项目9配置与管理数字证书服务器.ppt

清华大学出版社 高职高专计算机任务驱动模式教材 项目9配置与管理数字证书服务器 9 3 1了解企业证书的意义与适用9 3 2认识CA模式9 3 3安装企业证书服务架设企业根9 3 4申请和使用证书9 3 5签名与加密电子邮件9 3 6安装企业从属CA 9 3安装企业CA和申请证书 9 2项目设计及准备 9 2 1项目设计9 2 2项目准备 9 5数字证书服务器实训 9 1相关知识 9 1 1数字证书9 1 2PKI9 1 3内部CA和外部CA9 1 4颁布证书的过程9 1 5证书吊销9 1 6CA的层次结构 9 4管理数字证书 9 4 1备份与还原CA9 4 2自动或手工发放证书9 4 3吊销证书9 4 4导入与导出用户的证书9 4 5更新证书 对于大型的计算机网络 数据的安全和管理的自动化历来都是人们追求的目标 特别是Internet的迅猛发展 在Internet上处理事务 交流信息和交易等方式越来越广泛 越来越多的重要数据要在网上传输 网络安全问题也更加被重视 尤其是在电子商务活动中 必须保证交易双方能够互相确认身份 安全地传输敏感信息 同时还要防止被人截获 篡改 或者假冒交易等 因此如何保证重要数据不受到恶意的损坏 成为网络管理最关键的问题之一 而通过部署公钥基础机构 PKI 利用PKI提供的密钥体系来实现数字证书签发 身份认证 数据加密和数字签名等功能 可以为网络业务的开展提供安全保证 项目描述 项目9配置与管理数字证书服务器 了解数字证书了解CA的层次结构掌握企业CA的安装与证书申请掌握数字证书的管理方法及技巧 项目目标 项目9配置与管理数字证书服务器 9 1相关知识 数字证书 PKI 内部CA和外部CA 颁发证书的过程 证书吊销 CA的层次结构 项目9配置与管理数字证书服务器 概述 Windows2003中有两种验证协议 Kerberos和公钥基础结构 PublicKeyInfrastructure PKI 这两者的不同之处在于 Kerberos是对称密钥 而PKI是非对称密钥 对称密钥 加密和解密的密钥相同 非对称密钥 加密和解密密钥不同 数字证书简介 数字证书是一段包含用户身份信息 用户公钥信息和身份验证机构数字签名的数据 身份验证机构的数字签名可以确保证书信息的真实性 用户公钥信息可以保证数字信息传输的完整性 用户的数字签名可以保证数字信息的不可否认性 数字证书 数字证书是各类终端实体和最终用户在网上进行信息交流和商务活动的身份证明 数字证书是一个经证书认证中心 CA 数字签名的 包含公开密钥拥有者信息和公开密钥的文件 认证中心 CA 作为权威的 可信赖的 公正的第三方机构 专门负责为各种认证需求提供数字证书服务 认证中心颁发的数字证书均遵循X 509V3标准 PKI 公钥基础结构 PublicKeyInfrastructure PKI 是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书 证书颁发机构 CA 和其他注册机构 RA 一个单位选择使用Windows来部署PKI的原因有很多 安全性强 智能卡登陆 加密文件系统 EFS IPsec Internet协议安全性 简化管理 其他机会 证书的用途 证书提供下述功能 服务器身份验证 利用证书为网络中的客户机鉴别服务器客户机身份验证 利用证书为服务器提供对客户机的认证 如 远程访问功能和智能卡身份验证 程序代码签署 数字签名 利用与密钥对有关的证书签署活动内容加密E mail 安全电子邮件 利用与密钥对有关的证书签署电子邮件消息 用于加密信函 EFS 加密文件系统 利用与密钥对有关的证书 加密和解密用于还原恢复加密数据的对称密钥 IPSec 利用与密钥对有关的证书 加密基于IP层的传输 认证中心 CA 认证中心 CA 负责提供和指派加密密钥 解密密钥 身份验证 CA通过发放证书来分布密钥 证书中包含公共密钥和一组属性 CA可将证书发给某个计算机 用户帐号或者服务 CA扮演了一种担保人的角色 内部CA和外部CA 外部CA 外部商用CA 为成千上万的用户提供认证服务 内部CA 面向企业内部用户 计算机或服务器的策略模型 颁发证书的过程 认证中心CA颁发证书涉及如下4个步骤 1 CA收到证书请求信息 包括个人资料和公钥等 2 CA对用户提供的信息进行核实 3 CA用自己的私钥对证书进行数字签名 4 CA将证书发给用户 证书吊销 证书的吊销使得证书在自然过期之前便宣告作废 可能的原因包括 证书拥有者的私钥泄漏或被怀疑泄漏 发现证书是用欺骗手段获得的 证书拥有者的情况发生了改变 CA的层次结构 WindowsServer2003PKI采用了分层CA模型 CA的层次结构 证书层次结构是一种信任模式 在这种模式中 通过在CA之间建立父 子关系 创建了认证路径 1 根CA 根本权威 是一个机构的PKL中最可信任的CA类型 通常情况下 根CA的物理安全性和证书发放策略比下层CA更严格 在大多数机构中 只将根CA用于向其他CA 即下层CA发放证书 2 下层CA 已经被机构中的另一个CA鉴定过的CA CA的层次结构 通常 下层CA针对特定的用途发放证书 例如安全电子邮件 基于web的身份验证 或者智能卡身份验证 此外 下层CA也可以向其他的 更下层的CA发放证书 提示 父CA和子CA彼此没有从属关系 不需要使所有的CA共享一个公共的顶级父CA 或根CA 9 2项目设计及准备 项目设计 项目准备 项目9配置与管理数字证书服务器 9 3安装企业CA和申请证书 了解企业证书的意义与适用 认识CA模式 安装证书服务并架设企业根CA 申请和使用证书 签名与加密电子邮件 安装企业从属CA 项目9配置与管理数字证书服务器 企业CA的安装与证书申请 若要使用证书服务 必须在服务器上安装并部署企业CA 然后由用户向该企业CA申请证书 使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证 企业证书的意义与适用 加密的目的 以某种方式将数据变得难懂 使得只有预期用户能够阅读它 加密 通过数学运算将明文和加密密钥结合起来 产生密文 解密 通过数学运算将密文和解密密钥结合起来 产生明文 公共密钥加密技术用到了两个密钥 加密密钥和解密密钥密钥 key 一个随机字符串与某种算法的联合使用 公共密钥加密技术 公共密钥加密技术 系统使用一对密钥来完成对数据的加密解密 公共密钥 公钥 是自由发布的 可以公开 以供他人向自己传输信息时加密使用 私用密钥 私钥 在系统中保存 从不发布 只有拥有对应私钥的本人才能解密 从而保证数据传输的保密性 公共密钥加密技术 公共密钥身份验证 使用密钥对 与公共密钥加密技术类似 公共密钥身份验证也使用了密钥对 但它不利用发送者的私用密钥解密消息 而是利用发送者的公共密钥鉴别和确认该消息的发送者的有效性 这一私用密钥被称为数字签名 公共密钥身份验证 数字签名说明 加密技术可以提供安全性和机密性 而数字签名可以确认信息的真实性和来源 数字签名 一种由消息 文件或者其他数字化编码信息的创建者将其身份标识和这些消息利用私钥约束在一起的方法 数字签名用于发送者的不可抵赖性 因为私钥只有自己有 所以当接收者用你的公钥解密后就可以证明是你无疑 数字签名本身就是数据 因此它们可以与受保护的原数据一起进行传输 供接收者验证 公共密钥身份验证 数字签名使用私钥对签名数据进行加密 可以确保达到下述目的 只有拥有私钥的人才能进行数字签名 任何人都可以通过相应的公钥鉴别数字签名的真伪 如果对签名后进行了数据的任何修改 数字签名将失效 公共密钥身份验证 CA模式 Windows2003支持两类认证中心 CA 企业CA和独立存在的CA 每类CA中都包含根CA和下层CA 安装认证服务时可选择4种CA模式 1 企业根CA2 企业从属CA3 独立根CA4 独立从属CA CA模式 架设企业根CA 1 1 准备工作 在企业网络中创建活动目录 将要架设为企业根CA的服务器加入至活动目录 并升级为域外控制器 安装应用程序服务Web组件 并确保添加ActiveServerPage ASP 组件 便于用户以Web方式申请CA证书 默认情况下 Windows2003安装程序不安装证书服务 重要说明 安装了正式服务后 计算机不能再被重新命名 也不能加入到某个域中 或者从某个域中删除 注 为了利用证书服务的Web组件 必须先安装IIS 架设企业根CA 2 2 添加证书服务组件 运行 Windows组件向导 在 组件 列表框中选中 证书服务 复选框 3 选择CA类型 在 CA类型 对话框中选中 企业根CA 单选按钮 4 CA识别信息 在 此CA的公用名称 文本框中设置此CA在ActiveDirectory内的公用名称 此CA默认的有效年限为5年 架设企业根CA 3 5 证书数据库设置 选择证书数据库文件和日志文件的目录 CA发出的证书默认存储在 WINNT system32 Certlog 6 证书服务安装完成后 在 管理工具 中会增加 证书颁发机构 服务 证书颁发机构 用于对CA进行管理的控制台 位于安装有证书服务的服务器上 证书服务的Web注册支持 用于请求证书的Web页 访问 http CA服务器名 certsrv 申请和使用证书 域用户申请企业CA证书的方式有两种 利用 证书向导 申请证书以Web方式申请证书独立CA申请证书时 只能通过Web浏览器方式 利用 证书向导 申请证书 1 打开MMC控制台 选择 文件 添加 删除管理单元 在对话框中的 独立 选项卡中单击 添加 选择 证书 我的用户账户 2 运行证书申请向导 在MMC证书控制台窗口中展开 证书 当前用户 选项 右击 个人 选项 在弹出的快捷菜单中选择 所有任务 申请新证书 选项 启动 证书申请向导 利用 证书向导 申请证书 3 选择证书类型 4 证书的名称和描述 以Web方式申请证书 以Web方式申请证书 以Web方式申请证书 以Web方式申请证书 注意 独立CA在收到申请信息后 不能自动核准与发放证书 需要人工核准并颁发证书 然后客户端才能安装证书 从属CA的安装 安装下层CA时 必须从相应的父CA获取一个证书 为某个下层CA获取证书如果可以联机使用某个父CA 可以采用该方法获取证书 从文件安装证书如果不能联机父CA 则创建证书请求文件提交给父CA 由父CA提供针对这个文件的证书 接受到证书后 必须安装该证书 9 4管理数字证书 备份与还原CA 自动或手工发放证书 吊销证书 导入与导出用户的证书 更新证书 项目9配置与管理数字证书服务器 数字证书的管理 CA的备份与还原发放证书吊销证书导入与导出用户的证书更新证书 CA的备份和还原 重要说明 如果IIS元库丢失或被破坏 在恢复CA时 必须先恢复IIS元库 备份CA备份CA的频繁速度依赖于发放的证书数目 发放的证书越多 备份越频繁 操作步骤 认证颁发机构 恢复CA从备份复制件还原CA 操作步骤 认证颁发机构 发放证书 1 自动发放证书当用户向企业CA申请证书时 企业CA会自动通过ActiveDirectory来查询用户的身份 以确定是否有权限申请此证书 然后自动将核准的证书发放给用户 2 手动发放证书独立CA不具备向ActiveDirectorv查询用户身份的功能 因此 当用户在向独立CA申请证书时必须自行输入用户的身份信息 并且独立CA默认不会自动发放用户所申请的证书 必须由独立CA的系统管理员在检查完用户的申请信息后 再