证书服务配置与管理课件

第14章证书服务配置与管理第14章证书服务配置与管理1本章学习目标本章主要讲解证书服务器的配置与管理。通过本章学习，读者应该掌握以下知识：证书服务的基本概念；安装与配置证书服务器；客户端证书安装与使用；本章学习目标本章主要讲解证书服务器的配置与管理。214.1证书服务的基本概念公钥数字证书（又称为公钥证书、数字证书、certificates）简称证书，是用于身份验证的经过（权威机构）数字签名的声明（以文件的形式存在）。证书将公钥与保存对应私钥的实体绑定在一起，证书一般由可信的权威第三方CA中心（权威授权机构）颁发，CA对其颁发证书进行数字签名，以保证所颁发证书的完整性和可鉴别性。CA可以为用户、计算机或服务等各类实体颁发证书。14.1证书服务的基本概念公钥数字证书（又称为公钥证书、数3图14-1证书数据结构图14-1证书数据结构4图14-2证书对话框图14-2证书对话框5图14-3查看证书详细信息图14-3查看证书详细信息614.2安装与配置WindowsServer2003证书服务14.2.1安装证书服务14.2.2证书服务管理14.2安装与配置WindowsServer2003714.2.1安装证书服务安装证书服务器的步骤如下：步骤一，选择“开始”/“设置”/“控制面板”/“添加或删除程序”，选择“添加/删除Windows组件”，在出现的如图14-4所示对话框中，选择“证书服务”复选框，并单击“详细信息”按钮，出现如图14-5所示“证书服务”子组件详细对话框。14.2.1安装证书服务安装证书服务器的步骤如下：8图14-4安装Windows2003证书服务组件图14-4安装Windows2003证书服务组件9图14-5证书服务子组件对话框图14-5证书服务子组件对话框10步骤二，在如图14-5所示证书服务详细内容对话框中，选择“证书服务CA”和“证书服务Web注册支持”，“证书Web注册支持”服务选项，允许用户以浏览器模式访问WindowsServer2003证书服务器，申请证书。单击“确定”按钮，返回图14-4所示对话框界面，单击“下一步”按钮继续。步骤三，在出现如图14-6所示“CA类型”对话框中，选择“独立根”和“用自定义设置生成密匙对和CA证书”选项，这里我们构建企业自己独立的CA服务器。单击“下一步”按钮继续。步骤二，在如图14-5所示证书服务详细内容对话框中，选择“证11图14-6设置CA类型对话框图14-6设置CA类型对话框12步骤四，在出现的如图14-7所示对话框中进行加密服务提供程序的设置，选择散列算法（建议选用SHA-1）和密匙长度。根据安全应用的需要可以选择512、1024或2048位密钥长度。单击“下一步”按钮。步骤五，在出现的如图14-8所示对话框中输入CA的识别信息，本例中设置为HenanUniversityofTechnology，即CA的公共名称（CN,CommonName）为HenanUniversityofTechnology。用户可以任意设置为本企业的标识名称。单击“下一步”继续。步骤四，在出现的如图14-7所示对话框中进行加密服务提供程序13图14-7选择加密服务提供程序对话框图14-7选择加密服务提供程序对话框14图14-8设置CA标识名称对话框图14-8设置CA标识名称对话框15步骤六，在出现如图14-9所示对话框中进行证书数据库、证书日志存储路径的设置。单击“下一步”弹出一询问停止IIS服务的对话框，选择“是”停止IIS服务，接下来系统开始组件安装。步骤六，在出现如图14-9所示对话框中进行证书数据库、证书日16图14-9证书数据库设置对话框图14-9证书数据库设置对话框17图14-10证书服务器证书入口共享文件夹图14-10证书服务器证书入口共享文件夹18图14-11证书Web服务入口图14-11证书Web服务入口1914.2.2证书服务管理证书服务安装好后，可以使用管理工具中“证书颁发机构”工具对证书服务器进行管理。通过“开始”/“程序”/“管理工具”/“证书颁发机构”，打开“证书颁发机构”管理控制台窗口，如图14-12所示，显示此计算机上已经安装好证书服务，而且已经自动启动运行。14.2.2证书服务管理证书服务安装好后，可以使用管理工20图14-12证书颁发机构管理控制台窗口图14-12证书颁发机构管理控制台窗口21图14-13处理挂起的证书请求图14-13处理挂起的证书请求22图14-14处理颁发的证书图14-14处理颁发的证书2314.3客户端申请和安装证书14.3.1安装CA证书14.3.2申请并安装客户证书14.3.3证书应用14.3客户端申请和安装证书14.3.1安装CA证书2414.3.1安装CA证书图14-15访问证书服务器14.3.1安装CA证书图14-15访问证书服务器25图14-16下载CA证书页面图14-16下载CA证书页面26图14-17证书导入文件选择图14-17证书导入文件选择27图14-18选择证书导入区域图14-18选择证书导入区域28图14-19安全警告对话框图14-19安全警告对话框29图14-20证书浏览对话框图14-20证书浏览对话框3014.3.2申请并安装客户证书图14-21申请用户证书页面14.3.2申请并安装客户证书图14-21申请用户证书31图14-22申请电子邮件保护证书图14-22申请电子邮件保护证书32图14-23证书申请页面图14-23证书申请页面33图14-24查询证书申请图14-24查询证书申请34图14-25查询证书申请图14-25查询证书申请3514.3.3证书应用图14-26邮件帐户设置14.3.3证书应用图14-26邮件帐户设置36图14-27为邮件安全服务添加证书图14-27为邮件安全服务添加证书37图14-28为邮件安全服务添加证书图14-28为邮件安全服务添加证书38图14-29使用OutlookExpress签名加密邮件图14-29使用OutlookExpress签名加密邮39本章小结本章介绍了WindowsServer2003证书服务的概念、服务的安装与配置，给出了完整的用户申请数字证书的过程，并以安全电子邮件为例，介绍了使用Outlook电子邮件程序实现邮件的签名与加密的安全服务。使用WindowsServer2003证书服务可以架构企业内部自己的CA中心，依靠数字证书应用拓展网络安全服务与应用。本章小结本章介绍了WindowsServer2003证书40第14章证书服务配置与管理第14章证书服务配置与管理41本章学习目标本章主要讲解证书服务器的配置与管理。通过本章学习，读者应该掌握以下知识：证书服务的基本概念；安装与配置证书服务器；客户端证书安装与使用；本章学习目标本章主要讲解证书服务器的配置与管理。4214.1证书服务的基本概念公钥数字证书（又称为公钥证书、数字证书、certificates）简称证书，是用于身份验证的经过（权威机构）数字签名的声明（以文件的形式存在）。证书将公钥与保存对应私钥的实体绑定在一起，证书一般由可信的权威第三方CA中心（权威授权机构）颁发，CA对其颁发证书进行数字签名，以保证所颁发证书的完整性和可鉴别性。CA可以为用户、计算机或服务等各类实体颁发证书。14.1证书服务的基本概念公钥数字证书（又称为公钥证书、数43图14-1证书数据结构图14-1证书数据结构44图14-2证书对话框图14-2证书对话框45图14-3查看证书详细信息图14-3查看证书详细信息4614.2安装与配置WindowsServer2003证书服务14.2.1安装证书服务14.2.2证书服务管理14.2安装与配置WindowsServer20034714.2.1安装证书服务安装证书服务器的步骤如下：步骤一，选择“开始”/“设置”/“控制面板”/“添加或删除程序”，选择“添加/删除Windows组件”，在出现的如图14-4所示对话框中，选择“证书服务”复选框，并单击“详细信息”按钮，出现如图14-5所示“证书服务”子组件详细对话框。14.2.1安装证书服务安装证书服务器的步骤如下：48图14-4安装Windows2003证书服务组件图14-4安装Windows2003证书服务组件49图14-5证书服务子组件对话框图14-5证书服务子组件对话框50步骤二，在如图14-5所示证书服务详细内容对话框中，选择“证书服务CA”和“证书服务Web注册支持”，“证书Web注册支持”服务选项，允许用户以浏览器模式访问WindowsServer2003证书服务器，申请证书。单击“确定”按钮，返回图14-4所示对话框界面，单击“下一步”按钮继续。步骤三，在出现如图14-6所示“CA类型”对话框中，选择“独立根”和“用自定义设置生成密匙对和CA证书”选项，这里我们构建企业自己独立的CA服务器。单击“下一步”按钮继续。步骤二，在如图14-5所示证书服务详细内容对话框中，选择“证51图14-6设置CA类型对话框图14-6设置CA类型对话框52步骤四，在出现的如图14-7所示对话框中进行加密服务提供程序的设置，选择散列算法（建议选用SHA-1）和密匙长度。根据安全应用的需要可以选择512、1024或2048位密钥长度。单击“下一步”按钮。步骤五，在出现的如图14-8所示对话框中输入CA的识别信息，本例中设置为HenanUniversityofTechnology，即CA的公共名称（CN,CommonName）为HenanUniversityofTechnology。用户可以任意设置为本企业的标识名称。单击“下一步”继续。步骤四，在出现的如图14-7所示对话框中进行加密服务提供程序53图14-7选择加密服务提供程序对话框图14-7选择加密服务提供程序对话框54图14-8设置CA标识名称对话框图14-8设置CA标识名称对话框55步骤六，在出现如图14-9所示对话框中进行证书数据库、证书日志存储路径的设置。单击“下一步”弹出一询问停止IIS服务的对话框，选择“是”停止IIS服务，接下来系统开始组件安装。步骤六，在出现如图14-9所示对话框中进行证书数据库、证书日56图14-9证书数据库设置对话框图14-9证书数据库设置对话框57图14-10证书服务器证书入口共享文件夹图14-10证书服务器证书入口共享文件夹58图14-11证书Web服务入口图14-11证书Web服务入口5914.2.2证书服务管理证书服务安装好后，可以使用管理工具中“证书颁发机构”工具对证书服务器进行管理。通过“开始”/“程序”/“管理工具”/“证书颁发机构”，打开“证书颁发机构”管理控制台窗口，如图14-12所示，显示此计算机上已经安装好证书服务，而且已经自动启动运行。14.2.2证书服务管理证书服务安装好后，可以使用管理工60图14-12证书颁发机构管理控制台窗口图14-12证书颁发机构管理控制台窗口61图14-13处理挂起的证书请求图14-13处理挂起的证书请求62图14-14处理颁发的证书图14-14处理颁发的证书6314.3客户端申请和安装证书14.3.1安装CA证书14.3.2申请并安装客户证书14.3.3证书应用14.3客户端申请和安装证书14.3.1安装CA证书6414.3.1安装CA证书图14-15访问证书服务器14.3.1安装CA证书图14-15访问证书服务器65图14-16下载CA证书页面图14-16下载CA证书页面66图14-17证书导入文件选择图14-17证书导入文件选择67图14-18选择证书导入区域图14-18选择证书导入区域68图14-19安全警告对话框图14-19安全警告对话框69图14-20证书浏览对话框图14-20证书浏览对话框7014.3.2申请并安装客户证书图14-21申请用户证书页面14.3.2申请并安装客户证书图14-21申请用户证书71图14-22申请电子邮件保护证书图14-22申请电子邮件保护证书72图14-23证书申请页面图14-23证书申请页面73图14-24查询证书申请图14-24查询证书申请74图14-25查询证书申请图14-25查询证书申请7514.3.3证书应用图14-26邮件帐户设置14.3.3证书应用图14-26邮件帐户设置76图14-27为邮件安全服务添加证书图14-27为邮件安全服务添加证书77图14-28为邮件安全服务