项目9配置与管理数字证书服务器课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,项目9配置与管理数字证书服务器,*,项目9配置与管理数字证书服务器,2024/8/23,项目9配置与管理数字证书服务器,项目9配置与管理数字证书服务器2023/8/31项目9配置与,1,项目9 配置与管理数字证书服务器,9.3.1 了解企业证书的意义与适用,9.3.2 认识CA模式,9.3.3 安装企业证书服务架设企业根,9.3.4 申请和使用证书,9.3.5 签名与加密电子邮件,9.3.6 安装企业从属CA,9.3 安装企业CA和申请证书,9.2 项目设计及准备,9.2.1 项目设计,9.2.2 项目准备,9.5 数字证书服务器实训,9.1 相关知识,9.1.1 数字证书,9.1.2 PKI,9.1.3 内部CA和外部CA,9.1.4 颁布证书的过程,9.1.5 证书吊销,9.1.6 CA的层次结构,9.4 管理数字证书,9.4.1 备份与还原CA,9.4.2 自动或手工发放证书,9.4.3 吊销证书,9.4.4 导入与导出用户的证书,9.4.5 更新证书,项目9配置与管理数字证书服务器,项目9 配置与管理数字证书服务器 9.3.1 了解企业证,2,对于大型的计算机网络，数据的安全和管理的自动化历来都是人们追求的目标，特别是Internet的迅猛发展，在Internet上处理事务、交流信息和交易等方式越来越广泛，越来越多的重要数据要在网上传输，网络安全问题也更加被重视，尤其是在电子商务活动中，必须保证交易双方能够互相确认身份，安全地传输敏感信息，同时还要防止被人截获、篡改，或者假冒交易等。因此如何保证重要数据不受到恶意的损坏，成为网络管理最关键的问题之一。而通过部署公钥基础机构（PKI），利用PKI提供的密钥体系来实现数字证书签发、身份认证、数据加密和数字签名等功能，可以为网络业务的开展提供安全保证。,项目描述,项目9 配置与管理数字证书服务器,项目9配置与管理数字证书服务器,对于大型的计算机网络，数据的安全和管理的自动化历来都,3,了解数字证书,了解CA的层次结构,掌握企业CA的安装与证书申请,掌握数字证书的管理方法及技巧,项目目标,项目9 配置与管理数字证书服务器,项目9配置与管理数字证书服务器,项目目标项目9 配置与管理数字证书服务器项目9配置与管理数,4,9.1 相关知识,数字证书,PKI,内部CA和外部CA,颁发证书的过程,证书吊销,CA的层次结构,项目9 配置与管理数字证书服务器,项目9配置与管理数字证书服务器,9.1 相关知识数字证书PKI内部CA和外部CA颁发证书的过,5,概述,Windows 2003中有两种验证协议，Kerberos和公钥基础结构(Public Key Infrastructure ，PKI)，这两者的不同之处在于：Kerberos是对称密钥，而PKI是非对称密钥。,对称密钥加密和解密的密钥相同。,非对称密钥加密和解密密钥不同。,项目9配置与管理数字证书服务器,概述Windows 2003中有两种验证协议，Kerbero,6,数字证书简介,数字证书是一段包含用户身份信息、用户公钥信息和身份验证机构数字签名的数据。,身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。,项目9配置与管理数字证书服务器,数字证书简介数字证书是一段包含用户身份信息、用户公钥信息和身,7,数字证书,数字证书是各类终端实体和最终用户在网上进行信息交流和商务活动的身份证明。,数字证书是一个经证书认证中心（CA）数字签名的，包含公开密钥拥有者信息和公开密钥的文件。,认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。,认证中心颁发的数字证书均遵循X.509 V3标准。,项目9配置与管理数字证书服务器,数字证书数字证书是各类终端实体和最终用户在网上进行信息交流和,8,PKI,公钥基础结构（Public Key Infrastructure，PKI）是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构（CA）和其他注册机构（RA）。,一个单位选择使用Windows来部署PKI的原因有很多：,安全性强。,智能卡登陆、加密文件系统（EFS）、IPsec（Internet协议安全性）,简化管理。,其他机会。,项目9配置与管理数字证书服务器,PKI公钥基础结构（Public Key Infrastru,9,浏览器,加密文件系统,加密 E-Mail,数字标示,智能卡,数字签名,IPSEC,项目9配置与管理数字证书服务器,浏览器加密文件系统加密 E-Mail数字标示智能卡数字签名I,10,证书的用途,证书提供下述功能：,服务器身份验证利用证书为网络中的客户机鉴别服务器,客户机身份验证利用证书为服务器提供对客户机的认证（如：远程访问功能和智能卡身份验证）,程序代码签署(数字签名)利用与密钥对有关的证书签署活动内容,加密E-mail安全电子邮件，利用与密钥对有关的证书签署电子邮件消息（用于加密信函）。,EFS（加密文件系统）利用与密钥对有关的证书，加密和解密用于还原恢复加密数据的对称密钥。,IPSec利用与密钥对有关的证书，加密基于IP层的传输。,项目9配置与管理数字证书服务器,证书的用途证书提供下述功能：项目9配置与管理数字证书服务器,11,认证中心（CA）,认证中心（CA） ：负责提供和指派加密密钥、解密密钥、身份验证。,CA通过发放证书来分布密钥。证书中包含公共密钥和一组属性，CA可将证书发给某个计算机、用户帐号或者服务。,CA扮演了一种担保人的角色。,项目9配置与管理数字证书服务器,认证中心（CA）认证中心（CA） ：负责提供和指派加密密钥、,12,内部CA和外部CA,外部CA：外部商用CA，为成千上万的用户提供认证服务。,内部CA：面向企业内部用户、计算机或服务器的策略模型,。,项目9配置与管理数字证书服务器,内部CA和外部CA外部CA：外部商用CA，为成千上万的用户提,13,颁发证书的过程,认证中心CA颁发证书涉及如下4个步骤:,（1）CA收到证书请求信息，包括个人资料和公钥等。,（2）CA对用户提供的信息进行核实。,（3）CA用自己的私钥对证书进行数字签名。,（4）CA将证书发给用户。,项目9配置与管理数字证书服务器,颁发证书的过程认证中心CA颁发证书涉及如下4个步骤:项目9配,14,证书吊销,证书的吊销使得证书在自然过期之前便宣告作废。,可能的原因包括：,证书拥有者的私钥泄漏或被怀疑泄漏。,发现证书是用欺骗手段获得的。,证书拥有者的情况发生了改变。,项目9配置与管理数字证书服务器,证书吊销证书的吊销使得证书在自然过期之前便宣告作废。项目9配,15,CA的层次结构,Windows Server 2003 PKI采用了分层CA模型。,项目9配置与管理数字证书服务器,CA的层次结构Windows Server 2003 PKI,16,CA的层次结构,证书层次结构是一种信任模式。 在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。,1、根CA（根本权威）-是一个机构的PKL中最可信任的CA类型。,通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。,在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。,2、下层CA-已经被机构中的另一个CA鉴定过的CA。,项目9配置与管理数字证书服务器,CA的层次结构证书层次结构是一种信任模式。 在这种模式中，通,17,CA的层次结构,通常，下层CA针对特定的用途发放证书（例如安全电子邮件、基于web的身份验证，或者智能卡身份验证）。此外，下层CA也可以向其他的、更下层的CA发放证书。,提示:,父CA和子CA彼此没有从属关系，不需要使所有的CA共享一个公共的顶级父CA(或根CA)。,项目9配置与管理数字证书服务器,CA的层次结构通常，下层CA针对特定的用途发放证书（例如安全,18,9.2 项目设计,及准备,项目设计,项目准备,项目9 配置与管理数字证书服务器,项目9配置与管理数字证书服务器,9.2 项目设计 项目设计 项目准备项目9 配置与管理数,19,9.3 安装企业CA和申请证书,了解企业证书的意义与适用,认识CA模式,安装证书服务并架设企业根CA,申请和使用证书,签名与加密电子邮件,安装企业从属CA,项目9 配置与管理数字证书服务器,项目9配置与管理数字证书服务器,9.3 安装企业CA和申请证书了解企业证书的意义与适用认识C,20,企业CA的安装与证书申请,若要使用证书服务，必须在服务器上安装并部署企业CA，然后由用户向该企业CA申请证书，使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证。,项目9配置与管理数字证书服务器,企业CA的安装与证书申请若要使用证书服务，必须在服务器上安装,21,企业证书的意义与适用,加密的目的：以某种方式将数据变得难懂，使得只有预期用户能够阅读它。,加密,：通过数学运算将,明文和加密密钥,结合起来，产生密文。,解密,：通过数学运算将,密文和解密密钥,结合起来，产生明文。,公共密钥加密技术用到了两个密钥：,加密密钥,和,解密密钥,密钥（key）：,一个随机字符串与某种算法的联合使用。,公共密钥加密技术,项目9配置与管理数字证书服务器,企业证书的意义与适用加密的目的：以某种方式将数据变得难懂，使,22,公共密钥加密技术,系统使用一对密钥来完成对数据的加密解密：,公共密钥（公钥）,：是自由发布的，可以公开，以供他人向自己传输信息时加密使用。,私用密钥（私钥）,：在系统中保存，从不发布，只有拥有对应私钥的本人才能解密，从而保证数据传输的保密性。,项目9配置与管理数字证书服务器,公共密钥加密技术系统使用一对密钥来完成对数据的加密解密：项目,23,公共密钥加密技术,A,加密,B的公钥,B,解密,B的私钥,密文,明文,加密模型,项目9配置与管理数字证书服务器,公共密钥加密技术AB的公钥BB的私钥密文明文加密模型项目9配,24,公共密钥身份验证,（使用密钥对）,与公共密钥加密技术类似，公共密钥身份验证也使用了,密钥对,。,但它不利用发送者的私用密钥解密消息，而是利用发送者的公共密钥鉴别和确认该消息的发送者的有效性。这一,私用密钥被称为,数字签名,。,项目9配置与管理数字证书服务器,公共密钥身份验证（使用密钥对）与公共密钥加密技术类似，公共密,25,公共密钥身份验证,数字签名,说明：加密技术可以提供安全性和机密性，而数字签名可以确认信息的真实性和来源。,数字签名：,一种由消息、文件或者其他数字化编码信息的创建者将其身份标识和这些消息利用私钥约束在一起的方法。,数字签名用于发送者的不可抵赖性，因为私钥只有自己有，所以当接收者用你的公钥解密后就可以证明是你无疑。,数字签名本身就是数据，因此它们可以与受保护的原数据一起进行传输，供接收者验证。,项目9配置与管理数字证书服务器,公共密钥身份验证数字签名项目9配置与管理数字证书服务器,26,公共密钥身份验证,数字签名使用私钥对签名数据进行加密，可以确保达到下述目的：,只有拥有私钥的人才能进行数字签名。,任何人都可以通过相应的公钥鉴别数字签名的真伪。,如果对签名后进行了数据的任何修改，数字签名将失效。,项目9配置与管理数字证书服务器,公共密钥身份验证数字签名使用私钥对签名数据进行加密，可以确保,27,公共密钥身份验证,A,加密,A的私钥,B,解密,A的公钥,密文,明文,认证模型,明文,项目9配置与管理数字证书服务器,公共密钥身份验证AA的私钥BA的公钥密文明文认证模型明文项目,28,CA模式,Windows 2003支持两类认证中心(CA)：,企业CA,和,独立存在的CA,。,每类CA中都包含根CA和下层CA。,安装认证服务时可选择4种CA模式：,1. 企业根CA,2. 企业从属CA,3. 独立根CA,4. 独立从属CA,项目9配置与管理数字证书服务器,CA模式Windows 2003支持两类认证中心(CA)：企,29,CA模式,企业根CA,是顶级根，企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为特定的的证书类型所要求的安全性权限。,独立存在的根CA,是顶级根，它可以是，也可不是某个域的成员并不要求有活动目录。还可以断开与网络的连接,企业下层CA,在机构内发放证书，但企业下层CA不是最可信的CA。你可以利用某个企业下层CA针对特定用途发放证书。它必须有一个父CA,独立存在的下层CA,它作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。你为公司以外的实体发放证书，你应该建立独立存在的下层CA,项目9配置与管理数字证书服务器,CA模式企业根CA独立存在的根CA企业下层CA独立存在的下层,30,架设企业根CA（1）,（1）准备工作。在企业网络中创建活动目录，将要架设为企业根CA的服务器加入至活动目录，并升级为域外控制器。安装应用程序服务Web组件，并确保添加Active Server Page（ASP）组件，便于用户以Web方式申请CA证书。,默认情况下，Windows 2003安装程序不安装证书服务。,重要说明：,安装了正式服务后，计算机不能再被重新命名，也不能加入到某个域中，或者从某个域中删除。,注：,为了利用证书服务的Web组件，必须先安装IIS。,项目9配置与管理数字证书服务器,架设企业根CA（1）（1）准备工作。在企业网络中创建活动目录,31,架设企业根CA（2）,（2）添加证书服务组件。运行“Windows组件向导”，在“组件”列表框中选中“证书服务”复选框。,（3）选择CA类型。在“CA类型”对话框中选中“企业根CA”单选按钮。,（4）CA识别信息。在“此CA的公用名称”文本框中设置此CA在Active Directory内的公用名称，此CA默认的有效年限为5年。,项目9配置与管理数字证书服务器,架设企业根CA（2）（2）添加证书服务组件。运行“Windo,32,架设企业根CA（3）,（5）证书数据库设置。选择证书数据库文件和日志文件的目录。,CA发出的证书默认存储在：,WINNTsystem32Certlog,（6）证书服务安装完成后，在“管理工具”中会增加“证书颁发机构”服务。,证书颁发机构：用于对CA进行管理的控制台，位于安装有证书服务的服务器上。,证书服务的Web注册支持用于请求证书的Web页。访问：,http:/CA服务器名/certsrv,项目9配置与管理数字证书服务器,架设企业根CA（3）（5）证书数据库设置。选择证书数据库文件,33,申请和使用证书,域用户申请企业CA证书的方式有两种：,利用“证书向导”申请证书,以Web方式申请证书,独立CA申请证书时，只能通过Web浏览器方式,。,项目9配置与管理数字证书服务器,申请和使用证书域用户申请企业CA证书的方式有两种：项目9配置,34,利用“证书向导”申请证书,（1）打开MMC控制台，选择“文件”“添加/删除管理单元”，在对话框中的“独立”选项卡中单击“添加”，选择“证书” “我的用户账户”。,（2）运行证书申请向导。在MMC证书控制台窗口中展开“证书-当前用户”选项，右击“个人”选项，在弹出的快捷菜单中选择“所有任务”“申请新证书”选项，启动“证书申请向导”。,项目9配置与管理数字证书服务器,利用“证书向导”申请证书（1）打开MMC控制台，选择“文件”,35,利用“证书向导”申请证书,（3）选择证书类型。,（4）证书的名称和描述。,项目9配置与管理数字证书服务器,利用“证书向导”申请证书（3）选择证书类型。项目9配置与管理,36,以Web方式申请证书,项目9配置与管理数字证书服务器,以Web方式申请证书项目9配置与管理数字证书服务器,37,以Web方式申请证书,项目9配置与管理数字证书服务器,以Web方式申请证书项目9配置与管理数字证书服务器,38,以Web方式申请证书,项目9配置与管理数字证书服务器,以Web方式申请证书项目9配置与管理数字证书服务器,39,以Web方式申请证书,注意：独立CA在收到申请信息后，不能自动核准与发放证书，需要人工核准并颁发证书，然后客户端才能安装证书。,项目9配置与管理数字证书服务器,以Web方式申请证书注意：独立CA在收到申请信息后，不能自动,40,从属CA的安装,安装下层CA时，必须从相应的父CA获取一个证书。,为某个下层CA获取证书,如果可以联机使用某个父CA，可以采用该方法获取证书。,从文件安装证书,如果不能联机父CA，则创建证书请求文件提交给父CA,由父CA提供针对这个文件的证书，接受到证书后，必须安装该证书。,项目9配置与管理数字证书服务器,从属CA的安装 安装下层CA时，必须从相应的父CA获取一个证,41,9.4 管理数字证书,备份与还原CA,自动或手工发放证书,吊销证书,导入与导出用户的证书,更新证书,项目9 配置与管理数字证书服务器,项目9配置与管理数字证书服务器,9.4 管理数字证书备份与还原CA自动或手工发放证书吊销证,42,数字证书的管理,CA的备份与还原,发放证书,吊销证书,导入与导出用户的证书,更新证书,项目9配置与管理数字证书服务器,数字证书的管理CA的备份与还原项目9配置与管理数字证书服务器,43,CA的备份和还原,重要说明,：如果IIS元库丢失或被破坏，在恢复CA时，必须先恢复IIS元库。,备份CA,备份CA的频繁速度依赖于发放的证书数目。发放的证书越多，备份越频繁。,操作步骤：（认证颁发机构）,恢复CA,从备份复制件还原CA。,操作步骤：（认证颁发机构）,项目9配置与管理数字证书服务器,CA的备份和还原重要说明：如果IIS元库丢失或被破坏，在恢复,44,发放证书,1. 自动发放证书,当用户向企业CA申请证书时，企业CA会自动通过Active Directory来查询用户的身份，以确定是否有权限申请此证书，然后自动将核准的证书发放给用户。,2. 手动发放证书,独立CA不具备向Active Directorv查询用户身份的功能，因此，当用户在向独立CA申请证书时必须自行输入用户的身份信息。并且独立CA默认不会自动发放用户所申请的证书，必须由独立CA的系统管理员在检查完用户的申请信息后，再决定是否要手工发放此证书。,项目9配置与管理数字证书服务器,发放证书1. 自动发放证书项目9配置与管理数字证书服务器,45,手动发放证书,复查待处理的证书请求,发放待处理的证书请求,项目9配置与管理数字证书服务器,手动发放证书复查待处理的证书请求项目9配置与管理数字证书服务,46,吊销证书,用户所申请的证书都有一定的有效期，一般默认有效期为1年。当用户离开企业后，证书将不能够继续使用，应当及时予以吊销。另外，用户也可以吊销自己尚未到期的证书。,被吊销的证书将加入到“证书吊销列表”中。如果用户只是暂时离开企业，那么在回到公司后，还可以为其解除并恢复吊销的证书。,项目9配置与管理数字证书服务器,吊销证书用户所申请的证书都有一定的有效期，一般默认有效期为1,47,演讲完毕，谢谢听讲,!,再见，see you again,3rew,2024/8/23,项目9配置与管理数字证书服务器,演讲完毕，谢谢听讲!再见，see you again3rew,48,