虛擬機(jī)教程第十三章證書

學(xué)習(xí)目的證書效力的根本概念安裝與配置證書效力器客戶端證書安裝與運(yùn)用公鑰根底設(shè)備PKI是目前實(shí)施網(wǎng)絡(luò)平安運(yùn)用的主要技術(shù)，其中心技術(shù)即使用公鑰數(shù)字證書實(shí)現(xiàn)主體身份和公鑰的綁定，制成各種平安機(jī)制的運(yùn)用。WindowsServer2003提供了公鑰證書管理工具，運(yùn)用該工具可以方便產(chǎn)生、頒發(fā)、注銷數(shù)字證書，架構(gòu)企業(yè)本人的認(rèn)證中心。本章引見證書效力器的配置與管理，包括以下主要內(nèi)容：目錄13.1證書效力的根本概念13.2安裝與配置證書效力13.3客戶端懇求和安裝證書13.1證書效力的根本概念公鑰數(shù)字證書〔又稱為公鑰證書、數(shù)字證書、Certificates〕簡(jiǎn)稱證書，是用于綁定實(shí)體身份和公鑰信息的經(jīng)過權(quán)威機(jī)構(gòu)數(shù)字簽名的聲明，以文件的方式存在，證書將公鑰與保管對(duì)應(yīng)私鑰的實(shí)體綁定在一同。證書普通由可信的權(quán)威第三方CA中心〔權(quán)威授權(quán)機(jī)構(gòu)〕頒發(fā)，CA對(duì)其頒發(fā)的證書進(jìn)展數(shù)字簽名，以保證所頒發(fā)證書的完好性和可鑒別性。CA可以為用戶、計(jì)算機(jī)或效力等各類實(shí)體頒發(fā)證書。13.1證書效力的根本概念公鑰證書以公鑰密碼算法為根底。公鑰密碼算法基于復(fù)雜數(shù)學(xué)問題構(gòu)建公鑰和私鑰的映射關(guān)系。運(yùn)用公鑰加密數(shù)據(jù)〔數(shù)據(jù)加密〕，只能運(yùn)用對(duì)應(yīng)的私鑰解密〔數(shù)據(jù)解密〕。運(yùn)用私鑰加密數(shù)據(jù)〔稱數(shù)字簽名〕，只能運(yùn)用對(duì)應(yīng)公鑰解密〔簽名驗(yàn)證〕。13.1證書效力的根本概念廣泛運(yùn)用的證書格式基于國際電信聯(lián)盟電信規(guī)范部門〔ITU-T〕建議的X.509v3規(guī)范。X.509證書包括公鑰和有關(guān)證書授予的人員或?qū)嶓w的信息、有關(guān)證書的有效期、用途等信息，以及有關(guān)頒發(fā)證書的CA的信息。實(shí)體的主題〔或主體，Subject〕標(biāo)示證書的持有者，證書的頒發(fā)者〔Issuer〕和簽名者是CA。13.1證書效力的根本概念證書只在證書頒發(fā)者對(duì)該證書指定的時(shí)間段內(nèi)有效。每個(gè)證書包含“有效期從〞和“有效期至〞日期，這兩個(gè)日期設(shè)置了證書有效期的界限。一旦超越證書的有效期，證書持有者必需重新懇求證書。假設(shè)由于某種緣由，如證書主體私鑰泄密、證書主體身份變卦等，必需撤銷證書的運(yùn)用，頒發(fā)者可以吊銷證書。每個(gè)頒發(fā)者〔CA〕維護(hù)一個(gè)證書吊銷列表〔CRL〕。13.1證書效力的根本概念I(lǐng)E閱讀器，“工具〞/“Internet選項(xiàng)〞菜單，選擇“內(nèi)容〞選項(xiàng)卡，單擊“證書〞按鈕。對(duì)話框包括“個(gè)人〞、“其他人〞、“中級(jí)證書頒發(fā)機(jī)構(gòu)〞、“受信任的根證書頒發(fā)機(jī)構(gòu)〞等不同證書存儲(chǔ)區(qū)域。目錄13.1證書效力的根本概念13.2安裝與配置證書效力13.3客戶端懇求和安裝證書13.2.1安裝證書效力安裝WindowsServer2003證書效力組件證書效力子組件詳細(xì)信息13.2.1安裝證書效力設(shè)置CA類型13.2.1安裝證書效力選擇加密效力提供程序13.2.1安裝證書效力設(shè)置CA的公用稱號(hào)13.2.1安裝證書效力證書數(shù)據(jù)庫設(shè)置13.2.1安裝證書效力完成安裝后，系統(tǒng)重新啟動(dòng)IIS效力。在“管理工具〞運(yùn)用程序組中添加了“證書頒發(fā)機(jī)構(gòu)〞管理控制臺(tái)，管理員運(yùn)用它可以進(jìn)展證書效力的管理與設(shè)置。證書效力安裝完成后，在證書效力器上將添加一個(gè)共享文件夾%SystemRoot%\system32\certsrv\CertEnroll，下面存放CA的根證書和證書撤銷列表〔CRL〕文件。同時(shí)，在效力器的IIS效力中將添加證書效力的Web效力。13.2.2管理證書效力器“證書頒發(fā)機(jī)構(gòu)〞管理證書效力器處置掛起的證書懇求13.2.2管理證書效力器處置頒發(fā)的證書目錄13.1證書效力的根本概念13.2安裝與配置證書效力13.3客戶端懇求和安裝證書13.3.1安裝CA證書安裝受信任的CA根證書訪問證書效力器13.3.1安裝CA證書下載CA證書頁面13.3.1安裝CA證書證書下載到本地磁盤后，可以安裝到操作系統(tǒng)中。在IE閱讀器中選擇“工具〞/“Internet選項(xiàng)〞/“內(nèi)容〞/“證書〞，翻開“證書〞對(duì)話框，選擇“受信任的根證書頒發(fā)機(jī)構(gòu)〞選項(xiàng)卡，單擊“導(dǎo)入〞按鈕，進(jìn)入證書導(dǎo)入導(dǎo)游。選擇證書導(dǎo)入文件13.3.1安裝CA證書選擇證書導(dǎo)入?yún)^(qū)域13.3.1安裝CA證書“受信任的根證書頒發(fā)機(jī)構(gòu)〞區(qū)域內(nèi)將添加剛下載的CA證書。13.3.2懇求并安裝客戶證書懇求用戶證書頁面13.3.2懇求并安裝客戶證書懇求電子郵件維護(hù)證書13.3.2懇求并安裝客戶證書證書懇求頁面13.3.2懇求并安裝客戶證書查詢證書懇求的形狀13.3.2懇求并安裝客戶證書查詢證書懇求13.3.3證書運(yùn)用運(yùn)轉(zhuǎn)OutlookExpress，選擇“工具〞菜單中的“賬戶〞，彈出“Internet賬戶〞對(duì)話框。選擇“郵件〞選項(xiàng)卡，選擇郵箱賬戶，單擊“屬性〞按鈕。郵件賬戶設(shè)置13.3.3證書運(yùn)用為郵件平安效力添加證書選擇證書13.3.3證書運(yùn)用運(yùn)用OutlookExpress簽名和加密郵件小結(jié)本章引見了WindowsServer2003證書效力的安裝與配置，給出了完好的用戶懇求數(shù)字證書的過