微软证书服务.ppt

微软证书服务MicrosoftCertificationService 谭伟MCT ESSEngineer成都金海洋微软高级技术教育中心tanwei 术语 PKI PublicKeyInfrastructure公钥架构CA CertificateAuthority证书颁发机构CRL CertificateRevocationList证书吊销列表CTL CertificateTrustList证书信任列表AIA AuthorityInformationAccess根证书分发点PublicKey 公钥PrivateKey 私钥 证书典型应用 安全的无线网络EFS加密文件系统安全的web通讯 https IPSEC智能卡代码签名VPN 公钥架构PKI 一个工业标准以严密的数学算法为基础使用非对称密钥对加密 公钥和私钥 证书主体 用户计算机服务 应用程序 非对称密钥 用公钥加密的 只能用相对应的私钥解密用私钥加密的 只能用相对应的公钥解密公钥可发送给对方私钥由自己保存 不会随便发送给第三方绝大多数情况下私钥和公钥对是申请证书的客户计算机生成的 不是CA生成的 不存在私钥在网络中传输的问题 私钥是存储在申请证书的那台计算机上的 证书的功能 加密签名身份验证 证书与公 私钥的关系 证书中包含公钥公钥与私钥相对应私钥是存储在申请证书的计算机中可以将私钥导出到证书中 但不是每种证书都可以导出私钥 证书模板可以控制 证书的主要特点 包含了证书主体的公钥证书是有使用期限的 可以续订描述了使用证书的证书主体描述了证书是由那个CA颁发的 CA 权威的证书颁发机构证书主体必须都信任同一个CA 需要配置 只要信任根CA 就自动信任根CA下所有子CA有企业CA和独立CA 企业CA 企业CA需要ActiveDirectory企业CA可以颁发智能卡证书企业CA通过web方式只能申请一部分域控可自动申请 默认自动颁发证书结合组策略使用 独立CA 独立需要ActiveDirectory独立CA不能颁发智能卡证书独立CA通过web方式能申请全部证书需要手动申请 默认手动颁发证书 CA的层次结构 单层CA 企业或独立CA 中小型企业适用多层CA 适合大型企业适用 根CA长期脱机 严密保护 建议根CA为独立CA 因为如果是企业CA的话 60天需要连入网络同步数据 证书存储区 用户证书物理位置是存储在用户profile计算机或服务证书物理位置是存储在注册表逻辑位置为个人或受信任的CA存储区 配置CA信任方法 证书管理单元中手动导入CA的证书从web下载CA的证书 再手动导入从AIA分发点手动copy通过配置组策略自动信任CA 证书模板 可供证书主体申请相对应的证书企业CA所独有 独立CA没有有v1和v2版本v1为灰色 不可改 v2为绿色 可以修改 证书申请方法 Web证书管理单元命令行Req文件组策略 管理证书的工具 证书颁发机构证书管理单元证书模板 证书的吊销 通过CA管理单元来做管理员手动来执行被吊销的证书就无效了只有吊销原因为 证书待定 的才能撤销吊销 证书的备份和恢复 建议备份系统状态数据备份企业CA数据库间隔时间不能超过60天 数据存储安全 EFS EFS加密的文件 只有用户自己才能复制和打开 管理员也无权限复制和打开建议用户使用EFS后 导出自己的证书 包含私钥 可以配置组策略 域环境建议配置默认域策略 来实现故障恢复代理可以配置EFS共享 实现加密文件共享访问 终端服务器安全 终端服务器身份验证和加密 条件 1 终端服务器使用WindowsServer2003SP12 终端服务器使用 服务器身份验证证书 3 客户端使用RDP5 24 客户端信任终端服务器的颁发CA细节 1 客户端和服务器进行SSL身份验证时使用3389端口 2 客户端连接终端服务器可能需要和证书的commonname对应 不然验证可能会失败 Web服务器安全 SSL 确保Web通讯的安全步骤 1 给Web服务器颁发 服务器身份验证证书 2 启用SSL安全通道 安全的电子邮件 签名邮件 确保邮件来自发件人 不会被篡改 1 发件人用私钥签名邮件2 收件人用发件人公钥解密签名邮件加密邮件 确保邮件传递安全 1 发件人和收件人都需要申请 用户证书 2