网络安全的实现和管理 (2)

第2章安装、配置和管理证书颁发机构,网络安全的实现和管理-以WindowsServer2003和ISAServer2004为例,第1章规划和配置授权和身份验证策略第2章安装、配置和管理证书颁发机构第3章配置、部署和管理证书第4章规划、实现和故障诊断智能卡证书第5章加密文件系统的规划、实现和故障排除第6章规划、配置和部署安全的成员服务器基线第7章为服务器角色规划、配置和部署安全基线第8章规划、配置、实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划、部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全,网络安全的实现和管理-以WindowsServer2003和ISAServer2004为例,第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004,第2章：安装、配置和管理证书颁发机构,PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构,PKI和证书颁发机构简介,PKIPKI的组件使用PKI的应用程序使用支持PKI的应用程序的账户PKI工具证书颁发机构不同证书颁发机构类型之间的差异证书颁发机构设计CA层次结构中的等级,2.1PKI和证书颁发机构简介,PKI,PKI是应用程序和加密技术的组合，可以让组织保护其通信和业务事务,2.1.1PKI,PKI的组件,证书模板,数字证书,证书吊销列表,启用公钥的应用程序和服务,颁发机构信息访问和CRL分发点,证书和CA管理工具,颁发机构,2.1.2PKI的组件,使用PKI的应用程序,软件代码签名,加密文件系统,智能卡登录,802.1x,IP安全,Internet身份验证,安全电子邮件,Windows2003证书服务器,软件限制策略,数字签名,2.1.3使用PKI的应用程序,用户,计算机,服务,2.1.4使用支持PKI的应用程序的账户,使用支持PKI的应用程序的账户,PKI工具,2.1.5PKI工具,证书颁发机构,CA的职责：,验证证书请求者的身份取决于接受证书申请提交的CA类型颁发证书所申请的证书类型决定所颁发证书的内容管理证书吊销CRL由一个证书序列号列表组成，这些都是CA颁发的不再受信任的证书,2.1.6证书颁发机构,2.1.7不同证书颁发机构类型之间的差异,不同证书颁发机构类型之间的差异,证书颁发机构设计,组织单位,雇员,独立承包商,外部业务伙伴,部门,制造,工程,会计部,位置,印度,加拿大,美国,证书使用情况,S/MIME,根,EFS,RAS,根,策略,策略,2.1.8证书颁发机构设计,CA层次结构中的等级,根CA,策略CA,颁发CA,根CA通常会保持离线，因为根CA被侵入或向未经授权的实体颁发了证书，组织中任何基于证书的安全措施就会变得非常容易受攻击,2.1.9CA层次结构中的等级,课堂讨论：选择PKI应用程序,目的：决定组织中应用程序可以使用的PKI功能,第2章：安装、配置和管理证书颁发机构,PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构,安装证书颁发机构,CAPolicy.inf文件安装企业从属CA的方法在从属CA上安装证书的方法,2.2安装证书颁发机构,CAPolicy.inf文件,CAPolicy.inf文件是一个用于配置证书服务的可选文件CAPolicy.inf文件定义了:,证书实行声明（CPS）CRL发布间隔CA续订设置密钥大小根CA的有效期CDP和AIA路径,2.2.1CAPolicy.inf文件,安装企业从属CA的方法,演示：演示如何安装企业从属CA,2.2.2安装企业从属CA的方法,演示：在从属CA上安装证书,2.2.3在从属CA上安装证书的方法,在从属CA上安装证书的方法,第2章：安装、配置和管理证书颁发机构,PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构,管理证书颁发机构,应用程序检查证书状态的方法证书验证测试多媒体演示：证书链引擎吊销证书的原因码证书服务发布CRL的方式CRL发布间隔的规划标准发布CRL发布点的位置修改发布位置的方法,2.3管理证书颁发机构,1,2,3,2.3.1应用程序检查证书状态的方法,应用程序检查证书状态的方法,证书验证测试,2.3.2证书验证测试,多媒体演示：证书链引擎,证书链引擎,根CA,颁发CA,策略CA,计算机或用户证书,吊销证书的原因码,2.3.3吊销证书的原因码,Time,基本CRL#4,基本CRL#1,Cert3,2.3.4证书服务发布CRL的方式,证书服务发布CRL的方式,CRL发布间隔的规划标准,发布间隔依靠以下几点：,客户端操作系统CRL获取网络负载增量CRL大小CRL吊销频率复制延迟注册表设置：CRLOverlapPeriodCRLOverlapUnitsClockSkewMinutes,2.3.5CRL发布间隔的规划标准,发布CRL发布点的位置,离线根CA,ActiveDirectory,外部Web服务器,内部Web服务器,Internet,防火墙,ActiveDirectoryWeb服务器FTP服务器文件服务器,防火墙,发布根CA证书和CRL到,2.3.6发布CRL发布点的位置,修改发布位置的方法,演示：演示修改和发布AIA和CDP扩展,2.3.7修改发布位置的方法,目的：配置AIA和CDP的容错性设置,2.3.8实验2-1：决定颁发机构信息访问和CRL可用性,实验2-1：决定颁发机构信息访问和CRL可用性,第2章：安装、配置和管理证书颁发机构,PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构,备份和还原证书颁发机构,备份CA的方法备份证书服务的方法还原证书服务的方法备份证书服务的最佳实践,2.4备份和还原证书颁发机构,备份CA的方法,系统状态包含：,备份CA数据库日志文件CA密钥对配置数据库所有证书服务注册表,手工备份包含：,CA数据库日志文件CA密钥对,2.4.1备份CA的方法,备份证书服务的方法,演示：使用“备份或还原向导”备份证书颁发机构的系统状态,2.4.2备份证书服务的方法,还原证书服务的方法,演示：还原证书服务从下列位置进行恢复:,从系统状态备份还原从手动备份还原,2.4.3还原证书服务的方法,2.4.4备份证书服务的最佳实践,备份证书服务的最佳实践,练习1安装企业从属证书颁发机构练习2发布颁发机构信息访问和CRL分发点扩展,2.5实验2-2：安装和配置证书颁发机构,实验2-2：安装和配置证书