證書服務(wù)器的配置與應(yīng)用案例場景ABC公司的財務(wù)部升級了財務(wù)系統(tǒng)，將所有財務(wù)業(yè)務(wù)系統(tǒng)都部署到一個專用的WEB服務(wù)器上(IP：00/8)。為了保證財務(wù)數(shù)據(jù)傳輸?shù)陌踩裕珹BC公司的網(wǎng)絡(luò)管理部門計劃部署證書服務(wù)器來保護財務(wù)部的專用Web服務(wù)器，并且給財務(wù)部員工分發(fā)數(shù)字證書來鑒別員工身份。7.1知識引入為了保證數(shù)據(jù)的安全性，需要解決四個主要問題：數(shù)據(jù)機密性，數(shù)據(jù)完整性，身份驗證，不可抵賴。數(shù)據(jù)機密性數(shù)據(jù)機密性是指防止數(shù)據(jù)被非法竊聽，攔截，從而導(dǎo)致信息泄露。為了解決數(shù)據(jù)機密性問題，主要是通過對數(shù)據(jù)進行加密來解決。數(shù)據(jù)加密的過程是對原來明文的數(shù)據(jù)使用加密算法進行處理，將其變?yōu)榱硗庖环N不可讀的密文數(shù)據(jù)。當合法接受者收到加密數(shù)據(jù)后，進行數(shù)據(jù)解密，將密文轉(zhuǎn)換成明文。在對數(shù)據(jù)進行加密解密的過程中使用的加解密參數(shù)稱為密鑰。加密算法根據(jù)工作方式的不同，可以分為對稱加密算法和非對稱加密算法兩種。明文密文Internet密文明文加密密鑰解密密鑰對稱加密在對稱加密算法中，通信雙方共享同一個保密參數(shù)作為加解密的密鑰，這個密鑰可以是事先約定直接獲得的，也可以是通過某種算法計算出來的。一般情況下，這個密鑰是嚴格私有保密的。目前有不少對稱加密算法標準，如：DES，3DES，RC4，AES等。由于對稱加密算法執(zhí)行效率較高，因此對稱加密算法一般適用于需要加解密數(shù)據(jù)量較大的場合。非對稱加密在非對稱加密算法中，為每個用戶分配一對密鑰：一個私有密鑰（私鑰）和一個公開密鑰（公鑰）。私鑰是保密的，由用戶自己保存。公鑰是公諸于眾的，本身不構(gòu)成嚴格的秘密。這兩個密鑰之間沒有相互推導(dǎo)關(guān)系。用這兩個密鑰之一加密的數(shù)據(jù)只有另外一個密鑰才能解密。目前主流的非對稱加密算法有：DH，RSA，DSA等。由于對稱加密算法需要消耗較多的系統(tǒng)資源，吞

吐量較低，因此對稱加密算法不適用于大量數(shù)據(jù)的加密，一般只用于關(guān)鍵數(shù)據(jù)的傳輸，比如，可以配合對稱加密算法，通信雙方先使用非對稱加密算法來傳輸加密算法的對稱密鑰，然后使用對稱密鑰來加解密后面的普通數(shù)據(jù)傳輸。數(shù)據(jù)完整性數(shù)據(jù)完整性是指防止數(shù)據(jù)在傳輸過程中被非法篡改。為了解決數(shù)據(jù)完整性問題，需要對數(shù)據(jù)進行完整性校驗，通常使用摘要算法（

HASH）。HASH算法對不同長度的數(shù)據(jù)進行HASH運算，得出一段固定長度的結(jié)果，該結(jié)果稱為“摘要”。如果原數(shù)據(jù)稍有變化，都會導(dǎo)致最后計算結(jié)果的摘要值不同。所以，可以通過對比原始摘要值和接受到數(shù)據(jù)的摘要值是否一致來判斷數(shù)據(jù)在傳輸過程中是否被篡改。

HASH算法的處理過程如圖7-6所示。HASH算法具有單向性，無法根

據(jù)摘要值推導(dǎo)出原始數(shù)據(jù)。常用的HASH算法有MD5，SHA1，SHA256等。身份驗證與不可抵賴身份驗證是指數(shù)據(jù)接受者需要某種機制來驗證數(shù)據(jù)發(fā)送方是正確的發(fā)送者，而不是偽造身份者。不可抵賴是指在數(shù)據(jù)傳輸過程中，所有的數(shù)據(jù)發(fā)送、接受操作都不具有可否認性。為了解決這兩個問題，需要使用數(shù)字簽名技術(shù)。簡單的說，數(shù)字簽名技術(shù)對待發(fā)數(shù)據(jù)進行加密處理，生成一段信息，附在原文上一起發(fā)送。這段信息類似于現(xiàn)實生活中在文件上的簽名或印章，接收方對此信息做出驗證來判斷簽名合法性。驗證通過則代表身份合法，且身份唯一，不可抵賴。公共密鑰體系PKI數(shù)字證書相當于電子化的身份證明，里面有一些能夠確定身份的信息資料。它將公鑰與身份信息綁定在一起，由一個可信的第三方證書頒發(fā)機構(gòu)對綁定后的數(shù)據(jù)進行數(shù)字簽名，以此來證實身份的可靠性。數(shù)字證書里包括下列內(nèi)容：證書所有人的姓名，證書所有人的公鑰，證書頒發(fā)機構(gòu)名稱，證書頒發(fā)機構(gòu)的數(shù)字簽名，證書序列號、有效期等信息。在Windows系統(tǒng)中，打開Internet

Explorer瀏覽器，點擊“工具”按鈕，在“Internet選項”菜單里找到內(nèi)容選項卡，點擊“證書”按鈕，將會看到Windows系統(tǒng)中的一些數(shù)字證書，點開一個數(shù)字證書的詳細信息選項卡可以看到數(shù)字證書的詳細內(nèi)容。數(shù)字證書是由一個可信的第三方權(quán)威機構(gòu)——證書授權(quán)中心（CA）頒發(fā)給使用者的。它的作用包括發(fā)放證書，規(guī)

定證書有效期，證書的作廢等。CA按照層次結(jié)構(gòu)工作，這個層次叫證書鏈。最高的一級稱為根CA，以下各級依次為二級CA，三級CA…..依次類推。CA的層級工作模式屬于下級隸屬上級，在不同層級注冊的用戶，只要具有某個同樣的上級CA，則相互之間就能完成身份驗證。二級CA根CA三級CA二級CA二級CA三級CA三級CA三級CA證書授權(quán)中心（CA）是公鑰基礎(chǔ)設(shè)施（PKI）的信任基礎(chǔ)。PKI為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。PKI是一種基礎(chǔ)設(shè)施，其目標是要充分利用公鑰密碼學(xué)的理論基礎(chǔ)，建立起一種普遍適用的基礎(chǔ)設(shè)施，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)。完整的PKI系統(tǒng)必須具有CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（API）等基本構(gòu)成部分。7.2任務(wù)1：證書服務(wù)器安裝任務(wù)1將在Windows

Server2016平臺下的組件中，安裝配置證書（CA）服務(wù)器。在Windows

Server

2012平臺下的組件中，主要使用Active

Directory證書服務(wù)來完成證書服務(wù)器的功能。CA服務(wù)器將是整個網(wǎng)絡(luò)中證書驗證、頒發(fā)、作廢、吊銷的管理機構(gòu)，同時也是整個證書鏈信任體系中的核心組件。在本任務(wù)中，將通過在服務(wù)器（00/8）上配置Active

Directory證書服務(wù)來完整CA的安裝。需要注意，安裝CA服務(wù)器將會自動安裝Web服務(wù)器（IIS）功能，并添加證書注冊Web站點到IIS，為了避免沖突，如果服務(wù)器上已經(jīng)安裝了IIS，在安裝CA之前建議先將IIS組件刪除。實施過程1、啟動“服務(wù)器管理器”，選擇“配置此本地服務(wù)器”；2、點擊“添加角色和功能”，進入“添加和角色功能向?qū)А?，點擊“下一步”，選擇“基于角色或基于功能的安裝”；3、點擊“下一步”，選擇“從服務(wù)器池中選擇服務(wù)器”，安裝程序會自動檢測與顯示這臺計算機采用靜態(tài)IP地址設(shè)置的網(wǎng)絡(luò)連接，點擊“下一步”，在“服務(wù)器角色”中，選擇“Active

Directory證書服務(wù)”；4、選擇“Active

Directory證書服務(wù)”會自動彈出“添加Active

Directory證書服務(wù)”所需的功能”，點擊“添加功能”；5、點擊“下一步”繼續(xù)，在此處選擇需要添加的功能，如無特殊需求，此處默認即可；6、點擊“下一步”繼續(xù)，來到“為Active

Directory證書服務(wù)選擇要安裝的角色服務(wù)”，勾選證書服務(wù)器所需要的兩個基本角色服務(wù)：“證書頒發(fā)機構(gòu)”、“證書頒發(fā)機構(gòu)Web注冊”，點擊“下一步”繼續(xù)后點擊“安裝”；7、點擊“關(guān)閉”完成安裝。8、回到“服務(wù)器管理器”，可以看到左側(cè)多了一項“ADCS”，但是服務(wù)器管理器提示需要完成更多ActiveDirectory證書服務(wù)配置，點擊更多繼續(xù)配置。9、點擊配置目標服務(wù)器上的Active

Directory證書服務(wù)超鏈接繼續(xù)配置。10、配置AD

CS的指定憑據(jù)，如無特殊需求，此處默認即可。11、指定CA的設(shè)置類型，選擇企業(yè)CA需要在企業(yè)內(nèi)容部署Active

Directory活動目錄環(huán)境，如果只在工作組環(huán)境下使用選擇獨立CA即可，此處選擇獨立CA。12、指定CA類型，如果是企業(yè)內(nèi)部第一臺CA，那么選擇根CA；如果企業(yè)內(nèi)部已有根CA，新建某二級部門的CA需要與之連接信任關(guān)系，那么選擇從屬CA，此處選擇根CA。13、指定私鑰類型，選擇新建私鑰或者使用已有私鑰，如無特殊需求，此處默認即可。14、指定加密選項，配置證書加密、簽名算法。如無特殊需求，此處默認即可。15、指定CA名稱，配置CA服務(wù)器的名稱，此處選擇默認名稱。16、指定此CA頒發(fā)證書的有效期，此處選擇默認的5年。17、指定此CA證書數(shù)據(jù)庫的存放位置和證書數(shù)據(jù)庫日志的存放位置，此處選擇默認路徑。18、點擊“配置”開始配置剛才設(shè)置的參數(shù)。19、點擊“關(guān)閉”完成配置。20、回到服務(wù)器管理器，在工具菜單中選擇“證書頒發(fā)機構(gòu)”打開證書頒發(fā)機構(gòu)控制臺。證書服務(wù)器完成安裝。7.3任務(wù)2：架設(shè)安全Web站點在一些安全性要求較高的場景下，如，網(wǎng)上銀行，在線支付，這些Web站點及其訪問者都需要采用某種方式來保護對Web站點的訪問，站點管理者希望能夠?qū)υL問客戶端進行身份驗證，所有數(shù)據(jù)傳輸不可抵賴，訪問者希望與這些Web站點傳輸?shù)臄?shù)據(jù)具有機密性，防篡改，同時能夠鑒別合法的

Web站點與仿冒站點（釣魚網(wǎng)站）。在HTTP協(xié)議中，由于所有數(shù)據(jù)都是采用明文傳輸，而且Http

連接是無狀態(tài)的，所以HTTP協(xié)議已經(jīng)無法滿足加密、身份驗證等需求了。此時應(yīng)使用基于SSL的HTTPS協(xié)議來保護Web站點和客戶端之間的安全性。SSL(Secure

Sockets

Layer安全套接層)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)

用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層：SSL記錄協(xié)議（SSL

RecordProtocol）：它建立在可靠的傳輸協(xié)議（TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSL

Handshake

Protocol）：它建立在SSL記錄協(xié)議之上，用于在實

際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。HTTPS（全稱：Hypertext

Transfer

Protocol

over

Secure

Socket

Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL。HTTP和HTTPS使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。如果需要客戶端能夠鑒別所訪問的網(wǎng)站是否合法則Web服務(wù)器需要向某可信CA申請服務(wù)器證書并安裝，還需在Web服務(wù)器IIS里打開Web站點的HTTPS功能，借助HTTPS協(xié)議與帶有CA簽名的服務(wù)器證書來證明自己的合法站點身份。如果Web站點需要驗證訪問客戶端的身份是授權(quán)合法用戶，除了上述步驟外還需要客戶端向某可信CA申請客戶端訪問證書并安裝，客戶端在訪問安全Web站點時，選擇自己的客戶端證書，服務(wù)器驗證通過后才可繼續(xù)訪問Web站點。在任務(wù)1完成的基礎(chǔ)上。這里我們事先用靜態(tài)HTML語言編寫了一個只有一個主頁面（finance.html）的簡單網(wǎng)站：，將網(wǎng)站文件夾存放到已經(jīng)安裝了

IIS的Windows

2016服務(wù)器上的硬盤中（C:\），然后開始配置此安全

Web站點。在本任務(wù)中，我們先為Web服務(wù)器（00/8）申請服務(wù)器證書并將該證書同安全Web站點綁定，然后啟用SSL連接，最后為客戶端計算機申請客戶端訪問

證書通過使用HTTPS來建立與安全站點之間的雙向驗證。子任務(wù)1為Web服務(wù)器申請證書1、打開IIS管理器，在本地服務(wù)器的主頁導(dǎo)航里找到“服務(wù)器證書”項，雙擊打開；實施過程2、點擊右側(cè)的“創(chuàng)建證書申請選項”；3、填寫證書申請的詳細信息，注意，這里的通用名稱一定要與需要保護的Web站點名稱一致，即

“”；4、選擇加密服務(wù)器提供程序?qū)傩裕催x擇加密算法，密鑰長度。此處如無特殊需求，默認即可；5、選擇將申請證書信息以文本文件保存到本地，此處保存到桌面的“abcfinance.txt”文件；6、打開Internet

Explorer瀏覽器，在地址欄輸入00/certsrv，打開企業(yè)內(nèi)網(wǎng)CA服務(wù)器在線申請網(wǎng)站，點擊“申請證書”；7、點擊“高級證書申請”；8、選擇“使用base64編碼的CMC或PKCS

#10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請”；9、打開剛剛保存在桌面的“abcfinance.txt”文件，將里面的內(nèi)容全部復(fù)制到文本框內(nèi)，然后提交。10、提交完成后，網(wǎng)站會提示證書申請正處于“掛起”狀態(tài)。11、打開安裝了CA服務(wù)器的“證書頒發(fā)機構(gòu)”工具，點擊左側(cè)菜單的“掛起的申請”項，可以看到剛剛提交的高級證書申請，點擊右鍵，選擇“頒發(fā)”；12、點擊左側(cè)菜單的“頒發(fā)的證書”項，可以看到剛剛頒發(fā)的證書；13、打開Internet

Explorer瀏覽器，在地址欄輸入00/certsrv，打開企業(yè)內(nèi)網(wǎng)CA服務(wù)器在線申請網(wǎng)站，點擊“查看掛起的證書申請的狀態(tài)”；14、點擊“下載證書”，將剛剛通過申請的服務(wù)器證書下載到本地保存；15、在本地找到下載下來的證書，雙擊打開查看證書信息；16、打開IIS管理器，在本地服務(wù)器的主頁導(dǎo)航里找到“服務(wù)器證書”項，雙擊打開后點擊右側(cè)的“完成證書申請選項”；17、選擇證書存放位置，好記名字里要與服務(wù)器證書申請時的通用名字一致，即“”，選擇證書存儲為“個人”，點擊確定，服務(wù)器證書申請完成。子任務(wù)2為Web服務(wù)器綁定證書并啟用SSL1、打開IIS管理器，在“網(wǎng)站”菜單上點右鍵，將我們預(yù)先做好的網(wǎng)站添加進來，配置綁定類型為“https”，端口為“443”，IP地址為服務(wù)器IP“00”，主機名為“”，SSL證書為任務(wù)2.1里添加的服務(wù)器證書，名稱為“”。實施過程2、在IIS里配置好網(wǎng)站的默認文檔（首頁文件）把網(wǎng)頁“finance.html”添加進來。3、在IIS管理器里雙擊網(wǎng)站名，找到“SSL設(shè)置”，選擇“要求SSL”,客戶端證書選擇“忽略”。配置完成后，將強制要求只能使用HTTPS協(xié)議訪問網(wǎng)站，Web服務(wù)器使用證書證明自身合法身份。4、同時，需要在DNS服務(wù)器上添加域名“”與Web服務(wù)器的正確映射記錄。5、在客戶端瀏覽器里，在地址欄輸入，嘗試打開安全Web網(wǎng)站，網(wǎng)站無法打開，因為在IIS的網(wǎng)站SSL配置里，設(shè)置了“要求SSL”，所以此時只能通過HTTPS來訪問安全站點；6、在客戶端瀏覽器里，在地址欄輸入https://，出現(xiàn)安全警報，點擊“確定”；7、由于客戶端并沒有添加對頒發(fā)安全Web站點的CA的信任，所以瀏覽器提示W(wǎng)eb站點的安全證書有問題，點擊“繼續(xù)瀏覽此網(wǎng)站”；由于客戶端并沒有添加對頒發(fā)安全Web站點的CA的信任，所以盡管打開了Web站點，仍然在地址欄有“證書錯誤”的安全提示；雙擊證書錯誤安全提示，可以看到頒發(fā)Web服務(wù)器的證書的CA未被客戶端所信任；8、為了解決“證書錯誤”的問題，需要在客戶端導(dǎo)入CA服務(wù)器的根證書，實施的方法是打開CA服務(wù)器的申請證

書Web站點：00/certsrv，點擊“下載CA證書、證書鏈或CRL”；點擊下載CA證書鏈，將CA證書信任鏈保存到本地；打開瀏覽器的“工具”菜單，找到“內(nèi)容”選項卡，打開“證書”，選擇“受信任的根證書頒發(fā)機構(gòu)”，導(dǎo)入剛剛下載的CA證書鏈；9、導(dǎo)入完成后，在受信任的根證書頒發(fā)機構(gòu)里能看到CA的根證書，再次訪問安全Web站點，實現(xiàn)正常訪問。子任務(wù)3為客戶端申請證書并驗證HTTPS訪問安全Web站點在子任務(wù)2里，通過使用Web站點在CA申請的服務(wù)器證書，要求使用SSL連接來安全訪問Web站點，客戶端可以通過信任根CA來鑒別網(wǎng)站的安全性。那么Web服務(wù)器如何判斷客戶端是合法用戶呢？仍然通過使用CA認證服務(wù)器來對客戶端身份進行驗證，服務(wù)器強制要求每個訪問者都提供有效的數(shù)字證書，如果沒有可信CA頒發(fā)的數(shù)字證書，那么就被拒絕訪問。因此，在此子任務(wù)中，我們先為客戶端計算機向可信CA申請客戶端證書，并在Web服務(wù)

器上開啟要求客戶端證書，客戶端在訪問安全Web站點時能夠提供數(shù)字證書，并且該證書是由Web服務(wù)器所信任的CA頒發(fā)，則該CA的簽名的客戶端證書和服務(wù)器證書可以讓服務(wù)器和客戶端建立雙向的信任關(guān)系。實施過程在子任務(wù)2.2完成的基礎(chǔ)上，具體實施過程如下：1、打開IIS管理器，雙擊需要配置的安全Web站點

abcfinance，找到SSL設(shè)置向，選擇“要求SSL”，客戶證書選擇“必需”，點擊右側(cè)“應(yīng)用”；2、此時在客戶端打開安全Web站點，顯示拒絕訪問。因為沒有安裝客戶端證書；3、在客戶端打開證書注冊網(wǎng)站“00/certsrv”，開始申請“Web瀏覽器證書”，輸入正確的信息后點擊“提交”；4、打開“證書頒發(fā)機構(gòu)”工具，點擊左側(cè)菜單的“掛起的申請”項，可以看到剛剛提交的Web瀏覽器證書申請，點擊右鍵，選擇“頒發(fā)”?？蛻舳藶g覽器打開證書注冊網(wǎng)站“00/certsrv”，查看剛剛頒發(fā)的證書，點擊“安裝此證書”下載安裝。安裝完成后，客戶端可以在瀏覽器“工具”菜單“內(nèi)容”選項卡“證書”項目中的“個人”查看Web瀏覽器證書。5、再次嘗試訪問安全Web站點，實現(xiàn)正常訪問。7.4任務(wù)3：數(shù)字證書的管理在某些特殊情況下，如計算機由于被盜可能導(dǎo)致證書私鑰泄露，此時CA可以針對失效的證書做出吊銷，將不安全的數(shù)字證書吊銷并更新到證書吊銷列表（CRL）。在任務(wù)2中，我們將嘗試吊銷一個服務(wù)器數(shù)字證書，并通過CRL更新到客戶端，客戶端使用該數(shù)字證書的安全Web站點重新判別為不安全。由于CA是整個PKI體系中的核心組件，CA存儲了服務(wù)器證書、私鑰、證書數(shù)據(jù)庫等關(guān)鍵信息，需要及時備份這些信息，當災(zāi)難發(fā)生后可以還原已經(jīng)備份的信息使CA快速

恢復(fù)正常。在任務(wù)3中，我們嘗試使用證書備份還原工具對CA進行備份和還原，用以應(yīng)對可能的災(zāi)難風險。子任務(wù)1：證書的導(dǎo)入備份1、在Windows

Server2012打開Windows

PowerShell（在

Windows

8系統(tǒng)下打開“命令提示符”工具），輸入mmc并回車，系統(tǒng)將打開控制臺；2、在控制臺上單擊“文件”菜單，點擊“添加刪除管理單元”，選中“證書”，點擊“添加”。3、如果需要導(dǎo)出計算機服務(wù)器的數(shù)字證書，在彈出的對話框中選擇“計算機帳戶”，如果需要導(dǎo)出當前用戶的數(shù)字證書，在彈出的對話框中選擇“我的用戶帳戶”，如果需要導(dǎo)出某項服務(wù)（如Active

Directory服務(wù)器）的數(shù)字證書，在彈出的對話框中選擇“服務(wù)帳戶”；4、添加完成后，點擊“確定”，展開左側(cè)證書菜單，點擊“個人”文件下的“證書”子文件夾；5、選擇需要導(dǎo)出的數(shù)字證書，如頒發(fā)給“”的證書，選中后在上面點右鍵，選擇“所有任務(wù)”中的“導(dǎo)出”，按照彈出的證書導(dǎo)出向?qū)нM行配置；6、選擇是否導(dǎo)出私鑰，如果在申請數(shù)字證書時選擇了“禁止私鑰導(dǎo)出”，會導(dǎo)致“是，導(dǎo)出私鑰”選項為灰色，無法選中，點擊“下一步”繼續(xù)；7、為了保證數(shù)字證書的安全，需要為數(shù)字證書配置導(dǎo)出密碼，此密碼的作用是用于防止數(shù)字證書被未授權(quán)用戶盜用,點擊“下一步”設(shè)置證書導(dǎo)出路徑和名稱，點擊“下一步”完成導(dǎo)出；8、數(shù)字證書的導(dǎo)入：找到數(shù)字證書文件，雙擊打開“證書導(dǎo)入向?qū)А保x擇添加到當前用戶的證書列表或者本地計算機的證書列表，點擊“下一步”繼續(xù)；9、輸入我們之前設(shè)置的證書保護密碼，點擊“下一步”繼續(xù)，最終完成證書導(dǎo)入。子任務(wù)2：證書的吊銷與CRL數(shù)字證書是存在有效期的，超出有效期將會被視為無效證書。如果數(shù)字證書沒有超出有效期，但是發(fā)生了諸如密鑰泄露、證書更新這樣的安全事件，CA是否有辦法提前作廢證書呢？答案是肯定的，事實上，操作系統(tǒng)或者應(yīng)用程序在檢查證書是否有效時，除了檢查有效期外，還需要檢查CA上的證書吊銷列表（CRL），查看證書是否被提前吊銷。如果發(fā)生安全事故，管理員可以通過CA服務(wù)器主動吊銷具有安全風險的數(shù)字證書，并將被吊銷證書添加到CRL。查看任意數(shù)字證書的“詳細信息”，可以看到“CRL分發(fā)點”字段。此處的file://WIN-33KKRLFE29C/CertEnroll/WIN-33KKRLFE29C-CA.crl就是證書吊銷列表的URL，用于其他程序來核查證書是否已被CA吊銷。在CA服務(wù)器上可以配置CRL的URL，如果CA服務(wù)器是部署在公網(wǎng)面向Internet用戶，那么CRL的URL也應(yīng)設(shè)置為公網(wǎng)用戶能直接訪問的基于HTTP的URL。CRL實施過程1、在服務(wù)器管理器的工具菜單里打開“證書頒發(fā)中心”，在“頒發(fā)的證書”文件夾中選擇需要被吊銷的數(shù)字證書，如為“”頒發(fā)的服務(wù)證書，點擊右鍵，選擇“所有任務(wù)”中的“吊銷證書”，選擇證書吊銷理由，如“密鑰泄露”，點擊“是”確認將此證書吊銷；2、被吊銷的證書將出現(xiàn)在證書頒發(fā)機構(gòu)的“吊銷的證書”文件夾內(nèi)；安全風險解除后，可以選中此證書上，點擊右鍵，選擇“所有任務(wù)”中的“解除吊銷證書”將證書恢復(fù)為有效(僅限于證書吊銷的原因為“證書待定”)；3、需要注意的是，CRL默認更新周期為1周，所以證書被吊銷后客戶端不會馬上察覺到。如果需要立即生效，則可以更新CRL，可以