計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)（第二版）課件第13章 證書服務(wù)配置與管理

第13章證書服務(wù)配置與管理本章學(xué)習(xí)目標(biāo)WindowsServer2008提供了公鑰證書管理工具，使用該工具可以方便的產(chǎn)生、頒發(fā)和注銷數(shù)字證書，架構(gòu)企業(yè)自己的認(rèn)證中心。本章介紹證書服務(wù)器的配置與管理，包括以下主要內(nèi)容：證書服務(wù)的基本概念安裝與配置證書服務(wù)器客戶端證書安裝與使用目錄13.1證書服務(wù)的基本概念13.2安裝與配置證書服務(wù)13.3客戶端申請(qǐng)和安裝證書13.1證書服務(wù)的基本概念公鑰數(shù)字證書（又稱為公鑰證書、數(shù)字證書、Certificates）簡(jiǎn)稱證書，是用于綁定實(shí)體身份和公鑰信息的經(jīng)過權(quán)威機(jī)構(gòu)數(shù)字簽名的聲明，以文件的形式存在，證書將公鑰與保存對(duì)應(yīng)私鑰的實(shí)體綁定在一起。證書一般由可信的權(quán)威第三方CA中心（權(quán)威授權(quán)機(jī)構(gòu)）頒發(fā)，CA對(duì)其頒發(fā)的證書進(jìn)行數(shù)字簽名，以保證所頒發(fā)證書的完整性和可鑒別性。CA可以為用戶、計(jì)算機(jī)或服務(wù)等各類實(shí)體頒發(fā)證書。13.1證書服務(wù)的基本概念公鑰證書以公鑰密碼算法為基礎(chǔ)。公鑰密碼算法基于復(fù)雜數(shù)學(xué)問題構(gòu)建公鑰和私鑰的映射關(guān)系。使用公鑰加密數(shù)據(jù)（數(shù)據(jù)加密），只能使用對(duì)應(yīng)的私鑰解密（數(shù)據(jù)解密）。使用私鑰加密數(shù)據(jù)（稱數(shù)字簽名），只能使用對(duì)應(yīng)公鑰解密（簽名驗(yàn)證）。13.1證書服務(wù)的基本概念廣泛應(yīng)用的證書格式基于國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)部門（ITU-T）建議的X.509v3標(biāo)準(zhǔn)。X.509證書包括公鑰和有關(guān)證書授予的人員或?qū)嶓w的信息、有關(guān)證書的有效期、用途等信息，以及有關(guān)頒發(fā)證書的CA的信息。實(shí)體的主題（或主體，Subject）標(biāo)示證書的持有者，證書的頒發(fā)者（Issuer）和簽名者是CA。13.1證書服務(wù)的基本概念證書只在證書頒發(fā)者對(duì)該證書指定的時(shí)間段內(nèi)有效。每個(gè)證書包含“有效期從”和“有效期至”日期，這兩個(gè)日期設(shè)置了證書有效期的界限。一旦超過證書的有效期，證書持有者必須重新請(qǐng)求證書。如果因?yàn)槟撤N原因，如證書主體私鑰泄密、證書主體身份變更等，必須撤銷證書的使用，頒發(fā)者可以吊銷證書。每個(gè)頒發(fā)者（CA）維護(hù)一個(gè)證書吊銷列表（CRL）。13.1證書服務(wù)的基本概念I(lǐng)E瀏覽器，“工具”/“Internet選項(xiàng)”菜單，選擇“內(nèi)容”選項(xiàng)卡，單擊“證書”按鈕。對(duì)話框包括“個(gè)人”、“其他人”、“中級(jí)證書頒發(fā)機(jī)構(gòu)”、“受信任的根證書頒發(fā)機(jī)構(gòu)”等不同證書存儲(chǔ)區(qū)域。目錄13.1證書服務(wù)的基本概念13.2安裝與配置證書服務(wù)13.3客戶端申請(qǐng)和安裝證書13.2.1安裝證書服務(wù)WindowsServer2008操作系統(tǒng)內(nèi)置了證書服務(wù)角色，安裝該角色可以構(gòu)建自己的CA中心，適合中小企業(yè)構(gòu)建自己的安全基礎(chǔ)設(shè)施PKI應(yīng)用。步驟一、安裝證書服務(wù)，單擊“開始”/“程序”/“管理工具”/“服務(wù)器管理”，打開“服務(wù)器管理”窗口，選擇“角色”選項(xiàng)，單擊“添加角色”按鈕，打開“添加角色”向?qū)?。在如圖13-4所示的對(duì)話框中，選擇“ActiveDirectory證書服務(wù)”復(fù)選框，單擊“下一步”繼續(xù)。13.2.1安裝證書服務(wù)步驟二、在“ActiveDirectory證書服務(wù)簡(jiǎn)介”對(duì)話框中，給出了WindowsServer2008證書服務(wù)的基本介紹。單擊“下一步”按鈕，打開“選擇角色服務(wù)”對(duì)話框，如圖13-5所示。選擇為ActiveDirectory證書服務(wù)安裝的角色服務(wù)，單擊“下一步”繼續(xù)。步驟三、出現(xiàn)“安裝類型”對(duì)話框，為證書服務(wù)選擇安裝類型，可以選擇“企業(yè)CA”或者“獨(dú)立CA”。若服務(wù)器不是域控制器，并且未加入域，則企業(yè)單選按鈕為不可用狀態(tài)。單擊“下一步”繼續(xù)。13.2.1安裝證書服務(wù)步驟四、在“CA類型”對(duì)話框中，由于當(dāng)前是第一次安裝，并且是惟一的證書頒發(fā)機(jī)構(gòu)，因此點(diǎn)選“根CA”選項(xiàng)，單擊“下一步”繼續(xù)。步驟五、若要生成證書并頒發(fā)給客戶端，CA必須有一個(gè)私鑰。在“設(shè)置私鑰”對(duì)話框中可以指定要新建私鑰還是使用現(xiàn)有私鑰。若是第一次安裝CA，且當(dāng)前沒有私鑰，可點(diǎn)選“新建私鑰”選項(xiàng)；若不是第一次安裝CA，為確保與先前頒發(fā)的證書的連續(xù)性，可點(diǎn)選“使用現(xiàn)有私鑰”按鈕，如圖13-7所示。單擊“下一步”繼續(xù)。13.2.1安裝證書服務(wù)步驟六、在如圖13-8所示“配置加密”對(duì)話框中進(jìn)行加密服務(wù)提供程序的設(shè)置，選擇散列算法（建議選用SHA-1）和密匙長(zhǎng)度的設(shè)置。根據(jù)安全應(yīng)用的需要可以選擇512、1024或2048位密鑰長(zhǎng)度，密鑰長(zhǎng)度越高，CA證書的安全性越強(qiáng)，但是會(huì)增加完成簽名操作所需要的時(shí)間。單擊“下一步”繼續(xù)。步驟七、在如圖13-9所示“配置CA名稱”對(duì)話框中輸入該CA的公用名稱，本例中設(shè)置為HenanUniversityofTechnology，即CA的公用名稱CN（CommonName）為HenanUniversityofTechnology。用戶可以任意設(shè)置本企業(yè)的標(biāo)識(shí)名稱，單擊“下一步”繼續(xù)。13.2.1安裝證書服務(wù)步驟八、在“設(shè)置有效期”對(duì)話框中，設(shè)置此CA生成的證書的有效期，默認(rèn)證書的有效期限為5年，CA僅在有效期內(nèi)才能頒發(fā)有效的證書。單擊“下一步”繼續(xù)。步驟九、在如圖13-10所示對(duì)話框中設(shè)置證書數(shù)據(jù)庫(kù)以及證書日志的存儲(chǔ)路徑，使用默認(rèn)值即可。單擊“下一步”繼續(xù)。13.2.1安裝證書服務(wù)步驟十、由于要同時(shí)安裝“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)”功能，因此單擊“下一步”按鈕時(shí)，顯示“Web服務(wù)器（IIS）”對(duì)話框，顯示IIS的簡(jiǎn)介信息，單擊“下一步”按鈕，出現(xiàn)Web服務(wù)的“選擇角色服務(wù)”對(duì)話框中，選擇為Web服務(wù)器（IIS）安裝的角色服務(wù)。此處保持默認(rèn)設(shè)置即可，單擊“下一步”繼續(xù)。步驟十一、出現(xiàn)“確認(rèn)安裝選擇”對(duì)話框，該對(duì)話框中列出了將要安裝的角色。單擊“安裝”按鈕繼續(xù)，開始安裝證書服務(wù)及相關(guān)組件。安裝完成后，在“安裝結(jié)果”對(duì)話框中顯示安裝成功，單擊“關(guān)閉”按鈕，完成證書服務(wù)的安裝。完成安裝后，系統(tǒng)重新啟動(dòng)IIS服務(wù)。在“管理工具”/“服務(wù)器管理”窗口中，展開“角色”/“ActiveDirectory證書服務(wù)”選項(xiàng)，展開“證書頒發(fā)機(jī)構(gòu)（本例中為HenanUniversityofTechnology）”管理控制臺(tái)，管理員使用它可以進(jìn)行證書服務(wù)的管理與設(shè)置，如圖13-11所示。13.2.2證書的頒發(fā)證書服務(wù)安裝成功后，可以打開管理工具中的“服務(wù)器管理”窗口，展開“角色”/“ActiveDirectory證書服務(wù)”選項(xiàng)，展開如圖13-11所示的“證書頒發(fā)機(jī)構(gòu)”管理控制臺(tái)窗口，顯示此計(jì)算機(jī)上已經(jīng)安裝好的證書服務(wù)，而且已經(jīng)自動(dòng)啟動(dòng)運(yùn)行。證書服務(wù)器管理分為“吊銷的證書”、“頒發(fā)的證書”、“掛起的申請(qǐng)”和“失敗的申請(qǐng)”四個(gè)目錄，“掛起的申請(qǐng)”用來(lái)存放證書申請(qǐng)文件，“頒發(fā)的證書”用來(lái)存放已經(jīng)審核通過并頒發(fā)的證書。13.2.2證書的頒發(fā)當(dāng)用戶申請(qǐng)證書后，用戶證書申請(qǐng)文件存放在“掛起的申請(qǐng)”文件夾內(nèi)，如圖13-12所示。選擇右側(cè)窗口中的證書請(qǐng)求記錄，通過雙擊記錄查看該記錄的詳細(xì)內(nèi)容，若符合CA證書頒發(fā)策略及要求，則右擊該記錄，選擇快捷菜單“所有任務(wù)”/“頒發(fā)”選項(xiàng)，如圖13-13所示。審核通過頒發(fā)此證書，證書將出現(xiàn)在“頒發(fā)的證書”文件夾內(nèi)，如圖13-14所示。13.2.3證書的備份為了防止證書服務(wù)器因意外故障或證書被誤刪而導(dǎo)致證書丟失，對(duì)用戶的使用造成損失，網(wǎng)絡(luò)管理員和用戶都應(yīng)定期備份證書服務(wù)器中的證書，以便在證書丟失或損壞時(shí)能夠及時(shí)還原，而不必再重新申請(qǐng)。證書的備份步驟如下：步驟一、以管理員用戶身份登錄到證書服務(wù)器，打開“服務(wù)器管理”窗口，選擇“角色”/“ActiveDirectory證書服務(wù)”選項(xiàng)。右擊證書服務(wù)器的名稱。單擊快捷菜單中的“所有任務(wù)”/“備份CA”命令，運(yùn)行證書頒發(fā)機(jī)構(gòu)備份向?qū)?，如圖13-15所示。該向?qū)椭脩魝浞葜匾畔?，如私鑰和證書頒發(fā)機(jī)構(gòu)（CA）證書、配置信息、頒發(fā)的證書日志和待定證書申請(qǐng)隊(duì)列等，單擊“下一步”繼續(xù)。13.2.3證書的備份步驟二、顯示如圖13-16所示的“要備份的項(xiàng)目”對(duì)話框，在“選擇要備份的項(xiàng)目”選項(xiàng)組中選擇要備份的項(xiàng)目，在“備份到這個(gè)位置”文本框中輸入備份證書的保存路徑，步驟三、單擊“下一步”按鈕，顯示如圖13-17所示的“選擇密碼”對(duì)話框，該密碼在訪問證書文件或還原數(shù)字證書時(shí)需要用到。步驟四、單擊“下一步”按鈕，顯示“正在完成證書頒發(fā)機(jī)構(gòu)備份向?qū)А睂?duì)話框，若沒有需要修改的地方，單擊“完成”按鈕，即可完成證書的備份操作。13.2.4證書的還原重新安裝服務(wù)器或因特殊原因?qū)е聰?shù)字證書丟失后，可以借助還原證書的方式，快速恢復(fù)數(shù)字證書服務(wù)。步驟如下：步驟一、打開“服務(wù)器管理”窗口，選擇“角色”，展開“ActiveDirectory證書服務(wù)”，右擊證書服務(wù)器的名稱，單擊快捷菜單中的“所有任務(wù)”/“還原CA”命令，顯示如圖13-18所示的提示框，提示還原證書過程中不能運(yùn)行ActiveDirectory證書服務(wù)，需要立即停止證書服務(wù)。單擊“確定”按鈕，停止ActiveDirectory證書服務(wù)，并啟動(dòng)證書頒發(fā)機(jī)構(gòu)還原向?qū)?。步驟二、單擊“下一步”按鈕，顯示如圖13-19所示的“要還原的項(xiàng)目”對(duì)話框，在“選擇要還原的項(xiàng)目”選項(xiàng)組中選擇要還原的項(xiàng)目。在“從這個(gè)位置還原”文本框中輸入備份證書所在的路徑，或單擊“瀏覽”按鈕進(jìn)行選擇，如本例中為：C:\Windows\zhengshu。13.2.4證書的還原步驟三、單擊“下一步”按鈕，顯示如圖13-20所示的“提供密碼”對(duì)話框，在“密碼”文本框中鍵入備份CA時(shí)設(shè)置的密碼。步驟四、單擊“下一步”按鈕，顯示“正在完成證書頒發(fā)機(jī)構(gòu)還原向?qū)А睂?duì)話框，在“您已選擇下列設(shè)置”列表框中列出了所作的設(shè)置，若需要修改，則單擊“上一步”按鈕返回重新設(shè)置；若不需要修改，則單擊“完成”按鈕，證書還原成功，顯示如圖13-21所示的提示框，提示是否要啟動(dòng)證書服務(wù)。單擊“是”按鈕，啟動(dòng)ActiveDirectory證書服務(wù)。13.2.5證書的吊銷與解除一、吊銷證書打開“服務(wù)器管理”窗口，選擇“角色”，展開“ActiveDirectory證書服務(wù)”，在“頒發(fā)的證書”列表中右擊欲吊銷的證書，單擊快捷菜單中的“所有任務(wù)”/“吊銷證書”命令，如圖13-22所示。顯示如圖13-23所示的“證書吊銷”對(duì)話框，在“理由碼”下拉列表框中選擇吊銷的原因，如果選擇的證書吊銷原因是“證書待定”，則該吊銷的證書可以還原。單擊“是”按鈕，即可吊銷該證書。當(dāng)證書被吊銷后，將顯示在“吊銷的證書”列表中，如圖12-24所示。13.2.5證書的吊銷與解除二、解除吊銷的證書如果有些已經(jīng)吊銷的證書需要繼續(xù)使用，也可以將這些證書解除吊銷。但需要注意的是，只有吊銷原因?yàn)椤白C書待定”的證書才能解除吊銷，因其他原因吊銷的證書將不能解除吊銷。證書的解除吊銷操作如下：打開“服務(wù)器管理”窗口，選擇“角色”，展開“ActiveDirectory證書服務(wù)”，在“吊銷的證書”列表中右擊欲解除吊銷的證書，單擊快捷菜單中的“所有任務(wù)”/“解除吊銷證書”命令即可。如果證書無(wú)法被解除吊銷，將出現(xiàn)“取消吊銷命令失敗”提示框，提示解除吊銷失敗。目錄13.1證書服務(wù)的基本概念13.2安裝與配置證書服務(wù)13.3客戶端申請(qǐng)和安裝證書13.3.1安裝CA證書運(yùn)行IE瀏覽器，連接上節(jié)中安裝好的證書服務(wù)器，如本例為“17/certsrv”，出現(xiàn)如圖13-25所示頁(yè)面。在頁(yè)面中選擇“下載一個(gè)CA證書、證書鏈或CRL”鏈接，進(jìn)入如圖13-26所示頁(yè)面。在如圖13-26所示頁(yè)面中選擇“下載CA證書”鏈接，可以將CA證書文件（擴(kuò)展名為.crt）下載并保存到本地磁盤上，也可以選擇“安裝此CA證書鏈”鏈接，系統(tǒng)自動(dòng)將CA證書安裝到本地操作系統(tǒng)。13.3.1安裝CA證書證書下載到本地磁盤后，可以安裝到操作系統(tǒng)中。在IE瀏覽器中選擇“工具”/“Internet選項(xiàng)”/“內(nèi)容”/“證書”，打開“證書瀏覽”對(duì)話框，選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”選項(xiàng)卡，單擊“導(dǎo)入”按鈕，進(jìn)入證書導(dǎo)入向?qū)?，單擊“下一步”繼續(xù)。在如圖13-27所示對(duì)話框中，指定要導(dǎo)入的CA證書的存放位置，如本例中為：“D:\迅雷下載”。單擊“下一步”繼續(xù)。在如圖13-28所示對(duì)話框中選擇導(dǎo)入證書存放區(qū)域，因?yàn)槭鞘苄湃蔚母鵆A證書，所以將其導(dǎo)入到“受信任的根證書頒發(fā)機(jī)構(gòu)”區(qū)域中。單擊“下一步”繼續(xù)。13.3.1安裝CA證書出現(xiàn)如圖13-29所示的“完成證書導(dǎo)入向?qū)А睂?duì)話框，詳細(xì)列出了已經(jīng)指定的相關(guān)設(shè)置，如本例中用戶選定的證書存儲(chǔ)是“受信任的證書頒發(fā)機(jī)構(gòu)”、內(nèi)容為“證書”、文件名為“D:\迅雷下載”，若不需要修改，則單擊“完成”按鈕，則彈出“安全警告”對(duì)話框，提示客戶需確認(rèn)信任證書頒發(fā)機(jī)構(gòu)及安裝的證書，選擇“是”按鈕，完成CA證書導(dǎo)入。此時(shí)，在“受信任的根證書頒發(fā)機(jī)構(gòu)”區(qū)域內(nèi)將增加剛下載的CA證書，如圖13-30所示，雙擊該CA證書可以查看證書詳細(xì)內(nèi)容。13.3.2申請(qǐng)并安裝客戶證書企業(yè)內(nèi)部安裝好證書服務(wù)器后，相當(dāng)于企業(yè)擁有了一個(gè)CA中心。用戶可以從CA中心申請(qǐng)并安裝一個(gè)個(gè)人證書。打開IE瀏覽器，在地址欄中輸入證書服務(wù)器連接地址，本例中證書服務(wù)器地址為“17/certsrv”，打開如圖13-25所示頁(yè)面，選擇“申請(qǐng)一個(gè)證書”鏈接，進(jìn)入如圖13-31所示頁(yè)面。以申請(qǐng)用于電子郵件安全應(yīng)用證書為例，選擇“電子郵件保護(hù)證書”鏈接，彈出如圖13-32所示頁(yè)面，輸入相關(guān)信息，然后單擊“提交”按鈕。13.3.2申請(qǐng)并安裝客戶證書信息輸入完成后，單擊“提交”按鈕，服務(wù)器接受提交信息，返回如圖13-33所示頁(yè)面，提示接受用戶申請(qǐng)的ID號(hào)，并提示用此瀏覽器在10天內(nèi)檢查證書申請(qǐng)。若證書頒發(fā)服務(wù)器已經(jīng)審核并接受了用戶證書申請(qǐng)，并頒發(fā)了該證書，則返回如圖13-35所示頁(yè)面。此時(shí)，用戶選擇“安裝此證書”鏈接就可以安裝證書了。13.3.3證書