配置部署和管理证书.ppt

第3章配置 部署和管理证书 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第1章规划和配置授权和身份验证策略第2章安装 配置和管理证书颁发机构第3章配置 部署和管理证书第4章智能卡证书的规划 实现和故障诊断第5章加密文件系统的规划 实现和故障排除第6章规划 配置和部署安全的成员服务器基线第7章为服务器角色规划 配置和部署安全基线第8章规划 配置 实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划 部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第14章MicrosoftISAServer概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004 第3章配置 部署和管理证书 配置证书模板部署与吊销用户和计算机证书管理证书 配置证书模板 数字证书数字证书的生命周期证书模板证书模板的类型证书模板分类证书模板权限更新证书模板的方法修改和取代现有证书模板的指导方针修改和取代证书模板的方法 3 1配置证书模板 数字证书包括哪些内容 数字证书 数字签名 CA通过对数据证书进行签名 以防止非法修改数字证书 数字证书主要内容 来自证书所有者密钥对的公钥有关申请该证书所有者的信息验证证书所需信息 CDP及AIA有关颁发该证书的CA的信息 签名 3 1 1数字证书 数字证书 它是由公钥组成的电子凭据 数字证书的生命周期 3 1 2数字证书的生命周期 为什么需要证书模板 使用证书模板有哪些好处 证书模板 证书模板定义 证书模板颁发 根据证书预定用途设置的证书格式和内容定义创建和提交有效证书申请的过程允许读取 注册或自动注册证书的安全主体通过使用DACL定义读取 注册 自动注册或修改证书模板的权限 允许哪些安全主体申请该证书及申请方式 只有企业CA才能基于证书模板颁发证书 3 1 3证书模板 证书模板 针对某种应用而专门定义的证书配置规则的集合 如根据证书预期用途和证书的颁发给用户的方式等设置 证书模板的类型 3 1 4证书模板的类型 证书模板分类 3 1 5证书模板分类 从功能的角度 从使用者的角度 证书模板权限 3 1 6证书模板权限 更新证书模板的方法 版本2 1 版本2 2 3 1 7更新证书模板的方法 符合下列情况时 应考虑修改现有证书模板符合下列情况时 应考虑取代或复制生成新模板 修改只影响一个证书模板现有证书模板是版本2证书模板对证书模板的改变相对较小 将多个现有证书模板合并为一个证书模板修改版本1证书模板修改证书有效期限修改证书的密钥长度添加和删除应用程序或颁发策略 3 1 8修改和取代现有证书模板的指导方针 修改和取代现有证书模板的指导方针 修改和取代证书模板的方法 演示 演示如何修改和取代证书模板的方法 3 1 9修改和取代证书模板的方法 示例 通过将用户模板和智能卡登录模板合并 然后取代原来两个模板 实验3 1取代证书模板 目的 掌握如何取代证书模板 3 1 10实验3 1取代证书模板 第3章配置 部署和管理证书 配置证书模板部署与吊销用户和计算机证书管理证书 证书注册方法使用基于Web的界面注册证书的方法使用证书申请向导申请证书的方法使用Certreq exe执行的任务启用自动证书注册的方法吊销证书的方法 3 2部署与吊销用户和计算机证书 部署与吊销用户和计算机证书 证书是如何生成的 多媒体演示 证书注册 值得一看 数字证书生成 证书注册方法 3 2 1证书注册方法 演示 演示如何使用基于Web的界面手动注册证书 3 2 2使用基于Web的界面注册证书的方法 使用基于Web的界面注册证书的方法 演示 演示如何使用MMC证书申请向导申请证书 3 2 3使用证书申请向导申请证书的方法 使用证书申请向导申请证书的方法 使用Certreq exe执行的任务 Certreq exe 脚本支持证书申请过程Certreq exe命令参数 3 2 4使用Certreq exe执行的任务 certreq newtest inftest reqcertreq submittest reqtest cer 启用自动证书注册的方法 3 2 5启用自动证书注册的方法 自动证书申请设置 V1 自动注册设置 V2 吊销证书的方法 演示 演示如何吊销证书 3 2 6吊销证书的方法 实验3 2 吊销证书 目的 吊销一个证书并发布证书吊销列表 3 2 7实验3 2 吊销证书 第3章配置 部署和管理证书 配置证书模板部署与吊销用户和计算机证书管理证书 管理证书 密钥恢复概述导出密钥和证书使用的文件格式导出密钥的工具导出密钥的方法密钥存档和恢复的要求配置CA进行密钥存档的方法密钥恢复过程降低密钥恢复相关安全风险的指导方针 3 3管理证书 如果用户私钥丢失会有什么后果 密钥恢复概述 使用密钥恢复的场景 用户配置文件被删除重新安装操作系统磁盘损坏计算机失窃 恢复数据方法 使用数据恢复代理 DRA DataRecoveryAgent 使用密钥恢复代理 KRA 只有由版本2生成的证书才支持这种方式 3 3 1密钥恢复概述 如果安装了证书服务 但是CertSrv虚拟目录不存在 可以运行certutil vroot命令创建它 3 3 2导出密钥和证书使用的文件格式 导出密钥和证书使用的文件格式 x 509der编码 DER编码的二进制X 509 x 509base64编码 这种编码方式主要是为使用 安全 多用途Internet邮件扩展 S MIME 而开发的 文本字符 PKCS PublicKeyCryptographyStandards的缩写 公钥密码标准 p7b pfx cer 导出密钥的工具 导出证书工具 能否导出私钥在模板属性的处理请求选项卡中选择导出证书所用工具由证书模板决定 如果证书中包含扩展密钥使用的OID 对象标识符 则可用Outlook或 证书 管理单元导出 否则只能用 证书 管理单元导出 MMC管理单元证书颁发机构MMC管理单元Certutil exeOutlookInternetExplorer 3 3 3导出密钥的工具 导出密钥的方法 演示 演示导出密钥的方法 3 3 4导出密钥的方法 实验3 3导出私钥 3 3 5实验3 3导出私钥 密钥存档和恢复的要求 要求包含 版本2证书模板运行在WindowsServer2003的CA支持CMC协议 XP和2003客户端均支持 具有WindowsServer2003架构扩展的ActiveDirectory 3 3 6密钥存档和恢复的要求 CMS CryptographicMessageSyntax 密码消息语法CMC CertificateManagementMessagesoverCMS 演示 演示如何配置CA和进行密钥存档的方法 3 3 7配置CA进行密钥存档的方法 配置CA进行密钥存档的方法 CA管理员KRA用户 密钥恢复过程 3 3 8密钥恢复过程 该文件用KRA的公钥加密了 规划密钥恢复 实行CA管理者与KRA角色的分离如果私钥可能已泄密 在恢复私钥后 立即吊销与该私钥关联的证书严格保护好KRA的私钥 应从相关用户配置文件删除KRA证书和私钥 先导出保存好 为向原所有者传输私