項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器

高職高專計(jì)算機(jī)任務(wù)驅(qū)動(dòng)模式教材項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器9.3.1了解企業(yè)證書(shū)的意義與適用9.3.2認(rèn)識(shí)CA模式9.3.3安裝企業(yè)證書(shū)服務(wù)架設(shè)企業(yè)根9.3.4申請(qǐng)和使用證書(shū)9.3.5簽名與加密電子郵件9.3.6安裝企業(yè)從屬CA9.3安裝企業(yè)CA和申請(qǐng)證書(shū)9.2

項(xiàng)目設(shè)計(jì)及準(zhǔn)備9.2.1

項(xiàng)目設(shè)計(jì)9.2.2

項(xiàng)目準(zhǔn)備

9.5數(shù)字證書(shū)服務(wù)器實(shí)訓(xùn)9.1

相關(guān)知識(shí)9.1.1數(shù)字證書(shū)9.1.2PKI 9.1.3內(nèi)部CA和外部CA9.1.4頒布證書(shū)的過(guò)程9.1.5證書(shū)吊銷9.1.6CA的層次結(jié)構(gòu)

9.4管理數(shù)字證書(shū)9.4.1備份與還原CA9.4.2自動(dòng)或手工發(fā)放證書(shū) 9.4.3吊銷證書(shū)9.4.4導(dǎo)入與導(dǎo)出用戶的證書(shū)9.4.5更新證書(shū)對(duì)于大型的計(jì)算機(jī)網(wǎng)絡(luò)，數(shù)據(jù)的安全和管理的自動(dòng)化歷來(lái)都是人們追求的目標(biāo)，特別是Internet的迅猛發(fā)展，在Internet上處理事務(wù)、交流信息和交易等方式越來(lái)越廣泛，越來(lái)越多的重要數(shù)據(jù)要在網(wǎng)上傳輸，網(wǎng)絡(luò)安全問(wèn)題也更加被重視，尤其是在電子商務(wù)活動(dòng)中，必須保證交易雙方能夠互相確認(rèn)身份，安全地傳輸敏感信息，同時(shí)還要防止被人截獲、篡改，或者假冒交易等。因此如何保證重要數(shù)據(jù)不受到惡意的損壞，成為網(wǎng)絡(luò)管理最關(guān)鍵的問(wèn)題之一。而通過(guò)部署公鑰基礎(chǔ)機(jī)構(gòu)（PKI），利用PKI提供的密鑰體系來(lái)實(shí)現(xiàn)數(shù)字證書(shū)簽發(fā)、身份認(rèn)證、數(shù)據(jù)加密和數(shù)字簽名等功能，可以為網(wǎng)絡(luò)業(yè)務(wù)的開(kāi)展提供安全保證。項(xiàng)目描述項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器了解數(shù)字證書(shū)了解CA的層次結(jié)構(gòu)掌握企業(yè)CA的安裝與證書(shū)申請(qǐng)掌握數(shù)字證書(shū)的管理方法及技巧項(xiàng)目目標(biāo)項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器9.1相關(guān)知識(shí)數(shù)字證書(shū)PKI內(nèi)部CA和外部CA頒發(fā)證書(shū)的過(guò)程證書(shū)吊銷CA的層次結(jié)構(gòu)項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器概述Windows2003中有兩種驗(yàn)證協(xié)議，Kerberos和公鑰基礎(chǔ)結(jié)構(gòu)(PublicKeyInfrastructure，PKI)，這兩者的不同之處在于：Kerberos是對(duì)稱密鑰，而PKI是非對(duì)稱密鑰。對(duì)稱密鑰——加密和解密的密鑰相同。非對(duì)稱密鑰——加密和解密密鑰不同。數(shù)字證書(shū)簡(jiǎn)介數(shù)字證書(shū)是一段包含用戶身份信息、用戶公鑰信息和身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書(shū)信息的真實(shí)性，用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾?，用戶的?shù)字簽名可以保證數(shù)字信息的不可否認(rèn)性。數(shù)字證書(shū)數(shù)字證書(shū)是各類終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流和商務(wù)活動(dòng)的身份證明。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)認(rèn)證中心（CA）數(shù)字簽名的，包含公開(kāi)密鑰擁有者信息和公開(kāi)密鑰的文件。認(rèn)證中心（CA）作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書(shū)服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書(shū)均遵循X.509V3標(biāo)準(zhǔn)。PKI公鑰基礎(chǔ)結(jié)構(gòu)（PublicKeyInfrastructure，PKI）是通過(guò)使用公鑰加密對(duì)參與電子交易的每一方的有效性進(jìn)行驗(yàn)證和身份驗(yàn)證的數(shù)字證書(shū)、證書(shū)頒發(fā)機(jī)構(gòu)（CA）和其他注冊(cè)機(jī)構(gòu)（RA）。一個(gè)單位選擇使用Windows來(lái)部署PKI的原因有很多：安全性強(qiáng)。智能卡登陸、加密文件系統(tǒng)（EFS）、IPsec（Internet協(xié)議安全性）簡(jiǎn)化管理。其他機(jī)會(huì)。瀏覽器加密文件系統(tǒng)加密E-Mail數(shù)字標(biāo)示智能卡數(shù)字簽名IPSEC證書(shū)的用途證書(shū)提供下述功能：服務(wù)器身份驗(yàn)證——利用證書(shū)為網(wǎng)絡(luò)中的客戶機(jī)鑒別服務(wù)器客戶機(jī)身份驗(yàn)證——利用證書(shū)為服務(wù)器提供對(duì)客戶機(jī)的認(rèn)證（如：遠(yuǎn)程訪問(wèn)功能和智能卡身份驗(yàn)證）程序代碼簽署(數(shù)字簽名)——利用與密鑰對(duì)有關(guān)的證書(shū)簽署活動(dòng)內(nèi)容加密E-mail——安全電子郵件，利用與密鑰對(duì)有關(guān)的證書(shū)簽署電子郵件消息（用于加密信函）。EFS（加密文件系統(tǒng)）——利用與密鑰對(duì)有關(guān)的證書(shū)，加密和解密用于還原恢復(fù)加密數(shù)據(jù)的對(duì)稱密鑰。IPSec——利用與密鑰對(duì)有關(guān)的證書(shū)，加密基于IP層的傳輸。認(rèn)證中心（CA）認(rèn)證中心（CA）：負(fù)責(zé)提供和指派加密密鑰、解密密鑰、身份驗(yàn)證。CA通過(guò)發(fā)放證書(shū)來(lái)分布密鑰。證書(shū)中包含公共密鑰和一組屬性，CA可將證書(shū)發(fā)給某個(gè)計(jì)算機(jī)、用戶帳號(hào)或者服務(wù)。CA扮演了一種擔(dān)保人的角色。內(nèi)部CA和外部CA外部CA：外部商用CA，為成千上萬(wàn)的用戶提供認(rèn)證服務(wù)。內(nèi)部CA：面向企業(yè)內(nèi)部用戶、計(jì)算機(jī)或服務(wù)器的策略模型。頒發(fā)證書(shū)的過(guò)程認(rèn)證中心CA頒發(fā)證書(shū)涉及如下4個(gè)步驟:（1）CA收到證書(shū)請(qǐng)求信息，包括個(gè)人資料和公鑰等。（2）CA對(duì)用戶提供的信息進(jìn)行核實(shí)。（3）CA用自己的私鑰對(duì)證書(shū)進(jìn)行數(shù)字簽名。（4）CA將證書(shū)發(fā)給用戶。證書(shū)吊銷證書(shū)的吊銷使得證書(shū)在自然過(guò)期之前便宣告作廢。可能的原因包括：證書(shū)擁有者的私鑰泄漏或被懷疑泄漏。發(fā)現(xiàn)證書(shū)是用欺騙手段獲得的。證書(shū)擁有者的情況發(fā)生了改變。CA的層次結(jié)構(gòu)WindowsServer2003PKI采用了分層CA模型。

CA的層次結(jié)構(gòu)證書(shū)層次結(jié)構(gòu)是一種信任模式。在這種模式中，通過(guò)在CA之間建立父/子關(guān)系，創(chuàng)建了認(rèn)證路徑。1、根CA（根本權(quán)威）是一個(gè)機(jī)構(gòu)的PKL中最可信任的CA類型。通常情況下，根CA的物理安全性和證書(shū)發(fā)放策略比下層CA更嚴(yán)格。在大多數(shù)機(jī)構(gòu)中，只將根CA用于向其他CA，即下層CA發(fā)放證書(shū)。2、下層CA已經(jīng)被機(jī)構(gòu)中的另一個(gè)CA鑒定過(guò)的CA。CA的層次結(jié)構(gòu)通常，下層CA針對(duì)特定的用途發(fā)放證書(shū)（例如安全電子郵件、基于web的身份驗(yàn)證，或者智能卡身份驗(yàn)證）。此外，下層CA也可以向其他的、更下層的CA發(fā)放證書(shū)。提示:父CA和子CA彼此沒(méi)有從屬關(guān)系，不需要使所有的CA共享一個(gè)公共的頂級(jí)父CA(或根CA)。9.2項(xiàng)目設(shè)計(jì)及準(zhǔn)備項(xiàng)目設(shè)計(jì)項(xiàng)目準(zhǔn)備項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器9.3安裝企業(yè)CA和申請(qǐng)證書(shū)了解企業(yè)證書(shū)的意義與適用認(rèn)識(shí)CA模式安裝證書(shū)服務(wù)并架設(shè)企業(yè)根CA申請(qǐng)和使用證書(shū)簽名與加密電子郵件安裝企業(yè)從屬CA項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器企業(yè)CA的安裝與證書(shū)申請(qǐng)若要使用證書(shū)服務(wù)，必須在服務(wù)器上安裝并部署企業(yè)CA，然后由用戶向該企業(yè)CA申請(qǐng)證書(shū)，使用公開(kāi)密鑰和私有密鑰來(lái)對(duì)要傳送的信息進(jìn)行加密和身份驗(yàn)證。

企業(yè)證書(shū)的意義與適用加密的目的：以某種方式將數(shù)據(jù)變得難懂，使得只有預(yù)期用戶能夠閱讀它。加密：通過(guò)數(shù)學(xué)運(yùn)算將明文和加密密鑰結(jié)合起來(lái)，產(chǎn)生密文。解密：通過(guò)數(shù)學(xué)運(yùn)算將密文和解密密鑰結(jié)合起來(lái)，產(chǎn)生明文。公共密鑰加密技術(shù)用到了兩個(gè)密鑰：加密密鑰和解密密鑰密鑰（key）：一個(gè)隨機(jī)字符串與某種算法的聯(lián)合使用。公共密鑰加密技術(shù)公共密鑰加密技術(shù)系統(tǒng)使用一對(duì)密鑰來(lái)完成對(duì)數(shù)據(jù)的加密解密：公共密鑰（公鑰）：是自由發(fā)布的，可以公開(kāi)，以供他人向自己傳輸信息時(shí)加密使用。私用密鑰（私鑰）：在系統(tǒng)中保存，從不發(fā)布，只有擁有對(duì)應(yīng)私鑰的本人才能解密，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?。公共密鑰加密技術(shù)A加密B的公鑰B解密B的私鑰密文明文加密模型公共密鑰身份驗(yàn)證（使用密鑰對(duì)）與公共密鑰加密技術(shù)類似，公共密鑰身份驗(yàn)證也使用了密鑰對(duì)。但它不利用發(fā)送者的私用密鑰解密消息，而是利用發(fā)送者的公共密鑰鑒別和確認(rèn)該消息的發(fā)送者的有效性。這一私用密鑰被稱為數(shù)字簽名。公共密鑰身份驗(yàn)證數(shù)字簽名說(shuō)明：加密技術(shù)可以提供安全性和機(jī)密性，而數(shù)字簽名可以確認(rèn)信息的真實(shí)性和來(lái)源。數(shù)字簽名：一種由消息、文件或者其他數(shù)字化編碼信息的創(chuàng)建者將其身份標(biāo)識(shí)和這些消息利用私鑰約束在一起的方法。數(shù)字簽名用于發(fā)送者的不可抵賴性，因?yàn)樗借€只有自己有，所以當(dāng)接收者用你的公鑰解密后就可以證明是你無(wú)疑。數(shù)字簽名本身就是數(shù)據(jù)，因此它們可以與受保護(hù)的原數(shù)據(jù)一起進(jìn)行傳輸，供接收者驗(yàn)證。公共密鑰身份驗(yàn)證數(shù)字簽名使用私鑰對(duì)簽名數(shù)據(jù)進(jìn)行加密，可以確保達(dá)到下述目的：只有擁有私鑰的人才能進(jìn)行數(shù)字簽名。任何人都可以通過(guò)相應(yīng)的公鑰鑒別數(shù)字簽名的真?zhèn)巍Ｈ绻麑?duì)簽名后進(jìn)行了數(shù)據(jù)的任何修改，數(shù)字簽名將失效。公共密鑰身份驗(yàn)證A加密A的私鑰B解密A的公鑰密文明文認(rèn)證模型明文CA模式Windows2003支持兩類認(rèn)證中心(CA)：企業(yè)CA和獨(dú)立存在的CA。每類CA中都包含根CA和下層CA。安裝認(rèn)證服務(wù)時(shí)可選擇4種CA模式：

1.企業(yè)根CA2.企業(yè)從屬CA3.獨(dú)立根CA4.獨(dú)立從屬CACA模式企業(yè)根CA

是頂級(jí)根，企業(yè)根CA利用活動(dòng)目錄確定請(qǐng)求者的身份，并確定請(qǐng)求者是否具有為特定的的證書(shū)類型所要求的安全性權(quán)限。獨(dú)立存在的根CA

是頂級(jí)根，它可以是，也可不是某個(gè)域的成員并不要求有活動(dòng)目錄。還可以斷開(kāi)與網(wǎng)絡(luò)的連接企業(yè)下層CA

在機(jī)構(gòu)內(nèi)發(fā)放證書(shū)，但企業(yè)下層CA不是最可信的CA。你可以利用某個(gè)企業(yè)下層CA針對(duì)特定用途發(fā)放證書(shū)。它必須有一個(gè)父CA獨(dú)立存在的下層CA

它作為一個(gè)孤立的證書(shū)服務(wù)器運(yùn)行，或者位于某個(gè)CA信任層次結(jié)構(gòu)內(nèi)。你為公司以外的實(shí)體發(fā)放證書(shū)，你應(yīng)該建立獨(dú)立存在的下層CA架設(shè)企業(yè)根CA（1）（1）準(zhǔn)備工作。在企業(yè)網(wǎng)絡(luò)中創(chuàng)建活動(dòng)目錄，將要架設(shè)為企業(yè)根CA的服務(wù)器加入至活動(dòng)目錄，并升級(jí)為域外控制器。安裝應(yīng)用程序服務(wù)Web組件，并確保添加ActiveServerPage（ASP）組件，便于用戶以Web方式申請(qǐng)CA證書(shū)。默認(rèn)情況下，Windows2003安裝程序不安裝證書(shū)服務(wù)。重要說(shuō)明：安裝了正式服務(wù)后，計(jì)算機(jī)不能再被重新命名，也不能加入到某個(gè)域中，或者從某個(gè)域中刪除。注：為了利用證書(shū)服務(wù)的Web組件，必須先安裝IIS。架設(shè)企業(yè)根CA（2）（2）添加證書(shū)服務(wù)組件。運(yùn)行“Windows組件向?qū)А保凇敖M件”列表框中選中“證書(shū)服務(wù)”復(fù)選框。（3）選擇CA類型。在“CA類型”對(duì)話框中選中“企業(yè)根CA”單選按鈕。（4）CA識(shí)別信息。在“此CA的公用名稱”文本框中設(shè)置此CA在ActiveDirectory內(nèi)的公用名稱，此CA默認(rèn)的有效年限為5年。架設(shè)企業(yè)根CA（3）（5）證書(shū)數(shù)據(jù)庫(kù)設(shè)置。選擇證書(shū)數(shù)據(jù)庫(kù)文件和日志文件的目錄。CA發(fā)出的證書(shū)默認(rèn)存儲(chǔ)在：WINNT\system32\Certlog（6）證書(shū)服務(wù)安裝完成后，在“管理工具”中會(huì)增加“證書(shū)頒發(fā)機(jī)構(gòu)”服務(wù)。證書(shū)頒發(fā)機(jī)構(gòu)：——用于對(duì)CA進(jìn)行管理的控制臺(tái)，位于安裝有證書(shū)服務(wù)的服務(wù)器上。證書(shū)服務(wù)的Web注冊(cè)支持——用于請(qǐng)求證書(shū)的Web頁(yè)。

訪問(wèn)：服務(wù)器名/certsrv申請(qǐng)和使用證書(shū)域用戶申請(qǐng)企業(yè)CA證書(shū)的方式有兩種：利用“證書(shū)向?qū)А鄙暾?qǐng)證書(shū)以Web方式申請(qǐng)證書(shū)獨(dú)立CA申請(qǐng)證書(shū)時(shí)，只能通過(guò)Web瀏覽器方式。利用“證書(shū)向?qū)А鄙暾?qǐng)證書(shū)（1）打開(kāi)MMC控制臺(tái)，選擇“文件”→“添加/刪除管理單元”，在對(duì)話框中的“獨(dú)立”選項(xiàng)卡中單擊“添加”，選擇“證書(shū)”→“我的用戶賬戶”。（2）運(yùn)行證書(shū)申請(qǐng)向?qū)АＴ贛MC證書(shū)控制臺(tái)窗口中展開(kāi)“證書(shū)-當(dāng)前用戶”選項(xiàng)，右擊“個(gè)人”選項(xiàng)，在彈出的快捷菜單中選擇“所有任務(wù)”→“申請(qǐng)新證書(shū)”選項(xiàng)，啟動(dòng)“證書(shū)申請(qǐng)向?qū)А?。利用“證書(shū)向?qū)А鄙暾?qǐng)證書(shū)（3）選擇證書(shū)類型。（4）證書(shū)的名稱和描述。以Web方式申請(qǐng)證書(shū)以Web方式申請(qǐng)證書(shū)以Web方式申請(qǐng)證書(shū)以Web方式申請(qǐng)證書(shū)注意：獨(dú)立CA在收到申請(qǐng)信息后，不能自動(dòng)核準(zhǔn)與發(fā)放證書(shū)，需要人工核準(zhǔn)并頒發(fā)證書(shū)，然后客戶端才能安裝證書(shū)。從屬CA的安裝

安裝下層CA時(shí)，必須從相應(yīng)的父CA獲取一個(gè)證書(shū)。為某個(gè)下層CA獲取證書(shū)如果可以聯(lián)機(jī)使用某個(gè)父CA，可以采用該方法獲取證書(shū)。從文件安裝證書(shū)如果不能聯(lián)機(jī)父CA，則創(chuàng)建證書(shū)請(qǐng)求文件提交給父CA,由父CA提供針對(duì)這個(gè)文件的證書(shū)，接受到證書(shū)后，必須安裝該證書(shū)。9.4管理數(shù)字證書(shū)備份與還原CA自動(dòng)或手工發(fā)放證書(shū)吊銷證書(shū)導(dǎo)入與導(dǎo)出用戶的證書(shū)更新證書(shū)項(xiàng)目9配置與管理數(shù)字證書(shū)服務(wù)器數(shù)字證書(shū)的管理CA的備份與還原發(fā)放證書(shū)吊銷證書(shū)導(dǎo)入與導(dǎo)出用戶的證書(shū)更新證書(shū)CA的備份和還原重要說(shuō)明：如果IIS元庫(kù)丟失或被破壞，在恢