Windows Server网络操作系统项目教程 课件 第10章 CA服务器配置管理

WindowsServer网络操作系统项目教程（WindowsServer2019）（微课版）第10章CA服务器配置管理重点AKEY知识PKI技术的优势与应用数字证书及其应用规划部署CA服务器配置客户端计算机浏览器信任CA在Web服务器上配置证书服务公钥基础设施和数字证书技能实践数字签名10.1.1PKI的定义及组成PKI是利用公钥密码理论和技术建立起来的，它不针对具体的某一种网络应用，而是提供一个通用性的基础平台，并对外提供了友好的接口。PKI采用证书管理公钥，通过CA把用户的公钥和其他标识信息进行绑定，实现用户身份认证。用户可以利用PKI所提供的安全服务，保证传输信息的保密性、完整性和不可否认性，从而实现安全的通信。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI用公钥概念和技术实施，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性的安全基础设施服务。10.1.1PKI的定义及组成完整的PKI系统包括五大部分。0102030405CA数字证书库密钥备份及恢复系统证书作废系统APIPKI系统10.1.2PKI技术的优势与应用1．PKI技术的优势PKI采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。由于密码技术的采用，保护机密性是PKI得天独厚的优点。由于数字证书可以由用户独立验证，不需要在线查询，原理上能够保证服务范围的无限制扩张，这使得PKI能够成为一种可以服务巨大用户群体的基础设施。PKI提供了证书的撤销机制，从而使得其应用领域不受具体应用的限制。PKI具有极强的互连能力。10.1.2PKI技术的优势与应用2．PKI技术的应用（1）VPN企业在架构VPN时会利用防火墙和访问控制技术来提高VPN的安全性，这只解决了很少的一部分问题，而一个现代VPN所需要的安全保障，如认证、机密、完整、不可否认以及易用性等都需要采用更完善的安全技术。就技术而言，除了基于防火墙的VPN之外，还可以有其他的结构方式，如基于黑盒的VPN、基于路由器的VPN、基于远程访问的VPN或者基于软件的VPN。VPN的基本思想是采用秘密通信通道，用加密的方法来实现。其具体协议一般有3种：PPTP、L2TP和IPSec。10.1.2PKI技术的优势与应用（2）安全电子邮件随着Internet的持续发展，商业机构或政府机构都开始用电子邮件交换一些信息，这就引出了一些安全方面的问题：安全问题信任问题AB消息和附件可以在不为通信双方所知的情况下被读取、篡改或拦截没有办法可以确定一封电子邮件是否真的来自某人，也就是说，发信者的身份可能被人伪造利用数字证书和私钥，用户可以对其所发的电子邮件进行数字签名，这样就可以保证电子邮件的可认证性、完整性和不可否认性。如果证书是由用户所属公司或某一可信任的第三方颁发的，那么收到电子邮件的人就可以信任该电子邮件，而不用管其是否认识发送电子邮件的人。10.1.2PKI技术的优势与应用（3）Web安全浏览Web页面是人们常用的访问Internet的方式。1234诈骗攻击泄露篡改10.1.2PKI技术的优势与应用（4）电子商务的应用PKI技术是解决电子商务安全问题的关键，综合PKI的各种应用，可以建立一个可信任和足够安全的网络。其中有可信任的认证中心，典型的如银行、政府或其他第三方。在通信中，利用数字证书可消除匿名带来的风险，利用加密技术可消除开放网络带来的风险，这样，商业交易就可以安全、可靠地在网络上进行了。10.1.3数字证书及其应用1．数字证书的基本内容最简单的数字证书包括所有者的公钥、名称及认证机构的数字签名。通常情况下，数字证书还包括证书的序列号、密钥的有效时间、认证机构名称等信息。目前常用的数字证书是X.509格式的，它包括以下几项基本内容。证书的版本信息。证书的序列号，这个序列号在同一个证书机构中是唯一的。证书的认证机构名称。证书所采用的签名算法名称。证书的有效时间。证书所有者的名称。证书所有者的公钥信息。证书认证机构对证书的签名。10.1.3数字证书及其应用在IE浏览器的“Internet选项”对话框中选择“内容”选项卡，单击“证书”按钮，弹出“证书”对话框，从中可以查看本机已经安装的数字证书，如图10.1所示。选择某一个证书，单击“查看”按钮，弹出“证书”对话框，可以查看证书的常规信息、详细信息等，如图10.2和图10.3所示。10.1.3数字证书及其应用2．数字证书的应用数字证书主要应用于各种需要身份认证的场合。保证网上银行的安全通过证书防范网站被假冒发送安全邮件屏蔽插件安装窗口防止网上投假票保护Office文档安全公钥基础设施和数字证书技能实践数字签名10.2.1数字签名概述数字签名（又称公钥数字签名）是只有信息的发送者才能生成的、别人无法伪造的一段数字，这段数字同时是对信息发送者所发送信息真实性的有效证明。它是一种类似写在纸上的普通的物理签名，使用了公钥加密领域的技术来实现，它是用于鉴别数字信息的方法。一套数字签名通常定义了两种互补的运算：一个用于签名，另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。10.2.1数字签名概述1．数字签名的特点鉴权公钥加密系统允许任何人在发送信息时使用公钥进行加密，在接收信息时使用私钥解密。鉴权的重要性在财务数据上表现得尤为突出完整性虽然加密使得第三方想要读取数据变得十分困难，但是第三方仍然能采取可行的方法在传输的过程中修改数据，而数字签名就可以验证数据的完整性不可抵赖性消息的接收方可以通过数字签名来防止所有后续的抵赖行为，因为接收方可以出示签名以证明信息的来源10.2.1数字签名概述2．数字签名的主要功能因为私钥只有签名者自己知道，所以其他人不可能进行伪造防冒充（伪造）在网络环境下，接收方通过数字签名能够鉴别发送方所宣称的身份可鉴别身份对于数字签名，签名与原有文件已经形成一个混合的整体数据，不可能被篡改防篡改（保证信息的完整性）在数字签名中，如果对签名报文采用了添加流水号、时间戳等技术，则可以防止重放攻击防重放在数字签名体制中，要预防接收方的抵赖，需要求接收方在收到信息后，返回一个自己签名的表示收到的报文给发送方或者第三方防抵赖数字签名可以加密要签名的消息，当然，如果签名的报文不要求机密性，也可以不用加密机密性（保密性）10.2.2数字签名的实现方法一个完善的数字签名应该解决3个问题。020103接收方能够核实发送方的报文的签名，如果当事双方对签名真伪发生争议，则应该能够在第三方的监督下通过验证签名来确认其真伪发送方事后不能否认自己对报文的签名任何人都不能伪造发送方签名，也不能对接收或发送的信息进行篡改、伪造10.2.2数字签名的实现方法数字签名的实现思想假设发送方A要发送一个报文信息S给接收方B，那么A采用私钥SKA对报文S进行解密运算（可以把这里的解密看作一种数学运算，而不是一定要经过加密运算的报文才能进行解密。这里A并非为了加密报文，而是为了实现数字签名），实现对报文的签名，并将结果DSKA（S）发送给接收方B。B在接收到DSKA（S）后，采用已知的A的公钥PKA对报文进行加密运算，就可以得到S=EPKA（DSKA（S）），核实签名，其实现过程如图10.4所示。10.2.2数字签名的实现方法为了使报文在传输过程中实现加密，采用如下方法：在将报文DSKA（S）发送出去之前，先用B的公钥PKB对报文进行加密；B在接收到报文后，先用私钥SKB对报文进行解密，再验证签名，这样可以达到加密和数字签名的双重效果，实现具有保密性的数字签名，其实现过程如图10.5所示。10.2.2数字签名的实现方法数字签名的功效能确定消息的完整性，因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字摘要的值也将发生变化能确定消息确实是由发送方签名并发出的，因为别人假冒不了发送方的签名不同的文件将得到不同的数字摘要。一次数字签名涉及一个哈希函数、接收方的公钥、发送方的私钥。公钥基础设施和数字证书技能实践数字签名10.3技能实践若使用WindowsServer2019的ADCS来提供CA服务，则可以选择将CA设置为以下角色之一。企业根CA（EnterpriseRootCA）企业从属CA（EnterpriseSubordinateCA）独立根CA（StandaloneRootCA）独立从属CA（StandaloneSubordinateCA）10.3.1规划部署CA服务器实现网站SSL连接访问，部署CA服务器的网络拓扑结构图如图10.6所示。1．项目规划在部署CA服务器之前需完成如下配置。在服务器server-01上部署域环境，域名为。设置CA服务器的TCP/IP属性，如设置其IP地址、子网掩码、默认网关和DNS服务器的IP地址等相关信息。设置CA客户端的TCP/IP属性，如设置其IP地址、子网掩码、默认网关和DNS服务器的IP地址等相关信息。10.3.1规划部署CA服务器2．环境部署CA服务器的主机名为server-01，该主机既是域控制器、DNS服务器、Web服务器，又是CA服务器，连接外部网络网卡的IP地址为00/24，默认网关为。CA客户端（Web客户端）win10-user01的IP地址为0/24，网关为。10.3.2安装证书服务并部署独立根CA1．安装证书服务以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“管理”→“添加角色和功能”命令，打开“添加角色和功能向导”窗口，持续单击“下一步”按钮，直到进入“选择服务器角色”界面，如图10.7所示，勾选“ActiveDirectory证书服务”复选框，在弹出的“添加角色和功能”对话框中单击“添加功能”按钮10.3.2安装证书服务并部署独立根CA持续单击“下一步”按钮，直到进入“选择角色服务”界面，在“角色服务”列表框中，勾选“证书颁发机构”“证书颁发机构Web注册”“证书注册Web服务”“证书注册策略Web服务”复选框，如图10.8所示，在随后弹出的对话框中单击“添加功能”按钮，持续单击“下一步”按钮，直到进入确认安装所选内容界面，单击“安装”按钮。安装完成后，单击“关闭”按钮，重新启动计算机。10.3.2安装证书服务并部署独立根CA2．部署独立根CA打开“服务器管理器”窗口，在“仪表板”右侧单击黄色正三角形图标，弹出“部署后配置”对话框，如图10.9所示单击“配置目标服务器上的ActiveDirectory证书服务”链接，打开“ADCS配置”窗口，如图10.10所示10.3.2安装证书服务并部署独立根CA单击“下一步”按钮，进入“角色服务”界面，如图10.11所示，勾选“证书颁发机构”“证书颁发机构Web注册”“证书注册策略Web服务”复选框单击“下一步”按钮，进入“设置类型”界面，如图10.12所示。10.3.2安装证书服务并部署独立根CA单击“独立CA”单选按钮，单击“下一步”按钮，进入“CA类型”界面，如图10.13所示单击“根CA”单选按钮，单击“下一步”按钮，进入“私钥”界面，如图10.14所示。10.3.2安装证书服务并部署独立根CA单击“创建新的私钥”单选按钮，单击“下一步”按钮，进入“CA的加密”界面，如图10.15所示单击“下一步”按钮，进入“CA名称”界面，如图10.16所示10.3.2安装证书服务并部署独立根CA指定CA名称，单击“下一步”按钮，进入“有效期”界面，如图10.17所示，指定有效期，CA的有效期默认为5年单击“下一步”按钮，进入“CA数据库”界面，如图10.18所示10.3.2安装证书服务并部署独立根CA指定数据库的位置，单击“下一步”按钮，进入“CEP的身份验证类型”界面，如图10.19所示，单击“Windows集成身份验证”单选按钮单击“下一步”按钮，进入“服务器证书”界面，如图10.20所示10.3.2安装证书服务并部署独立根CA单击“为SSL加密选择现有证书（推荐）”单选按钮，指定服务器身份验证证书，单击“下一步”按钮，进入“确认”界面，如图10.21所示单击“配置”按钮，显示进度安装过程，最后进入“结果”界面，如图10.22所示，单击“关闭”按钮，完成独立根CA的配置。10.3.2安装证书服务并部署独立根CA打开“服务器管理器”窗口，选择“工具”→“证书颁发机构”命令，打开“certsrv-[证书颁发机构（本地）]”窗口，如图10.23所示。10.3.2安装证书服务并部署独立根CA3．DNS服务器配置与测试网站准备在域控制器server-01上配置DNS服务器，相应操作如图10.24所示。新建网站SSL-test-01，相应操作如图10.25所示。10.3.2安装证书服务并部署独立根CA为了测试SSL-test-01网站是否正常，在网站主目录（D:\web）下创建index.html首页文件，文件内容为“welcometohere!”，在Web客户端上进行访问测试，如图10.26所示。10.3.3配置客户端计算机浏览器信任CA以管理员账户登录域控制器server-01，正确配置DNS服务器与Web网站，开启默认Web站点（DefaultWebSite）。在客户端计算机（win10-user01）上打开IE浏览器，并在其地址栏中输入URL“00/certsrv”，按“Enter”键，打开“MicrosoftActiveDirectory证书服务”窗口，如图10.27所示。单击“下载CA证书、证书链或CRL”链接，进入“下载CA证书、证书链或CRL”页面，单击“下载CA证书”链接，在弹出的提示对话框中单击“保存”按钮右侧的下拉按钮，在下拉列表中选择“另存为”选项，如图10.28所示，将证书下载到本地C:\cert文件夹中，其默认文件名为certnew.cer。10.3.3配置客户端计算机浏览器信任CA按“Win+R”组合键，弹出“运行”对话框，输入mmc命令，单击“确定”按钮，打开“控制台1-[控制台根节点]”窗口，选择“文件”→“添加/删除管理单元”命令，如图10.29所示弹出“添加或删除管理单元”对话框，如图10.30所示。10.3.3配置客户端计算机浏览器信任CA在“可用的管理单元”列表框中选择“证书”选项，单击“添加”按钮，弹出“证书管理单元”对话框，如图10.31所示，单击“计算机账户”单选按钮，单击“下一步”按钮弹出“选择计算机”对话框,单击“本地计算机（运行此控制台的计算机）”单选按钮，如图10.32所示，单击“完成”按钮，返回“控制台1-[控制台根节点]”窗口。10.3.3配置客户端计算机浏览器信任CA在“控制台1-[控制台根节点]”窗口中，选择“控制台根节点”→“证书（本地计算机）”→“受信任的根证书颁发机构”→“证书”选项并单击鼠标右键，在弹出的快捷菜单中选择“所有任务”→“导入”命令，如图10.33所示，弹出“证书导入向导”对话框，如图10.34所示。10.3.3配置客户端计算机浏览器信任CA单击“下一步”按钮，进入“要导入的文件”界面，如图10.35所示选择要导入文件的路径，单击“下一步”按钮，进入“证书存储”界面，如图10.36所示。10.3.3配置客户端计算机浏览器信任CA单击“将所有的证书都放入下列存储”单选按钮，单击“下一步”按钮，进入“正在完成证书导入向导”界面，如图10.37所示单击“完成”按钮，弹出“导入成功”提示对话框，如图10.38所示。10.3.3配置客户端计算机浏览器信任CA单击“确定”按钮，返回“控制台1-[控制台根节点]”窗口，选择“控制台根节点”→“证书（本地计算机）”→“受信任的根证书颁发机构”→“证书”选项，在右侧窗格中可以查看刚刚导入的证书abc-SERVER-01-CA，如图10.39所示。10.3.4在Web服务器上配置证书服务1．在网站上创建证书申请文件以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“工具”→“InternetInformationServices（IIS）管理器”命令，打开“InternetInformationServices（IIS）管理器”窗口，选择“SERVER-01（ABC\Administrator）”选项，在右侧窗格中选择“服务器证书”选项，如图10.40所示，双击“服务器证书”选项，进入“服务器证书”界面，如图10.41所示。10.3.4在Web服务器上配置证书服务在“操作”选项组中单击“创建证书申请”链接，弹出“申请证书”对话框，指定证书的必需信息（注：此处的通用名称一定要与需要保护的Web网站的名称一致，即“DNS1.”），如图10.42所示，单击“下一步”按钮，进入“加密服务提供程序属性”界面，如图10.43所示。单击“下一步”按钮，进入“文件名”界面，为证书申请指定文件名与存储位置，如图10.44所示，单击“完成”按钮，完成证书申请。10.3.4在Web服务器上配置证书服务2．申请证书与下载证书以管理员账户登录域控制器server-01，打开“服务器管理器”窗口，选择“本地服务器”选项，在右侧窗格中，选择“IE增强的安全配置”选项，单击“启动”按钮，弹出“InternetExplorer增强的安全配置”对话框，在“管理员”选项组中单击“关闭”单选按钮，如图10.45所示。10.3.4在Web服务器上配置证书服务打开IE浏览器，并在其地址栏中输入URL“00/certsrv”，按“Enter”键，打开“MicrosoftActiveDirectory证书服务”窗口，单击“申请证书”→“高级证书申请”链接，进入“高级证书申请”界面，如图10.46所示。在开始下一个步骤之前，先利用记事本打开前面的证书申请文件“D:\cert\web-cert.txt”，再复制整个文件的内容，如图10.47所示。10.3.4在Web服务器上配置证书服务在“高级证书申请”界面中，单击“使用base64编码的CMC……”链接，进入“提交一个证书申请或续订申请”界面，将复制的证书申请文件内容粘贴到“保存的申请”列表框中，如图10.48所示单击“提交”按钮，进入“证书正在挂起”界面，如图10.49所示。10.3.4在Web服务器上配置证书服务开“服务器管理器”窗口，选择“工具”→“证书颁发机构”命令，选择“证书颁发机构（本地）”→“abc-SERVER-01-CA”→“挂起的申请”选项，在右侧窗格中选择证书请求并单击鼠标右键，在弹出的快捷菜单中选择“所有任务”→“颁发”命令，如图10.50所示。该证书由“挂起的申请”文件夹移动到“颁发的证书”文件夹中，选择“颁发的证书”选项，查看颁发的证书，如图10.51所示。因为独立根CA默认不会自动颁发证书，所以需要等待CA系统管理员发放此证书后，再连接CA下载证书，该证书ID为2。10.3.4在Web服务器上配置证书服务回到域控制器server-01上，打开IE浏览器，并在其地址栏中输入URL“00/certsrv”，按“Enter”键，打开“MicrosoftActiveDirectory证书服务”窗口，单击“查看挂起的证书申请的状态”链接，进入“查看挂起的证书申请的状态”界面，如图10.52所示单击“保存的申请证书……”链接，进入“证书已颁发”界面，单击“Base64编码”单选按钮，单击“下载证书”链接，在弹出的提示对话框中单击“保存”按钮，如图10.53所示，将证书保存到本地，其默认文件名为certnew.cer。10.3.4在Web服务器上配置证书服务3．安装证书打开“服务器管理器”窗口，选择“工具”→“InternetInformationServices（IIS）管理器”命令，打开“InternetInformationServices（IIS）管理器”窗口，选择“SERVER-01（ABC\Administrator）”选项，在右侧窗格中双击“服务器证书”选项，进入“服务器证书”界面，如图10.54所示，在“操作”选项组中单击“完成证书申请”链接，弹出“完成证书申请”对话框，如图10.55所示。10.3.4在Web服务器上配置证书服务设置包含证书颁发机构响应的文