Windows Server 2003-创建和管理数字证书10.ppt

第10讲创建和管理数字证书 第10讲 创建和管理数字证书 证书介绍设计公钥基础结构管理证书 证书介绍 公钥基础结构介绍理解PKI功能 10 1证书介绍 计算机 用户或服务 CA 公钥基本架构构介绍 10 1 1公钥基本架构构介绍 公钥基本结构介绍 域控制器 SSL和IPSec 10 1 1公钥基本架构构介绍 理解PKI功能 证书层次结构由不同的证书颁发机构组成使用基于证书服务的证书层次结构称为公钥基础结构组织可以让信任的第三方证书颁发机构为其企业根证书签名InternetExplorer包含几个信任的第三方证书颁发机构 10 1 2理解PKI功能 理解PKI功能 发布证书证书服务可以在Web站点上或ActiveDirectory中创建证书和发布证书注册客户端注册是指客户端从证书颁发机构申请和接收证书的过程使用证书一旦客户端申请和接收了证书 客户端就可以使用它来用各种方法保护它的通信安全续订证书证书通常在有限的时间段内有效吊销证书当CA管理员明确吊销一个证书时 CA会将它添加到证书吊销列表 CRL CertificateRevocationList 10 1 2理解PKI功能 理解PKI功能 10 1 2理解PKI功能 第10讲 创建和管理数字证书 证书介绍设计公钥基础结构管理证书 设计公钥基本架构 确定证书需求创建CA基础结构理解WindowsServer2003CA类型配置证书 10 2设计公钥基本架构 确定证书需求 身份验证 验证某人或某物的身份隐私 确保该信息仅可用于指定用户加密 掩饰信息 使未授权的读者无法将其解密数字签名 提供不可否认和消息完整性 10 2 1确定证书需求 确定证书需求 10 2 1确定证书需求 创建CA基本结构 证书颁发机构使用层次结构工作每个CA被处于更高级别的CA验证 直到到达根CA根CA是组织的最终颁发机构 CA不仅向应用程序和用户颁发证书 而且向其他CA颁发证书 10 2 2创建CA基本结构 证书颁发机构信任向下传递 根CA 中间CA 颁发CA 颁发CA 信任 信任 信任 10 2 2创建CA基本结构 创建CA基本结构 独立CA 独立于ActiveDirectory可以签发证书供外部网和内部网使用主要用于不提供ActiveDirectory服务的情况下 例如 公共网站 PucblicWeb 电子邮件服务 不适合颁发用户登录到域的证书企业CA 企业安全架构的一部分保存在ActiveDirectory的CA对象中依赖于ActiveDirectory支持独立CA所支持的所有功能和生成智能卡登录时所用的证书 10 2 2创建CA基本结构 创建CA基本结构 根CA 成为自验证的根CA大多数组织最初都安装根CA 然后使用这个CA认证组织中的所有其他CA从属CA 配置成联系现有的CA 以便在安装时接受证书随后 通过安装父CA的证书来验证从属CA 10 2 2创建CA基本结构 创建CA基本结构 10 2 2创建CA基本结构 理解WindowsServer2003CA类型 使用内部或外部CACA的数量创建CA层次结构 10 2 3理解WindowsServer2003CA类型 理解WindowsServer2003CA类型 10 2 3理解WindowsServer2003CA类型 理解WindowsServer2003CA类型 10 2 3理解WindowsServer2003CA类型 配置证书 我需要传输安全信息 这是我的公钥 使用加密密钥传输加密的文本 接收机密文件 结束 结束 加密过的文档 公钥交换发送者询问接收者的公钥密钥接收者发送加密公钥发送者使用公钥来加密信息发送发送者的加密信息接收者用它的私钥解密信息 接收者 传输者 10 2 4配置证书 第10讲 创建和管理数字证书 证书介绍设计公钥基础结构管理证书 管理证书 理解证书注册和续订手动申请证书吊销证书 10 3管理证书 理解证书注册和续订 企业CA可以使用自动注册 在自动注册过程中CA从客户端接收证书申请 对它们进行评估 然后自动决定是颁发证书还是拒绝请求安装独立CA不能使用自动注册 必须安排一名管理员来为CA 使用 证书颁发机构 控制台 监视传入申请 并决定是颁发证书还是拒绝这些请求 10 3 1理解证书注册和续订 手动申请证书 10 3 2手动申请证书 吊销证书 证书申请人的私钥泄露或被怀疑泄露证书颁发机构的私钥泄露或被怀疑泄露发现证书是用欺骗手段获得的作为信任实体的证书申请人的状态改变更改证书申请人的名称 10 3 3吊销证书 吊销证书 10 3 3吊销证书 吊销证书 吊销证书 申请ID 申请人姓名 二进制证书 序列号 证书颁发机构 操作查看 树 证书颁发机构 本地 吊销的证书颁发的证书待定申请不成功的申请策略设置 Win2153ACA 24e925f1 24ef12b2 24f6d615 2553d5b7 2558fb82 2ffd8774 下一次发行CRL时 吊销的证书将出现在CRL上 10 3 3吊销证书 吊销证书 证书颁发机构 控制台 窗口 W 帮助 H 操作 A 查看 V 证书颁发机构 证书服务 本地 手动发行当前的CRL 吊销的证书 颁发的证书 MSTest 待定申请 所有任务 不成功的申 查看从这里创建窗口 刷新 属性 帮助 发行 申请ID 二进制证书 SerialNumber BEGINCERTIFICATE 1aaaf7000000012 BEGINCERTIFICATE 1c7d7400000014E 1e41b500000016 10 3 3吊销证书 实验10 1CA设计 目的 阅读场景完成相关问题在班级讨论你