微软证书服务

1、.,微 软 证 书 服 务microsoft certification service,谭伟 mct/ess engineer 成都金海洋微软高级技术教育中心 ,.,术语,pki:public key infrastructure 公钥架构 ca:certificate authority 证书颁发机构 crl:certificate revocation list 证书吊销列表 ctl:certificate trust list 证书信任列表 aia:authority information access 根证书分发点 public key:公钥 private key :私钥,.,证

2、书典型应用,安全的无线网络 efs加密文件系统 安全的web通讯(https) ipsec 智能卡 代码签名 vpn,.,公钥架构pki,一个工业标准 以严密的数学算法为基础 使用非对称密钥对加密（公钥和私钥）,.,证书主体,用户 计算机 服务(应用程序),.,非对称密钥,用公钥加密的,只能用相对应的私钥解密 用私钥加密的,只能用相对应的公钥解密 公钥可发送给对方 私钥由自己保存,不会随便发送给第三方 绝大多数情况下私钥和公钥对是申请证书的客户计算机生成的,不是ca生成的,不存在私钥在网络中传输的问题. 私钥是存储在申请证书的那台计算机上的,.,证书的功能,加密 签名 身份验证,.,证书与公/

3、私钥的关系,证书中包含公钥 公钥与私钥相对应 私钥是存储在申请证书的计算机中 可以将私钥导出到证书中，但不是每种证书都可以导出私钥（证书模板可以控制）,.,证书的主要特点,包含了证书主体的公钥 证书是有使用期限的,可以续订 描述了使用证书的证书主体 描述了证书是由那个ca颁发的,.,ca,权威的证书颁发机构 证书主体必须都信任同一个ca(需要配置) 只要信任根ca,就自动信任根ca下所有子ca 有企业ca和独立ca,.,企业ca,企业ca需要active directory 企业ca可以颁发智能卡证书 企业ca通过web方式只能申请一部分 域控可自动申请,默认自动颁发证书 结合组策略使用,.,

4、独立ca,独立需要active directory 独立ca不能颁发智能卡证书 独立ca通过web方式能申请全部证书 需要手动申请,默认手动颁发证书,.,ca的层次结构,单层ca,企业或独立ca,中小型企业适用 多层ca,适合大型企业适用,根ca长期脱机,严密保护,建议根ca为独立ca.因为如果是企业ca的话，60天需要连入网络同步数据。,.,证书存储区,用户证书物理位置是存储在用户profile 计算机或服务证书物理位置是存储在注册表 逻辑位置为个人或受信任的ca存储区,.,配置ca信任方法,证书管理单元中手动导入ca的证书 从web下载ca的证书,再手动导入 从aia分发点手动copy 通

5、过配置组策略自动信任ca,.,证书模板,可供证书主体申请相对应的证书 企业ca所独有,独立ca没有 有v1和v2 版本 v1为灰色,不可改,v2为绿色,可以修改,.,证书申请方法,web 证书管理单元 命令行 req文件 组策略,.,管理证书的工具,证书颁发机构 证书管理单元 证书模板,.,证书的吊销,通过ca管理单元来做 管理员手动来执行 被吊销的证书就无效了 只有吊销原因为”证书待定”的才能撤销吊销,.,证书的备份和恢复,建议备份系统状态数据 备份企业ca数据库间隔时间不能超过60天,.,数据存储安全(efs),efs加密的文件，只有用户自己才能复制和打开，管理员也无权限复制和打开 建议用

6、户使用efs后，导出自己的证书（包含私钥） 可以配置组策略（域环境建议配置默认域策略）来实现故障恢复代理 可以配置efs共享，实现加密文件共享访问,.,终端服务器安全,终端服务器身份验证和加密： 条件： 1.终端服务器使用windows server 2003 sp1 2.终端服务器使用“服务器身份验证证书“ 3.客户端使用rdp 5.2 4.客户端信任终端服务器的颁发ca 细节： 1.客户端和服务器进行ssl身份验证时使用3389端口。 2.客户端连接终端服务器可能需要和证书的common name对应，不然验证可能会失败。,.,web服务器安全（ssl）,确保web通讯的安全 步骤： 1.给web服务器颁发“服务器身份验证证书” 2.启用ssl安全通道,.,安全的电子邮件,签名邮件：(确保邮件来自发件人，不会被篡改) 1.发件人用私钥签名邮件 2.收件人用发件人公钥解密签名邮件 加密邮件：(确保邮件传递安全) 1.发件人和收件人都需要申请“用户证书” 2.