公鑰基礎(chǔ)設(shè)施PKI課件

第三章公鑰基礎(chǔ)設(shè)施PKI本章學(xué)習(xí)重點掌握內(nèi)容：PKI的組成數(shù)字證書格式數(shù)字證書管理信任模型9/5/20231第三章公鑰基礎(chǔ)設(shè)施PKI本章學(xué)習(xí)重點掌握內(nèi)容：8/2/2第三章公鑰基礎(chǔ)設(shè)施PKI3.1概述3.2PKI組成3.3數(shù)字證書及管理3.4密鑰管理3.5信任模型

3.6PKI的應(yīng)用9/5/20232第三章公鑰基礎(chǔ)設(shè)施PKI3.1概述8/2/202323.1概述3.1.1什么是PKIPKI就是這樣一個平臺，以數(shù)字證書和公鑰技術(shù)為基礎(chǔ)，提供網(wǎng)絡(luò)安全所需要的真實性、保密性、完整性和不可否認性等基礎(chǔ)服務(wù)。PKI是PublicKeyInfrastructure的縮寫，通常譯作公鑰基礎(chǔ)設(shè)施。PKI將個人、組織、設(shè)備的標識身份信息與各自的公鑰捆綁在一起，其主要目的是通過自動管理密鑰和證書，為用戶建立一個安全、可信的網(wǎng)絡(luò)運行環(huán)境9/5/202333.1概述3.1.1什么是PKI8/2/202333.1.2為什么需要PKIInternet最大的特點是它的開放性、廣泛性和自發(fā)性網(wǎng)絡(luò)安全服務(wù)包含了信息的真實性、完整性、機密性和不可否認性等為了防范用戶身份（包括人和設(shè)備）的假冒、數(shù)據(jù)的截取和篡改以及行為的否認等安全漏洞，需一種技術(shù)或體制來實現(xiàn)對用戶身份的認證，9/5/202343.1.2為什么需要PKIInternet最大的特點是它3.1.3PKI的發(fā)展與應(yīng)用自20世紀90年代初期以來，逐步得到許多國家政府和企業(yè)的廣泛重視，PKI技術(shù)由理論研究進入到商業(yè)化應(yīng)用階段。IETF、ISO等機構(gòu)陸續(xù)頒布了X.509、PKIX、PKCS、S/MIME、SSL、SET、IPSec、LDAP等PKI應(yīng)用相關(guān)標準，RSA、VeriSign、Entrust、Baltimore等企業(yè)紛紛推出自己的PKI產(chǎn)品和服務(wù)。全國相繼成立了多家PKI認證中心和PKI產(chǎn)品開發(fā)商.

9/5/202353.1.3PKI的發(fā)展與應(yīng)用自20世紀90年代初期以來3.2PKI組成3.2.1PKI系統(tǒng)結(jié)構(gòu)一個典型的PKI系統(tǒng)包括PKI策略、軟硬件系統(tǒng)、認證中心（CACertificationAuthorities）、注冊機構(gòu)（RARegistrationAuthority）、證書簽發(fā)系統(tǒng)和PKI應(yīng)用等幾個基本部分組成。PKI系統(tǒng)結(jié)構(gòu)如圖所示。9/5/202363.2PKI組成3.2.1PKI系統(tǒng)結(jié)構(gòu)8/2/23.2.1PKI系統(tǒng)結(jié)構(gòu)PKI應(yīng)用證書簽發(fā)系統(tǒng)注冊機構(gòu)RA認證中心CA軟硬件系統(tǒng)PKI策略PKI系統(tǒng)結(jié)構(gòu)

9/5/202373.2.1PKI系統(tǒng)結(jié)構(gòu)PKI應(yīng)用證書簽發(fā)系統(tǒng)注冊機構(gòu)3.2.1PKI系統(tǒng)結(jié)構(gòu)PKI策略PKI策略是一個包含如何在實踐中增強和支持安全策略的一些操作過程的詳細文檔，它建立和定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。PKI策略的內(nèi)容一般包括：認證政策的制定、遵循的技術(shù)規(guī)范、各CA之間的上下級或同級關(guān)系、安全策略、安全程度、服務(wù)對象、管理原則和框架、認證規(guī)則、運作制度的規(guī)定、所涉及的法律關(guān)系，以及技術(shù)的實現(xiàn)。9/5/202383.2.1PKI系統(tǒng)結(jié)構(gòu)PKI策略8/2/202383.2.1PKI系統(tǒng)結(jié)構(gòu)軟硬件系統(tǒng)軟硬件系統(tǒng)是PKI系統(tǒng)運行所需硬件和軟件的集合，主要包括認證服務(wù)器、目錄服務(wù)器、PKI平臺等。認證中心認證中心是PKI的信任基礎(chǔ)，它負責管理密鑰和數(shù)字證書的整個生命周期。注冊機構(gòu)注冊機構(gòu)是PKI信任體系的重要組成部分，是用戶（個人或團體）和認證中心之間的一個接口。9/5/202393.2.1PKI系統(tǒng)結(jié)構(gòu)軟硬件系統(tǒng)8/2/202393.2.1PKI系統(tǒng)結(jié)構(gòu)證書簽發(fā)系統(tǒng)證書簽發(fā)系統(tǒng)負責證書的發(fā)放，例如可以通過用戶自己或通過目錄服務(wù)器進行發(fā)放。目錄服務(wù)器可以是一個組織中現(xiàn)有的，也可以是由PKI方案提供的。PKI應(yīng)用PKI的應(yīng)用非常廣泛，包括在Web服務(wù)器和瀏覽器之間的通信、電子郵件、電子數(shù)據(jù)交換（EDI）、在因特網(wǎng)上的信用卡交易和虛擬專用網(wǎng)（VPN）等方面。PKI應(yīng)用程序接口系統(tǒng)一個完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)（API），以便各種應(yīng)用都能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境可信，降低管理和維護的成本。9/5/2023103.2.1PKI系統(tǒng)結(jié)構(gòu)證書簽發(fā)系統(tǒng)8/2/2023103.2PKI組成3.2.2認證中心PKI系統(tǒng)通常采用可信第三方充當認證中心CA，來確認公鑰擁有者的真正身份CA是PKI體系的核心。CA的主要功能有:證書審批：接收并驗證最終用戶數(shù)字證書的申請，確定是否接收最終用戶數(shù)字證書的申請。證書簽發(fā)：向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書。證書更新：接收、處理最終用戶的數(shù)字證書更新請求。9/5/2023113.2PKI組成3.2.2認證中心8/2/2023113.2.2認證中心證書查詢：接收用戶對數(shù)字證書的查詢；提供目錄服務(wù)，可以查詢用戶證書的相關(guān)信息。證書撤銷：產(chǎn)生和發(fā)布證書吊銷列表，驗證證書狀態(tài)；或提供在線證書查詢服務(wù)OCSP（OnlineCertificateStatusProtocol），驗證證書狀態(tài)。證書歸檔：數(shù)字證書歸檔及歷史數(shù)據(jù)歸檔。各級CA管理：下級認證機構(gòu)證書及賬戶管理；認證中心及其下級CA密鑰的管理；9/5/2023123.2.2認證中心證書查詢：接收用戶對數(shù)字證書的查詢；提供3.2PKI組成3.2.3注冊中心RA是PKI信任體系的重要組成部分，是用戶（個人或團體）和CA之間的一個接口，是認證機構(gòu)信任范圍的一種延伸。RA接受用戶的注冊申請，獲取并認證用戶的身份，主要完成收集用戶信息和確認用戶身份的功能。RA可以認為是CA的代表處、辦事處，負責證書申請者的信息錄入、審核及證書發(fā)放等具體工作；同時，對發(fā)放的證書完成相應(yīng)的管理功能。9/5/2023133.2PKI組成3.2.3注冊中心8/2/2023133.2.3注冊中心RA的具體職能包括：自身密鑰的管理，包括密鑰的更新、保存、使用、銷毀等。審核用戶的信息。登記黑名單。業(yè)務(wù)受理點（LRA）的全面管理。接收并處理來自受理點的各種請求。9/5/2023143.2.3注冊中心RA的具體職能包括：8/2/202313.2PKI組成3.2.4最終實體最終實體EE（EndEntity，EE）是指PKI產(chǎn)品和服務(wù)的最終使用者，可以是個人、組織和設(shè)備。RA管理員、CA管理員、最終用戶的角色關(guān)系如圖所示9/5/2023153.2PKI組成3.2.4最終實體8/2/2023153.3數(shù)字證書及管理是由認證中心發(fā)放并經(jīng)過認證中心簽名的，包含證書擁有者及其公開密鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。數(shù)字證書是PKI體系中最基本的元素，PKI系統(tǒng)的所有安全操作都是通過數(shù)字證書來實現(xiàn)的。數(shù)字證書采用公鑰體制，即利用一對相互匹配的密鑰進行加密、解密。每個用戶自己設(shè)定一把特定的僅為本人所知的專有密鑰（私鑰），用它進行解密和簽名；同時設(shè)定一把公共密鑰（公鑰）以證書形式公開，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰（證書）對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣的信息在傳輸和存放時就可以保證安全性。9/5/2023163.3數(shù)字證書及管理是由認證中心發(fā)放并經(jīng)過認證中心簽名的3.3數(shù)字證書及管理3.3.1證書格式數(shù)字證書的格式采用X.509國際標準。X.509證書格式的版本到目前為止共有3個版本，通常用v1、v2和v3表示。1988年：X.509協(xié)議標準的第一版，定義了v1版的證書格式和CRL（證書吊銷列表）格式。1993年：X.509協(xié)議標準的第二版，定義了v2版的證書格式和修改了上一版的CRL格式。1997年：X.509協(xié)議標準的第三版，定義了v3版的證書格式（見表3-2）和v2版的CRL格式。2000年：X.509協(xié)議標準的第四版，證書格式版本未變，仍為v3，只是增加了新的擴展項，并且增加了對屬性證書的描述。CRL的格式未變，仍未v2。9/5/2023173.3數(shù)字證書及管理3.3.1證書格式8/2/20233.3.1證書格式X.509v3數(shù)字證書字段名及說明字段名說明Version版本號Serialnumber證書唯一序列號SignaturealgorithmIDCA簽名使用算法IssuernameCA名Validityperiod證書生效日期和失效日期Subject(user)name證書主體Subjectpublickeyinformation證書主體公開密鑰信息IssueruniqueidentifierCA唯一標識Subjectuniqueidentifier證書主體唯一標識Extensions證書擴充內(nèi)容SignatureontheabovefieldCA對以上內(nèi)容的簽名9/5/2023183.3.1證書格式X.509v3數(shù)字證書字段名及說明3.3數(shù)字證書及管理3.3.2證書的申請PKI系統(tǒng)的證書申請、審核、制作、發(fā)布、發(fā)放、存儲和使用的工作流程，見圖所示9/5/2023193.3數(shù)字證書及管理3.3.2證書的申請8/2/2023.3.2證書的申請證書的申請有離線申請方式和在線申請方式兩種：離線申請方式用戶持有關(guān)證件到注冊中心RA進行書面申請。在線申請方式用戶通過因特網(wǎng)，到認證中心的相關(guān)網(wǎng)站下載申請表格，按內(nèi)容提示進行填寫；也可以通過電子郵件和電話呼叫中心傳遞申請表格的信息，但有些信息仍需要人工錄入，以便進行審核。9/5/2023203.3.2證書的申請證書的申請有離線申請方式和在線申請方式3.3數(shù)字證書及管理3.3.3證書生成如果證書的申請被批準，CA就把證書請求轉(zhuǎn)化為證書，用CA的私鑰對證書進行簽名，保證證書的完整性和權(quán)威性，將制作好的證書存儲到證書庫中，供CA進行證書的發(fā)放和發(fā)布。9/5/2023213.3數(shù)字證書及管理3.3.3證書生成8/2/20233.3數(shù)字證書及管理3.3.4證書發(fā)布證書必須發(fā)布到以下兩類實體：1、數(shù)字簽名的驗證實體。驗證實體通過證書獲得簽名實體可信的公開密鑰，驗證消息發(fā)送方的數(shù)字簽名，對消息發(fā)送實體進行身份認證；2、加密數(shù)據(jù)的解密實體。加密數(shù)據(jù)的實體通過證書獲得對方公鑰，對發(fā)送的數(shù)據(jù)進行加密，解密實體使用自己的私鑰對信息進行解密。9/5/2023223.3數(shù)字證書及管理3.3.4證書發(fā)布8/2/20233.3.4證書發(fā)布證書的發(fā)布方式有以下3種：離線發(fā)布證書制作完成后，通過email和軟盤等存儲介質(zhì)的方式，離線分發(fā)給申請的用戶。在小范圍的用戶群內(nèi)使用得很好，該方式不適合企業(yè)級的應(yīng)用。資料庫發(fā)布將用戶的證書信息和證書撤銷信息，存儲在用戶可以方便訪問的數(shù)據(jù)庫中或其他形式的資料庫中。例如：輕量級目錄訪問服務(wù)器Web服務(wù)器、FTP服務(wù)器、等。協(xié)議發(fā)布證書和證書撤銷信息也可以作為其他信息通信交換協(xié)議的一部分。如通過S/MIME安全電子郵件協(xié)議，TLS協(xié)議證書的交換。9/5/2023233.3.4證書發(fā)布證書的發(fā)布方式有以下3種：8/2/2023.3數(shù)字證書及管理3.3.5證書撤銷證書由于某種原因需要作廢，比如用戶身份姓名的改變、私鑰被竊或泄漏、用戶與所屬企業(yè)關(guān)系變更等，PKI需要使用一種方法，通知其他用戶不要再使用該用戶的公鑰證書，這種通知、警告機制被稱為證書撤銷。9/5/2023243.3數(shù)字證書及管理3.3.5證書撤銷8/2/20233.3.5證書撤銷方法有兩種：一種是利用周期性的發(fā)布機制，如使用證書撤銷列表CRL（CertificateRevocationList）。另一種是在線查詢機制，如使用在線證書狀態(tài)協(xié)議OCSP（OnlineCertificateStatusProtocol）。9/5/2023253.3.5證書撤銷方法有兩種：8/2/2023253.3數(shù)字證書及管理3.3.6證書更新證書更新包括兩種情況：最終實體證書更新和CA證書更新。最終實體證書更新，有以下兩種方式：執(zhí)行人工密鑰更新實現(xiàn)自動密鑰更新9/5/2023263.3數(shù)字證書及管理3.3.6證書更新8/2/20233.3數(shù)字證書及管理3.3.7證書歸檔由于證書更新等原因，一段時間后，每個用戶都會形成多個舊證書和至少一個當前證書，這一系列舊證書和相應(yīng)的私鑰，就組成了用戶密鑰和證書的歷史檔案，簡稱密鑰歷史檔案，因此需要證書歸檔和管理，以備后用。9/5/2023273.3數(shù)字證書及管理3.3.7證書歸檔8/2/20233.3數(shù)字證書及管理3.3.8用戶證書存儲 用戶數(shù)字證書可以存儲在計算機的硬盤、USB盤、IC卡和專用的USBKey盤中。證書申請者從認證中心處得到的數(shù)字證書和用戶的私鑰，通常保存在申請證書所用電腦硬盤的隱秘空間里，一般人無法獲取，但可以通過程序?qū)С觯鎯υ赨SB盤或其它的計算機里，這樣用戶數(shù)字證書和私鑰就可以在其它的計算機上使用并完成備份。9/5/2023283.3數(shù)字證書及管理3.3.8用戶證書存儲 8/2/3.3數(shù)字證書及管理3.3.9數(shù)字證書的使用如果證書持有者A需要向證書持有者B傳送數(shù)字信息，為了保證信息傳送的機密性、完整性和不可否認性，需要對要傳送的信息進行加密和數(shù)字簽名，其傳送過程如下：1、A準備好需要傳送的數(shù)字信息（明文）；2、A對數(shù)字信息進行散列運算，得到一個信息摘要；3、A用自己的私鑰KRA對信息摘要進行簽名得到A的數(shù)字簽名，并將其附在數(shù)字信息上；9/5/2023293.3數(shù)字證書及管理3.3.9數(shù)字證書的使用8/2/23.3.9數(shù)字證書的使用4、A隨機產(chǎn)生一個會話密鑰K，并用此密鑰對要發(fā)送的明文信息和A的數(shù)字簽名信息進行加密，形成密文；5、A從B的數(shù)字證書中獲取B的公鑰KUB，對會話密鑰K進行加密，將加密后的會話密鑰連同密文一起傳給B；6、B收到A傳送過來的密文和加密的會話密鑰，先用自己的私鑰KRb對加密的會話密鑰進行解密，得到會話密鑰K；9/5/2023303.3.9數(shù)字證書的使用4、A隨機產(chǎn)生一個會話密鑰K，并用3.3.9數(shù)字證書的使用7、B用會話密鑰K對收到的密文進行解密，得到明文的數(shù)字信息和A的數(shù)字簽名，然后將會話密鑰K作廢；8、B從A的數(shù)字證書中獲取A的公鑰KUA，對A的數(shù)字簽名進行驗證，得到信息摘要。B用相同的散列算法對收到的明文再進行一次運算，得到一個新的信息摘要，對兩個信息摘要進行比較，如果一致，說明收到的信息沒有被篡改過。9/5/2023313.3.9數(shù)字證書的使用7、B用會話密鑰K對收到的密文進行3.4密鑰管理密鑰管理也是PKI（主要指CA）中的一個核心問題，主要是指密鑰對的安全管理，包括密鑰產(chǎn)生、密鑰備份、密鑰恢復(fù)和密鑰更新等。密鑰產(chǎn)生密鑰對的產(chǎn)生是證書申請過程中重要的一步，其中產(chǎn)生的私鑰由用戶保留，公鑰和其他信息則交于CA中心產(chǎn)生證書。密鑰備份和恢復(fù)密鑰的備份和恢復(fù)也是PKI密鑰管理中的重要一環(huán)。使用PKI的企業(yè)和組織必須能夠得到確認：即使密鑰丟失，受密鑰加密保護的重要信息也必須能夠恢復(fù)9/5/2023323.4密鑰管理密鑰管理也是PKI（主要指CA）中的一個核心3.4密鑰管理密鑰更新對每一個由CA頒發(fā)的證書都會有有效期，密鑰對生命周期的長短由簽發(fā)證書的CA中心來確定，各CA系統(tǒng)的證書有效期限有所不同，一般大約為2-3年。9/5/2023333.4密鑰管理密鑰更新8/2/2023333.5信任模型在PKI中有四種常用的信任模型：嚴格層次結(jié)構(gòu)模型(StrictHierarchyofCertificationAuthoritiesModel)、分布式信任結(jié)構(gòu)模型(DistributedTrustArchitectureModel)、Web模型(WebModel)和以用戶為中心的信任模型(User-CentricTrustModel)。9/5/2023343.5信任模型在PKI中有四種常用的信任模型：嚴格層次結(jié)3.5信任模型3.5.1層次型信任模型層次性模型可以被描繪為一棵倒轉(zhuǎn)的樹，根在頂上，樹枝向下伸展，樹葉在最下面，9/5/2023353.5信任模型3.5.1層次型信任模型8/2/20233.5.1層次型信任模型層次結(jié)構(gòu)按如下規(guī)則建立：根CA具有一個自簽名的證書。根CA依次為其下級CA頒發(fā)證書。每個CA都擁有零個或多個子節(jié)點。上層的CA既可以認證其他CA，也可以直接為終端實體頒發(fā)證書，但在實際應(yīng)用中，為了便于管理，用于認證下級CA通常不為用戶認證終端實體，反之亦然。終端實體就是PKI的用戶，處于層次模型的葉子節(jié)點，其證書由其父節(jié)點CA頒發(fā)。對于終端實體而言，它需要信任根CA，中間的CA可以不必關(guān)心。層次模型中，除根CA之外的每個節(jié)點CA上，至少需要保存兩種數(shù)字證書。向上證書：父節(jié)點CA發(fā)給它的證書；向下證書:由它頒發(fā)給其他CA或者終端實體的證書。9/5/2023363.5.1層次型信任模型層次結(jié)構(gòu)按如下規(guī)則建立：8/2/3.5信任模型3.5.2分布式信任模型信任結(jié)構(gòu)把信任分散在兩個或多個CA上，而每個CA所在的子系統(tǒng)構(gòu)成系統(tǒng)的子集，并且是一個嚴格的層次結(jié)構(gòu)。同的CA所簽發(fā)的數(shù)字證書能夠互相認證，就需要使用交叉認證技術(shù).交叉認證可以是單向的，一個CA可以承認另一個CA在其域內(nèi)的所有被授權(quán)簽發(fā)的證書。交叉認證也可以是雙向的，即CA之間互相雙向承認其所頒發(fā)的證書。交叉認證又可分為域內(nèi)交叉認證和域間交叉認證。9/5/2023373.5信任模型3.5.2分布式信任模型8/2/202333.5信任模型3.5.3基于Web模型的信任模型Web模型主要依賴于流行的瀏覽器，當前流行的幾款瀏覽器如微軟的IE瀏覽器、Mozila的firefox(火狐貍瀏覽器)等都預(yù)裝了許多CA的證書。Web模型在方便性和簡單互操作性方面有明顯的優(yōu)勢，但是也存在許多問題：容易信任偽造的CA沒有實用的機制來撤銷嵌入到瀏覽器中的根證書。9/5/2023383.5信任模型3.5.3基于Web模型的信任模型8/2/3.5信任模型3.5.4以用戶為中心的信任模型在以用戶為中心的信任模型中，各用戶自己決定信任哪些證書?；赗SA算法的安全電子郵件軟件PGP(PrettyGoodPrivacy)，采用了這一信任模型。9/5/2023393.5信任模型3.5.4以用戶為中心的信任模型8/2/3.6PKI的應(yīng)用以為Windows2003為例，介紹CA的安裝和使用，以及證書在IIS中的應(yīng)用和利用證書發(fā)送安全電子郵件。3.6.1CA的安裝和證書申請1、證書安裝1）使用administrator身份登錄到Windows2003。2）、單擊控制面板中的“添加或刪除程序”，在Windows組件向?qū)Ч催x“證書服務(wù)”復(fù)選框，單擊彈出的對話框“是”按扭。這時會彈出對話框，提示“安裝證書服務(wù)后，計算機名和域成員身份都不能更改……”9/5/2023403.6PKI的應(yīng)用以為Windows2003為例，介紹3.6.1CA的安裝和證書申請彈出對話框，選擇CA類型，選擇“企業(yè)根CA”，并復(fù)選“用自定義設(shè)置生成密鑰對和CA證書”在出現(xiàn)的“公鑰/私鑰對”中保持默認值，下一步要求輸入CA的名稱，這里在“CA識別信息”窗口中輸入CA的名稱“test_PKI”，如圖3-8所示，單擊下一步，其他選擇默認值。保持證書數(shù)據(jù)庫及其日志信息的保存位置默認值，單擊“下一步”按扭，在隨后的停止Internet信息服務(wù)的對話框中，單擊“是”。系統(tǒng)在確定停止IIS服務(wù)的運行后，系統(tǒng)便會開始安裝證書服務(wù)器相關(guān)的組件以及程序。在出現(xiàn)的安裝完成窗口中單擊“完成”。9/5/2023413.6.1CA的安裝和證書申請彈出對話框，選擇CA類型，選3.6.1CA的安裝和證書申請2、證書管理可以通過控制臺管理證書。在系統(tǒng)菜單運行處輸入mmc命令，啟動一個控制臺。在“文件”菜單中單擊“添加/刪除管理單元”選擇添加“證書頒發(fā)機構(gòu)”單元。9/5/2023423.6.1CA的安裝和證書申請2、證書管理8/2/20233.6.1CA的安裝和證書申請CA中包括以下子樹：吊銷的證書：由于密鑰泄密等原因已經(jīng)吊銷的證書；頒發(fā)的證書：由客戶端申請并已經(jīng)頒發(fā)，而且處于有效期可用的證書。頒發(fā)的證書可以選中并改變?yōu)榈蹁N的證書；掛起的申請：是已經(jīng)提交申請而沒有頒發(fā)證書，可以選擇一個申請頒發(fā)。失敗的申請：是沒有通過的申請。證書模版：是可以頒發(fā)證書的模版，安裝證書組件時，只有選擇企業(yè)根才可以管理證書模板，9/5/2023433.6.1CA的安裝和證書申請CA中包括以下子樹：8/2/3.6.1CA的安裝和證書申請3、證書申請以下步驟進行證書的申請1）首先在申請證書的主機上，打開網(wǎng)址http://CA主機域名或IP地址/certsrv，申請證書。2）選擇創(chuàng)建并向此CA提交一個申請。3）選高級證書申請。4）用戶可以選擇證書類型，證書類型的多少取決于CA服務(wù)器端證書模版目錄下的證書類型以及證書的屬性。9/5/2023443.6.1CA的安裝和證書申請3、證書申請8/2/20233.6.1CA的安裝和證書申請查看所申請的證書啟動IE瀏覽器，單擊“工具”菜單，并選擇“Internet選項”。選擇“內(nèi)容”屬性頁，并單擊“證書”按鈕。9/5/2023453.6.1CA的安裝和證書申請查看所申請的證書8/2/23.6PKI的應(yīng)用3.6.2證書在IIS（Internet信息服務(wù)器）中的應(yīng)用在IIS站點設(shè)置證書服務(wù)的步驟如下

1、選擇IIS網(wǎng)站右擊需要申請SSL證書的網(wǎng)站屬性，再點擊“目錄安全性”屬性頁，最下面有一個“安全通信”欄。點擊“服務(wù)器證書”就開始證書申請向?qū)В?/5/2023463.6PKI的應(yīng)用3.6.2證書在IIS（Intern3.6.2證書在IIS（Internet信息服務(wù)器）中的應(yīng)用2、選擇證書證書向?qū)У牡谝徊绞沁x擇生成證書，生成證書有多種方法：新建證書是向建立CA申請生成一個新證書，需要進一步填寫相關(guān)信息；選擇一個分配的現(xiàn)有證書是從已經(jīng)申請的證書中選擇一個證書；另外兩種方法是從密鑰管理器備份文件或以pfx格式保存的文件導(dǎo)入，這種文件需要預(yù)先申請，并以文件形式保存；最后一個則是將遠程服務(wù)站點的證書復(fù)制到本地。9/5/2023473.6.2證書在IIS（Internet信息服務(wù)器）中的應(yīng)3.6.2證書在IIS（Internet信息服務(wù)器）中的應(yīng)用3、申請證書需申請證書時，選擇立即將證書請求發(fā)送到聯(lián)機證書頒發(fā)機構(gòu)，并填寫一些相關(guān)信息，注意一定要設(shè)置防火墻開放443端口。4、提交證書請求彈出對話框顯示剛才設(shè)置的信息，單擊完成，5、設(shè)置有關(guān)參數(shù)證書安裝成功后，網(wǎng)站即可以提供HTTPS服務(wù)，還可以進一步設(shè)置。在“目錄安全性”屬性頁單擊“編輯”按鈕，彈出設(shè)置“安全通道”對話框，復(fù)選“要求安全通道（SSL）”，也就是訪問此網(wǎng)站必須使用HTTPS協(xié)議，還可以設(shè)置“要求128位加密