證書效勞器配置和管理

1、證書效勞器配置和管理學(xué)習(xí)目標(biāo)證書服務(wù)的基本概念安裝與配置證書服務(wù)器客戶端證書安裝與使用 公鑰基礎(chǔ)設(shè)施PKI是目前實(shí)施網(wǎng)絡(luò)安全應(yīng)用的主要技術(shù)，其核心技術(shù)即使用公鑰數(shù)字證書實(shí)現(xiàn)主體身份和公鑰的綁定，制成各種安全機(jī)制的應(yīng)用。Windows Server 2003提供了公鑰證書管理工具，使用該工具可以方便產(chǎn)生、頒發(fā)、注銷數(shù)字證書，架構(gòu)企業(yè)自己的認(rèn)證中心。本章介紹證書服務(wù)器的配置與管理，包括以下主要內(nèi)容：目 錄證書服務(wù)的基本概念安裝與配置證書服務(wù)客戶端申請(qǐng)和安裝證書證書服務(wù)的基本概念 公鑰數(shù)字證書（又稱為公鑰證書、數(shù)字證書、Certificates）簡(jiǎn)稱證書，是用于綁定實(shí)體身份和公鑰信息的經(jīng)過權(quán)威機(jī)構(gòu)數(shù)

2、字簽名的聲明，以文件的形式存在，證書將公鑰與保存對(duì)應(yīng)私鑰的實(shí)體綁定在一起。證書一般由可信的權(quán)威第三方CA中心（權(quán)威授權(quán)機(jī)構(gòu)）頒發(fā)， CA 對(duì)其頒發(fā)的證書進(jìn)行數(shù)字簽名，以保證所頒發(fā)證書的完整性和可鑒別性。CA可以為用戶、計(jì)算機(jī)或服務(wù)等各類實(shí)體頒發(fā)證書。 證書服務(wù)的基本概念公鑰證書以公鑰密碼算法為基礎(chǔ)。公鑰密碼算法基于復(fù)雜數(shù)學(xué)問題構(gòu)建公鑰和私鑰的映射關(guān)系。使用公鑰加密數(shù)據(jù)（數(shù)據(jù)加密），只能使用對(duì)應(yīng)的私鑰解密（數(shù)據(jù)解密）。使用私鑰加密數(shù)據(jù)（稱數(shù)字簽名），只能使用對(duì)應(yīng)公鑰解密（簽名驗(yàn)證）。 證書服務(wù)的基本概念廣泛應(yīng)用的證書格式基于國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)部門（ITU-T）建議的X.509v3 標(biāo)準(zhǔn)。X.5

3、09 證書包括公鑰和有關(guān)證書授予的人員或?qū)嶓w的信息、有關(guān)證書的有效期、用途等信息，以及有關(guān)頒發(fā)證書的CA的信息。實(shí)體的主題（或主體，Subject）標(biāo)示證書的持有者，證書的頒發(fā)者（Issuer）和簽名者是CA。 證書服務(wù)的基本概念證書只在證書頒發(fā)者對(duì)該證書指定的時(shí)間段內(nèi)有效。每個(gè)證書包含“有效期從”和“有效期至”日期，這兩個(gè)日期設(shè)置了證書有效期的界限。一旦超過證書的有效期，證書持有者必須重新請(qǐng)求證書。 如果因?yàn)槟撤N原因，如證書主體私鑰泄密、證書主體身份變更等，必須撤銷證書的使用，頒發(fā)者可以吊銷證書。每個(gè)頒發(fā)者（CA）維護(hù)一個(gè)證書吊銷列表（CRL）。證書服務(wù)的基本概念I(lǐng)E瀏覽器，“工具”/“In

4、ternet選項(xiàng)”菜單，選擇“內(nèi)容”選項(xiàng)卡，單擊“證書”按鈕。對(duì)話框包括“個(gè)人”、“其他人”、“中級(jí)證書頒發(fā)機(jī)構(gòu)”、“受信任的根證書頒發(fā)機(jī)構(gòu)”等不同證書存儲(chǔ)區(qū)域。 目 錄證書服務(wù)的基本概念安裝與配置證書服務(wù)客戶端申請(qǐng)和安裝證書安裝證書服務(wù) 安裝Windows Server 2003證書服務(wù)組件 證書服務(wù)子組件詳細(xì)信息 安裝證書服務(wù)設(shè)置CA類型 安裝證書服務(wù)選擇加密服務(wù)提供程序 安裝證書服務(wù)設(shè)置CA的公用名稱 安裝證書服務(wù)證書數(shù)據(jù)庫(kù)設(shè)置 安裝證書服務(wù)完成安裝后，系統(tǒng)重新啟動(dòng)IIS服務(wù)。在“管理工具”應(yīng)用程序組中添加了“證書頒發(fā)機(jī)構(gòu)”管理控制臺(tái)，管理員使用它可以進(jìn)行證書服務(wù)的管理與設(shè)置。證書服務(wù)安

5、裝完成后，在證書服務(wù)器上將增加一個(gè)共享文件夾%SystemRoot%system32 certsrvCertEnroll，下面存放CA的根證書和證書撤銷列表（CRL）文件。同時(shí)，在服務(wù)器的IIS服務(wù)中將增加證書服務(wù)的Web服務(wù)。 管理證書服務(wù)器 “證書頒發(fā)機(jī)構(gòu)”管理證書服務(wù)器 處理掛起的證書請(qǐng)求 管理證書服務(wù)器 處理頒發(fā)的證書 目 錄客戶端申請(qǐng)和安裝證書安裝CA證書 安裝受信任的CA根證書 訪問證書服務(wù)器 安裝CA證書下載CA證書頁(yè)面 安裝CA證書證書下載到本地磁盤后，可以安裝到操作系統(tǒng)中。在IE瀏覽器中選擇“工具”/“Internet選項(xiàng)”/“內(nèi)容”/“證書”，打開“證書”對(duì)話框，選擇“受信

6、任的根證書頒發(fā)機(jī)構(gòu)”選項(xiàng)卡，單擊“導(dǎo)入”按鈕，進(jìn)入證書導(dǎo)入向?qū)А?選擇證書導(dǎo)入文件安裝CA證書選擇證書導(dǎo)入?yún)^(qū)域 安裝CA證書“受信任的根證書頒發(fā)機(jī)構(gòu)”區(qū)域內(nèi)將增加剛下載的CA證書。申請(qǐng)并安裝客戶證書 申請(qǐng)用戶證書頁(yè)面 申請(qǐng)并安裝客戶證書申請(qǐng)電子郵件保護(hù)證書 申請(qǐng)并安裝客戶證書證書申請(qǐng)頁(yè)面 申請(qǐng)并安裝客戶證書查詢證書申請(qǐng)的狀態(tài) 申請(qǐng)并安裝客戶證書查詢證書申請(qǐng) 證書應(yīng)用 運(yùn)行Outlook Express，選擇“工具”菜單中的“賬戶”，彈出 “Internet賬戶”對(duì)話框。選擇“郵件”選項(xiàng)卡，選擇郵箱賬戶，單擊“屬性”按鈕。 郵件賬戶設(shè)置 證書應(yīng)用 為郵件安全服務(wù)添加證書 選擇證書 證書應(yīng)用 使用Outlook Express簽名和加密郵件 小 結(jié)本章介紹了Windows Server 2003證書服務(wù)的安裝與配置，給出了完整的用戶申請(qǐng)數(shù)字證書的過程，并以安全電子郵件為例，介紹了使