虛擬機教程第十三章證書

學(xué)習(xí)目的證書效力的根本概念安裝與配置證書效力器客戶端證書安裝與運用公鑰根底設(shè)備PKI是目前實施網(wǎng)絡(luò)平安運用的主要技術(shù)，其中心技術(shù)即使用公鑰數(shù)字證書實現(xiàn)主體身份和公鑰的綁定，制成各種平安機制的運用。WindowsServer2003提供了公鑰證書管理工具，運用該工具可以方便產(chǎn)生、頒發(fā)、注銷數(shù)字證書，架構(gòu)企業(yè)本人的認證中心。本章引見證書效力器的配置與管理，包括以下主要內(nèi)容：目錄13.1證書效力的根本概念13.2安裝與配置證書效力13.3客戶端懇求和安裝證書13.1證書效力的根本概念公鑰數(shù)字證書〔又稱為公鑰證書、數(shù)字證書、Certificates〕簡稱證書，是用于綁定實體身份和公鑰信息的經(jīng)過權(quán)威機構(gòu)數(shù)字簽名的聲明，以文件的方式存在，證書將公鑰與保管對應(yīng)私鑰的實體綁定在一同。證書普通由可信的權(quán)威第三方CA中心〔權(quán)威授權(quán)機構(gòu)〕頒發(fā)，CA對其頒發(fā)的證書進展數(shù)字簽名，以保證所頒發(fā)證書的完好性和可鑒別性。CA可以為用戶、計算機或效力等各類實體頒發(fā)證書。13.1證書效力的根本概念公鑰證書以公鑰密碼算法為根底。公鑰密碼算法基于復(fù)雜數(shù)學(xué)問題構(gòu)建公鑰和私鑰的映射關(guān)系。運用公鑰加密數(shù)據(jù)〔數(shù)據(jù)加密〕，只能運用對應(yīng)的私鑰解密〔數(shù)據(jù)解密〕。運用私鑰加密數(shù)據(jù)〔稱數(shù)字簽名〕，只能運用對應(yīng)公鑰解密〔簽名驗證〕。13.1證書效力的根本概念廣泛運用的證書格式基于國際電信聯(lián)盟電信規(guī)范部門〔ITU-T〕建議的X.509v3規(guī)范。X.509證書包括公鑰和有關(guān)證書授予的人員或?qū)嶓w的信息、有關(guān)證書的有效期、用途等信息，以及有關(guān)頒發(fā)證書的CA的信息。實體的主題〔或主體，Subject〕標(biāo)示證書的持有者，證書的頒發(fā)者〔Issuer〕和簽名者是CA。13.1證書效力的根本概念證書只在證書頒發(fā)者對該證書指定的時間段內(nèi)有效。每個證書包含“有效期從〞和“有效期至〞日期，這兩個日期設(shè)置了證書有效期的界限。一旦超越證書的有效期，證書持有者必需重新懇求證書。假設(shè)由于某種緣由，如證書主體私鑰泄密、證書主體身份變卦等，必需撤銷證書的運用，頒發(fā)者可以吊銷證書。每個頒發(fā)者〔CA〕維護一個證書吊銷列表〔CRL〕。13.1證書效力的根本概念I(lǐng)E閱讀器，“工具〞/“Internet選項〞菜單，選擇“內(nèi)容〞選項卡，單擊“證書〞按鈕。對話框包括“個人〞、“其他人〞、“中級證書頒發(fā)機構(gòu)〞、“受信任的根證書頒發(fā)機構(gòu)〞等不同證書存儲區(qū)域。目錄13.1證書效力的根本概念13.2安裝與配置證書效力13.3客戶端懇求和安裝證書13.2.1安裝證書效力安裝WindowsServer2003證書效力組件證書效力子組件詳細信息13.2.1安裝證書效力設(shè)置CA類型13.2.1安裝證書效力選擇加密效力提供程序13.2.1安裝證書效力設(shè)置CA的公用稱號13.2.1安裝證書效力證書數(shù)據(jù)庫設(shè)置13.2.1安裝證書效力完成安裝后，系統(tǒng)重新啟動IIS效力。在“管理工具〞運用程序組中添加了“證書頒發(fā)機構(gòu)〞管理控制臺，管理員運用它可以進展證書效力的管理與設(shè)置。證書效力安裝完成后，在證書效力器上將添加一個共享文件夾%SystemRoot%\system32\certsrv\CertEnroll，下面存放CA的根證書和證書撤銷列表〔CRL〕文件。同時，在效力器的IIS效力中將添加證書效力的Web效力。13.2.2管理證書效力器“證書頒發(fā)機構(gòu)〞管理證書效力器處置掛起的證書懇求13.2.2管理證書效力器處置頒發(fā)的證書目錄13.1證書效力的根本概念13.2安裝與配置證書效力13.3客戶端懇求和安裝證書13.3.1安裝CA證書安裝受信任的CA根證書訪問證書效力器13.3.1安裝CA證書下載CA證書頁面13.3.1安裝CA證書證書下載到本地磁盤后，可以安裝到操作系統(tǒng)中。在IE閱讀器中選擇“工具〞/“Internet選項〞/“內(nèi)容〞/“證書〞，翻開“證書〞對話框，選擇“受信任的根證書頒發(fā)機構(gòu)〞選項卡，單擊“導(dǎo)入〞按鈕，進入證書導(dǎo)入導(dǎo)游。選擇證書導(dǎo)入文件13.3.1安裝CA證書選擇證書導(dǎo)入?yún)^(qū)域13.3.1安裝CA證書“受信任的根證書頒發(fā)機構(gòu)〞區(qū)域內(nèi)將添加剛下載的CA證書。13.3.2懇求并安裝客戶證書懇求用戶證書頁面13.3.2懇求并安裝客戶證書懇求電子郵件維護證書13.3.2懇求并安裝客戶證書證書懇求頁面13.3.2懇求并安裝客戶證書查詢證書懇求的形狀13.3.2懇求并安裝客戶證書查詢證書懇求13.3.3證書運用運轉(zhuǎn)OutlookExpress，選擇“工具〞菜單中的“賬戶〞，彈出“Internet賬戶〞對話框。選擇“郵件〞選項卡，選擇郵箱賬戶，單擊“屬性〞按鈕。郵件賬戶設(shè)置13.3.3證書運用為郵件平安效力添加證書選擇證書13.3.3證書運用運用OutlookExpress簽名和加密郵件小結(jié)本章引見了WindowsServer2003證書效力的安裝與配置，給出了完好的用戶懇求數(shù)字證書的過