项目9配置与管理数字证书服务器

清华大学出版社高职高专计算机任务驱动模式教材项目9配置与管理数字证书服务器9.3.1了解企业证书的意义与适用9.3.2认识CA模式9.3.3安装企业证书服务架设企业根9.3.4申请和使用证书9.3.5签名与加密电子邮件9.3.6安装企业从属CA9.3安装企业CA和申请证书9.2项目设计及准备9.2.1项目设计9.2.2项目准备9.5数字证书服务器实训9.1相关知识9.1.1数字证书9.1.2PKI9.1.3内部CA和外部CA9.1.4颁布证书的过程9.1.5证书吊销9.1.6CA的层次结构9.4管理数字证书9.4.1备份与还原CA9.4.2自动或手工发放证书9.4.3吊销证书9.4.4导入与导出用户的证书9.4.5更新证书对于大型的计算机网络，数据的安全和管理的自动化历来都是人们追求的目标，特别是Internet的迅猛发展，在Internet上处理事务、交流信息和交易等方式越来越广泛，越来越多的重要数据要在网上传输，网络安全问题也更加被重视，尤其是在电子商务活动中，必须保证交易双方能够互相确认身份，安全地传输敏感信息，同时还要防止被人截获、篡改，或者假冒交易等。因此如何保证重要数据不受到恶意的损坏，成为网络管理最关键的问题之一。而通过部署公钥基础机构（PKI），利用PKI提供的密钥体系来实现数字证书签发、身份认证、数据加密和数字签名等功能，可以为网络业务的开展提供安全保证。项目描述项目9配置与管理数字证书服务器•了解数字证书•了解CA的层次结构•掌握企业CA的安装与证书申请•掌握数字证书的管理方法及技巧项目目标项目9配置与管理数字证书服务器9.1相关知识数字证书PKI内部CA和外部CA颁发证书的过程证书吊销CA的层次结构项目9配置与管理数字证书服务器概述Windows2003中有两种验证协议，Kerberos和公钥基础结构(PublicKeyInfrastructure，PKI)，这两者的不同之处在于：Kerberos是对称密钥，而PKI是非对称密钥。对称密钥——加密和解密的密钥相同。非对称密钥——加密和解密密钥不同。数字证书简介数字证书是一段包含用户身份信息、用户公钥信息和身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。数字证书数字证书是各类终端实体和最终用户在网上进行信息交流和商务活动的身份证明。数字证书是一个经证书认证中心（CA）数字签名的，包含公开密钥拥有者信息和公开密钥的文件。认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509V3标准。PKI公钥基础结构（PublicKeyInfrastructure，PKI）是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构（CA）和其他注册机构（RA）。一个单位选择使用Windows来部署PKI的原因有很多：–安全性强。智能卡登陆、加密文件系统（EFS）、IPsec（Internet协议安全性）–简化管理。–其他机会。浏览器加密文件系统加密E-Mail数字标示智能卡数字签名IPSEC证书的用途证书提供下述功能：–服务器身份验证——利用证书为网络中的客户机鉴别服务器–客户机身份验证——利用证书为服务器提供对客户机的认证（如：远程访问功能和智能卡身份验证）–程序代码签署(数字签名)——利用与密钥对有关的证书签署活动内容–加密E-mail——安全电子邮件，利用与密钥对有关的证书签署电子邮件消息（用于加密信函）。–EFS（加密文件系统）——利用与密钥对有关的证书，加密和解密用于还原恢复加密数据的对称密钥。–IPSec——利用与密钥对有关的证书，加密基于IP层的传输。认证中心（CA）认证中心（CA）：负责提供和指派加密密钥、解密密钥、身份验证。–CA通过发放证书来分布密钥。证书中包含公共密钥和一组属性，CA可将证书发给某个计算机、用户帐号或者服务。–CA扮演了一种担保人的角色。内部CA和外部CA外部CA：外部商用CA，为成千上万的用户提供认证服务。内部CA：面向企业内部用户、计算机或服务器的策略模型。颁发证书的过程认证中心CA颁发证书涉及如下4个步骤:（1）CA收到证书请求信息，包括个人资料和公钥等。（2）CA对用户提供的信息进行核实。（3）CA用自己的私钥对证书进行数字签名。（4）CA将证书发给用户。证书吊销证书的吊销使得证书在自然过期之前便宣告作废。可能的原因包括：–证书拥有者的私钥泄漏或被怀疑泄漏。–发现证书是用欺骗手段获得的。–证书拥有者的情况发生了改变。CA的层次结构WindowsServer2003PKI采用了分层CA模型。CA的层次结构证书层次结构是一种信任模式。在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。1、根CA（根本权威）---是一个机构的PKL中最可信任的CA类型。–通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。–在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。2、下层CA---已经被机构中的另一个CA鉴定过的CA。CA的层次结构通常，下层CA针对特定的用途发放证书（例如安全电子邮件、基于web的身份验证，或者智能卡身份验证）。此外，下层CA也可以向其他的、更下层的CA发放证书。提示:父CA和子CA彼此没有从属关系，不需要使所有的CA共享一个公共的顶级父CA(或根CA)。9.2项目设计及准备项目设计项目准备项目9配置与管理数字证书服务器9.3安装企业CA和申请证书了解企业证书的意义与适用认识CA模式安装证书服务并架设企业根CA申请和使用证书签名与加密电子邮件安装企业从属CA项目9配置与管理数字证书服务器企业CA的安装与证书申请若要使用证书服务，必须在服务器上安装并部署企业CA，然后由用户向该企业CA申请证书，使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证。企业证书的意义与适用加密的目的：以某种方式将数据变得难懂，使得只有预期用户能够阅读它。–加密：通过数学运算将明文和加密密钥结合起来，产生密文。–解密：通过数学运算将密文和解密密钥结合起来，产生明文。公共密钥加密技术用到了两个密钥：加密密钥和解密密钥密钥（key）：一个随机字符串与某种算法的联合使用。公共密钥加密技术公共密钥加密技术系统使用一对密钥来完成对数据的加密解密：–公共密钥（公钥）：是自由发布的，可以公开，以供他人向自己传输信息时加密使用。–私用密钥（私钥）：在系统中保存，从不发布，只有拥有对应私钥的本人才能解密，从而保证数据传输的保密性。公共密钥加密技术A加密B的公钥B解密B的私钥密文明文加密模型公共密钥身份验证（使用密钥对）与公共密钥加密技术类似，公共密钥身份验证也使用了密钥对。但它不利用发送者的私用密钥解密消息，而是利用发送者的公共密钥鉴别和确认该消息的发送者的有效性。这一私用密钥被称为数字签名。公共密钥身份验证数字签名说明：加密技术可以提供安全性和机密性，而数字签名可以确认信息的真实性和来源。数字签名：一种由消息、文件或者其他数字化编码信息的创建者将其身份标识和这些消息利用私钥约束在一起的方法。数字签名用于发送者的不可抵赖性，因为私钥只有自己有，所以当接收者用你的公钥解密后就可以证明是你无疑。数字签名本身就是数据，因此它们可以与受保护的原数据一起进行传输，供接收者验证。公共密钥身份验证数字签名使用私钥对签名数据进行加密，可以确保达到下述目的：–只有拥有私钥的人才能进行数字签名。–任何人都可以通过相应的公钥鉴别数字签名的真伪。–如果对签名后进行了数据的任何修改，数字签名将失效。公共密钥身份验证A加密A的私钥B解密A的公钥密文明文认证模型明文CA模式Windows2003支持两类认证中心(CA)：企业CA和独立存在的CA。每类CA中都包含根CA和下层CA。安装认证服务时可选择4种CA模式：1.企业根CA2.企业从属CA3.独立根CA4.独立从属CACA模式企业根CA是顶级根，企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为特定的的证书类型所要求的安全性权限。独立存在的根CA是顶级根，它可以是，也可不是某个域的成员并不要求有活动目录。还可以断开与网络的连接企业下层CA在机构内发放证书，但企业下层CA不是最可信的CA。你可以利用某个企业下层CA针对特定用途发放证书。它必须有一个父CA独立存在的下层CA它作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。你为公司以外的实体发放证书，你应该建立独立存在的下层CA架设企业根CA（1）（1）准备工作。在企业网络中创建活动目录，将要架设为企业根CA的服务器加入至活动目录，并升级为域外控制器。安装应用程序服务Web组件，并确保添加ActiveServerPage（ASP）组件，便于用户以Web方式申请CA证书。–默认情况下，Windows2003安装程序不安装证书服务。–重要说明：安装了正式服务后，计算机不能再被重新命名，也不能加入到某个域中，或者从某个域中删除。–注：为了利用证书服务的Web组件，必须先安装IIS。架设企业根CA（2）（2）添加证书服务组件。运行“Windows组件向导”，在“组件”列表框中选中“证书服务”复选框。（3）选择CA类型。在“CA类型”对话框中选中“企业根CA”单选按钮。（4）CA识别信息。在“此CA的公用名称”文本框中设置此CA在ActiveDirectory内的公用名称，此CA默认的有效年限为5年。架设企业根CA（3）（5）证书数据库设置。选择证书数据库文件和日志文件的目录。–CA发出的证书默认存储在：WINNT\system32\Certlog（6）证书服务安装完成后，在“管理工具”中会增加“证书颁发机构”服务。–证书颁发机构：——用于对CA进行管理的控制台，位于安装有证书服务的服务器上。–证书服务的Web注册支持——用于请求证书的Web页。访问：服务器名/certsrv申请和使用证书域用户申请企业CA证书的方式有两种：–利用“证书向导”申请证书–以Web方式申请证书独立CA申请证书时，只能通过Web浏览器方式。利用“证书向导”申请证书（1）打开MMC控制台，选择“文件”→“添加/删除管理单元”，在对话框中的“独立”选项卡中单击“添加”，选择“证书”→“我的用户账户”。（2）运行证书申请向导。在MMC证书控制台窗口中展开“证书-当前用户”选项，右击“个人”选项，在弹出的快捷菜单中选择“所有任务”→“申请新证书”选项，启动“证书申请向导”。利用“证书向导”申请证书（3）选择证书类型。（4）证书的名称和描述。以Web方式申请证书以Web方式申请证书以Web方式申请证书以Web方式申请证书注意：独立CA在收到申请信息后，不能自动核准与发放证书，需要人工核准并颁发证书，然后客户端才能安装证书。从属CA的安装安装下层CA时，必须从相应的父CA获取一个证书。为某个下层CA获取证书–如果可以联机使用某个父CA，可以采用该方法获取证书。从文件安装证书–如果不能联机父CA，则创建证书请求文件提交给父CA,由父CA提供针对这个文件的证书，接受到证书后，必须安装该证书。9.4管理数字证书备份与还原CA自动或手工发放证书吊销证书导入与导出用户的证书更新证书项目9配置与管理数字证书服务器数字证书的管理CA的备份与还原发放证书吊销证书导入与导出用户的证书更新证书CA的备份和还原重要说明：如果IIS元库丢失或被破坏，在恢复CA时，必须先恢复IIS元库。备份CA–备份CA的频繁速度依赖于发放的证书数目。发放的证书越多，备份越频繁。–操作步骤：（认证颁发机构）恢复CA–从备份复制件还原CA。–操作步骤：（认证颁发机构）发放证书1.自动发放证书当用户向企业CA申请证书时，企业CA会自动通过ActiveDirectory来查询用户的身份，以确定是否有权限申请此证书，然后自动将核准的证书发放给用户。2.手动发放证书独立C