TSM_2823_2824_03_第1頁
TSM_2823_2824_03_第2頁
TSM_2823_2824_03_第3頁
TSM_2823_2824_03_第4頁
TSM_2823_2824_03_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、第3章 配置、部署和管理證書第3章 配置、部署和管理證書本章概述企業(yè)依靠證書提供可靠性、保密性和不可抵賴性等好處。本章講述了如何為了預期的目的將證書頒發(fā)給正確的安全主體,以及如何簡單明了的為用戶部署證書。此外,還應該掌握恢復數(shù)字證書的方法,以防用戶或計算機丟失與數(shù)字證書關聯(lián)的私鑰。學習完本章后,希望大家能夠掌握以上知識點,結合實驗理解證書的管理。教學目標l 能夠配置證書模板l 能夠部署和廢除證書模板l 能夠管理證書模板教學重點l 配置證書模板:數(shù)字證書、生命周期、證書模板概念和配置l 部署與吊銷用戶和計算機證書:證書注冊和吊銷l 管理證書:密鑰的恢復和導出教學難點l 需要對數(shù)字證書有一定程度的

2、了解,學生不一定具備證書的概念教學資源課本知識點3.1配置證書模板3.2部署與吊銷用戶和計算機證書3.3管理證書習題習題1-對應知識(3.1.2)習題2-對應知識(3.1.4)習題3-對應知識(3.2.5)習題4-對應知識(3.2.6)習題5-對應知識(3.3.3)習題6-對應知識(3.1.3)習題7-對應知識(3.2.2)習題8-對應知識(3.1.9)習題9-對應知識(3.3.2)習題10-對應知識(3.3.6)教學指導手冊包新版幻燈片教師光盤:/Powerpnt/2823A_03.ppt多媒體視頻證書注冊習題解答教師光盤:/tPrep/answer/Answer3.doc先修知識在正式開始

3、學習本章內容以前,學生須具備下列知識基礎。知識基礎推薦補充網(wǎng)絡基本概念、服務器基本應用和知識網(wǎng)絡常見協(xié)議的概念和使用Internet的使用和電子郵件服務公鑰基礎結構建議學時課堂教學2課時+實驗教學2課時教學過程3.1 配置證書模板教學提示 :本節(jié)主要達到以下目的:l 了解數(shù)字證書的特點和什么是證書模版(稍作詳講)l 怎樣管理和修改證書模版(詳講)教學內容教學方法教學提示講授:介紹什么是證書模版,引入本節(jié)的主題。簡單說證書模版就是針對某一類證書,為了簡化證書頒發(fā)時的配置工作,而使用的一種模版。使用證書模版不僅可以節(jié)省配置工作,還可以防止不小心給證書分配不應該的屬性。例如,使用郵件簽名的模版頒發(fā)的

4、證書,就能夠避免因為不當操作使得證書能夠用于EFS文件加密。閱書:3.1.1幻燈:第6頁略講,為本節(jié)開頭講授:回顧數(shù)字證書。說明數(shù)字證書的作用和數(shù)字證書的內容。講解課本:3.1.1略講講授:描述數(shù)字證書的生命周期。說明一下證書的有效期由CA和證書模版決定。講解課本:3.1.2閱書:3.1.2幻燈:第7頁略講講授:說明證書模版的實質:是針對一些內容的規(guī)則和設置的一個集合。說明證書模版能夠實現(xiàn)哪些配置,是應用到具體的證書申請過程中的。描述清楚只有企業(yè)CA才能夠使用證書模版。并且可以通過活動目錄來統(tǒng)一存放證書模版。正是由于存放在活動目錄中,也就保證了每一個證書模版都有獨立的DACL來控制能夠訪問證書

5、模版的安全實體。講解課本:3.1.3閱書:3.1.3幻燈:第8頁稍作講解,要讓學生了解證書模版是怎樣的一個概念,可以用來干什么。講授:說明證書模版分為版本1和版本2兩種,并向學生說明這兩種不同版本的證書模版的區(qū)別:版本1的證書模版無法單獨修改證書有效期限和密鑰長度等信息。而版本2證書模版提供了更多的修改選項并能夠實現(xiàn)密鑰存檔和自動注冊等新的功能。講清楚兩種之間的區(qū)別即可。講授:根據(jù)證書模版所能頒發(fā)的證書的種類不同,能夠將證書模版分為許多種類。首先是第一大類,單用途模版。此類模版用途基本單一。此類模版用于要求證書用法獨立的場合,例如EFS加密,IPSec的加密和會話的加密等等。另一大類是多用途的

6、模版。為了減少頒發(fā)證書的數(shù)量,可以將要求不那么獨立的證書進行合并。講解課本:3.1.4、3.1.5閱書:3.1.4幻燈:第9頁通過結合實際用例來說明講授:解釋證書模版的權限是用來干什么的。即,使用權限規(guī)定特定安全實體能夠使用模版的方式??梢岳脵嘞尴拗仆ㄟ^模版申請證書的安全實體。講解課本:3.1.6閱書:3.1.6幻燈:第11頁簡單介紹講授:為了獲取合適使用的證書模版,可以修改現(xiàn)有版本2的證書模版或者設計新的模版。講解課本:3.1.7閱書:3.1.7幻燈:第12頁簡單介紹講授:比較本小節(jié)的兩種情況:修改模版和取代模版。說明什么情況下應該對模版進行修改,什么情況下應該對模版進行替換。講解課本:3

7、.1.8閱書:3.1.8幻燈:第13頁描述清楚兩種做法對應的情況。講授:介紹如何通過管理控制臺,修改和取代證書模版。時間和條件允許的情況下,做一下管理控制臺的界面演示。講解課本:3.1.9閱書:3.1.9幻燈:第14頁按照步驟簡單介紹實驗3-1:按照實驗手冊,引導學生完成實驗,并加深理解前面介紹的內容。適當回顧課堂的講授的內容,再結合實驗的動手操作。小結:本節(jié)著重介紹了有關證書模版的內容,關鍵在于讓學生理解證書模版的作用和證書模版的實質。結合實驗應該讓學生完全理解證書模版對于證書服務的作用。3.2 部署與吊銷用戶和計算機證書教學提示 :本節(jié)主要達到以下目的:l 介紹如何注冊證書(詳講)l 如何

8、注銷證書(略講)教學內容教學方法教學提示講授:介紹多種證書注冊的方式,以及說明它們各自可以用于那些情況下。后面的課程將詳細介紹幾種注冊方式,因此在這里簡單對各種注冊方式做一些比較介紹即可。講解課本:3.2.1閱書:3.2.1幻燈:第19頁注意不同注冊方式間的比較。講授:介紹怎樣使用Web來進行證書的注冊。說明安裝CA的時候,可以在IIS的基礎上建立CA的Web站點,這樣可以通過Web來注冊證書。擴展介紹一下Web注冊證書的好處。即可以通過防火墻等將CA發(fā)布到互聯(lián)網(wǎng)。當外部用戶也需要證書服務時,可以提供證書服務。講解課本:3.2.2閱書:3.2.2幻燈:第20頁略為介紹講授:介紹怎樣使用管理控制

9、臺來申請證書。介紹如何使用certreq.exe命令行來申請證書。介紹如何設置證書服務以提供自動證書申請注冊。講解課本:3.2.3、3.2.4、3.2.5閱書:3.2.3幻燈:第21頁中心放在如何設置自動證書注冊上。講授和實驗:簡單介紹如何吊銷證書。按照實驗手冊來進行吊銷證書的實驗以幫助理解書面的知識。講解課本:3.2.6閱書:3.2.6幻燈:第24頁小結: 注冊證書有幾種方法。根據(jù)證書管理者的審批要求,可以手動或自動處理證書申請。本章介紹部署和吊銷用戶和計算機證書的必要技巧和知識。3.3 管理證書教學提示 :本節(jié)主要達到以下目的:l 如何管理密鑰以備需要的時候恢復l 如何導出證書教學內容教學

10、方法教學提示講授:可以以EFS為例說明密鑰對的作用。首先說明一下EFS是利用用戶證書里的密鑰對來加密文件。解釋清楚EFS需要利用密鑰對來進行文件的加密解密。接著提問,因為各種原因,例如系統(tǒng)重裝,磁盤損壞或者硬件被盜等情況,如果密鑰丟失了怎么辦?向學生講解,要恢復出加密的文件,必須要原有的密鑰對。也就是需要用戶的私鑰來進行解密。還是以EFS來說明問題。為了恢復已經(jīng)用EFS加密的文件,可以使用DRA即數(shù)據(jù)恢復代理,也可以使用預先導出備份的私鑰。DRA的實質也是在EFS加密的同時,保存允許解密的DRA帳號的私鑰。將課程引導到導出私鑰的方向上來,為后面的課程鋪墊。講解課本:3.3.1閱書:3.3.1幻

11、燈:第28頁要讓學生理解秘鑰對必須同時存在來工作的原理。學生可能提出,可以利用備份來恢復文件,指出EFS解密必須是要有密鑰的。提問:從前面的內容過渡過來。引導學生思考,既然密鑰對這么重要,我們是不是應該保護它們?介紹PKCS #7和PKCS #12的不同,即根據(jù)是否包含私鑰,應用的場合不一樣,要求也不一樣。重點提一下私鑰需要使用一個強密碼來保護。講解課本:3.3.2閱書:3.3.1幻燈:第29頁說明清楚之間的差異即可講授:接著介紹使用哪些手段可以導出密鑰。有多種方法可以導出密鑰,根據(jù)課本進行介紹即可。關鍵在于導出密鑰時的操作。即什么時候應該怎樣導出密鑰。對于EFS的數(shù)據(jù)恢復代理,為了強調安全性

12、,或者將恢復權利保護起來,可以將數(shù)據(jù)恢復代理的證書導出,這時需要包含私鑰,并且可以不在系統(tǒng)中保留私鑰。也就是使用“如果導出成功,刪除密鑰”選項。如果密鑰需要安裝到從來沒有安裝過CA節(jié)點證書的機器上,那么可以包含證書路徑,這樣,只需要導入一個證書就可以提供完整的證書鏈。在介紹強保護的時候強調一下密碼保護證書的重要性。這時由證書的重要性決定的。講解課本:3.3.3閱書:3.3.3幻燈:第30頁工具本身不用太過詳細,說明清楚導出密鑰時的選項應用于哪些環(huán)境。講授:介紹一下導出密鑰的步驟。為下面的實驗準備。講解課本:3.3.4閱書:3.3.4幻燈:第31頁簡單描述實驗3-3: 根據(jù)課本的講授和實驗手冊,

13、帶領學生完成實驗。講授:說明KRA,密鑰恢復代理的意義和作用??梢韵群唵谓榻B后面密鑰恢復的內容,說明下密鑰恢復過程的作用,即用戶的私鑰損壞時,可以根據(jù)證書的序列號,由證書管理員和KRA一起,從CA的數(shù)據(jù)庫里將用戶的私鑰恢復出來。跟著講授密鑰恢復的整個流程,說明KRA和證書管理員在此流程中的作用。然后再反過來,講授如何指定KRA,如何讓系統(tǒng)支持KRA的設置。講解課本:3.3.6、3.3.7、3.3.8閱書:3.3.6幻燈:第33頁可根據(jù)實際的應用,現(xiàn)說明清楚KRA的概念和作用,再回過頭說明如何實現(xiàn)。講授:介紹一下密鑰恢復可能存在的安全風險,以及如何參考課本的知識來規(guī)避這樣的風險。講解課本:3.3.9閱書:3.3.9幻燈:第36頁簡單描述實驗3-4:根據(jù)實驗手冊輔導學生完成實驗。本實驗的目的在于讓學生熟悉證書管理的操作過程。應該在實驗的同時,幫助學生回顧每一步操作對應的理論知識,理論聯(lián)系實際幫助理解和記憶本章的知識點。多進行一些知識點的回顧。小結: 如果由于系統(tǒng)故障或任何其他原因丟失了公鑰和私鑰對(通常稱為密鑰對)以及相關的證書,要替換密鑰和使用密鑰保護的數(shù)據(jù)可能會

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論