項(xiàng)目9配置與管理數(shù)字證書服務(wù)器

高職高專計(jì)算機(jī)任務(wù)驅(qū)動模式教材項(xiàng)目9配置與管理數(shù)字證書服務(wù)器了解企業(yè)證書的意義與適用認(rèn)識CA模式安裝企業(yè)證書服務(wù)架設(shè)企業(yè)根申請和使用證書簽名與加密電子郵件安裝企業(yè)從屬CA9.3安裝企業(yè)CA和申請證書9.2項(xiàng)目設(shè)計(jì)及準(zhǔn)備項(xiàng)目設(shè)計(jì)項(xiàng)目準(zhǔn)備9.5數(shù)字證書服務(wù)器實(shí)訓(xùn)9.1相關(guān)知識數(shù)字證書PKI內(nèi)部CA和外部CA頒布證書的過程證書吊銷CA的層次結(jié)構(gòu)9.4管理數(shù)字證書備份與還原CA自動或手工發(fā)放證書吊銷證書導(dǎo)入與導(dǎo)出用戶的證書更新證書項(xiàng)目描述對于大型的計(jì)算機(jī)網(wǎng)絡(luò)，數(shù)據(jù)的安全和管理的自動化歷來都是人們追求的目標(biāo)，特別是Internet的迅猛發(fā)展，在

Internet上處理事務(wù)、交流信息和交易等方式越來越廣泛，越來越多的重要數(shù)據(jù)要在網(wǎng)上傳輸，網(wǎng)絡(luò)安全問題也更加被重視，尤其是在電子商務(wù)活動中，必須保證交易雙方能夠互相確認(rèn)身份，安全地傳輸敏感信息，同時(shí)還要防止被人截獲、篡改，或者假冒交易等。因此如何保證重要數(shù)據(jù)不受到惡意的損壞，成為網(wǎng)絡(luò)管理最關(guān)鍵的問題之一。而通過部署公鑰基礎(chǔ)機(jī)構(gòu)（PKI），利用PKI提供的密鑰體系來實(shí)現(xiàn)數(shù)字證書簽發(fā)、身份認(rèn)證、數(shù)據(jù)加密和數(shù)字簽名等功能，可以為網(wǎng)絡(luò)業(yè)務(wù)的開展提供安全保證。項(xiàng)目9配置與管理數(shù)字證書服務(wù)器項(xiàng)目目標(biāo)了解數(shù)字證書了解CA的層次結(jié)構(gòu)掌握企業(yè)CA的安裝與證書申請掌握數(shù)字證書的管理方法及技巧項(xiàng)目9配置與管理數(shù)字證書服務(wù)器·9.1相關(guān)知識數(shù)字證書PKI內(nèi)部CA和外部CA頒發(fā)證書的過程證書吊銷CA的層次結(jié)構(gòu)項(xiàng)目9配置與管理數(shù)字證書服務(wù)器概述Windows

2003中有兩種驗(yàn)證協(xié)議，Kerberos和公鑰基礎(chǔ)結(jié)構(gòu)(Public

KeyInfrastructure，PKI)，這兩者的不同之處在于：Kerberos是對稱密鑰，而PKI是非對稱密鑰。對稱密鑰——加密和解密的密鑰相同。非對稱密鑰——加密和解密密鑰不同。數(shù)字證書簡介數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息和身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書信息的真實(shí)性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾?，用戶的?shù)字簽名可以保證數(shù)字信息的不可否認(rèn)性。數(shù)字證書數(shù)字證書是各類終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流和商務(wù)活動的身份證明。數(shù)字證書是一個經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的，包含公開密鑰擁有者信息和公開密鑰的文件。認(rèn)證中心（CA）作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.509

V3標(biāo)準(zhǔn)。PKI公鑰基礎(chǔ)結(jié)構(gòu)（Public

Key

Infrastructure，PKI）是通過使用公鑰加密對參與電子交易的每一方的有效性進(jìn)行驗(yàn)證和身份驗(yàn)證的數(shù)字證書、證書頒發(fā)機(jī)構(gòu)（CA）和其他注冊機(jī)構(gòu)（RA）。一個單位選擇使用Windows來部署PKI的原因有很多：

–安全性強(qiáng)。智能卡登陸、加密文件系統(tǒng)（EFS）、IPsec（Internet協(xié)議安全性）簡化管理。其他機(jī)會。瀏覽器加密文件系統(tǒng)加密E-Mail數(shù)字標(biāo)示智能卡數(shù)字簽名IPSEC證書的用途證書提供下述功能：服務(wù)器身份驗(yàn)證——利用證書為網(wǎng)絡(luò)中的客戶機(jī)鑒別服務(wù)器客戶機(jī)身份驗(yàn)證——利用證書為服務(wù)器提供對客戶機(jī)的認(rèn)證（如：遠(yuǎn)程訪問功能和智能卡身份驗(yàn)證）程序代碼簽署(數(shù)字簽名)——利用與密鑰對有關(guān)的證書簽署活動內(nèi)容加密E-mail——安全電子郵件，利用與密鑰對有關(guān)的證書簽署電子郵件消息（用于加密信函）。EFS（加密文件系統(tǒng)）——利用與密鑰對有關(guān)的證書，加密和解密用于還原恢復(fù)加密數(shù)據(jù)的對稱密鑰。IPSec——利用與密鑰對有關(guān)的證書，加密基于IP層的傳輸。認(rèn)證中心（CA）認(rèn)證中心（CA）：負(fù)責(zé)提供和指派加密密鑰、解密密鑰、身份驗(yàn)證。CA通過發(fā)放證書來分布密鑰。證書中包含公共密鑰和一組屬性，CA可將證書發(fā)給某個計(jì)算機(jī)、用戶帳號或者服務(wù)。CA扮演了一種擔(dān)保人的角色。內(nèi)部CA和外部CA外部CA：外部商用CA，為成千上萬的用戶提供認(rèn)證服務(wù)。內(nèi)部CA：面向企業(yè)內(nèi)部用戶、計(jì)算機(jī)或服務(wù)器的策略模型。頒發(fā)證書的過程認(rèn)證中心CA頒發(fā)證書涉及如下4個步驟:CA收到證書請求信息，包括個人資料和公鑰等。CA對用戶提供的信息進(jìn)行核實(shí)。CA用自己的私鑰對證書進(jìn)行數(shù)字簽名。CA將證書發(fā)給用戶。證書吊銷證書的吊銷使得證書在自然過期之前便宣告作廢?？赡艿脑虬ǎ鹤C書擁有者的私鑰泄漏或被懷疑泄漏。發(fā)現(xiàn)證書是用欺騙手段獲得的。證書擁有者的情況發(fā)生了改變。CA的層次結(jié)構(gòu)Windows

Server

2003

PKI采用了分層CA模型。CA的層次結(jié)構(gòu)證書層次結(jié)構(gòu)是一種信任模式。在這種模式中，通過在CA之間建立父/子關(guān)系，創(chuàng)建了認(rèn)證路徑。1、根CA（根本權(quán)威）是一個機(jī)構(gòu)的PKL中最可信任的CA類型。通常情況下，根CA的物理安全性和證書發(fā)放策略比下層CA更嚴(yán)格。在大多數(shù)機(jī)構(gòu)中，只將根CA用于向其他

CA，即下層CA發(fā)放證書。2、下層CA已經(jīng)被機(jī)構(gòu)中的另一個CA鑒定過的CA。CA的層次結(jié)構(gòu)通常，下層CA針對特定的用途發(fā)放證書（例如安全電子郵件、基于web的身份驗(yàn)證，或者智能卡身份驗(yàn)證）。此外，下層CA也可以向其他的、更下層的CA發(fā)放證書。提示:父CA和子CA彼此沒有從屬關(guān)系，不需要使所有的CA共享一個公共的頂級父CA(或根

CA)。項(xiàng)目設(shè)計(jì)·9.2項(xiàng)目設(shè)計(jì)·

及準(zhǔn)備項(xiàng)目準(zhǔn)備項(xiàng)目9配置與管理數(shù)字證書服務(wù)器·9.3安裝企業(yè)CA和申請證書了解企業(yè)證書的意義與適用認(rèn)識CA模式安裝證書服務(wù)并架設(shè)企業(yè)根CA申請和使用證書簽名與加密電子郵件安裝企業(yè)從屬CA項(xiàng)目9配置與管理數(shù)字證書服務(wù)器企業(yè)CA的安裝與證書申請若要使用證書服務(wù)，必須在服務(wù)器上安裝并部署企業(yè)CA，然后由用戶向該企業(yè)CA申請證書，使用公開密鑰和私有密鑰來對要傳送的信息進(jìn)行加密和身份驗(yàn)證。企業(yè)證書的意義與適用加密的目的：以某種方式將數(shù)據(jù)變得難懂，使得只有預(yù)期用戶能夠閱讀它。–加密：通過數(shù)學(xué)運(yùn)算將明文和加密密鑰結(jié)合起來，產(chǎn)生密文。–解密：通過數(shù)學(xué)運(yùn)算將密文和解密密鑰結(jié)合起來，產(chǎn)生明文。公共密鑰加密技術(shù)用到了兩個密鑰：加密密鑰和解密密鑰密鑰（key）：一個隨機(jī)字符串與某種算法的聯(lián)合使用。公共密鑰加密技術(shù)公共密鑰加密技術(shù)系統(tǒng)使用一對密鑰來完成對數(shù)據(jù)的加密解密：公共密鑰（公鑰）：是自由發(fā)布的，可以公開，以供他人向自己傳輸信息時(shí)加密使用。私用密鑰（私鑰）：在系統(tǒng)中保存，從不發(fā)布，只有擁有對應(yīng)私鑰的本人才能解密，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?。公共密鑰加密技術(shù)A加密B的公鑰B解密B的私鑰密文明文加密模型公共密鑰身份驗(yàn)證（使用密鑰對）與公共密鑰加密技術(shù)類似，公共密鑰身份驗(yàn)證也使用了密鑰對。但它不利用發(fā)送者的私用密鑰解密消息，而是利用發(fā)送者的公共密鑰鑒別和確認(rèn)該消息的發(fā)送者的有效性。這一私用密鑰被稱為數(shù)字簽名。公共密鑰身份驗(yàn)證數(shù)字簽名說明：加密技術(shù)可以提供安全性和機(jī)密性，

而數(shù)字簽名可以確認(rèn)信息的真實(shí)性和來源。數(shù)字簽名：一種由消息、文件或者其他數(shù)字化編碼信息的創(chuàng)建者將其身份標(biāo)識和這些消息利用私鑰約束在一起的方法。數(shù)字簽名用于發(fā)送者的不可抵賴性，因?yàn)樗借€只有自己有，所以當(dāng)接收者用你的公鑰解密后就可以證明是你無疑。數(shù)字簽名本身就是數(shù)據(jù)，因此它們可以與受保護(hù)的原數(shù)據(jù)一起進(jìn)行傳輸，供接收者驗(yàn)證。公共密鑰身份驗(yàn)證數(shù)字簽名使用私鑰對簽名數(shù)據(jù)進(jìn)行加密，可以確保達(dá)到下述目的：只有擁有私鑰的人才能進(jìn)行數(shù)字簽名。任何人都可以通過相應(yīng)的公鑰鑒別數(shù)字簽名的真?zhèn)?。如果對簽名后進(jìn)行了數(shù)據(jù)的任何修改，數(shù)字簽名將失效。公共密鑰身份驗(yàn)證A加密A的私鑰B解密A的公鑰密文明文認(rèn)證模型明文CA模式Windows

2003支持兩類認(rèn)證中心(CA)：企業(yè)CA和獨(dú)立存在的CA。每類CA中都包含根CA和下層CA。安裝認(rèn)證服務(wù)時(shí)可選擇4種CA模式：企業(yè)根CA企業(yè)從屬CA獨(dú)立根CA獨(dú)立從屬CACA模式企業(yè)根CA是頂級根，企業(yè)根CA利用活動目錄確定請求者的身份，并確定請求者是否具有為特定的的證書類型所要求的安全性權(quán)限。企業(yè)下層CA在機(jī)構(gòu)內(nèi)發(fā)放證書，但企業(yè)下層CA不是最可信的CA。你可以利用某個企業(yè)下層CA針對特定用途發(fā)放證書。它必須有一個父CA獨(dú)立存在的根CA是頂級根，它可以是，也可不是某個域的成員并不要求有活動目錄。還可以斷開與網(wǎng)絡(luò)的連接獨(dú)立存在的下層CA它作為一個孤立的證書服務(wù)器運(yùn)行，或者位于某個CA信任層次結(jié)構(gòu)內(nèi)。你為公司以外的實(shí)體發(fā)放證書，你應(yīng)該建立獨(dú)立存在的下層CA架設(shè)企業(yè)根CA（1）準(zhǔn)備工作。在企業(yè)網(wǎng)絡(luò)中創(chuàng)建活動目錄，將要架設(shè)為企業(yè)根CA的服務(wù)器加入至活動目錄，并升級為域外控制器。安裝應(yīng)用程序服務(wù)Web組件，并確保添加ActiveServer

Page（ASP）組件，便于用戶以

Web方式申請CA證書。默認(rèn)情況下，Windows

2003安裝程序不安裝證書服務(wù)。重要說明：安裝了正式服務(wù)后，計(jì)算機(jī)不能再被重新命名，也不能加入到某個域中，或者從某個域中刪除。注：為了利用證書服務(wù)的Web組件，必須先安裝IIS。架設(shè)企業(yè)根CA（2）添加證書服務(wù)組件。運(yùn)行“Windows組件向?qū)А?，在“組件”列表框中選中“證書服務(wù)”復(fù)選框。選擇CA類型。在“CA類型”對話框中選中“企業(yè)根CA”單選按鈕。CA識別信息。在“此CA的公用名稱”文本框中設(shè)置此CA在Active

Directory內(nèi)的公用名稱，此CA默認(rèn)的有效年限為5年。架設(shè)企業(yè)根CA（3）證書數(shù)據(jù)庫設(shè)置。選擇證書數(shù)據(jù)庫文件和日志文件的目錄。CA發(fā)出的證書默認(rèn)存儲在：

WINNT\system32\Certlog證書服務(wù)安裝完成后，在“管理工具”中會增加“證書頒發(fā)機(jī)構(gòu)”服務(wù)。證書頒發(fā)機(jī)構(gòu)：——用于對CA進(jìn)行管理的控制臺，位于安裝有證書服務(wù)的服務(wù)器上。證書服務(wù)的Web注冊支持——用于請求證書的

Web頁。訪問：服務(wù)器名/certsrv申請和使用證書域用戶申請企業(yè)CA證書的方式有兩種：–利用“證書向?qū)А鄙暾堊C書–以Web方式申請證書獨(dú)立CA申請證書時(shí)，只能通過Web瀏覽器方式。利用“證書向?qū)А鄙暾堊C書打開MMC控制臺，選擇“文件”→“添

加/刪除管理單元”，在對話框中的“獨(dú)

立”選項(xiàng)卡中單擊“添加”，選擇“證書”→“我的用戶賬戶”。運(yùn)行證書申請向?qū)?。在MMC證書控制臺窗口中展開“證書-當(dāng)前用戶”選項(xiàng)，右擊“個人”選項(xiàng)，在彈出的快捷菜單中選擇“所有任務(wù)”→“申請新證書”選項(xiàng)，啟動“證書申請向?qū)А?。利用“證書向?qū)А鄙暾堊C書選擇證書類型。證書的名稱和描述。以Web方式申請證書以Web方式申請證書以Web方式申請證書以Web方式申請證書注意：獨(dú)立CA在收到申請信息后，不能自動核準(zhǔn)與發(fā)放證書，需要人工核準(zhǔn)并頒發(fā)證書，然后客戶端才能安裝證書。從屬CA的安裝安裝下層CA時(shí)，必須從相應(yīng)的父CA獲取一個證書。為某個下層CA獲取證書如果可以聯(lián)機(jī)使用某個父CA，可以采用該方法獲取證書。從文件安裝證書如果不能聯(lián)機(jī)父CA，則創(chuàng)建證書請求文件提交給父CA,由父CA提供針對這個文件的證書，接受到證書后，必須安裝該證書。9.4管理數(shù)字證書備份與還原CA自動或手工發(fā)放證書吊銷證書導(dǎo)入與導(dǎo)出用戶的證書更新證書項(xiàng)目9配置與管理數(shù)字證書服務(wù)器數(shù)字證書的管理CA的備份與還原發(fā)放證書吊銷證書導(dǎo)入與導(dǎo)出用戶的證書更新證書CA的備份和還原重要說明：如果IIS元庫丟失或被破壞，在恢復(fù)CA時(shí)，必須先恢復(fù)IIS元庫。備