网络基础2003证书服务器.ppt

上海师范大学数理信息学院 Unit18 证书服务器 实验目的掌握安装和管理证书服务器的方法掌握证书的申请的方法实验内容安装和配置独立CA服务器管理和配置证书颁发机构客户端的证书申请和管理安装CA证书 上海师范大学数理信息学院 证书服务概述 证书服务提供可自定义的服务 用以颁发和管理在使用公钥技术的软件安全系统中所用的证书可在Windows操作系统中使用证书服务来创建证书颁发机构 CA 该颁发机构负责接收证书申请 验证申请中的信息和申请者的身份 颁发证书 吊销证书以及发布证书吊销列表 CRL 证书服务也可用于使用Web或证书Microsoft管理控制台 MMC 管理单元从CA为用户注册证书 或者通过自动注册透明地为用户注册证书根据CA所使用的策略 使用证书模板帮助简化在申请证书时申请者必须作出的选择利用ActiveDirectory目录服务 发布信任的根证书 发布已颁发的证书 发布CRL使用智能卡实现登录到Windows操作系统域的能力 上海师范大学数理信息学院 证书策略 证书策略是一组指导或规则 用于在处理证书申请 颁发证书 吊销证书和发布CRL时使用 这些指导是CA上的管理策略和配置设置的组合 安装证书服务时 将CA配置为具有默认规则和设置集 这些默认规则和设置集定义CA特定设置 例如 CA的证书 它的默认颁发行为以及它的密钥恢复代理 该CA还可以安装许多预先配置的证书模板 这些模板用来定义证书申请必须拥有哪些信息以及如何基于该模板处理进入的证书申请 应用CA设置和证书模板设置 以及定义的管理准则的组合 会产生控制CA操作的证书策略 上海师范大学数理信息学院 处理证书申请 用户可以使用浏览器 来申请证书 此外 用户还可使用证书管理单元从企业CA申请证书 或者管理员可配置证书自动注册来透明地为用户申请和安装证书当用户启动证书申请时 其计算机上的加密服务提供程序 CSP 会为该用户生成公钥和私钥对 用户的公钥随同必要的识别信息发送至CA 如果用户的识别信息符合批准申请的CA标准 那么CA将生成证书 该证书由客户端应用程序检索并就地存储 上海师范大学数理信息学院 CA的安全考虑 物理保护由于CA代表企业中的高度信任实体 因此保护它们不被篡改 在物理上对CA服务器进行隔离 服务器放在只允许安全管理员访问的房间还原如果出现硬件故障 则CA可能会丢失 证书服务支持使用 备份 来备份CA 以便能在事后还原 这是整个CA管理过程的一个重要内容密钥管理私钥提供了认证过程中相互信任的基础 加密硬件设备可提供防篡改的密钥存储 并将加密操作与服务器上运行的其他软件分离证书服务支持来自其他源的加密服务提供程序 CSP 但是 Windows中包含的文档特定于Windows包含的软件CSP 如果使用其他来源的CSP 那么应该与供应商确认该CSP可与证书服务一同使用 上海师范大学数理信息学院 公钥基础结构 公钥基础结构 PKI 是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书 证书颁发机构 CA 和其他注册机构 RA WindowsServer2003可以帮助您的单位实现公钥基础结构 包括证书 证书基本上是颁发机构所颁发的证明证书持有人的身份的数字声明 证书将公钥与拥有相应私钥的个人 计算机或服务绑在一起 证书由各种公钥安全服务和提供身份验证的应用程序 数据完整性和通过网络的安全通讯 例如Internet 使用 Windows中基于证书的进程所使用的标准证书格式是X 509v3 主体信息可以包括实体的名称 公钥 以及公钥算法证书服务 用于创建和管理证书颁发机构 CA 的组件 上海师范大学数理信息学院 公钥基础结构 证书模板 证书是由CA根据证书申请中提供的信息和证书模板中包含的设置来颁发的 证书模板是针对接收到的证书申请应用的规则和设置的集合 对于企业CA可以颁发的每一种类型的证书 都必须配置证书模板证书自动注册 自动注册允许管理员配置受领人 以便自动注册证书 检索颁发的证书 以及延长过期的证书 而不需要受领人进行交互Web注册页面 这些是证书服务的单独组件 这些网页是安装CA时默认安装的 并允许证书申请者使用Web浏览器递交证书申请智能卡支持 智能卡可以用于进行Web身份验证 发送安全的电子邮件 无线网络和其他与公钥加密相关的活动公钥策略 在Windows中可以使用组策略自动给受领人分发证书 建立公共可信的证书颁发机构 以及为EFS 加密文件系统 管理恢复策略 上海师范大学数理信息学院 安装独立根CA 安装之前 应确定计算机名和域成员身份 因证书服务运行后 更改计算机名和域成员身份将导致CA颁发的证书无效 安装之前 最好安装IIS组件 并启用ActiveServerPage 以支持用户通过Web申请注册证书开始 控制面板 添加和删除程序 添加 删除Windows组件 上海师范大学数理信息学院 安装独立根CA 上海师范大学数理信息学院 安装独立根CA 上海师范大学数理信息学院 安装独立根CA 如要自定义设置 请选中 不选中 为系统设置 上海师范大学数理信息学院 安装独立根CA 上海师范大学数理信息学院 安装独立根CA 上海师范大学数理信息学院 安装独立根CA 上海师范大学数理信息学院 安装独立根CA 输入安装Windows系统的文件位置 上海师范大学数理信息学院 安装独立根CA 上海师范大学数理信息学院 安装独立根CA 要支持Web注册 必须安装IIS组件 并执行命令行命令CertUtil vroot 使该证书服务器与IIS整合起来 上海师范大学数理信息学院 安装独立从属CA CA本身也需要证书 独立从属CA必须从另一CA获取其CA证书 即向父CA提交证书申请开始 控制面板 添加和删除程序 添加 删除Windows组件 上海师范大学数理信息学院 安装独立从属CA 与父CA一致 上海师范大学数理信息学院 安装独立从属CA 输入用于识别CA信息的名称 与父CA信息的名称不同 名称后缀可不输入 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 父CA联机可用时 选此项 其前提是 网络连接正常 该管理员帐户在父CA所在的计算机上有相同的帐户 并且是证书管理员 父CA启用自动颁发证书功能 父CA不能联机可用时 选此项 上海师范大学数理信息学院 安装独立从属CA 输入安装Windows系统的文件位置 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 将此从属CA的证书申请文件 req 通过软盘 U盘或网络等复制到父CA所在的计算机上 上海师范大学数理信息学院 安装独立从属CA 在父CA所在的计算机上开始 管理工具 证书颁发机构 上海师范大学数理信息学院 安装独立从属CA 选择将从属CA的证书申请文件 req 通过软盘 U盘或网络等复制到父CA所在的计算机时的目录和文件 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 输入要导出的文件名 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 将根CA所在的计算机上此从属CA的证书文件 p7b 通过软盘 U盘或网络等复制到从属CA所在的计算机上 上海师范大学数理信息学院 安装独立从属CA 在从属CA所在的计算机上开始 管理工具 证书颁发机构 上海师范大学数理信息学院 安装独立从属CA 选择将根CA生成的从属CA的证书文件 p7b 通过软盘 U盘或网络等复制到从属CA所在的计算机时的目录和文件 上海师范大学数理信息学院 安装独立从属CA 上海师范大学数理信息学院 安装独立从属CA 一旦安装了证书 就可启动证书服务 形成两个层次的证书颁发体系从属CA运行过程中不依赖于父CA 只有在需要续定证书时才与父CA打交道实际应用中 根CA常常从网络中断开 上海师范大学数理信息学院 管理和配置证书颁发机构 开始 管理工具 证书颁发机构 上海师范大学数理信息学院 管理和配置证书颁发机构 上海师范大学数理信息学院 管理和配置证书颁发机构 此策略模块确定证书申请是应该自动批准 拒绝 还是标记为挂起 在这里更改设置后 必须重新启动证书服务才能生效 上海师范大学数理信息学院 管理和配置证书颁发机构 可添加或删除用户获取证书吊销列表和证书的URL地址 上海师范大学数理信息学院 管理和配置证书颁发机构 设置组和用户的证书访问权限 上海师范大学数理信息学院 管理和配置证书颁发机构 进一步对证书管理员进行限制 上海师范大学数理信息学院 管理和配置证书颁发机构 上海师范大学数理信息学院 管理和配置证书颁发机构 设置在颁发证书之后如何进一步处理 上海师范大学数理信息学院 客户端的证书申请和管理 客户端使用由CA颁发的证书的计算机客户端的证书管理 主要包括申请证书安装证书从证书存储区查找证书从证书存储区查看证书导入证书导出证书 上海师范大学数理信息学院 客户端的证书申请 通过浏览器访问URL地址http CA服务器名或IP地址 certsrv 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书申请 上海师范大学数理信息学院 客户端的证书安装 上海师范大学数理信息学院 客户端的证书安装 上海师范大学数理信息学院 客户端的证书安装 上海师范大学数理信息学院 客户端的证书管理单元 开始 运行 mmc 确定 上海师范大学数理信息学院 客户端的证书管理单元 上海师范大学数理信息学院 客户端的证书管理单元 每一个实体 证书应用对象 都必须加载单独的证书 我的用户帐户 用于管理用户帐户自己的证书 服务帐户 用于管理本地服务 系统服务或应用服务 的证书 计算机帐户 用于管理计算机本身的证书 只有计算机管理员才能管理3种帐户类型的证书 上海师范大学数理信息学院 客户端的证书管理单元 上海师范大学数理信息学院 客户端的导入证书 上海师范大学数理信息学院 客户端的导入证书 上海师范大学数理信息学院 客户端的导入证书 上海师范大学数理信息学院 客户端的导入证书 上海师范大学数理信息学院 客户端的导入证书 上海师范大学数理信息学院 客户端的导入证书 上海师范大学数理信息学院 申请和安装Web服务器证书 Web服务器证书的申请和安装的基本流程开始 管理工具 Internet信息服务 IIS 管理器 上海师范大学数理信息学院 生成Web服务器证书请求文件 上海师范大学数理信息学院 生成Web服务器证书请求文件 上海师范大学数理信息学院 生成Web服务器证书请求文件 上海师范大学数理信息学院 生成Web服务器证书请求文件 注意 服务器证书的联机请求只能用于企业CA的证书服务 上海师范大学数理信息学院 生成Web服务器证书请求文件 注意密钥长度 上海师范大学数理信息学院 生成Web服务器证书请求文件 输入单位信息 上海师范大学数理信息学院 生成Web服务器证书请求文件 输入站点有效的DNS名 上海师范大学数理信息学院 生成Web服务器证书请求文件 输入地理信息 上海师范大学数理信息学院 生成Web服务器证书请求文件 上海师范大学数理信息学院 生成Web服务器证书请求文件 上海师范大学数理信息学院 生成Web服务器证书请求文件 上海师范大学数理信息学院 申请Web服务器证书 通过浏览器访问URL地址http CA服务器名或IP地址 certsrv 上海师范大学数理信息学院 申请Web服务器证书 上海师范大学数理信息学院 申请Web服务器证书 以文件形式提交申请 因为前面已创建了特定Web服务器证书申请文件c certreq txt 上海师范大学数理信息学院 申请Web服务器证书 用记事本打开Web服务器证书申请文件c certreq txt 上海师范大学数理信息学院 申请Web服务器证书 将记事本中Web服务器证书申请文件c certreq txt的内容复制到 保存的申请 表单中 上海师范大学数理信息学院 申请Web服务器证书 上海师范大学数理信息学院 独立CA服务器颁发证书 开始 管理工具 证书颁发机构 上海师范大学数理信息学院 独立CA服务器颁发证书 上海师范大学数理信息学院 获取Web服务器证书 通过浏览器访问URL地址http CA服务器名或IP地址 certsrv 上海师范大学数理信息学院 获取Web服务器证书 上海师范大学数理信息学院 获取Web服务器证书 出现此图 表明申请的服务器证书被批准 上海师范大学数理信息学院 获取Web服务器证书 上海师范大学数理信息学院 获取Web服务器证书 上海师范大学数理信息学院 安装Web服务器证书 开始 管理工具 Internet信息服务 IIS 管理器 上海师范大学数理信息学院 安装Web服务器证书 上海师范大学数理信息学院 安装Web服务器证书 上海师范大学数理信息学院 安装Web服务器证书 上海师范大学数理信息学院 安装Web服务器证书 选择或输入前面下载的Web服务器证书文件 上海师范大学数理信息学院 安装Web服务器证书 设置SSL端口 上海师范大学数理信息学院 安装Web服务器证书 上海师范大学数理信息学院 安装Web服务器证书 上海