1、網(wǎng)絡(luò)配置與應(yīng)用, 學(xué)習(xí)目標(biāo) 熟悉數(shù)字證書的概念和功能 熟悉PKI與數(shù)字證書之間的關(guān)系 熟悉基于Windows Server 2003數(shù)字證書服務(wù)的功能特點(diǎn) 掌握基于Windows Server 2003數(shù)字證書服務(wù)器的安裝和配置方法 掌握數(shù)字證書的使用方法 掌握數(shù)字證書的管理方法,第5講 數(shù)字證書服務(wù)器的配置與應(yīng)用,重點(diǎn)難點(diǎn) 熟悉基于Windows Server 2003數(shù)字證書服務(wù)的功能特點(diǎn) 掌握基于Windows Server 2003數(shù)字證書服務(wù)器的安裝和配置方法 掌握數(shù)字證書的使用方法,隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，相應(yīng)的安全問題也越來越明顯，形式各樣的安全威脅越來越突出。在隨之產(chǎn)生的各種網(wǎng)

2、絡(luò)安全解決方案中，數(shù)字證書便是其中一種。與其他安全技術(shù)和解決方案相比，數(shù)字證書服務(wù)具有高效、實(shí)用、方便使用等特點(diǎn)。本講在介紹數(shù)字證書、PKI等網(wǎng)絡(luò)安全設(shè)施的基本概念后，以Windows Server 2003操作系統(tǒng)為主，介紹數(shù)字證書服務(wù)器的安裝、配置和使用方法。,數(shù)字證書也稱為數(shù)字標(biāo)識（Digital Certificate，或Digital ID）。它提供了一種在Internet等公共網(wǎng)絡(luò)中進(jìn)行身份驗(yàn)證的方式，是用來標(biāo)識和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。數(shù)字證書由一個權(quán)威的證書認(rèn)證機(jī)構(gòu)（Certificate Authority，CA）發(fā)行，在網(wǎng)絡(luò)中可以通過從CA中獲得的數(shù)字證書來識別

3、對方的身份。通俗地講，數(shù)字證書就是個人或單位在Internet等公共網(wǎng)絡(luò)上的身份證。 比較專業(yè)的數(shù)字證書定義是：數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下，證書中還包括密鑰的有效時間，發(fā)證機(jī)關(guān)（證書授權(quán)中心）的名稱，該證書的序列號等信息，證書的格式遵循相關(guān)國際標(biāo)準(zhǔn)。 通過數(shù)字證書就可以使信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性交易者身份的確定性這四大網(wǎng)絡(luò)安全要素得到保障。,5.1 數(shù)字證書的概念,目前，計(jì)算機(jī)網(wǎng)絡(luò)中的安全體系分為PKI體系和非PKI安全體系兩大類。其中，

4、非PKI安全體系的應(yīng)用最為廣泛，例如用戶大量使用的“用戶名稱+密碼”的形式就屬于非PKI體系。由于非PKI體系的安全性相對較弱，所以近年來PKI安全體系得到了越來越廣泛的關(guān)注和應(yīng)用,5.2 PKI的概念和組成,5.2.1 PKI的概念 PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）為網(wǎng)上信息的傳輸提供了加密（Encryption）和驗(yàn)證（Authentication）功能，在信息發(fā)送前對其進(jìn)行加密處理，當(dāng)對方接收到信息后，能夠驗(yàn)證該信息是否確實(shí)是由發(fā)送方發(fā)送的信息，同時還可以確定信息的完整性（Integrity），即信息在發(fā)送過程中未被他人非法篡改。數(shù)字證書是PKI

5、中最基本的元素，所有安全操作都主要通過證書來實(shí)現(xiàn)。PKI的組成除數(shù)字證書之外，還包括簽署這些證書的認(rèn)證、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用程序接口（API）等基本構(gòu)成部分。,PKI根據(jù)公開密鑰學(xué)（Public Key Cryptography）來提供前面介紹的加密和驗(yàn)證功能，在此過程中需要公開密鑰和私有密鑰來支持，其中： 公開密鑰（Public Key）。公開密鑰也稱為公共密鑰（簡稱為“公鑰”），在安全系統(tǒng)中公開密鑰不需要進(jìn)行保密，是向網(wǎng)絡(luò)中的所有用戶公開的。對于一個安全系統(tǒng)來說，公開密鑰是唯一的。 私有密鑰（Private Key）。私有密鑰簡稱為“私鑰”，是用戶個人擁有的密

6、碼，它存在于用戶自己的計(jì)算機(jī)或其他介質(zhì)中，只有該用戶自己才能使用。私有密鑰需要安全保存和管理。 在信息的安全傳輸中，發(fā)送信息前可以通過公開密鑰對其進(jìn)行加密，接收方在接收到信息后再利用自己的私有密鑰進(jìn)行解密。,5.2.2 公開密鑰加密法 公開密鑰加密法是使用公開密鑰和私有密鑰一組密鑰來進(jìn)行加密和解密處理，其中公開密鑰用來進(jìn)行加密，而私有密鑰用來進(jìn)行解密，這種加密和解密的處理方式也稱為“非對稱”（asymmetric）加密法。另外，還有一種稱為“秘密密鑰加密法”（secret key encryption），該算法也稱為“對稱”（symmetric）加密法，這種方法在進(jìn)行加密和解密的過程中都使用同

7、一個密鑰。,5.2.3 公開密鑰驗(yàn)證法 數(shù)字簽名”是通過一個單向函數(shù)對要傳送的報(bào)文進(jìn)行處理得到的，用以認(rèn)證信息來源并核實(shí)信息是否發(fā)生變化的一個字母數(shù)字串。 用戶可以利用“公開密鑰驗(yàn)證法”來對要發(fā)送的信息進(jìn)行數(shù)字簽名，而對方在收到該信息后，能夠通過此數(shù)字簽名來驗(yàn)證信息是否確實(shí)是由發(fā)送方發(fā)送來的，同時還可以確認(rèn)信息在發(fā)送過程中是否被篡改。從實(shí)現(xiàn)原理來看，數(shù)字簽名其實(shí)就是對加密、解密的應(yīng)用。簽名的過程為加密過程，查看簽名的過程為解密過程。,5.2.4 證書認(rèn)證機(jī)構(gòu)（CA） 在整個加密解密過程中，僅擁有密鑰（公開密鑰和私有密鑰）是不夠的，還必須申請相應(yīng)的數(shù)字證書（digital certificati

8、on）或數(shù)據(jù)標(biāo)識（digital ID），這樣才可能利用密鑰執(zhí)行信息加密和身份驗(yàn)證操作。在這里，密鑰相當(dāng)于“汽車”，而數(shù)字證書相當(dāng)于“駕駛證”，只有汽車而沒有駕駛證是無法開車上路的，同樣只有駕駛證而沒有汽車也無法使駕駛證發(fā)揮作用。所以，密鑰和數(shù)字證書應(yīng)該是構(gòu)成該系統(tǒng)的必備條件。為了便于數(shù)字證書的管理，出現(xiàn)了一些專門的數(shù)字證書管理機(jī)構(gòu)，負(fù)責(zé)發(fā)放和管理數(shù)字證書，將這一機(jī)構(gòu)稱為“證書認(rèn)證機(jī)構(gòu)”，或“認(rèn)證中心”（Certificate Authority，CA）。,如圖3所示，當(dāng)用戶在申請證書時，必須輸入申請者的詳細(xì)資料：如姓名、地址、電子郵箱等，這些信息將被發(fā)送到一個稱為加密服務(wù)提供者（Crypto

9、graphic Service Provider，CSP）的程序，由CSP負(fù)責(zé)創(chuàng)建密鑰、吊銷密鑰，以及使用密鑰執(zhí)行各種加、解密操作。CPS會自動建立一對密鑰：一個公開密鑰和一個私有密鑰。CSP會將私有密鑰存儲到用戶（申請者）計(jì)算機(jī)的注冊表中，然后將證書申請信息和公開密鑰一并發(fā)送到CA進(jìn)行管理。在進(jìn)行加密、解密時，當(dāng)用戶需要某一用戶的公開密鑰時，就會向CA進(jìn)行查詢，并將得到的數(shù)字證書保存在自己的計(jì)算機(jī)中。,5.2.5 CA的結(jié)構(gòu)及信任關(guān)系 基于Windows操作系統(tǒng)的PKI支持結(jié)構(gòu)化的CA，即將CA分為“根CA”（root CA）和“從屬CA”（subordinate CA）。其中： 1. 根C

10、A 根CA位于系統(tǒng)的最上層，一方面它可以發(fā)放用來保護(hù)電子郵件安全的證書、提供網(wǎng)站SSL（Security Socket Layer，加密套接字協(xié)議層）安全傳輸?shù)淖C書、用來登錄Windows Server 2003域的智能卡證書、用來提供基于L2TP的VPN認(rèn)證的證書等。另一方面，根CA可用來發(fā)放證書給其他的CA（從屬CA）。在大部分環(huán)境中，根CA的主要作用是為從屬CA發(fā)放證書。,2 從屬CA 從屬CA主要用來發(fā)放用于保護(hù)電子郵件安全的證書、提供網(wǎng)站SSL安全傳輸?shù)淖C書、用來登錄Windows Server 2003域的智能卡證書、用來提供基于L2TP的VPN認(rèn)證的證書等。也可以發(fā)放證書給其下一

11、層的從屬CA。從屬CA必須先向其父CA（可能是根CA，也可能是從屬CA）取得證書后，才可以發(fā)放證書。 提示：對于Windows 2000、Windows XP、Windows Server 2003來說，如果該計(jì)算機(jī)已經(jīng)信任了根CA，那么他們將會自動信任該根CA下的所有從屬CA，這就是CA信任的繼承性。但是，當(dāng)用戶將從屬CA的信任關(guān)系刪除，或從屬CA的證書已經(jīng)過期后，就不存在以上的繼承關(guān)系。,Windows 2000、Windows XP、Windows Server 2003的計(jì)算機(jī)已經(jīng)信任由一些知名的CA發(fā)放的證書，需要時，用戶可以向上述知名的CA申請證書，但這些CA發(fā)放的證書一般是要收費(fèi)

12、的。同時，也有一些不收費(fèi)的CA另外，如果用戶只希望在本單位或系統(tǒng)內(nèi)部實(shí)現(xiàn)基于Internet信息傳輸?shù)陌踩裕梢岳肳indows Server 2003提供的“證書服務(wù)”來組建自己的CA，然后利用該CA向本單位或系統(tǒng)中的員工、客戶、供應(yīng)商等發(fā)放證書，而不需要向其他CA申請。這樣，當(dāng)本單位或系統(tǒng)中的員工、客戶、供應(yīng)商的計(jì)算機(jī)設(shè)置為信任該CA所發(fā)放的證書時，就可以通過自己的CA加強(qiáng)信息傳輸?shù)陌踩浴?5.2.6 Windows Server 2003中CA的分類 Windows Server 2003提供的“證書服務(wù)”可以將Windows Server 2003扮演CA的角色，該CA可以是企業(yè)

13、CA，也可以是獨(dú)立CA。 1 企業(yè)CA 企業(yè)CA發(fā)放證書的對象是域內(nèi)的所有用戶和計(jì)算機(jī)，非本域內(nèi)的用戶或計(jì)算機(jī)是無法向該企業(yè)CA申請證書的。當(dāng)域內(nèi)的用戶向企業(yè)CA申請證書時，企業(yè)CA將通過Active Directory進(jìn)行身份驗(yàn)證（驗(yàn)證用戶是否為本域中的用戶或計(jì)算機(jī)），并根據(jù)驗(yàn)證結(jié)果決定是否發(fā)放證書。 企業(yè)CA可以分為企業(yè)根CA（enterprise root CA）和企業(yè)從屬CA（enterprise subordinate CA）兩種類型。其中，在大多數(shù)情況下，企業(yè)根CA主要用來為企業(yè)從屬CA發(fā)放證書。而企業(yè)從屬CA必須先向企業(yè)根CA取得證書，然后才可以向其域內(nèi)的用戶或計(jì)算機(jī)以及其下屬的

14、企業(yè)從屬CA發(fā)放證書。企業(yè)從屬CA主要用來發(fā)放保護(hù)電子郵件安全的證書、提供網(wǎng)站SSL安全傳輸?shù)淖C書、用來登錄Windows Server 2003域的智能卡證書、進(jìn)行基于L2TP的VPN驗(yàn)證的證書等。,2 獨(dú)立CA 獨(dú)立CA不需要Active Directory，扮演獨(dú)立CA的計(jì)算機(jī)既可以是運(yùn)行Windows Server 2003的獨(dú)立服務(wù)器，也可以是成員服務(wù)器或域控制器。無論用戶和計(jì)算機(jī)是否是Active Directory域內(nèi)的用戶，都可以向獨(dú)立CA申請證書。由于用戶在向獨(dú)立CA申請證書時，不像企業(yè)CA首先通過Active Directory來驗(yàn)證其身份，所以用戶需要自行輸入申請者的詳細(xì)

15、信息和所要申請的證書類型。 獨(dú)立CA也分為獨(dú)立根CA（standard-alone CA）和獨(dú)立從屬CA（standard-alone subordinate CA）兩種類型。其中，在多數(shù)情況下，獨(dú)立根CA主要用來發(fā)放證書給從屬CA。而獨(dú)立從屬CA必須先向其父CA（既可以是獨(dú)立根CA，也可以是上層的獨(dú)立從屬CA）取得證書，然后才可以發(fā)放證書。獨(dú)立從屬CA主要用來發(fā)放保護(hù)電子郵件安全的證書、提供網(wǎng)站SSL安全傳輸?shù)淖C書、用來登錄Windows Server 2003域的智能卡證書、進(jìn)行基于L2TP的VPN驗(yàn)證的證書等。,由于基于Windows Server 2003的數(shù)字證書服務(wù)器分為企業(yè)CA和

16、獨(dú)立CA兩種類型，其中企業(yè)CA需要建立在活動目錄的基礎(chǔ)上，同時只能向本企業(yè)內(nèi)部加入活動目錄的用戶提供數(shù)字證書服務(wù)。而獨(dú)立CA不需要活動目錄的支持，而且可以向加入活動目錄域控制器的用戶和沒有加入活動目錄域控制器的用戶提供數(shù)字證書服務(wù)。兩者相比，獨(dú)立CA的配置和使用要比企業(yè)CA方便，所以本節(jié)將介紹獨(dú)立CA的安裝和配置方法。,5.3 數(shù)字證書服務(wù)器的安裝和配置,5.3.1 安裝IIS,圖5,選擇要安裝的,Windows,組件,圖6,選取“,Internet,信息服務(wù)（,IIS,）”,5.3.2 安裝證書服務(wù) 獨(dú)立CA可分為獨(dú)立根CA和獨(dú)立從屬CA兩種，其中獨(dú)立從屬CA必須建立在其父CA的基礎(chǔ)上。其中

17、，父CA既可以是獨(dú)立根CA，也可以是其他的獨(dú)立從屬CA。對于絕大多數(shù)中小企業(yè)來說，一般只需要配置一臺數(shù)字證書服務(wù)器即可。所以，本節(jié)僅介紹獨(dú)立根CA的安裝方法。,圖9,安裝“證書服務(wù)”,提示：如果獨(dú)立CA安裝在域控制器或成員服務(wù)器內(nèi)，而且是以域管理員（如Administrator）的身份來安裝的，則獨(dú)立CA會自動通過Active Directory來讓域內(nèi)的所有用戶與計(jì)算機(jī)應(yīng)用由獨(dú)立根CA發(fā)放的證書；如果獨(dú)立CA安裝在獨(dú)立服務(wù)器上，或是安裝在沒有使用Active Directory的成員服務(wù)器或域控制器上，域內(nèi)用戶則需要另外執(zhí)行信任此獨(dú)立CA的操作。,圖13,選擇證書的保存位置,圖14,系統(tǒng)提示

18、在安裝證書之前需要停止,IIS,圖15,證書頒發(fā)機(jī)構(gòu)操作窗口,5.3.3 數(shù)字證書的申請方法 不管是否為域用戶，都可以利用Web方式向獨(dú)立CA申請數(shù)字證書。下面，以用戶為其電子郵件申請用于電子郵件安全的證書為例進(jìn)行介紹。具體方法如下： （1） 在要安裝證書的計(jì)算機(jī)上打開IE瀏覽器，在地址欄中輸入以下的地址： http:/CA的計(jì)算機(jī)名稱或IP地址/certsrv/ 本例中所使用的獨(dú)立根CA計(jì)算機(jī)的IP地址為5，計(jì)算機(jī)名稱為wldhj。,圖18,選擇要申請證書的類型,圖19,輸入用戶的詳細(xì)信息,圖20,證書申請結(jié)束后的顯示,圖22,顯示已申請的證書,圖23,該證書已頒發(fā),圖2

19、4,安裝證書之前的系統(tǒng)提示信息,圖25,系統(tǒng)顯示證書已成功安裝,圖26,顯示已信任的證書名稱,圖27,顯示證書的詳細(xì)信息,5.3.4 證書的保存和應(yīng)用 在前面的介紹中，用戶一般是在要安裝證書的計(jì)算機(jī)上來申請并安裝證書。但是，在實(shí)際應(yīng)用中，有時需要將申請到的證書安裝在其他的計(jì)算機(jī)上，或出于安全考慮對已申請到的證書進(jìn)行安全備份，當(dāng)原來的證書不小心被刪除或計(jì)算機(jī)重新安裝操作系統(tǒng)后，就可以利用備份來還原。為解決此類問題，我們需要將申請到的證書以文件形式進(jìn)行保存和應(yīng)用。具體方法如下：,圖28,選擇在線安裝或下載已申請的證書,圖29,證書鏈成功,安裝后的顯示信息,在圖29中出現(xiàn)的“證書鏈”的概念，“證書鏈

20、”有時也叫做“證書鏈服務(wù)”或“交叉認(rèn)證”，它是一個CA擴(kuò)展其信任范圍或被認(rèn)可范圍的一種實(shí)現(xiàn)機(jī)制。證書鏈可以擴(kuò)大企業(yè)內(nèi)部CA被信任的范圍。一般企業(yè)內(nèi)部CA發(fā)放的證書只能在企業(yè)內(nèi)部使用，無法被外部的網(wǎng)絡(luò)應(yīng)用所識別和信任。例如，當(dāng)企業(yè)員工利用企業(yè)CA發(fā)放的證書進(jìn)行郵件加密和簽名后發(fā)送給外部人員，這時可能會遇到郵件接收者不能識別郵件的情況，或者出現(xiàn)其他的瀏覽器和服務(wù)器不能識別或信任該企業(yè)CA發(fā)放的證書的情形。利用證書鏈服務(wù)，可以使企業(yè)CA發(fā)放的證書自動被所有信任本企業(yè)CA的瀏覽器、郵件客戶端所信任，這樣就無需為每一種軟件、每一個郵件客戶端重新申請證書，來要求他們信任企業(yè)CA發(fā)放的證書，從而低成本、高效

21、率地實(shí)現(xiàn)了信任度的擴(kuò)展。,在圖29中，還可以單擊“下載CA證書”或“下載CA證書鏈”，將CA的證書以文件形式保存起來。如果該證書不慎被丟失，則可以在打開該證書文件所在的文件夾后，單擊鼠標(biāo)右鍵，在出現(xiàn)的快捷菜單中選擇“安裝證書”重新進(jìn)行安裝，如圖30所示。,圖30,通過已保存的證書文件來安裝證書,如果單位內(nèi)部的獨(dú)立根CA架設(shè)在一臺運(yùn)行Windows Server 2003的獨(dú)立服務(wù)器上，或是安裝在沒有使用Active Directory進(jìn)行數(shù)據(jù)庫管理的成員服務(wù)器上，并以Windows Server 2003提供的“證書服務(wù)”組件來實(shí)現(xiàn)證書管理。此時，可以通過“受信任的根證書授權(quán)策略”將此獨(dú)立根C

22、A的證書自動發(fā)送到域內(nèi)的所有計(jì)算機(jī)上，使域內(nèi)的所有用戶能夠自動信任該獨(dú)立根CA。 在下面的操作中，我們將已建立的獨(dú)立根CA“alone-CA”（IP地址為5）的證書，自動發(fā)送到域中的所有計(jì)算機(jī)中。,5.4 讓域內(nèi)用戶自動信任獨(dú)立根CA,5.4.1 下載獨(dú)立根CA的證書 首先，在域控制器（）計(jì)算機(jī)上，通過以下方式從獨(dú)立根CA服務(wù)器下載所需要的數(shù)字證書。具體方法如下,圖31,獨(dú)立根,CA,證書申請窗口,圖32,選擇下載證書的類型,提示：對于根CA來說，CA證書和CA證書鏈所起的作用是相同的。為此，可以選擇圖33和圖34中的任一種方式。,圖,33,保存證書文件,圖,34,保存證書

23、鏈文件,5.4.2 導(dǎo)入數(shù)字證書 下面，可以將前面申請或?qū)С龅腃A證書或CA證書鏈文件導(dǎo)入到域控制器的“受信任的根證書授權(quán)策略”中，具體方法如下： （1） 在域控制器（本例為）上，選擇“開始”“程序”“管理工具”“域安全策略”“安全設(shè)置”“公鑰策略”，打開如圖36所示的窗口。,完成以上的操作之后，凡是加入該域的用戶都會自動應(yīng)用此策略，都會自動信任上述的獨(dú)立根CA。域內(nèi)的計(jì)算機(jī)并不會馬上應(yīng)用此策略，如果要應(yīng)用此策略，需要具有以下的條件之一： 重新啟動計(jì)算機(jī)。 等待策略自動生效。一般域控制器需要大約5分鐘左右的時間，如果是隸屬于域內(nèi)的其他計(jì)算機(jī)，大約需要90120分鐘的時間。,5.5.1電子郵件的

24、數(shù)字簽名 下面，以用戶郵箱和之間收發(fā)電子郵件為例，介紹利用CA進(jìn)行電子郵件簽名和加密的方法。數(shù)字簽名是利用發(fā)送方的私有密鑰進(jìn)行加密，在接收方利用發(fā)送方的公開密鑰進(jìn)行解密。當(dāng)用戶wq要向用戶lfj發(fā)送經(jīng)過簽名的電子郵件時，用戶wq需要利用自己的私有密鑰進(jìn)行加密，當(dāng)用戶lfj接收到該加密的電子郵件時，再利用用戶wq的公開密鑰進(jìn)行解密。具體過程如下：,5.5 數(shù)字證書應(yīng)用舉例,5.5.2 電子郵件的加密 簽名是利用發(fā)送者的私有密鑰，而加密則是利用接收者的公開密鑰。因?yàn)?，?dāng)用戶lfj閱讀了由用戶wq發(fā)送的經(jīng)過數(shù)字簽名的電子郵件后，用戶wq的公開密鑰和證書信息就會自動安裝在用戶lfj的計(jì)算機(jī)中，所以下面

25、用戶lfj就可以直接給用戶wq發(fā)送加密的電子郵件了。具體方法如下：,如果該郵件在傳輸過程中出現(xiàn)問題（如被他人篡改、證書已到期等），將會出現(xiàn)如圖52所示的警告信息。,5.6.1 CA的備份與還原 CA數(shù)據(jù)庫及相應(yīng)信息保存在系統(tǒng)狀態(tài)（System State）中，可以通過對系統(tǒng)狀態(tài)的操作來實(shí)現(xiàn)對CA的備份和還原。 1 CA的備份 對于數(shù)字證書系統(tǒng)來說，CA中用戶數(shù)據(jù)的安全性是非常重要的。為了防止系統(tǒng)出現(xiàn)故障或重新安裝操作系統(tǒng)后丟失CA中的數(shù)據(jù)，建議網(wǎng)絡(luò)管理員對CA進(jìn)行定期的備份。具體方法如下：,5.6 數(shù)字證書的管理,2 CA的還原 CA的還原是指當(dāng)CA出現(xiàn)故障或運(yùn)行CA的計(jì)算機(jī)重新安裝操作系統(tǒng)后

26、，對CA數(shù)據(jù)庫及相關(guān)信息進(jìn)行還原，以恢復(fù)到故障前的狀態(tài)。具體操作方法為,練一練：在已配置的數(shù)字證書服務(wù)器上，首先對CA進(jìn)行備份，然后利用備份的數(shù)據(jù)來還原CA。,5.6.2 增加證書模板 “證書模板”是CA發(fā)放證書的依據(jù)，圖65中顯示的是CA為用戶提供的可供選擇的證書模板，其中每一個模板內(nèi)會包含多種不同用途的證書，例如“計(jì)算機(jī)”模板就包含了“客戶端驗(yàn)證”和“服務(wù)器驗(yàn)證”兩種證書，如圖66所示。,另外，企業(yè)CA還提供其他一些實(shí)有的模板，用戶在使用之前可以通過以下的方法來啟用：在如圖65中選取“證書模板”，單擊鼠標(biāo)右鍵，在出現(xiàn)的快捷菜單中選擇“新建”“要頒發(fā)的證書模板”，打開如圖67所示的對話框。在

27、該對話框中提供了大量非常實(shí)用的證書模板，如IPSec、RAS和IAS服務(wù)器等。用戶可以在該對話框中選取要使用的證書模板，然后單擊“確定”按鈕進(jìn)行啟用。,5.6.3 讓獨(dú)立CA自動發(fā)放用戶申請的證書 如果獨(dú)立CA的管理員希望用戶在向該獨(dú)立CA申請了證書后，能夠由該獨(dú)立CA自動進(jìn)行發(fā)放，可通過以下的方法來進(jìn)行：,提示：在修改了證書的頒發(fā)方式后，必須重新啟動該證書服務(wù)后，所進(jìn)行的設(shè)置才會生效。,5.6.4 證書的吊銷管理 用戶申請到的每一類證書都有一定的使用期限，例如“電子郵件保護(hù)證書”自申請后的使用期限為1年。當(dāng)證書的使用期限到期后，系統(tǒng)會自動進(jìn)行吊銷。另外，在證書還未到期之前，證書管理員也可以吊

28、銷該證書。例如，企業(yè)的某一員工離開公司后，就可以將其使用的證書進(jìn)行吊銷處理。 1 吊銷證書 證書管理員可以通過以下方法來吊銷尚未到期的證書：在“證書頒發(fā)機(jī)構(gòu)”窗口中選取“頒發(fā)的證書”，已申請使用的證書將會顯示在列表中，如圖70所示,5.6.4 證書的吊銷管理 用戶申請到的每一類證書都有一定的使用期限，例如“電子郵件保護(hù)證書”自申請后的使用期限為1年。當(dāng)證書的使用期限到期后，系統(tǒng)會自動進(jìn)行吊銷。另外，在證書還未到期之前，證書管理員也可以吊銷該證書。例如，企業(yè)的某一員工離開公司后，就可以將其使用的證書進(jìn)行吊銷處理。 1 吊銷證書 證書管理員可以通過以下方法來吊銷尚未到期的證書：在“證書頒發(fā)機(jī)構(gòu)”窗

29、口中選取“頒發(fā)的證書”，已申請使用的證書將會顯示在列表中，如圖71所示,2 發(fā)布“證書吊銷列表（CRL）” 當(dāng)某些用戶的證書被吊銷后，網(wǎng)絡(luò)中的用戶如何才能知道哪些用戶的證書被吊銷了呢？首先，CA必須將“證書吊銷列表”發(fā)布出去，之后計(jì)算機(jī)在網(wǎng)上下載了這個“證書吊銷列表”后，就可以知道有哪些證書已經(jīng)被吊銷了。CA可以通過自動發(fā)布和手工發(fā)布兩種方式來發(fā)布“證書吊銷列表”。,3 下載“證書吊銷列表（CRL）” 網(wǎng)絡(luò)中的計(jì)算機(jī)如何能夠下載“證書吊銷列表”呢？在CA發(fā)布了“證書吊銷列表”后，網(wǎng)絡(luò)中的計(jì)算機(jī)可以通過自動下載和手工下載兩種方式來下載“證書吊銷列表”。 （1） 自動下載。,（2） 手工下載。,提示：如果不是第一次進(jìn)行如上所述的手工下載操作，并且在如圖73中設(shè)置了“發(fā)布增量C