《网络操作系统-WindowsServer2003系统与应用》电子教案第13章证书服务教学目的学习在WindowsServer2003系统中安装与使用证书服务重点、难点公共密钥基础架构证书服务器的安装证书服务器的管理客户端如何使用证书教学方法讲授法、练习法教学课时3节理论课+3节课堂练习13.1公共密钥基础结构(PKI)简介对于电子商务系统中的身份识别,以及内部和外部网络上的数据加密来说,公共密钥技术是一项重要的技术。与公共密钥技术相关的两个基本概念分别是公钥加密和公钥认证。公共密钥基础结构是由数字证书(DigitalCertificate)、证书颁发机构(CertificateAuthority)所组成的系统。此系统可以用于解决信息加密和身份识别等问题。13.1公共密钥基础结构(PKI)简介13.1.1公钥加密3.李红用李红的私钥(PrivateKey)将消息解密数据3A78数据1.王强使用李红的公钥(PublicKey)加密数据2.被加密的消息通过网络进行传输13.1.2公钥认证3.李红用王强的公钥(PublicKey)验证来自王强的消息数据3A78数据1.王强用王强的私钥(PrivateKey)对消息进行签名2.消息通过网络进行传输13.1.3证书颁发机构证书颁发机构(CA)负责提供和分配密钥,用来加密、解密和认证。CA通过颁发证书来分配密钥,证书中包含公钥和一系列属性。1.证书2.外部CA和内部CA3.颁发证书的过程4.证书吊销13.1.4证书等级证书等级是一种信任模式,它通过建立CA之间的父/子关系来创建证书路径。1.根CA企业根CA独立根CA2.从属CA企业从属CA独立从属CA13.1.5证书模板默认可以使用的证书模板主要有:◆目录电子邮件复制◆域控制器身份验证◆EFS故障恢复代理◆基本EFS◆域控制器◆Web服务器◆计算机◆用户◆从属证书颁发机构◆系统管理员WindowsServer2003默认提供了31个模板,证书管理员可以管理这些默认的证书模板,还可以控制用户申请哪些证书,或是控制用户怎样去申请证书。13.2安装证书服务证书服务与其他WindowsServer2003系统组件一样,使用“添加/删除程序”工具进行安装。安装证书服务后,计算机可以作为证书颁发机构,管理和颁发证书,但是安装证书服务的计算机不可以更改计算机名称。对于企业根CA或企业从属CA也不能删除ActiveDirectory。企业类或独立类。每个类型都可以有一个根CA和一个(或多个)从属CA。操作安装证书服务的过程。13.3管理证书颁发机构13.3.1启动和停止证书服务1.命令行方式Netstartcertsrv启动证书服务Netstopcertsrv停止证书服务Netpausecertsvc暂停证书服务13.3管理证书颁发机构13.3.1启动和停止证书服务2.在“服务”控制台13.3管理证书颁发机构13.3.1启动和停止证书服务3.在“证书颁发机构”控制台窗口13.3.2配置CA13.3.3备份和还原CA13.4管理证书13.4.1管理证书模板1.新增证书模板13.4管理证书13.4.1管理证书模板2.管理证书模板在“证书颁发机构”控制台窗口中,选择“证书模板”,然后在“操作”菜单中选择“管理”,打开“Certtmpl-[证书模板]”窗口。13.4.2管理颁发证书1.颁发的证书在“颁发的证书”右侧窗口中,为已颁发的证书。13.4.2管理颁发证书2.挂起的申请在“挂起的申请”项目中,可以查看用户已经申请,但是还没有经过证书管理员决定颁发或拒绝的证书。13.4.2管理颁发证书3.吊销的证书如果证书被吊销了,CA必须将已吊销的证书颁发,这样才能使其他人知道证书已经无效。所以证书管理员必须在吊销证书后,在“吊销的证书”项目中执行“发布”命令,更新证书吊销列表。13.4.3客户端证书申请13.5案例分析1.某企业需要允许业务伙伴通过Internet访问企业内部的产品说明数据库,同时必须要确保信息的保密性,你应该怎样做?分析:要确保Internet上通信计算机之间的网络通信安全,可以使用证书来加密计算机之间的IP通信。WindowsServer2003内置了证书服务功能,可以用来加密数据和认证用户身份解决方法:使用WindowsServer2003内置的证书服务功能或第三方认证机构的证书,为用户颁发证书,提供数据加密和用户身份认证,以保证数据库的安全访问,以及对网络中传输的数据的加密。13.5案例分析2.客户端希望申请一个“Exchange用户”证书,用于对电子邮件进行认证。当用户在Web页中进行证书申请时,在证书模板下找不到“Exchange用户”证书模板,是什么原因?应该怎么办?分析:在“证书颁发机构”的“证书模板”中只列出了默认的十个证书模板,“Exchange用户”证书模板不是默认证书,因此没有列出,客户端也无法找到。解决方法:在“证书模板”中选择“新建”—“要颁发的证书模板”。在“启用证书模板”中选择“Exchange用户”证书模板即可将其添加到“证书模板”中。重新启动“证书颁发机构”,客户端就可以使用该证书模板了。课后小结作业:(1)什么是公钥加密?(2)什么是公钥认证?(3)什么是证书颁发机构(CA)?(4)一个证书被吊销后,并没有出现在CRL列表中,应该怎么办?(5)怎样添加证书模板?(6)哈希算法指的是什么?(7)证书颁发机构自身的证书快要到期了,如果还想继续使用,应该怎么办?