证书服务器的相关管理和部署.ppt

证书服务器的相关管理和部署 福州大学吴海东MCSE MCDBA CIWSA MOE讲师whd1972 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 课程系列讲座之二 课程知识点 授权和身份验证 第1章 证书服务器的相关管理和部署 第2 3章 智能卡相关概念和配置 第4章 客户端和服务器端安全部署 第6 7章 EFS相关概念和操作 第5章 安全更新服务器的管理和部署 第9章 数据传输安全配置与部署 第10 13章 ISAServer2004概述和安装配置 第14 15章 ISAServer2004服务器配置和部署上 第16 17 第22章 ISAServer2004服务器配置和部署下 第18 21章 ISAServer2004服务器的监视 第23章 今日主题 课程导入PKI的工作原理实现和管理CA配置 部署和管理证书本章考点Q A 1课程导入 公民网民身份验证 2PKI概述 什么是PKI通过使用非对称密钥算法技术来确保系统信息安全并负责验证数字证书持有者身份的一种体系 PKI采用由各参与方都信任的CA来核对和验证各参与方的信任机制 2PKI概述 公钥架构的组成部分非对称密钥由非对称密钥函数生成 每个通信方都有两个Key 一般由证书申请者在本地生成 或由专门应用程序生成 非对称函数保证了公钥和私钥的验证匹配 数字证书颁发机构所颁发的证书持有人的身份的数字声明 将公钥与拥有私钥的个人 计算机或服务绑在一起 证书由各种公钥安全服务 提供身份验证的应用程序 数据完整性和通过网络的安全通信使用 2PKI概述 公钥架构的组成部分 续 证书颁发机构 CA 负责审核 颁发管理和维护任务 证书使用者必须信任CA 使用者 用户 计算机 所有的证书都是为了一定的应用程序而申请和颁发的 证书模板定义证书用途 颁发对象 密钥长度 有效期等参数两种版本 在独立CA和企业CA中有区别 2PKI概述 公钥架构的组成部分 续 AIA 扩展指定获取CA最新证书的位置CRL 证书吊销列表CDP 扩展指定获取CA签名的最新CRL位置证书和CA管理工具 2PKI概述 使用PKI的应用程序数字签名智能卡登录安全电子邮件软件代码签名IPSec802 1x软件限制Internet身份验证EFS PKI的组件 证书模板 数字证书 证书吊销列表 启用公钥的应用程序和服务 颁发机构信息访问和CRL分发点 证书和CA管理工具 颁发机构 使用PKI的应用程序 软件代码签名 加密文件系统 智能卡登录 802 1x IP安全 Internet身份验证 安全电子邮件 Windows2003证书服务器 软件限制策略 数字签名 用户 计算机 服务 使用支持PKI的应用程序的账户 PKI工具 证书颁发机构 CA的职责 验证证书请求者的身份取决于接受证书申请提交的CA类型颁发证书所申请的证书类型决定所颁发证书的内容管理证书吊销CRL由一个证书序列号列表组成 这些都是CA颁发的不再受信任的证书 3实现和管理CA 实现CA安装准备安装操作系统并准备相关环境安装和配置IIS删除 更新根证书 组件配置CAPolicy inf文件CA的种类独立根CA和独立从属CA企业根CA和企业从属CA 不同证书颁发机构类型之间的差异 3实现和管理CA 证书吊销吊销原因证书服务发布CRL的方式CA的安全控制安全属性CA审核 3实现和管理CA 备份和还原CA备份CA的方法系统状态备份手动备份还原CA的方法 4配置 部署和管理证书 配置证书模板数字证书的概念企业CA所颁发的证书都是基于证书模板证书模板的操作方法MMCAD的站点和服务证书颁发机构不同版本的证书模板特性更行证书模板方法修改原始证书模板取代现有证书模板在证书颁发机构中添加模板 4配置 部署和管理证书 申请证书的方法基于web证书控制台Certreq exe自动注册注册代理吊销证书方法证书颁发机构Certutil exe 4配置 部署和管理证书 管理证书密钥恢复的原因用户配置文件被删除重新安装OS磁盘损坏计算机失窃方法和步骤导出密钥和证书使用的文件格式导出密钥的方法密钥存档和恢复 4配置 部署和管理证书 管理证书 续 密钥存档和恢复密钥存档的前提条件配置CA进行密钥存档的方法设置KRA模板权限配置CA颁发KRA模板为用户颁发KRA批准和安装KRA证书配置CA使用恢复代理配置新模板使用恢复代理配置CA基于新模板颁发证书密钥恢复过程 5本章考点 PKI应用模板设置证书注销 5本章考点 PKI应用有一台计算机运行IIS 是对外的电子商务站点 你计划应用SSL 你不想让客户在用SSL链接你的电子商务站点时出现需要获取安全证书的提示 你需要选择一个合适的CA服务器给你的web服务器颁发SSL证书 你该选择什么类型的CA 5本章考点 模板设置安全策略要求私钥必须能够导出 私钥大小为2048 私钥和证书在CA上必须能够恢复 当私钥被使用时 提示用户并要求用户输入 5本章考点 证书注销你安装了一个CA服务 为员工的e mail加密和weh站点验证颁发相关证书 当员工离开公司后你会吊销他们的证书 当前有上千的证书将被吊销 每天出现的吊销工