1、證書效力器的相關(guān)管理和部署福州大學(xué) 吳海東MCSE/MCDBA, CIWSA, MOE講師whd1972msn課程系列講座之二.課程知識(shí)點(diǎn) 授權(quán)和身份驗(yàn)證第 1 章證書效力器的相關(guān)管理和部署第2、3 章智能卡相關(guān)概念和配置第 4 章客戶端和效力器端平安部署第 6、7章EFS 相關(guān)概念和操作第5 章平安更新效力器的管理和部署第9章數(shù)據(jù)傳輸平安配置與部署第 1013章ISA Server 2004 概述和安裝配置 第14 、15章)ISA Server 2004 效力器配置和部署 上第 16 17，第22章ISA Server 2004 效力器配置和部署 下第 18 21 章ISA Server

2、2004 效力器的監(jiān)視第 23 章.今日主題課程導(dǎo)入PKI的任務(wù)原理實(shí)現(xiàn)和管理CA配置、部署和管理證書本章考點(diǎn)Q&A.1 課程導(dǎo)入公民網(wǎng)民身份驗(yàn)證.2 PKI概述什么是PKI經(jīng)過(guò)運(yùn)用非對(duì)稱密鑰算法技術(shù)來(lái)確保系統(tǒng)信息平安并擔(dān)任驗(yàn)證數(shù)字證書持有者身份的一種體系。PKI采用由各參與方都信任的CA來(lái)核對(duì)和驗(yàn)證各參與方的信任機(jī)制。.2 PKI概述公鑰架構(gòu)的組成部分非對(duì)稱密鑰由非對(duì)稱密鑰函數(shù)生成。每個(gè)通訊方都有兩個(gè)Key。普通由證書懇求者在本地生成，或由專門運(yùn)用程序生成。非對(duì)稱函數(shù)保證了公鑰和私鑰的驗(yàn)證匹配。數(shù)字證書頒發(fā)機(jī)構(gòu)所頒發(fā)的證書持有人的身份的數(shù)字聲明。將公鑰與擁有私鑰的個(gè)人、計(jì)算機(jī)或效力綁在一同。

3、證書由各種公鑰平安效力、提供身份驗(yàn)證的運(yùn)用程序、數(shù)據(jù)完好性和經(jīng)過(guò)網(wǎng)絡(luò)的平安通訊運(yùn)用。.2 PKI概述公鑰架構(gòu)的組成部分續(xù)證書頒發(fā)機(jī)構(gòu)：CA，擔(dān)任審核、頒發(fā)管理和維護(hù)義務(wù)。證書運(yùn)用者必需信任CA。運(yùn)用者：用戶，計(jì)算機(jī)，一切的證書都是為了一定的運(yùn)用程序而懇求和頒發(fā)的。證書模板定義證書用途、頒發(fā)對(duì)象、密鑰長(zhǎng)度、有效期等參數(shù)兩種版本。在獨(dú)立CA和企業(yè)CA中有區(qū)別。.2 PKI概述公鑰架構(gòu)的組成部分續(xù)AIA：擴(kuò)展指定獲取CA最新證書的位置CRL：證書吊銷列表CDP：擴(kuò)展指定獲取CA簽名的最新CRL位置證書和CA管理工具.2 PKI概述運(yùn)用PKI的運(yùn)用程序數(shù)字簽名智能卡登錄平安電子郵件軟件代碼簽名IPSe

4、c802.1x軟件限制Internet身份驗(yàn)證EFS.PKI 的組件證書模板 數(shù)字證書 證書吊銷列表 啟用公鑰的運(yùn)用程序和效力頒發(fā)機(jī)構(gòu)信息訪問(wèn)和 CRL 分發(fā)點(diǎn)證書和 CA 管理工具 頒發(fā)機(jī)構(gòu) .運(yùn)用 PKI 的運(yùn)用程序軟件代碼簽名 加密文件系統(tǒng)智能卡登錄 802.1xIP 平安Internet 身份驗(yàn)證平安電子郵件Windows 2003證書效力器軟件限制戰(zhàn)略 數(shù)字簽名.用戶計(jì)算機(jī)效力運(yùn)用支持 PKI 的運(yùn)用程序的賬戶.PKI 工具目錄工具M(jìn)MC 管理單元證書模板管理單元證書頒發(fā)機(jī)構(gòu)管理單元證書管理單元命令行工具Certutil.exeCertreq.exeResource Kit 中的工具

5、密鑰恢復(fù)工具（Krt.exe） Pkiview.msc編程工具CryptoAPICapiCOM.證書頒發(fā)機(jī)構(gòu)CA 的職責(zé)：驗(yàn)證證書懇求者的身份 取決于接受證書懇求提交的 CA 類型頒發(fā)證書所懇求的證書類型決議所頒發(fā)證書的內(nèi)容管理證書吊銷CRL 由一個(gè)證書序列號(hào)列表組成，這些都是 CA 頒發(fā)的不再受信任的證書.3 實(shí)現(xiàn)和管理CA實(shí)現(xiàn)CA安裝預(yù)備安裝操作系統(tǒng)并預(yù)備相關(guān)環(huán)境安裝和配置IIS刪除【更新根證書】組件配置CAPolicy.inf文件CA的種類獨(dú)立根CA和獨(dú)立從屬CA企業(yè)根CA和企業(yè)從屬CA.獨(dú)立 企業(yè)何時(shí)使用離線 CA頒發(fā) CAActive Directory與 Active Direct

6、ory 的使用無(wú)關(guān)需要 Active Directory證書申請(qǐng)使用 Web 方式可以使用“證書申請(qǐng)向?qū)А弊C書申請(qǐng)管理必須由證書管理程序頒發(fā)或拒絕證書申請(qǐng)的接受或拒絕取決于所申請(qǐng)證書模板的隨機(jī)訪問(wèn)控制列表（DACL）不同證書頒發(fā)機(jī)構(gòu)類型之間的差別.3 實(shí)現(xiàn)和管理CA證書吊銷吊銷緣由證書效力發(fā)布CRL的方式CA的平安控制平安屬性CA審核.3 實(shí)現(xiàn)和管理CA備份和復(fù)原CA備份CA的方法系統(tǒng)形狀備份手動(dòng)備份復(fù)原CA的方法.4 配置、部署和管理證書配置證書模板數(shù)字證書的概念企業(yè)CA所頒發(fā)的證書都是基于證書模板證書模板的操作方法MMCAD的站點(diǎn)和效力證書頒發(fā)機(jī)構(gòu)不同版本的證書模板特性更行證書模板方法修正

7、原始證書模板取代現(xiàn)有證書模板在證書頒發(fā)機(jī)構(gòu)中添加模板.4 配置、部署和管理證書懇求證書的方法基于web證書控制臺(tái)Certreq.exe自動(dòng)注冊(cè)注冊(cè)代理吊銷證書方法證書頒發(fā)機(jī)構(gòu)Certutil.exe.4 配置、部署和管理證書管理證書密鑰恢復(fù)的緣由用戶配置文件被刪除重新安裝OS磁盤損壞計(jì)算機(jī)失竊方法和步驟導(dǎo)出密鑰和證書運(yùn)用的文件格式導(dǎo)出密鑰的方法密鑰存檔和恢復(fù).4 配置、部署和管理證書管理證書續(xù)密鑰存檔和恢復(fù)密鑰存檔的前提條件配置CA進(jìn)展密鑰存檔的方法設(shè)置KRA模板權(quán)限配置CA頒發(fā)KRA模板為用戶頒發(fā)KRA同意和安裝KRA證書配置CA運(yùn)用恢復(fù)代理配置新模板運(yùn)用恢復(fù)代理配置CA基于新模板頒發(fā)證書密

8、鑰恢復(fù)過(guò)程.5 本章考點(diǎn)PKI運(yùn)用模板設(shè)置證書注銷.5 本章考點(diǎn)PKI運(yùn)用有一臺(tái)計(jì)算機(jī)運(yùn)轉(zhuǎn)IIS，是對(duì)外的電子商務(wù)站點(diǎn)。他方案運(yùn)用SSL，他不想讓客戶在用SSL鏈接他的電子商務(wù)站點(diǎn)時(shí)出現(xiàn)需求獲取平安證書的提示。他需求選擇一個(gè)適宜的CA效力器給他的web效力器頒發(fā)SSL證書。他該選擇什么類型的CA？.5 本章考點(diǎn)模板設(shè)置平安戰(zhàn)略要求私鑰必需可以導(dǎo)出；私鑰大小為2048；私鑰和證書在CA上必需可以恢復(fù)；當(dāng)私鑰被運(yùn)用時(shí)，提示用戶并要求用戶輸入.5 本章考點(diǎn)證書注銷他安裝了一個(gè)CA效力，為員工的加密和weh站點(diǎn)驗(yàn)證頒發(fā)相關(guān)證書。當(dāng)員工分開公司后他會(huì)吊銷他們的證書。當(dāng)前有上千的證書將被吊銷，每天出現(xiàn)的吊銷任務(wù)量將添加。為了