证书服务器配置与管理

1、2 证书服务的基本概念证书服务的基本概念 安装与配置证书服务器安装与配置证书服务器 客户端证书安装与使用客户端证书安装与使用 公钥基础设施公钥基础设施PKI是目前实施网络安全应用的主要技术，是目前实施网络安全应用的主要技术，其核心技术即使用公钥数字证书实现主体身份和公钥的绑定，其核心技术即使用公钥数字证书实现主体身份和公钥的绑定，制成各种安全机制的应用。制成各种安全机制的应用。Windows Server 2003提供了提供了公钥证书管理工具，使用该工具可以方便产生、颁发、注销公钥证书管理工具，使用该工具可以方便产生、颁发、注销数字证书，架构企业自己的认证中心。本章介绍证书服务器数字证书，架构

2、企业自己的认证中心。本章介绍证书服务器的配置与管理，包括以下主要内容：的配置与管理，包括以下主要内容：34 公钥数字证书（又称为公钥证书、数字证书、公钥数字证书（又称为公钥证书、数字证书、Certificates）简称证书，是用于绑定实体身份和公钥信）简称证书，是用于绑定实体身份和公钥信息的经过权威机构数字签名的声明，以文件的形式存在，息的经过权威机构数字签名的声明，以文件的形式存在，证书将公钥与保存对应私钥的实体绑定在一起。证书将公钥与保存对应私钥的实体绑定在一起。 证书一般由可信的权威第三方证书一般由可信的权威第三方CA中心（权威授权机构）中心（权威授权机构）颁发，颁发， CA 对其颁发的

3、证书进行数字签名，以保证所颁发对其颁发的证书进行数字签名，以保证所颁发证书的完整性和可鉴别性。证书的完整性和可鉴别性。 CA可以为用户、计算机或服务等各类实体颁发证书。可以为用户、计算机或服务等各类实体颁发证书。 5 公钥证书以公钥密码算法为基础。公钥密码算法基于复公钥证书以公钥密码算法为基础。公钥密码算法基于复杂数学问题构建公钥和私钥的映射关系。杂数学问题构建公钥和私钥的映射关系。 使用公钥加密数据（数据加密），只能使用对应的私钥使用公钥加密数据（数据加密），只能使用对应的私钥解密（数据解密）。解密（数据解密）。 使用私钥加密数据使用私钥加密数据（称数字签名），（称数字签名），只能使用对应公

4、钥只能使用对应公钥解密（签名验证）。解密（签名验证）。 6广泛应用的证书格式基于国际广泛应用的证书格式基于国际电信联盟电信标准部门（电信联盟电信标准部门（ITU-T）建议的建议的X.509v3 标准。标准。X.509 证书包括公钥和有关证证书包括公钥和有关证书授予的人员或实体的信息、书授予的人员或实体的信息、有关证书的有效期、用途等信有关证书的有效期、用途等信息，以及有关颁发证书的息，以及有关颁发证书的CA的的信息。信息。实体的主题（或主体，实体的主题（或主体，Subject）标示证书的持有者，证书的颁标示证书的持有者，证书的颁发者（发者（Issuer）和签名者是）和签名者是CA。 版本号序列

5、号颁发者.500惟一识别名有效期主体.500惟一识别名主体公钥信息颁发者惟一标识符(可选)主体惟一标识符(可选)扩展项CA签名散列签名生成CA私钥签名和哈希算法7 证书只在证书颁发者对该证书指定的时间段内有证书只在证书颁发者对该证书指定的时间段内有效。每个证书包含效。每个证书包含“有效期从有效期从”和和“有效期至有效期至”日期，这两个日期设置了证书有效期的界限。一日期，这两个日期设置了证书有效期的界限。一旦超过证书的有效期，证书持有者必须重新请求旦超过证书的有效期，证书持有者必须重新请求证书。证书。 如果因为某种原因，如证书主体私钥泄密、证书如果因为某种原因，如证书主体私钥泄密、证书主体身份变

6、更等，必须撤销证书的使用，颁发者主体身份变更等，必须撤销证书的使用，颁发者可以吊销证书。每个颁发者（可以吊销证书。每个颁发者（CA）维护一个证书）维护一个证书吊销列表（吊销列表（CRL）。）。8 IE浏览器，浏览器，“工工具具”/“Internet选项选项”菜单，选择菜单，选择“内容内容”选项卡，单击选项卡，单击“证书证书”按钮。对话框包括按钮。对话框包括“个人个人”、“其他其他人人”、“中级证书颁中级证书颁发机构发机构”、“受信任受信任的根证书颁发机构的根证书颁发机构”等不同证书存储区域。等不同证书存储区域。 91011 设置设置CA类型类型 12 选择加密服务提供程序选择加密服务提供程序

7、13 设置设置CA的公用名称的公用名称 14 证书数据库设置证书数据库设置 15 完成安装后，系统重新启动完成安装后，系统重新启动IIS服务。在服务。在“管理工管理工具具”应用程序组中添加了应用程序组中添加了“证书颁发机构证书颁发机构”管理管理控制台，管理员使用它可以进行证书服务的管理控制台，管理员使用它可以进行证书服务的管理与设置。与设置。 证书服务安装完成后，在证书服务器上将增加一证书服务安装完成后，在证书服务器上将增加一个共享文件夹个共享文件夹%SystemRoot%system32 certsrvCertEnroll，下面存放，下面存放CA的根证书和证的根证书和证书撤销列表（书撤销列表

8、（CRL）文件。）文件。 同时，在服务器的同时，在服务器的IIS服务中将增加证书服服务中将增加证书服务的务的Web服务。服务。 16 “证书颁发机构证书颁发机构”管理证书服务器管理证书服务器 处理挂起的证书请求 17处理颁发的证书 1819 安装受信任的安装受信任的CA根证书根证书 访问证书服务器 20下载CA证书页面 21 证书下载到本地磁证书下载到本地磁盘后，可以安装到盘后，可以安装到操作系统中。在操作系统中。在IE浏览器中选择浏览器中选择“工工具具”/“Internet选选项项”/“内容内容”/“证证书书”，打开，打开“证书证书”对话框，选择对话框，选择“受受信任的根证书颁发信任的根证书

9、颁发机构机构”选项卡，单选项卡，单击击“导入导入”按钮，按钮，进入证书导入向导。进入证书导入向导。 选择证书导入文件22选择证书导入区域 23 “受信任的根证书颁发机构受信任的根证书颁发机构”区域内将增加刚下区域内将增加刚下载的载的CA证书。证书。24申请用户证书页面 2526证书申请页面 27查询证书申请的状态 28查询证书申请 29 运行运行Outlook Express，选择，选择“工具工具”菜单中的菜单中的“账户账户”，弹出弹出 “Internet账户账户”对话框。选择对话框。选择“邮件邮件”选项卡，选选项卡，选择邮箱账户，单击择邮箱账户，单击“属性属性”按钮。按钮。 邮件账户设置 3031使用Outlook Express签名和加密邮件 32本章介绍了本章介绍了Windows Server 2003证书服务的证书服务的安装与配置，给出了完整的用户申请数字证书的过安装与配置，给出了完整的用户申请数字证书的过程，并以安全电子邮件为例，介绍了使用程，并以安全电子邮件为例，介绍了使用Outlook Ex