停止服務(wù)”選項(xiàng)，即可停止證書服務(wù)。選項(xiàng)，即可停止證書服務(wù)。圖9-26 啟動(dòng)與停止證書服務(wù)服務(wù)器配置與管理服務(wù)器配置與管理2.2.備份與還原備份與還原CACA證書證書 （1 1）備份）備份CACA證書證書 打開打開“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”管理器控制臺窗口，右擊管理器控制臺窗口，右擊要備份的要備份的CACA證書，在彈出的快捷菜單中選擇證書，在彈出的快捷菜單中選擇“所有所有任務(wù)任務(wù)”“”“備份備份”選項(xiàng)，打開備份向?qū)υ捒?，單選項(xiàng)，打開備份向?qū)υ捒?，單擊擊“下一步下一步”按鈕，在按鈕

33、，在“要備份的項(xiàng)目要備份的項(xiàng)目”對話框中，對話框中，選擇要備份的項(xiàng)目和備份存放的位置。選擇要備份的項(xiàng)目和備份存放的位置。 圖9-27 設(shè)置備份項(xiàng)目對話框 服務(wù)器配置與管理服務(wù)器配置與管理2.2.備份與還原備份與還原CACA證書證書在出現(xiàn)在出現(xiàn)“選擇密碼選擇密碼”設(shè)置對話框中輸入和確認(rèn)密碼，設(shè)置對話框中輸入和確認(rèn)密碼，如圖如圖9-289-28所示。所示。 完成證書備份向?qū)υ捒?，單擊完成證書備份向?qū)υ捒?，單擊“完成完成”按鈕，完成按鈕，完成CACA證書備份。證書備份。圖9-28 選擇密碼設(shè)置對話框 服務(wù)器配置與管理服務(wù)器配置與管理2.2.備份與還原備份與還原CACA證書證書（2 2）還原證書）

34、還原證書 如果證書頒發(fā)機(jī)構(gòu)如果證書頒發(fā)機(jī)構(gòu)CACA出現(xiàn)問題，可以通過上面?zhèn)涑霈F(xiàn)問題，可以通過上面?zhèn)浞莸奈募€原證書。在還原份的文件還原證書。在還原CACA之前，需要停止證之前，需要停止證書服務(wù)。書服務(wù)。 打開打開“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”管理器控制臺窗口，右擊要還管理器控制臺窗口，右擊要還原的原的CACA證書，在彈出的快捷菜單中選擇證書，在彈出的快捷菜單中選擇“所有任所有任務(wù)務(wù)”“”“還原還原”選項(xiàng)，在選項(xiàng)，在“要還原項(xiàng)目要還原項(xiàng)目”對話框，選對話框，選擇還原項(xiàng)目及所在位置。擇還原項(xiàng)目及所在位置。 圖9-29 還原項(xiàng)目設(shè)置對話框 服務(wù)器配置與管理服務(wù)器配置與管理2.2.備份與還原備份與還原C

35、ACA證書證書 在提供密碼對話框，輸入訪問還原文件的密碼。在證在提供密碼對話框，輸入訪問還原文件的密碼。在證書還原完成窗口中單擊書還原完成窗口中單擊“完成完成”按鈕，開始按鈕，開始CACA證書還證書還原，還原結(jié)束后，重新啟動(dòng)證書服務(wù)。原，還原結(jié)束后，重新啟動(dòng)證書服務(wù)。服務(wù)器配置與管理服務(wù)器配置與管理3.3.吊銷證書吊銷證書v當(dāng)公司或部門有員工離任，為了確保信息安全，當(dāng)公司或部門有員工離任，為了確保信息安全，應(yīng)及時(shí)吊銷所頒發(fā)的證書。應(yīng)及時(shí)吊銷所頒發(fā)的證書。 打開打開“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”窗口，單擊窗口，單擊“頒發(fā)的證書頒發(fā)的證書”文文件夾，在右側(cè)窗口中右擊要吊銷的證書，在彈出的快件夾，在右

36、側(cè)窗口中右擊要吊銷的證書，在彈出的快捷菜單中選擇捷菜單中選擇“所有任務(wù)所有任務(wù)”“”“吊銷證書吊銷證書”選項(xiàng)，打選項(xiàng)，打開開“證書吊銷證書吊銷”對話框，在對話框，在“理由碼理由碼”下拉列表中選下拉列表中選擇證書吊銷原因，如圖擇證書吊銷原因，如圖9-329-32所示。所示。 在證書頒發(fā)機(jī)構(gòu)管理控制臺窗口中，單擊在證書頒發(fā)機(jī)構(gòu)管理控制臺窗口中，單擊“吊銷的證吊銷的證書書”文件夾，在右側(cè)窗口中可以查看被吊銷的證書。文件夾，在右側(cè)窗口中可以查看被吊銷的證書。圖9-32 證書吊銷對話框服務(wù)器配置與管理服務(wù)器配置與管理4.4.導(dǎo)入和導(dǎo)出證書導(dǎo)入和導(dǎo)出證書v當(dāng)用戶更換計(jì)算機(jī)或用戶系統(tǒng)因故障重新安裝操當(dāng)用戶更

37、換計(jì)算機(jī)或用戶系統(tǒng)因故障重新安裝操作系統(tǒng)時(shí)，用戶需要將其所申請的證書導(dǎo)出并備作系統(tǒng)時(shí)，用戶需要將其所申請的證書導(dǎo)出并備份，然后將備份的證書導(dǎo)入到新的系統(tǒng)或新的計(jì)份，然后將備份的證書導(dǎo)入到新的系統(tǒng)或新的計(jì)算機(jī)內(nèi)。算機(jī)內(nèi)。（1 1）導(dǎo)入證書）導(dǎo)入證書 打開打開MMCMMC控制臺窗口，添加證書管理單元，然后在控制臺窗口，添加證書管理單元，然后在MMCMMC控制臺窗口中，右擊控制臺窗口中，右擊“證書（本地計(jì)算機(jī)）證書（本地計(jì)算機(jī)）”下下“個(gè)個(gè)人人”文件夾，在彈出的快捷菜單中選擇文件夾，在彈出的快捷菜單中選擇“所有任所有任務(wù)務(wù)”“”“導(dǎo)入導(dǎo)入”選項(xiàng)。選項(xiàng)。服務(wù)器配置與管理服務(wù)器配置與管理4.4.導(dǎo)入和導(dǎo)

38、出證書導(dǎo)入和導(dǎo)出證書 在證書文件導(dǎo)入對話框中，輸入要導(dǎo)入的證書文件，在證書文件導(dǎo)入對話框中，輸入要導(dǎo)入的證書文件，也可單擊也可單擊“瀏覽瀏覽”按鈕查找證書文件，如圖按鈕查找證書文件，如圖9-339-33所示。所示。 圖9-33 導(dǎo)入證書文件對話框服務(wù)器配置與管理服務(wù)器配置與管理4.4.導(dǎo)入和導(dǎo)出證書導(dǎo)入和導(dǎo)出證書 出現(xiàn)證書存儲區(qū)設(shè)置對話框，設(shè)置證書存儲區(qū)位置，出現(xiàn)證書存儲區(qū)設(shè)置對話框，設(shè)置證書存儲區(qū)位置，在證書導(dǎo)入向?qū)瓿蓪υ捒颍瑔螕粼谧C書導(dǎo)入向?qū)瓿蓪υ捒?，單擊“完成完成”按鈕，出按鈕，出現(xiàn)證書導(dǎo)入成功信息消息框，單擊現(xiàn)證書導(dǎo)入成功信息消息框，單擊“確定確定”按鈕，證按鈕，證書導(dǎo)入完成。書導(dǎo)

39、入完成。 返回控制臺窗口，選擇個(gè)人文件夾下證書子文件夾，返回控制臺窗口，選擇個(gè)人文件夾下證書子文件夾，在右側(cè)窗口可以看到剛剛導(dǎo)入的證書。在右側(cè)窗口可以看到剛剛導(dǎo)入的證書。 服務(wù)器配置與管理服務(wù)器配置與管理4.4.導(dǎo)入和導(dǎo)出證書導(dǎo)入和導(dǎo)出證書（2 2）導(dǎo)出證書）導(dǎo)出證書 當(dāng)用戶更換計(jì)算機(jī)或用戶系統(tǒng)因故障重新安裝操作系統(tǒng)，當(dāng)用戶更換計(jì)算機(jī)或用戶系統(tǒng)因故障重新安裝操作系統(tǒng)，用戶需要將其所申請的證書導(dǎo)出。用戶需要將其所申請的證書導(dǎo)出。 打開打開MMCMMC控制臺窗口，添加證書管理單元，然后在控制臺窗口，添加證書管理單元，然后在MMCMMC控控制臺窗口中，選擇制臺窗口中，選擇“證書（本地計(jì)算機(jī)）證書（本

40、地計(jì)算機(jī)）”下下“個(gè)人個(gè)人”文件夾下的文件夾下的“證書證書”子文件夾，在右側(cè)窗口中右擊要導(dǎo)子文件夾，在右側(cè)窗口中右擊要導(dǎo)出的證書，在彈出的快捷菜單中選擇出的證書，在彈出的快捷菜單中選擇“所有任所有任務(wù)務(wù)”“”“導(dǎo)出導(dǎo)出”選項(xiàng)。選項(xiàng)。服務(wù)器配置與管理服務(wù)器配置與管理4.4.導(dǎo)入和導(dǎo)出證書導(dǎo)入和導(dǎo)出證書 在出現(xiàn)的證書導(dǎo)出向?qū)υ捒蛑校瑔螕粼诔霈F(xiàn)的證書導(dǎo)出向?qū)υ捒蛑?，單擊“下一步下一步”按按鈕。在導(dǎo)出文件格式設(shè)置對話框中，設(shè)置證書導(dǎo)出文鈕。在導(dǎo)出文件格式設(shè)置對話框中，設(shè)置證書導(dǎo)出文件格式，如圖件格式，如圖9-369-36所示。所示。圖9-36 證書導(dǎo)出文件格式設(shè)置對話框服務(wù)器配置與管理服務(wù)器配置與

41、管理4.4.導(dǎo)入和導(dǎo)出證書導(dǎo)入和導(dǎo)出證書 在在“指定導(dǎo)出文件名指定導(dǎo)出文件名”對話框中指定導(dǎo)出證書的文件名稱。對話框中指定導(dǎo)出證書的文件名稱。 在出現(xiàn)證書導(dǎo)出完成對話框，單擊在出現(xiàn)證書導(dǎo)出完成對話框，單擊“完成完成”按鈕，出現(xiàn)證書導(dǎo)出按鈕，出現(xiàn)證書導(dǎo)出成功提示消息框，單擊成功提示消息框，單擊“確定確定”按鈕完成證書導(dǎo)出。按鈕完成證書導(dǎo)出。服務(wù)器配置與管理服務(wù)器配置與管理課堂練習(xí)課堂練習(xí)1.1.導(dǎo)入導(dǎo)入CACA證書證書 ；2.2.導(dǎo)出導(dǎo)出CACA證書證書 ；3.3.吊銷吊銷CACA證書證書 。服務(wù)器配置與管理服務(wù)器配置與管理拓展與提高拓展與提高v創(chuàng)建證書吊銷列表創(chuàng)建證書吊銷列表 如果網(wǎng)絡(luò)中其它用

42、戶需要知道哪些證書已經(jīng)被吊銷了，如果網(wǎng)絡(luò)中其它用戶需要知道哪些證書已經(jīng)被吊銷了，那么可以創(chuàng)建那么可以創(chuàng)建CACA吊銷證書列表并發(fā)布出去，然后讓用吊銷證書列表并發(fā)布出去，然后讓用戶下載證書吊銷列表就可以了。戶下載證書吊銷列表就可以了。 “ “證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”控制臺窗口，右擊控制臺窗口，右擊“吊銷的證書吊銷的證書”文件夾，在彈出的快捷菜單中選擇文件夾，在彈出的快捷菜單中選擇“屬性屬性”選項(xiàng)，在選項(xiàng)，在“吊銷的證書屬性吊銷的證書屬性”對話框中，選擇對話框中，選擇“CRLCRL發(fā)布參數(shù)發(fā)布參數(shù)”選項(xiàng)卡，在這里可設(shè)置選項(xiàng)卡，在這里可設(shè)置CRLCRL發(fā)布間隔、是否發(fā)布增量發(fā)布間隔、是否發(fā)布增量CRLCRL及其發(fā)布間隔，選擇及其發(fā)布間隔，選擇“查看查看CRL”CRL”選項(xiàng)卡可以查看選項(xiàng)卡可以查看CACA生成的生成的CRLCRL和增量和增量CRLCRL。服務(wù)器配置與管理服務(wù)器配置與管理拓展與提高拓展與提高v發(fā)布證書吊銷列表發(fā)布證書吊銷列表 在在“證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)”控制臺窗口中，右擊控制臺窗口中，右擊“吊銷的證吊銷的證書書”文件夾，在彈出的快捷菜單中選擇文件夾，在彈出的快捷菜單中選擇“所有任所有任務(wù)務(wù)”“”“發(fā)布發(fā)布”選項(xiàng)，在選項(xiàng)，在“發(fā)布發(fā)布CRL”CRL”對話框中，選擇對話框中，選擇“新的新的CRL”CRL”單選按鈕，