证书服务.docx
- 文档编号:25139864
- 上传时间:2023-06-05
- 格式:DOCX
- 页数:24
- 大小:1,004.11KB
证书服务.docx
《证书服务.docx》由会员分享,可在线阅读,更多相关《证书服务.docx(24页珍藏版)》请在冰豆网上搜索。
证书服务
第十三讲证书服务
课题:
组策略与组策略应用
课型:
理论课课时:
2课时
教学目的:
1、掌握公共密钥基础结构;
2、掌握安装证书服务;
3、掌握管理证书颁发机构的设置;
4、掌握管理管理证书的方法和操作。
重点难点:
1、公共密钥基础结构;
2、证书的颁发与管理。
教学环境:
1、多媒体教室;
2、一台安装有虚拟机的电脑。
教学方法:
讲授法
教学过程:
企业的网络可能是由内部网、外部网、Internet站点等组成。
信息的保存和传输都需要得到保护,以保证只有合法用户才可以访问这些信息,而XX的用户不能访问这些信息。
通过使用公共密钥基础结构(PKI)可以很好地实现数据加密和用户身份的标识。
一、公共密钥基础结构(PKI)简介
对于电子商务系统中的身份识别,以及内部和外部网络上的数据加密来说,公共密钥技术是一项重要的技术。
与公共密钥技术相关的两个基本概念分别是公钥加密和公钥认证。
公共密钥基础结构是由数字证书(DigitalCertificate)、证书颁发机构(CertificateAuthority)所组成的系统。
此系统可以用于解决信息加密和身份识别等问题。
1、公钥加密
对于电子邮件信息或者通过Internet或其他网络通信传送的信用卡信息等重要资源,都可以使用公钥加密技术来实现数据的加密,从而保证数据的安全性。
由于公钥是自由发行的,任何人都可以得到,而私钥是保密的,只有本人知道,因此,任何两个人只要通过检索彼此的公钥,并用对方的公钥对数据进行加密,就可以在公共网络上建立安全的私人通信。
(1)使用公钥和私钥
公钥加密使用两个在数字上相关的密钥。
密钥是一个随机字符串(如数字、ASCII码等),它结合算法使用。
在公钥加密操作中,每个用户都有一对在数字上相关的密钥,它们分别是私钥和公钥。
◆私钥:
该密钥是保密的,只有本人持有。
◆公钥:
该密钥向所有可能的通信者公开。
(2)加密和解密
PKI的基本概念是将一个密钥用于加密数据,而另一个密钥用于解密数据。
加密密钥无法对加密的数据进行解密。
下面通过一个实例来说明加密和解密的用法,如下图所示。
在上图中,王强想发送一条私人消息给李红,他获得李红的公钥,并用其来加密消息,然后再通过网络传输给李红。
为了读取这条消息,李红必须使用她的私钥来解密。
因为除了李红之外没有人拥有该私钥,因此别人都无法读取这条消息。
由于公钥不能用来对加密的数据进行解密,因此如果入侵者有李红的公钥,他们除了能够用此公钥来对他们自己的信息进行加密外,是不能用来解密王强用公钥加密的消息的。
公钥和私钥也可以逆向使用,即使用私钥加密数据,用公钥解密数据。
但因为任何人都可以获得公钥,因此这种方法不能防止其他用户读取消息。
但此种方式可以用来识别发送消息的人的身份。
2、公钥认证
可以使用公钥密码技术来验证电子邮件、电子商务和其他电子交易中电子数据的发送人。
与公钥加密一样,公钥认证也使用了密钥对。
然而,它不是用接收方的私钥来解密消息,而是用发送方的公钥来认证和验证消息的发送方。
通过使用私钥加密唯一标识的消息内容就可以创建数字签名。
通过使用数字签名将私钥和公钥的作用进行了交换。
(1)数字签名
通过数字签名,可以将消息、文件或其他数字编码信息和发送方的身份标识进行绑定。
签名本身是数字文档中附加的比特序列。
数字签名能够确保:
◆只有拥有私钥的人才能够创建数字签名。
◆任何有权使用相应公钥的人都可以验证数字签名。
例如,当访问一个网站时,被提示要下载一个文件,对话框提示该文件已经由某个可信任的组织进行了数字签名。
数字签名可以确保将要下载的文件或程序的来源可靠。
(2)公钥认证方法
如下图所示。
如上图所示,王强使用他的私钥对消息进行签名(相当于加密操作),然后将消息发送给李红,李红用已经获得的王强的公钥对消息进行验证(相当于解密操作)。
以确保此消息是由王强发来的,而且没有被第三方修改过。
(3)哈希算法
数字签名使用一种称为哈希的算法。
哈希算法可以保证:
即使文档只有一个字节发生变化,经过哈希算法处理后也会生成一个完全不同的散列。
当用公钥加密数据后,对已签名数据的任何一点修改都会使数字签名无效。
3、证书颁发机构
证书颁发机构(CA)负责提供和分配密钥,用来加密、解密和认证。
CA通过颁发证书来分配密钥,证书中包含公钥和一系列属性。
(1)证书
每个使用WindowsPKI的用户或计算机都会分配到一个公钥和一个私钥。
私钥保留在计算机上,而且从不在网络上传输。
为了保证PKI的正确运行,必须有一种可控制和可验证的方法来分配公钥。
数字证书就是这样一种机制,用来在网络上分配公钥。
数字证书是用来在网络上分配公钥的机制,数字证书是一个文档,它证明一个公钥是与一个实体绑定的。
证书的主要目的是为了让人相信证书中的公钥确实属于证书中指定的实体。
数字证书包含公钥本身和一组描述公钥所有者属性的信息(如所有者的姓名和联系方式等)。
证书是由证书颁发机构(CA)颁发的。
CA是可信任的机构或程序,它向个体用户颁发有效的证书。
CA主要有两类:
商业CA公司和WindowsServer2003自代的CA程序(称为Microsoft证书服务MCS)。
CA机构或程序相当于公证人,CA负责验证证书接受人的身份是否属实。
用户可以根据实际应用需求选择CA机构。
(2)外部CA和内部CA
外部CA:
外部的发行公司,如大型的商业CA。
内部CA:
内部发行的,如公司安装了自己的服务器来颁发和验证证书。
另外,每个CA都有一个证明它自己身份的证书,是由另外一个可信任的CA或它自己颁发的。
信任某个CA,即表示同时接受该CA的策略和过程,这些策略和过程用来确认证书接受实体的身份。
(3)颁发证书的过程
颁发证书的基本步骤如下:
生成密钥:
申请人生成公钥和私钥,或由申请人机构中的某个颁发机构分配一对密钥。
收集所需信息:
申请人收集并提供CA颁发证书所需的一切信息。
申请证书:
申请人向CA发送一个证书申请,包含公钥和其他所需要信息。
证书申请可能使用CA本身的公钥加密。
多数情况下,申请使用电子邮件来提交,但是,也可以使用邮政或快递形式发送申请。
例如,当证书申请本身需要经过公证时。
验证信息:
CA使用一个策略模块来处理申请人的证书申请。
策略模块是一组规则,CA用这些规则来确定是否应该同意申请,还是拒绝申请或做标记表示由网络管理员来审阅。
创建证书:
CA创建一份数字文档并且用它自己的私钥签名,文档中包括申请人的公钥和其他有必要的信息。
已签名的文档就是证书。
发送或公布证书:
CA使用退出模式来确定它应该如何使申请者得到新的证书。
根据不同的CA类型,可以采用以下几种方式发送或公布证书:
◆在AcitveDirectory中公布新的证书
◆通过电子邮件发送给申请者
◆把证书存储在指定的文件夹中
(4)证书吊销
可以在证书有效期截止之前使证书无效。
(原因:
泄漏、欺诈、不再可信等)
4、证书等级
证书等级是一种信任模式,它通过建立CA之间的父/子关系来创建证书路径。
(1)根CA
根CA,有时称为根颁发机构,应该是机构的PKI中最可信赖的CA。
在整个证书机构中最为重要。
根CA分为两种类型:
企业根CA和独立根CA。
企业根CA:
企业根CA是证书阶层的最上层CA,需要ActiveDirectory支持才能架设企业根CA,并且用ActiveDirectory来提供安全保护,自动签署自身的CA证书。
从安全考虑,并不建议让企业根CA直接提供证书给用户或计算机,而是授权企业从属CA为用户和计算机颁发证书。
独立根CA:
独立根CA是证书阶层的最上层CA,不需要ActiveDirectory支持,在有无ActiveDirectory的情况下,都可以架设独立根CA;由于是自动签署自身的CA证书,因此建议不要让独立根CA直接提供证书给用户或计算机,而是授权独立从属CA为用户和计算机颁发证书。
(2)从属CA
是机构中经其他CA认证的CA,从属CA颁发指定用途的证书。
从属CA也分为两种类型:
企业从属CA和独立从属CA。
企业从属CA:
企业从属CA必须从其他上层企业级CA取得证书,而且需要有ActiveDirectory的支持;企业级CA可以为用户或计算机提供证书。
独立从属CA:
独立从属CA必须从其他上层独立CA取得CA证书,并不需要ActiveDirectory支持,独立从属CA可以为用户和计算机提供证书。
5、证书模板
证书模板(CertificateTemplate)是客户端可以申请的证书类型,证书模板定义了证书的属性和扩展内容。
证书模板的作用就是让用户在申请证书时,不需要经过复杂的设置和选择很多属性,而是简单地选择执行某项任务所需要的证书模板,就可以申请所需的证书。
WindowsServer2003内置了很多的证书模板,默认可以使用的证书模板主要有:
◆目录电子邮件复制
◆域控制器身份验证
◆EFS故障恢复代理
◆基本EFS
◆域控制器
◆Web服务器
◆计算机
◆用户
◆从属证书颁发机构
◆系统管理员
WindowsServer2003默认提供了31个模板,证书管理员可以管理这些默认的证书模板,还可以控制用户申请哪些证书,或是控制用户怎样去申请证书。
二、安装证书服务
通过安装证书服务,可以创建一个CA来颁发运行PKI所需的证书。
在WindowsServer2003上,证书颁发机构可以是两种类型之一:
企业类或独立类。
每个类型都可以有一个根CA和一个(或多个)从属CA。
通常,对单个Windows2003网络中的用户或计算机颁发证书,必须安装一个企业CA。
企业CA要求所有申请证书的用户和计算机在ActiveDirectory中有一个账号。
如果对单个的WindowsServer2003网络外的用户或计算机颁发证书,则必须安装一个独立CA。
独立CA不需要ActiveDirectory的支持。
证书服务与其他WindowsServer2003系统组件一样,使用“添加/删除程序”工具进行安装。
安装证书服务后,计算机可以作为证书颁发机构,管理和颁发证书,但是安装证书服务的计算机不可以更改计算机名称。
对于企业根CA或企业从属CA也不能删除ActiveDirectory。
具体安装步骤如下:
(1)使用管理员身份登录计算机。
(2)从“开始”—“控制面板”—“添加/删除程序”,打开“添加/删除程序”对话框。
(3)单击“添加/删除Windows组件”,启动“Windows组件向导”对话框。
(4)选择“证书服务”,单击“下一步”,打开“证书颁发机构类型”对话框。
(5)在“CA类型”对话框中,可以选择企业根或独立根类型,管理员应该根据设置的CA类型来选择。
此处以企业根CA为例,选择“企业根CA”,单击“下一步”。
(6)打开“CA标识信息”对话框。
CA识别信息用于识别授权单位的,在ActiveDirectory上会使用域名作为其分辨名称后缀,再加上CA的一般名称,便构成了CA的分辨名称。
CA默认有效期为5年,到期后CA便不能再颁发证书,如下图所示。
(7)输入此CA的公用名称后,单击“下一步”,打开“证书数据库设置”对话框。
证书数据库和证书数据库日志文件默认保存位置是“%windir\system32\CertLog”,为了安全,管理员可以将其设置到其他NTFS磁盘分区,如下图所示。
(8)因为证书服务支持网页注册子组件,需要将CA与Internet信息服务(IIS)集成,IIS将新增一个名称为“Certsrv”的虚拟目录,供客户端连接到CA申请证书。
所以在安装证书服务时,必须先暂停IIS,如图所示。
(9)单击选择“是(Y)”按钮,Windows组件向导自动设置Internet信息服务等相关服务,并检查文件、复制文件。
如果Windows组件向导不能在本地磁盘找到WindowsServer2003安装文件,将提示插入WindowsServer2003CD光盘,接着,系统会自动添加证书授权服务,并自动启动证书授权服务。
完成“证书服务”的安装。
三、管理证书颁发机构
证书管理员的主要任务是管理证书颁发机构,包括启动/暂停证书服务、配置证书颁发机构的属性、备份/还原证书颁发机构信息、更新证书颁发机构证书等。
其目的是保证证书服务可以提供证书申请、备份和还原证书颁发机构信息,以及更新证书颁发机构证书以提高系统的性能和可靠性。
1、启动和停止证书服务
在WindowsServer2003网络环境下,证书服务是以标准的服务方式来执行的,所以管理员在管理证书颁发机构或客户端申请证书时,必须先启动CA上的证书服务。
如果不希望客户端申请证书,可以暂停证书服务。
证书服务管理方式主要有以下几种:
(1)命令行方式
在命令行方式下可以使用以下命令控制证书服务的运行状态:
Netstartcertsrv启动证书服务
Netstopcertsrv停止证书服务
Netpausecertsvc暂停证书服务
(2)在“服务”控制台
从“开始”—“管理工具”—“服务”,打开“服务”控制台窗口,如图所示。
在“服务”控制台窗口中选择“CertificateServices”,单击鼠标右键,在弹出的菜单中可以选择“启动”、“暂停”、“恢复”、“停止”等选项。
使用这些选项能够完成证书服务的启动、停止等任务。
(3)在“证书颁发机构”控制台窗口
管理员还可以在“证书颁发机构”控制台中启动或停止证书服务。
当证书服务停止时,服务器图标前为红色的小框;当服务器启动服务时,服务器图标前变为一个绿色的勾,如图所示。
2、配置CA
管理员可以管理证书颁发机构的信息,包括策略模块、退出模块、审核、故障恢复代理、安全等,只要在上图中右键单击服务器图标,选择“属性”菜单,即可进行设置。
(1)常规
在“常规”选项卡中可以查看证书颁发机构(CA)名称以及CA证书,密码编译设置也可以在此选项卡中查看,但是CSP(密码编译服务提供者)和散列算法在CA安装后不能修改。
根CA的证书颁发者是自身,因为在网络中,根CA往往是第一台颁发机构,并没有其他CA可以提供证书,因此只有安装证书服务时创建一个证书,用于证明自己是根CA。
而从属CA可以从根CA申请证书。
(2)策略模块
策略模块用于指定如何处理企业及独立CA的证书请求,决定是否应该自动同意、拒绝证书请求,或将其标记为挂起。
WindowsServer2003的证书颁发机构,一般使用Windows默认的策略模块(“%windir%\system32\”文件夹中的certpdef.dll文件)。
管理员可以自定义策略模块来控制CA对证书请求的处理方式。
可以设置Windows默认的策略模块在默认情况下,CA如何处理证书要求。
当CA收到证书申请时,可能执行的操作选项有:
◆将证书请求状态设置为挂起。
管理员必须明确地颁发证书。
◆如果可以的话,按照证书模板中的设置。
否则,将自动颁发证书。
(3)退出模块
在“退出模块”选项卡中,可以查看使用中的退出模块,退出模块用于指定在CA提供了颁发证书之后,如何执行事后的处理过程。
WindowsServer2003的证书颁发机构一般使用Windows默认的退出模块。
管理员可以自定义退出模块来控制CA颁发证书后,如何处理该证书。
在“属性”选项中,可以设置是否允许将证书公布到文件系统,这样在颁发证书时,可以同时公布证书。
如果要公布证书,必须指定公布位置。
(4)扩展
在扩展选项卡中,可以查看和设置CRL(证书吊销列表)发布点和授权信息访问内容。
系统自动将吊销的证书发布到本地磁盘中的文件夹“%windir\system32\Certsrv\CertEnroll\%”,并共享这个文件夹,共享名为CertEnroll;或者发布在ActiveDirectory;也可以发布在IIS默认网站中的CertEnroll虚拟目录中。
证书吊销列表是扩展名为.crl的文件。
颁发机构信息访问(AIA)是CA自身的证书,CA发布自身的证书让客户端确认其有效性,AIA发布在本地磁盘“%windir\system32\CertSrv\CertEnroll\%”文件夹、ActiveDirectory、IIS默认的网站的CertEnroll虚拟目录中。
(5)存储
在“存储”选项卡中,可以查看CA设置数据存放的位置以及证书数据库、申请日志文件路径,这些路径在安装证书服务时指定,安装完成后将不可以修改。
(6)证书管理器限制
在证书管理器限制选项卡中,可以设置证书管理员的权限。
默认CA并没有限制证书管理员,如果从安全方面考虑,应该限制只有隶属Administrators、DomainAdmins和EnterpriseAdmins组的用户才能充当证书管理员,并且设置证书管理员可以管理的组、用户和计算机。
(7)审核
在“审核”选项卡中,可以设置CA对各种行为进行审核,可以进行审核的项目如上图所示。
打开CA审核功能之前,必须在组策略中启用“审核对象访问”策略设置,才能将审核事件写入到安全日志文件中。
(8)故障恢复代理
在“故障恢复代理”选项卡中,可以设置当CA要求保存证书密钥时是否保存,以及设置可使用的恢复代理数目和主体。
当CA保存其颁发证书相关联的密钥时,如果遗失了密钥,可以通过使用密钥恢复代理证书来还原密钥。
在“故障恢复代理”选项卡中,单击“添加”按钮,打开“密钥恢复代理选择”对话框,可以为CA指定一个密钥恢复代理证书。
如果在“密钥恢复代理选择”对话框中不能看到任何证书,则需要先在CA上添加一个密钥恢复代理证书模板,然后需要用户申请一个密钥恢复代理证书。
这样CA会将已经颁发的密钥恢复代理证书显示在“密钥恢复代理选择”对话框中,证书管理员就可以为CA添加恢复代理了,如图所示。
(9)安全
在“安全”选项卡中,可以查看和设置用户组或用户的权限,用户组或用户对CA的访问权限包括:
◆读取
◆颁发及管理证书
◆管理CA
◆申请证书
属于Administrators、DomainAdmins和EnterpriseAdmins组的用户,可以颁发及管理证书和管理CA,而AuthenticatedUsers组的用户可以申请证书。
另外,在ActiveDirectory中内置名称为CertPublishers的组,该组的成员有将证书颁发到ActiveDirectory的权限,它默认的组成员为域控制器成员,也就是说,所有在域控制器上登录的用户,都可以颁发证书到ActiveDirectory。
3、备份和还原CA
CA的证书、设置信息是非常重要的,如果这些信息出现问题,可能导致CA不能颁发证书,客户端也不能继续申请证书,甚至其他人也无法确认CA所颁发的证书是否有效,所以证书管理员必须定期备份CA。
以便在CA系统出现问题时,及时还原CA。
(1)备份CA
在“证书颁发机构”控制台中,右键单击CA证书服务器,在弹出的菜单中选择“所有任务”,在“所有任务”的下一级菜单中选择“备份CA”,如图所示。
然后,“证书颁发机构备份向导”将协助管理员备份CA的重要数据。
在“要备份的项目”对话框中,证书管理员可以设置需要备份的项目,包括密钥和CA证书、证书数据库和证书数据库日志文件。
如图所示。
如果以前已经备份过CA,则可以执行增量备份。
在指定备份存放的位置时,这个位置的文件夹必须是空的。
另外,一个证书只有具备公钥及私钥对时,才能将信息加密和解密。
为了CA备份数据的安全,必须对其中的密钥做好保护,证书管理员可以提供一个密码,用于维护密钥的安全。
根据向导提示输入完密码后,在“正在完成证书颁发机构备份向导”对话框中,单击“完成”按钮,完成CA的备份。
另外,也可以使用附件中的“系统工具”下的“备份”,根据向导提示,完成CA的备份。
(2)还原CA
在需要的时候,可以通过备份的CA数据还原CA。
但要注意,当进行完全还原时,CA会还原到备份时的状态,导致新的配置信息、已颁发的文件记录、挂起的证书申请队列丢失。
还原CA的具体操作方法如下:
在“证书颁发机构”图中,选择“还原CA”菜单项,打开“证书颁发机构还原向导”,证书管理员可以将上次备份的数据还原到CA。
因为“证书颁发机构还原向导”需要将备份数据应用设置到CA,所以在还原过程中,必须停止证书服务,完成还原之后,CA才能正常工作,如图所示。
如果在“证书颁发机构还原向导”中,指定了对密钥和CA证书、证书数据库和证书数据库日志文件进行备份,可以在证书颁发机构还原向导中还原对应的项目,并指定备份文件的位置。
如果要还原增量备份数据,可以先还原完整备份文件,然后重新执行证书颁发机构还原向导,再对增量备份文件进行还原,如图所示。
然后根据向导提示,即可完成还原CA操作。
由于还原CA时,系统需要停止证书服务,所以在完成CA还原后,会询问是否启动证书服务,如图所示。
单击“是(Y)”按钮,将完成CA还原,并启动CA服务。
同样,也可以使用附件中的“系统工具”下的“备份”,根据向导提示,完成CA的还原。
四、管理证书
在“证书颁发机构”控制台窗口中,管理员可以管理证书模板,设置客户端可以申请的证书类型。
为了满足各种不同的需要,WindowsServer2003预先定义了许多证书模板。
证书管理员还需要管理吊销的、已颁发的、挂起的或者失败的证书,保证CA的正常使用。
1、管理证书模板
系统提供了大量的证书模板,并将常用的十个模板作为默认可用模板,证书管理员可以根据需要新增或删除模板,设置证书模板内容,设置证书是否允许自动注册。
(1)新增证书模板
在“证书颁发机构”控制台可以查看系统默认的可用证书模板,WindowsServer2003提供的默认可用证书模板为十个,利用“证书模板”可以新增要颁发的模板。
具体操作如下:
在“证书颁发机构”控制台窗口中,选择“证书模板”,然后选择“操作”菜单中“新建”中的“要颁发的证书模板”,如图所示。
打开“启用证书模板”对话框,如图所示。
在“启用证书模板”对话框中,可以选择所需要的证书模板,选择证书模板,然后单击“确定”按钮,例如,选择“Exchange注册代理(脱机申请)”,单击“确定”。
新的证书模板将自动增加到“证书颁发机构”的“证书模板”中。
(2)管理证书模板
在“证书颁发机构”控制台窗口中,选择“证书模板”,然后在“操作”菜单中选择“管理”,打开“Certtmpl-[证书模板]”窗口,如图所示。
常规
证书管理员可以设置每个证书模板的大部分属性,当打开证书模板的“属性”对话框,在“常规”选项卡中可以查看模板显示名称、最低支持的CA、有效期、续订期等属性,如图所示。
处理请求
在处理请求选项卡中,管理员可以设置证书的目的,包括签章、加密、加密及签章、签章和智能卡登录;另外,还可以设置密钥长度的最小值、是否允许导出密钥和选择密码编译服务提供者等。
颁发要求
可以设置用户注册证书的条件,例如,要有证书颁发机构管理员批准,和一定数目的授权签章,如果要求有数个签章,则不能使用自动注册。
还可以选择签章中必需的策略类型和应用程序策略。
取代模板
可以设置由这个模板所颁发的证书会接替所设置的其他模板。
扩展
可以利用“扩展”选项卡来修改扩展,一般模板的扩展包括以下几项:
◆密钥使用方式
◆基本限制
◆颁发策略
◆证书模板信息
◆应用程序策略
使用“编辑”按钮可设置模板的扩展属性。
完全
可以设置用户组和用户的使用权限,使用权限包括以下几项:
◆完全控制
◆读取
◆写入
◆注册
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 证书 服务