证书服务器的相关管理和部署

证书服务器的相关管理和部署福州大学吴海东MCSE/MCDBA,CIWSA,MOE讲师whd1972@msn.com《网络安全的实现和管理——以WindowsServer2003和ISAServer2004为例》课程系列讲座之二课程知识点1.授权和身份验证（第1章）2.证书服务器的相关管理和部署（第2、3章）3.智能卡相关概念和配置（第4章）4.客户端和服务器端安全部署（第6、7章）5.EFS相关概念和操作（第5章）6.安全更新服务器的管理和部署（第9章）7.数据传输安全配置与部署（第10～13章）8.ISAServer2004概述和安装配置（第14、15章)9.ISAServer2004服务器配置和部署上（第16～17，第22章）10.ISAServer2004服务器配置和部署下（第18～21章）11.ISAServer2004服务器的监视（第23章）今日主题1.课程导入2.PKI的工作原理3.实现和管理CA4.配置、部署和管理证书5.本章考点6.Q&A1课程导入公民网民身份验证2PKI概述什么是PKI–通过使用非对称密钥算法技术来确保系统信息安全并负责验证数字证书持有者身份的一种体系。–PKI采用由各参与方都信任的CA来核对和验证各参与方的信任机制。2PKI概述公钥架构的组成部分–非对称密钥•由非对称密钥函数生成。每个通信方都有两个Key。一般由证书申请者在本地生成，或由专门应用程序生成。•非对称函数保证了公钥和私钥的验证匹配。–数字证书•颁发机构所颁发的证书持有人的身份的数字声明。将公钥与拥有私钥的个人、计算机或服务绑在一起。•证书由各种公钥安全服务、提供身份验证的应用程序、数据完整性和通过网络的安全通信使用。2PKI概述公钥架构的组成部分（续）–证书颁发机构：CA，负责审核、颁发管理和维护任务。证书使用者必须信任CA。–使用者：用户，计算机，所有的证书都是为了一定的应用程序而申请和颁发的。–证书模板•定义证书用途、颁发对象、密钥长度、有效期等参数•两种版本。在独立CA和企业CA中有区别。2PKI概述公钥架构的组成部分（续）–AIA：扩展指定获取CA最新证书的位置–CRL：证书吊销列表–CDP：扩展指定获取CA签名的最新CRL位置–证书和CA管理工具2PKI概述使用PKI的应用程序–数字签名–智能卡登录–安全电子邮件–软件代码签名–IPSec–802.1x–软件限制–Internet身份验证–EFSPKI的组件证书模板数字证书证书吊销列表启用公钥的应用程序和服务颁发机构信息访问和CRL分发点证书和CA管理工具颁发机构使用PKI的应用程序软件代码签名加密文件系统智能卡登录802.1xIP安全Internet身份验证安全电子邮件Windows2003证书服务器软件限制策略数字签名用户计算机服务使用支持PKI的应用程序的账户PKI工具目录工具MMC管理单元证书模板管理单元证书颁发机构管理单元证书管理单元命令行工具Certutil.exeCertreq.exeResourceKit中的工具密钥恢复工具（Krt.exe）Pkiview.msc编程工具CryptoAPICapiCOM证书颁发机构CA的职责：验证证书请求者的身份取决于接受证书申请提交的CA类型颁发证书所申请的证书类型决定所颁发证书的内容管理证书吊销CRL由一个证书序列号列表组成，这些都是CA颁发的不再受信任的证书3实现和管理CA实现CA–安装准备•安装操作系统并准备相关环境•安装和配置IIS•删除【更新根证书】组件•配置CAPolicy.inf文件–CA的种类•独立根CA和独立从属CA•企业根CA和企业从属CA独立企业何时使用离线CA颁发CAActiveDirectory与ActiveDirectory的使用无关需要ActiveDirectory证书申请使用Web方式可以使用“证书申请向导”证书申请管理必须由证书管理程序颁发或拒绝证书申请的接受或拒绝取决于所申请证书模板的随机访问控制列表（DACL）不同证书颁发机构类型之间的差异3实现和管理CA证书吊销–吊销原因–证书服务发布CRL的方式CA的安全控制–安全属性–CA审核3实现和管理CA备份和还原CA–备份CA的方法•系统状态备份•手动备份–还原CA的方法4配置、部署和管理证书配置证书模板–数字证书的概念–企业CA所颁发的证书都是基于证书模板–证书模板的操作方法•MMC•AD的站点和服务•证书颁发机构–不同版本的证书模板特性–更行证书模板方法•修改原始证书模板•取代现有证书模板–在证书颁发机构中添加模板4配置、部署和管理证书申请证书的方法–基于web–证书控制台–Certreq.exe–自动注册–注册代理吊销证书方法–证书颁发机构–Certutil.exe4配置、部署和管理证书管理证书–密钥恢复的原因•用户配置文件被删除•重新安装OS•磁盘损坏•计算机失窃–方法和步骤•导出密钥和证书使用的文件格式•导出密钥的方法•密钥存档和恢复4配置、部署和管理证书管理证书（续）•密钥存档和恢复–密钥存档的前提条件–配置CA进行密钥存档的方法»设置KRA模板权限»配置CA颁发KRA模板»为用户颁发KRA»批准和安装KRA证书»配置CA使用恢复代理»配置新模板使用恢复代理»配置CA基于新模板颁发证书•密钥恢复过程5本章考点PKI应用模板设置证书注销5本章考点PKI应用–有一台计算机运行IIS，是对外的电子商务站点。你计划应用SSL，你不想让客户在用SSL链接你的电子商务站点时出现需要获取安全证书的提示。你需要选择一个合适的CA服务器给你的web服务器颁发SSL证书。你该选择什么类型的CA？5本章考点模板设置–安全策略要求•私钥必须能够导出；•私钥大小为2048；•私钥和证书在CA上必须能够恢复；•当私钥被使用时，提示用户并要求用户输入5本章考点证书注销–你安装了一个CA服务，为员工的e-mail加密和weh站点验证颁发相关证书。当员工离开公司后你会吊销他们的证书。当前有上千的证书将被吊销，每天出现的吊销工作量将增加。为了减少客户端计算机查找和处理吊销的信息，并且减少因为发布吊销证书时给网络性能造成的负面影响，你应该怎么办？今日回顾1.课程导入2.PKI的工作原理3.实现和管理CA4.配置、部署和管理证书5.本章考点微软教学研究会欢迎您！