证书服务器的相关管理和部署

1、网络安全的实现和管理以Windows Server 2003和ISA Server 2004为例课程系列讲座之二课程知识点 1.授权和身份验证（第 1 章）2.2.证书服务器的相关管理和部署（第证书服务器的相关管理和部署（第2 2、3 3 章）章）3.智能卡相关概念和配置（第 4 章）4.客户端和服务器端安全部署（第 6、7章）5.EFS 相关概念和操作（第5 章）6.安全更新服务器的管理和部署（第9章）7.数据传输安全配置与部署（第 1013章）8.ISA Server 2004 概述和安装配置 （第14 、15章)9.ISA Server 2004 服务器配置和部署 上（第 16 17，第

2、22章）10. ISA Server 2004 服务器配置和部署 下（第 18 21 章）11. ISA Server 2004 服务器的监视（第 23 章）今日主题1. 课程导入2. PKI的工作原理3. 实现和管理CA4. 配置、部署和管理证书5. 本章考点6. Q&A1 课程导入n 公民n 网民n 身份验证2 PKI概述n 什么是PKI通过使用非对称密钥算法技术来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI采用由各参与方都信任的CA来核对和验证各参与方的信任机制。2 PKI概述n 公钥架构的组成部分非对称密钥由非对称密钥函数生成。每个通信方都有两个Key。一般由

3、证书申请者在本地生成，或由专门应用程序生成。非对称函数保证了公钥和私钥的验证匹配。数字证书颁发机构所颁发的证书持有人的身份的数字声明。将公钥与拥有私钥的个人、计算机或服务绑在一起。证书由各种公钥安全服务、提供身份验证的应用程序、数据完整性和通过网络的安全通信使用。2 PKI概述n 公钥架构的组成部分（续）证书颁发机构：CA，负责审核、颁发管理和维护任务。证书使用者必须信任CA。使用者：用户，计算机，所有的证书都是为了一定的应用程序而申请和颁发的。证书模板定义证书用途、颁发对象、密钥长度、有效期等参数两种版本。在独立CA和企业CA中有区别。2 PKI概述n 公钥架构的组成部分（续）AIA：扩展指

4、定获取CA最新证书的位置CRL：证书吊销列表CDP：扩展指定获取CA签名的最新CRL位置证书和CA管理工具2 PKI概述n使用PKI的应用程序数字签名智能卡登录安全电子邮件软件代码签名IPSec802.1x软件限制Internet身份验证EFSPKI 的组件证书模板证书模板 数字证书数字证书 证书吊销列表证书吊销列表 启用公钥的应用程序和启用公钥的应用程序和服务服务颁发机构信息访颁发机构信息访问和问和 CRL 分发点分发点证书和证书和 CA 管理管理工具工具 颁发机构颁发机构 使用 PKI 的应用程序软件代码软件代码签名签名 加密文加密文件系统件系统智能卡登录智能卡登录 802.1xIP 安全

5、安全Internet 身份验证身份验证安全电子安全电子邮件邮件Windows 2003证书服务器证书服务器软件限制策略软件限制策略 数字签名数字签名用户用户计算机计算机服务服务使用支持 PKI 的应用程序的账户PKI 工具目录工具MMC 管理单元证书模板管理单元证书模板管理单元证书颁发机构管理单元证书颁发机构管理单元证书管理单元证书管理单元命令行工具Certutil.exeCertreq.exeResource Kit 中的工具密钥恢复工具（密钥恢复工具（Krt.exe） Pkiview.msc编程工具CryptoAPICapiCOM证书颁发机构CA 的职责：的职责：验证证书请求者的身份验证证

6、书请求者的身份 取决于接受证书申请提交的 CA 类型颁发证书颁发证书 所申请的证书类型决定所颁发证书的内容管理证书吊销管理证书吊销 CRL 由一个证书序列号列表组成，这些都是 CA 颁发的不再受信任的证书3 实现和管理CAn 实现CA安装准备安装操作系统并准备相关环境安装和配置IIS删除【更新根证书】组件配置CAPolicy.inf文件CA的种类独立根CA和独立从属CA企业根CA和企业从属CA独立 企业何时使用离线离线 CA颁发颁发 CAActive Directory与与 Active Directory 的使用无关的使用无关需要需要 Active Directory证书申请使用使用 Web

7、 方式方式可以使用可以使用“证书申请证书申请向导向导”证书申请管理必须由证书管理程必须由证书管理程序颁发或拒绝序颁发或拒绝证书申请的接受或拒证书申请的接受或拒绝取决于所申请证书绝取决于所申请证书模板的随机访问控制模板的随机访问控制列表（列表（DACL）不同证书颁发机构类型之间的差异3 实现和管理CAn 证书吊销吊销原因证书服务发布CRL的方式n CA的安全控制安全属性CA审核3 实现和管理CAn 备份和还原CA备份CA的方法系统状态备份手动备份还原CA的方法4 配置、部署和管理证书n配置证书模板数字证书的概念企业CA所颁发的证书都是基于证书模板证书模板的操作方法MMCAD的站点和服务证书颁发机

8、构不同版本的证书模板特性更行证书模板方法修改原始证书模板取代现有证书模板在证书颁发机构中添加模板4 配置、部署和管理证书n 申请证书的方法基于web证书控制台Certreq.exe自动注册注册代理n 吊销证书方法证书颁发机构Certutil.exe4 配置、部署和管理证书n 管理证书密钥恢复的原因用户配置文件被删除重新安装OS磁盘损坏计算机失窃方法和步骤导出密钥和证书使用的文件格式导出密钥的方法密钥存档和恢复4 配置、部署和管理证书n 管理证书（续）密钥存档和恢复密钥存档的前提条件配置CA进行密钥存档的方法设置KRA模板权限配置CA颁发KRA模板为用户颁发KRA批准和安装KRA证书配置CA使用

9、恢复代理配置新模板使用恢复代理配置CA基于新模板颁发证书密钥恢复过程5 本章考点nPKI应用n模板设置n证书注销5 本章考点nPKI应用 有一台计算机运行IIS，是对外的电子商务站点。你计划应用SSL，你不想让客户在用SSL链接你的电子商务站点时出现需要获取安全证书的提示。你需要选择一个合适的CA服务器给你的web服务器颁发SSL证书。你该选择什么类型的CA？5 本章考点n模板设置 安全策略要求 私钥必须能够导出； 私钥大小为2048； 私钥和证书在CA上必须能够恢复； 当私钥被使用时，提示用户并要求用户输入5 本章考点n证书注销 你安装了一个CA服务，为员工的e-mail加密和weh站点验证颁发相关证书。当员工离开公司后你会吊销他们的证