第10章電子證書服務(wù)課件

1、本章要點(diǎn)本章要點(diǎn) 部署公鑰基礎(chǔ)機(jī)構(gòu)（PKI），利用PKI提供的密鑰體系來(lái)實(shí)現(xiàn)數(shù)字證書簽發(fā)、身份認(rèn)證、數(shù)據(jù)加密和數(shù)字簽名等功能，可以為網(wǎng)絡(luò)業(yè)務(wù)的開展提供安全保證。u數(shù)字證書簡(jiǎn)介uCA的層次結(jié)構(gòu)u企業(yè)CA的安裝與證書申請(qǐng)u數(shù)字證書的管理第第10章章 電子證書服務(wù)電子證書服務(wù)u10.1 數(shù)字證書簡(jiǎn)介u10.2 CA的層次結(jié)構(gòu)u10.3 企業(yè)CA的安裝與證書申請(qǐng)u10.4 數(shù)字證書的管理概述概述u隨著Internet的迅猛發(fā)展，越來(lái)越多的重要數(shù)據(jù)要在網(wǎng)上傳輸，如何保證這些數(shù)據(jù)不受到惡意的攻擊或竊取，成為網(wǎng)絡(luò)管理最關(guān)鍵的問(wèn)題之一。u在Windows 2003中，可以利用公共密鑰提供網(wǎng)絡(luò)安全。u對(duì)于電子商

2、務(wù)、Intranets、extranets和啟用了Web功能的應(yīng)用程序來(lái)說(shuō)，公共密鑰密碼系統(tǒng)是一項(xiàng)重要的技術(shù)。uWindows 2003中有兩種驗(yàn)證協(xié)議，Kerberos和公鑰基礎(chǔ)結(jié)構(gòu)(Public Key Infrastructure ，PKI)，這兩者的不同之處在于：Kerberos是對(duì)稱密鑰，而PKI是非對(duì)稱密鑰。u對(duì)稱密鑰加密和解密的密鑰相同。u非對(duì)稱密鑰加密和解密密鑰不同。概述概述10.1 數(shù)字證書簡(jiǎn)介數(shù)字證書簡(jiǎn)介u數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息和身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。u身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書信息的真實(shí)性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾?，用?/p>

3、的數(shù)字簽名可以保證數(shù)字信息的不可否認(rèn)性。數(shù)字證書數(shù)字證書u數(shù)字證書是各類終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流和商務(wù)活動(dòng)的身份證明。u數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的，包含公開密鑰擁有者信息和公開密鑰的文件。u認(rèn)證中心（CA）作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。u認(rèn)證中心頒發(fā)的數(shù)字證書均遵循X.509 V3標(biāo)準(zhǔn)。u公共密鑰基礎(chǔ)機(jī)構(gòu)(PKIPublic Key Infrastructure)u什么是PKIu公鑰加密可以提供信息的安全性和機(jī)密性u(píng)數(shù)字簽名可以確認(rèn)信息的真實(shí)性和來(lái)源的可靠性10.1.2 公共密鑰基礎(chǔ)機(jī)構(gòu)（公共密鑰基礎(chǔ)機(jī)構(gòu)（PKI

4、）10.1.2 PKIu公鑰基礎(chǔ)結(jié)構(gòu)（Public Key Infrastructure，PKI）是通過(guò)使用公鑰加密對(duì)參與電子交易的每一方的有效性進(jìn)行驗(yàn)證和身份驗(yàn)證的數(shù)字證書、證書頒發(fā)機(jī)構(gòu)（CA）和其他注冊(cè)機(jī)構(gòu)（RA）。u一個(gè)單位選擇使用Windows來(lái)部署PKI的原因：u安全性強(qiáng)。智能卡登陸、加密文件系統(tǒng)（EFS）、IPsec（Internet協(xié)議安全性）u簡(jiǎn)化管理。u其他機(jī)會(huì)。加密技術(shù)加密技術(shù)u對(duì)稱式加密u非對(duì)稱式加密對(duì)稱式加密對(duì)稱式加密*加密密鑰加密密鑰u加密是通過(guò)數(shù)學(xué)運(yùn)算將明文和密鑰結(jié)合起來(lái)產(chǎn)生密文。u對(duì)稱密鑰是指加密和和解密的密鑰相同，這樣為了共享加密數(shù)據(jù)就要雙方必須事先交換加/解密

5、鑰。安全嗎？u非對(duì)稱密鑰是指加/解密鑰不同。需要成對(duì)的密鑰PK和SK。PK加密，SK解密。PK可以在網(wǎng)絡(luò)上傳輸，而要解 密就必須要SK，因此保護(hù)SK是關(guān)鍵。u公共密鑰加密技術(shù)用到了兩個(gè)密鑰：加密密鑰和解密密鑰u密鑰（key）：一個(gè)隨機(jī)字符串與某種算法的聯(lián)合使用。u系統(tǒng)使用一對(duì)密鑰來(lái)完成對(duì)數(shù)據(jù)的加密解密：u公共密鑰（公鑰）：是自由發(fā)布的，可以公開，以供他人向自己傳輸信息時(shí)加密使用。u私用密鑰（私鑰）：在系統(tǒng)中保存，從不發(fā)布，只有擁有對(duì)應(yīng)私鑰的本人才能解密，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴９裁荑€加密技術(shù)公共密鑰加密技術(shù)公共密鑰加密模型公共密鑰加密模型A加密B的公鑰B解密B的私鑰密文明文加密模型加密模型

6、公共密鑰加密技術(shù)（展示動(dòng)畫）公共密鑰加密技術(shù)（展示動(dòng)畫）Encrypted Message is Sent Over Network3A78Alice Encrypts Message with Bobs Public Key.Data3A78Bob Decrypts Message with BOBs Private Key.Data數(shù)字簽名數(shù)字簽名u采用數(shù)字簽名可以保證數(shù)據(jù)完整性。u數(shù)字簽名是一種由消息、文件或其他數(shù)字編碼的創(chuàng)建者將標(biāo)識(shí)綁定到信息中的方法。u簽名信息的過(guò)程需要將信息和發(fā)送方持有的一些秘密信息傳輸?shù)椒Q為簽名的標(biāo)簽中。u數(shù)字簽名提供了認(rèn)可和完整性服務(wù)u數(shù)字簽名本身就是數(shù)據(jù)，因此

7、它可以隨受保護(hù)的源數(shù)據(jù)一起傳輸。公共密鑰身份驗(yàn)證（使用密鑰對(duì)）公共密鑰身份驗(yàn)證（使用密鑰對(duì)）u與公共密鑰加密技術(shù)類似，公共密鑰身份驗(yàn)證也使用了密鑰對(duì)。u但它不利用發(fā)送者的私用密鑰解密消息，而是利用發(fā)送者的公共密鑰鑒別和確認(rèn)該消息的發(fā)送者的有效性。這一私用密鑰被稱為數(shù)字簽名。公共密鑰身份驗(yàn)證（數(shù)字簽名）公共密鑰身份驗(yàn)證（數(shù)字簽名）u說(shuō)明：加密技術(shù)可以提供安全性和機(jī)密性，而數(shù)字簽名可以確認(rèn)信息的真實(shí)性和來(lái)源。u數(shù)字簽名：一種由消息、文件或者其他數(shù)字化編碼信息的創(chuàng)建者將其身份標(biāo)識(shí)和這些消息利用私鑰約束在一起的方法。u數(shù)字簽名用于發(fā)送者的不可抵賴性，因?yàn)樗借€只有自己有，所以當(dāng)接收者用你的公鑰解密后就可

8、以證明是你無(wú)疑。u數(shù)字簽名本身就是數(shù)據(jù)，因此它們可以與受保護(hù)的原數(shù)據(jù)一起進(jìn)行傳輸，供接收者驗(yàn)證。數(shù)字簽名使用私鑰對(duì)簽名數(shù)據(jù)進(jìn)行加密：數(shù)字簽名使用私鑰對(duì)簽名數(shù)據(jù)進(jìn)行加密：u只有擁有私鑰的人才能進(jìn)行數(shù)字簽名。u任何人都可以通過(guò)相應(yīng)的公鑰鑒別數(shù)字簽名的真?zhèn)?。u如果對(duì)簽名后的數(shù)據(jù)進(jìn)行了數(shù)據(jù)的任何修改，數(shù)字簽名將失效。公共密鑰身份驗(yàn)證（認(rèn)證模型）公共密鑰身份驗(yàn)證（認(rèn)證模型）A加密A的私鑰B解密A的公鑰密文明文認(rèn)證模型認(rèn)證模型明文公共密鑰身份驗(yàn)證（展示動(dòng)畫）公共密鑰身份驗(yàn)證（展示動(dòng)畫）Message is Sent Over Network*Alice Signs Message with Her Pri

9、vate Key.*Bob Validates Message is From Alice with Alices Public Key.哈希算法哈希算法u數(shù)字簽名通過(guò)使用哈希算法來(lái)檢驗(yàn)數(shù)據(jù)在從數(shù)據(jù)源到目地的傳輸過(guò)程中是否被更改了。u哈希算法從原始數(shù)據(jù)中提取128K的摘要A,并用發(fā)送者的私鑰加密后發(fā)送給接收者。接收者對(duì)解密獲得的數(shù)據(jù)也要進(jìn)行哈希算法獲得另一個(gè)摘要B，接收者將A和B進(jìn)行比較，若兩者一致說(shuō)明傳輸過(guò)程未被篡改。瀏覽器瀏覽器加密文件系統(tǒng)加密文件系統(tǒng)加密加密 E-Mail數(shù)字標(biāo)示數(shù)字標(biāo)示智能卡智能卡數(shù)字簽名數(shù)字簽名IPSEC證書的用途證書的用途證書的用途證書的用途u證書提供下述功能：u服

10、務(wù)器身份驗(yàn)證服務(wù)器身份驗(yàn)證利用證書為網(wǎng)絡(luò)中的客戶機(jī)鑒別服務(wù)器u客戶機(jī)身份驗(yàn)證客戶機(jī)身份驗(yàn)證利用證書為服務(wù)器提供對(duì)客戶機(jī)的認(rèn)證（如：遠(yuǎn)程訪問(wèn)功能和智能卡身份驗(yàn)證）u程序代碼簽署程序代碼簽署(數(shù)字簽名)利用與密鑰對(duì)有關(guān)的證書簽署活動(dòng)內(nèi)容u加密加密E-mailE-mail安全電子郵件，利用與密鑰對(duì)有關(guān)的證書簽署電子郵件消息（用于加密信函）。uEFSEFS（加密文件系統(tǒng)）利用與密鑰對(duì)有關(guān)的證書，加密和解密用于還原恢復(fù)加密數(shù)據(jù)的對(duì)稱密鑰。uIPSecIPSec利用與密鑰對(duì)有關(guān)的證書，加密基于IP層的傳輸。10.2 CA的層次結(jié)構(gòu)的層次結(jié)構(gòu)u10.2.1 內(nèi)部CA和外部 CAu10.2.2 頒發(fā)證書的過(guò)程

11、u10.2.3 證書吊銷u10.2.4 CA的層次結(jié)構(gòu)證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)u電子證書是由收發(fā)雙方共同信任的第三方認(rèn)證中心頒發(fā)的。u證書包含某人的身份信息、公鑰和認(rèn)證中心的數(shù)字簽名。uCA扮演了一種擔(dān)保人的角色。它保證主體公鑰和由CA發(fā)布的認(rèn)證證書所包含的的主體信息之間確切相關(guān)。認(rèn)證中心（認(rèn)證中心（CACA）u認(rèn)證中心（CA） ：負(fù)責(zé)提供和指派加密密鑰、解密密鑰、身份驗(yàn)證。uCA通過(guò)發(fā)放證書來(lái)分布密鑰。證書中包含公共密鑰和一組屬性，CA可將證書發(fā)給某個(gè)計(jì)算機(jī)、用戶帳號(hào)或者服務(wù)。uCA扮演了一種擔(dān)保人的角色。內(nèi)部?jī)?nèi)部CA和外部和外部CAu外部CA：外部商用CA，為成千上萬(wàn)的用戶提供認(rèn)證服務(wù)。u

12、內(nèi)部CA：面向企業(yè)內(nèi)部用戶、計(jì)算機(jī)或服務(wù)器的策略模型。頒發(fā)證書的過(guò)程頒發(fā)證書的過(guò)程u認(rèn)證中心CA頒發(fā)證書涉及如下4個(gè)步驟:（1）CA收到證書請(qǐng)求信息，包括個(gè)人資料和公鑰等。 （2）CA對(duì)用戶提供的信息進(jìn)行核實(shí)。 （3）CA用自己的私鑰對(duì)證書進(jìn)行數(shù)字簽名。 （4）CA將證書發(fā)給用戶。 證書吊銷證書吊銷u證書的吊銷使得證書在自然過(guò)期之前便宣告作廢。u可能的原因包括：u證書擁有者的私鑰泄漏或被懷疑泄漏。u發(fā)現(xiàn)證書是用欺騙手段獲得的。u證書擁有者的情況發(fā)生了改變。 證書層次結(jié)構(gòu)證書層次結(jié)構(gòu)CA的層次結(jié)構(gòu)的層次結(jié)構(gòu)uWindows Server 2003 PKI采用了分層CA模型。 CACA的層次結(jié)構(gòu)的

13、層次結(jié)構(gòu)u證書層次結(jié)構(gòu)是一種信任模式。 在這種模式中，通過(guò)在CA之間建立父/子關(guān)系，創(chuàng)建了認(rèn)證路徑。1、根CA（根本權(quán)威）-是一個(gè)機(jī)構(gòu)的PKL中最可信任的CA類型。u通常情況下，根CA的物理安全性和證書發(fā)放策略比下層CA更嚴(yán)格。u在大多數(shù)機(jī)構(gòu)中，只將根CA用于向其他CA，即下層CA發(fā)放證書。2、下層CA-已經(jīng)被機(jī)構(gòu)中的另一個(gè)CA鑒定過(guò)的CA。CACA的層次結(jié)構(gòu)的層次結(jié)構(gòu)u通常，下層CA針對(duì)特定的用途發(fā)放證書（例如安全電子郵件、基于web的身份驗(yàn)證，或者智能卡身份驗(yàn)證）。此外，下層CA也可以向其他的、更下層的CA發(fā)放證書。u提示:父CA和子CA彼此沒(méi)有從屬關(guān)系，不需要使所有的CA共享一個(gè)公共的頂

14、級(jí)父CA(或根CA)。10.3 企業(yè)企業(yè)CA的安裝與證書申請(qǐng)的安裝與證書申請(qǐng)u若要使用證書服務(wù)，必須在服務(wù)器上安裝并部署企業(yè)CA，然后由用戶向該企業(yè)CA申請(qǐng)證書，使用公開密鑰和私有密鑰來(lái)對(duì)要傳送的信息進(jìn)行加密和身份驗(yàn)證。 CACA模式模式uWindows 2003支持兩類認(rèn)證中心(CA)：企業(yè)CA和獨(dú)立存在的CA。每類CA中都包含根CA和下層CA。u安裝認(rèn)證服務(wù)時(shí)可選擇4種CA模式： 1. 企業(yè)根CA2. 企業(yè)從屬CA3. 獨(dú)立根CA4. 獨(dú)立從屬CACA模式模式n企業(yè)根企業(yè)根CA 是頂級(jí)根，企業(yè)根是頂級(jí)根，企業(yè)根CA利用活動(dòng)目錄確定請(qǐng)求利用活動(dòng)目錄確定請(qǐng)求者的身份，并確定請(qǐng)求者是否具有為特定

15、的的者的身份，并確定請(qǐng)求者是否具有為特定的的證書類型所要求的安全性權(quán)限。證書類型所要求的安全性權(quán)限。n獨(dú)立存在的根獨(dú)立存在的根CA 是頂級(jí)根，它可以是，也可不是某個(gè)域的成員是頂級(jí)根，它可以是，也可不是某個(gè)域的成員并不要求有活動(dòng)目錄。還可以斷開與網(wǎng)絡(luò)的連并不要求有活動(dòng)目錄。還可以斷開與網(wǎng)絡(luò)的連接接n企業(yè)下層企業(yè)下層CA 在機(jī)構(gòu)內(nèi)發(fā)放證書，但企業(yè)下層在機(jī)構(gòu)內(nèi)發(fā)放證書，但企業(yè)下層CA不是最可不是最可信的信的CA。你可以利用某個(gè)企業(yè)下層。你可以利用某個(gè)企業(yè)下層CA針對(duì)特針對(duì)特定用途發(fā)放證書。它必須有一個(gè)父定用途發(fā)放證書。它必須有一個(gè)父CAn獨(dú)立存在的下層獨(dú)立存在的下層CA 它作為一個(gè)孤立的證書服務(wù)器運(yùn)

16、行，或者位于它作為一個(gè)孤立的證書服務(wù)器運(yùn)行，或者位于某個(gè)某個(gè)CA信任層次結(jié)構(gòu)內(nèi)。你為公司以外的實(shí)信任層次結(jié)構(gòu)內(nèi)。你為公司以外的實(shí)體發(fā)放證書，你應(yīng)該建立獨(dú)立存在的下層體發(fā)放證書，你應(yīng)該建立獨(dú)立存在的下層CA安裝證書服務(wù)安裝證書服務(wù)選擇證書類型選擇證書類型高級(jí)設(shè)置選項(xiàng)高級(jí)設(shè)置選項(xiàng)輸入識(shí)別信息輸入識(shí)別信息指定本地?cái)?shù)據(jù)庫(kù)，日志文件和共享文件指定本地?cái)?shù)據(jù)庫(kù)，日志文件和共享文件夾夾架設(shè)企業(yè)根架設(shè)企業(yè)根CA（1）（1）準(zhǔn)備工作。在企業(yè)網(wǎng)絡(luò)中創(chuàng)建活動(dòng)目錄，將要架設(shè)為企業(yè)根CA的服務(wù)器加入至活動(dòng)目錄，并升級(jí)為域外控制器。安裝應(yīng)用程序服務(wù)Web組件，并確保添加Active Server Page（ASP）組件，便

17、于用戶以Web方式申請(qǐng)CA證書。u默認(rèn)情況下，默認(rèn)情況下，Windows 2003Windows 2003安裝程序不安裝證書安裝程序不安裝證書服務(wù)。服務(wù)。u重要說(shuō)明：重要說(shuō)明：安裝了正式服務(wù)后，計(jì)算機(jī)不能再被安裝了正式服務(wù)后，計(jì)算機(jī)不能再被重新命名，也不能加入到某個(gè)域中，或者從某個(gè)重新命名，也不能加入到某個(gè)域中，或者從某個(gè)域中刪除。域中刪除。u注：注：為了利用證書服務(wù)的為了利用證書服務(wù)的WebWeb組件，必須先安裝組件，必須先安裝IISIIS。架設(shè)企業(yè)根架設(shè)企業(yè)根CA（2）（2）添加證書服務(wù)組件。運(yùn)行“Windows組件向?qū)А保凇敖M件”列表框中選中“證書服務(wù)”復(fù)選框。（3）選擇CA類型。在“

18、CA類型”對(duì)話框中選中“企業(yè)根CA”單選按鈕。（4）CA識(shí)別信息。在“此CA的公用名稱”文本框中設(shè)置此CA在Active Directory內(nèi)的公用名稱，此CA默認(rèn)的有效年限為5年。架設(shè)企業(yè)根架設(shè)企業(yè)根CA（3）（5）證書數(shù)據(jù)庫(kù)設(shè)置。選擇證書數(shù)據(jù)庫(kù)文件和日志文件的目錄。uCA發(fā)出的證書默認(rèn)存儲(chǔ)在：WINNTsystem32Certlog（6）證書服務(wù)安裝完成后，在“管理工具”中會(huì)增加“證書頒發(fā)機(jī)構(gòu)”服務(wù)。u證書頒發(fā)機(jī)構(gòu)：證書頒發(fā)機(jī)構(gòu)：用于對(duì)CA進(jìn)行管理的控制臺(tái)，位于安裝有證書服務(wù)的服務(wù)器上。u證書服務(wù)的證書服務(wù)的WebWeb注冊(cè)支持注冊(cè)支持用于請(qǐng)求證書的Web頁(yè)。訪問(wèn)：http:/CA服務(wù)器名

19、/certsrv申請(qǐng)和使用證書申請(qǐng)和使用證書u域用戶申請(qǐng)企業(yè)CA證書的方式有兩種：u利用“證書向?qū)А鄙暾?qǐng)證書u以Web方式申請(qǐng)證書u獨(dú)立CA申請(qǐng)證書時(shí)，只能通過(guò)Web瀏覽器方式 ?？蛻舳俗C書的申請(qǐng)客戶端證書的申請(qǐng)CA發(fā)放該證書，將發(fā)放該證書，將它用做它用做PKI內(nèi)的安全內(nèi)的安全憑證憑證*CA接受證書請(qǐng)求接受證書請(qǐng)求確認(rèn)請(qǐng)求者信息確認(rèn)請(qǐng)求者信息利用私有密鑰將它的利用私有密鑰將它的的數(shù)字簽名應(yīng)用于證的數(shù)字簽名應(yīng)用于證書書客戶端證書的申請(qǐng)客戶端證書的申請(qǐng)uCA(Certigication Authority認(rèn)證中心)接受證書請(qǐng)求uCA按照它的CA身份證明條件確認(rèn)該請(qǐng)求者的信息uCA利用它的私有密鑰將

20、他的數(shù)字簽名應(yīng)用于該證書uCA發(fā)放該證書，將它用做PKI內(nèi)的安全性憑證申請(qǐng)證書申請(qǐng)證書u利用“證書請(qǐng)求”向?qū)利用證書服務(wù)Web頁(yè)u查看證書利用利用“證書向?qū)ёC書向?qū)А鄙暾?qǐng)證書申請(qǐng)證書（1）打開MMC控制臺(tái)，選擇“文件”“添加/刪除管理單元”，在對(duì)話框中的“獨(dú)立”選項(xiàng)卡中單擊“添加”，選擇“證書” “我的用戶賬戶”。（2）運(yùn)行證書申請(qǐng)向?qū)?。在MMC證書控制臺(tái)窗口中展開“證書-當(dāng)前用戶”選項(xiàng)，右擊“個(gè)人”選項(xiàng)，在彈出的快捷菜單中選擇“所有任務(wù)”“申請(qǐng)新證書”選項(xiàng)，啟動(dòng)“證書申請(qǐng)向?qū)А?。利用利用“證書向?qū)ёC書向?qū)А鄙暾?qǐng)證書申請(qǐng)證書（3）選擇證書類型。（4）證書的名稱和描述。以以WebWeb方式申請(qǐng)

21、證書方式申請(qǐng)證書以以WebWeb方式申請(qǐng)證書方式申請(qǐng)證書以以WebWeb方式申請(qǐng)證書方式申請(qǐng)證書以以WebWeb方式申請(qǐng)證書方式申請(qǐng)證書u注意：獨(dú)立CA在收到申請(qǐng)信息后，不能自動(dòng)核準(zhǔn)與發(fā)放證書，需要人工核準(zhǔn)并頒發(fā)證書，然后客戶端才能安裝證書。從屬?gòu)膶貱ACA的安裝的安裝 u安裝下層CA時(shí)，必須從相應(yīng)的父CA獲取一個(gè)證書。u為某個(gè)下層CA獲取證書u如果可以聯(lián)機(jī)使用某個(gè)父CA，可以采用該方法獲取證書。u從文件安裝證書u如果不能聯(lián)機(jī)父CA，則創(chuàng)建證書請(qǐng)求文件提交給父CA,由父CA提供針對(duì)這個(gè)文件的證書，接受到證書后，必須安裝該證書。10.4 10.4 數(shù)字證書的管理數(shù)字證書的管理uCA的備份與還原u

22、發(fā)放證書u吊銷證書u導(dǎo)入與導(dǎo)出用戶的證書u更新證書CACA的備份和還原的備份和還原u重要說(shuō)明：如果IIS元庫(kù)丟失或被破壞，在恢復(fù)CA時(shí)，必須先恢復(fù)IIS元庫(kù)。u備份CAu備份CA的頻繁速度依賴于發(fā)放的證書數(shù)目。發(fā)放的證書越多，備份越頻繁。u操作步驟：（認(rèn)證頒發(fā)機(jī)構(gòu)）u恢復(fù)CAu從備份復(fù)制件還原CA。u操作步驟：（認(rèn)證頒發(fā)機(jī)構(gòu)） 發(fā)放證書發(fā)放證書1. 自動(dòng)發(fā)放證書u當(dāng)用戶向企業(yè)CA申請(qǐng)證書時(shí)，企業(yè)CA會(huì)自動(dòng)通過(guò)Active Directory來(lái)查詢用戶的身份，以確定是否有權(quán)限申請(qǐng)此證書，然后自動(dòng)將核準(zhǔn)的證書發(fā)放給用戶。2. 手動(dòng)發(fā)放證書u獨(dú)立CA不具備向Active Directorv查詢用戶身

23、份的功能，因此，當(dāng)用戶在向獨(dú)立CA申請(qǐng)證書時(shí)必須自行輸入用戶的身份信息。并且獨(dú)立CA默認(rèn)不會(huì)自動(dòng)發(fā)放用戶所申請(qǐng)的證書，必須由獨(dú)立CA的系統(tǒng)管理員在檢查完用戶的申請(qǐng)信息后，再?zèng)Q定是否要手工發(fā)放此證書。手動(dòng)發(fā)放證書手動(dòng)發(fā)放證書u復(fù)查待處理的證書請(qǐng)求u發(fā)放待處理的證書請(qǐng)求吊銷證書吊銷證書u用戶所申請(qǐng)的證書都有一定的有效期，一般默認(rèn)有效期為1年。當(dāng)用戶離開企業(yè)后，證書將不能夠繼續(xù)使用，應(yīng)當(dāng)及時(shí)予以吊銷。另外，用戶也可以吊銷自己尚未到期的證書。 u被吊銷的證書將加入到“證書吊銷列表”中。如果用戶只是暫時(shí)離開企業(yè)，那么在回到公司后，還可以為其解除并恢復(fù)吊銷的證書。吊銷證書吊銷證書u在證書有效期滿之前，需要

24、廢除證書的原因：u證書擁有者的私鑰泄漏或被懷疑泄漏。 u發(fā)現(xiàn)證書是用欺騙手段獲得的。 u證書擁有者的情況發(fā)生了改變。 10.5 基于基于SSL的網(wǎng)絡(luò)安全應(yīng)用的網(wǎng)絡(luò)安全應(yīng)用10.5.1 SSL簡(jiǎn)介簡(jiǎn)介10.5.2 基于基于SSL的安全網(wǎng)站解決方案的安全網(wǎng)站解決方案10.5.3 在在IIS 6.0中建立中建立SSL安全網(wǎng)站安全網(wǎng)站10.5.1 SSL簡(jiǎn)介簡(jiǎn)介l SSL協(xié)議協(xié)議n 一種建立在網(wǎng)絡(luò)傳輸層TCP協(xié)議之上的安全協(xié)議標(biāo)準(zhǔn)n 采用公鑰和私鑰兩種加密體制對(duì)服務(wù)器和客戶端的通信提供保密性、數(shù)據(jù)完整性和認(rèn)證HTTP、FTP、LDAP等SSL握手協(xié)議SSL記錄協(xié)議TCP/IP協(xié)議HTTP、FTP、LD

25、AP等SSL握手協(xié)議SSL記錄協(xié)議TCP/IP協(xié)議應(yīng)用層Socket層(網(wǎng)絡(luò)通信層)10.5.1 SSL簡(jiǎn)介簡(jiǎn)介l SSL安全功能安全功能n 客戶端對(duì)服務(wù)器的身份確認(rèn)n 服務(wù)器對(duì)客戶的身份確認(rèn)n 在服務(wù)器和客戶之間建立安全的數(shù)據(jù)通道l SSL安全應(yīng)用安全應(yīng)用n 瀏覽器和服務(wù)器的驗(yàn)證、信息的完整性和保密性n Telnet、FTP、SMTP、POP3、NNTP等網(wǎng)絡(luò)服務(wù)的安全n 客戶端驗(yàn)證是可選的，有利于SSL的廣泛使用10.5.2 基于基于SSL的安全網(wǎng)站解決方案的安全網(wǎng)站解決方案l SSL網(wǎng)站架設(shè)的基本步驟網(wǎng)站架設(shè)的基本步驟n 從可信的證書頒發(fā)機(jī)構(gòu)（CA）獲取Web服務(wù)器證書n 在Web服務(wù)器

26、上安裝服務(wù)器證書n 在Web服務(wù)器上啟用SSL功能n 如果要求對(duì)客戶端（瀏覽器端）進(jìn)行身份驗(yàn)證，客戶端需要申請(qǐng)和安裝用戶證書。如果不要求對(duì)客戶端進(jìn)行身份驗(yàn)證，客戶端必須與Web服務(wù)器信任同一證書認(rèn)證機(jī)構(gòu)，需要安裝CA證書 Internet上有許多知名的第三方證書頒發(fā)機(jī)構(gòu)，大都能夠簽發(fā)主流Web服務(wù)器的證書。自建的Windows Server 2003證書頒發(fā)機(jī)構(gòu)也能頒發(fā)所需的證書 。10.5.3 在在IIS 6.0中建立中建立SSL安全網(wǎng)站安全網(wǎng)站l 注冊(cè)并安裝服務(wù)器證書注冊(cè)并安裝服務(wù)器證書n 在IIS 6.0中獲得、配置和更新服務(wù)器證書都可由Web服務(wù)器證書向?qū)瓿蒼 配置Web服務(wù)器證書的通用流程為：生成服務(wù)器證書請(qǐng)求文件向CA提交證書申請(qǐng)文件CA審查并頒發(fā)Web服務(wù)器獲取Web服務(wù)器證書安裝Web服務(wù)器證書n 例中直接向企業(yè)CA注冊(cè)證書 10.5.3 在在IIS 6.0中建立中建立SSL安全網(wǎng)站安全網(wǎng)站l 注冊(cè)并安裝服務(wù)器證書注冊(cè)并安裝服務(wù)器證書 啟動(dòng)We