微軟證書服務(wù)ppt課件_第1頁
微軟證書服務(wù)ppt課件_第2頁
微軟證書服務(wù)ppt課件_第3頁
微軟證書服務(wù)ppt課件_第4頁
微軟證書服務(wù)ppt課件_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、微 軟 證 書 服 務(wù)Microsoft Certification Service,譚偉 MCT/ESS Engineer 成都金海洋微軟高級技術(shù)教育中心 ,1,術(shù)語,PKI:Public Key Infrastructure 公鑰架構(gòu) CA:Certificate Authority 證書頒發(fā)機構(gòu) CRL:Certificate Revocation List 證書吊銷列表 CTL:Certificate Trust List 證書信任列表 AIA:Authority Information Access 根證書分發(fā)點 Public Key:公鑰 Private Key :私鑰,2,證書典

2、型應(yīng)用,安全的無線網(wǎng)絡(luò) EFS加密文件系統(tǒng) 安全的web通訊(https) IPSEC 智能卡 代碼簽名 VPN,3,公鑰架構(gòu)PKI,一個工業(yè)標準 以嚴密的數(shù)學(xué)算法為基礎(chǔ) 使用非對稱密鑰對加密(公鑰和私鑰),4,證書主體,用戶 計算機 服務(wù)(應(yīng)用程序),5,非對稱密鑰,用公鑰加密的,只能用相對應(yīng)的私鑰解密 用私鑰加密的,只能用相對應(yīng)的公鑰解密 公鑰可發(fā)送給對方 私鑰由自己保存,不會隨便發(fā)送給第三方 絕大多數(shù)情況下私鑰和公鑰對是申請證書的客戶計算機生成的,不是CA生成的,不存在私鑰在網(wǎng)絡(luò)中傳輸?shù)膯栴}. 私鑰是存儲在申請證書的那臺計算機上的,6,證書的功能,加密 簽名 身份驗證,7,證書與公/私鑰

3、的關(guān)系,證書中包含公鑰 公鑰與私鑰相對應(yīng) 私鑰是存儲在申請證書的計算機中 可以將私鑰導(dǎo)出到證書中,但不是每種證書都可以導(dǎo)出私鑰(證書模板可以控制),8,證書的主要特點,包含了證書主體的公鑰 證書是有使用期限的,可以續(xù)訂 描述了使用證書的證書主體 描述了證書是由那個CA頒發(fā)的,9,CA,權(quán)威的證書頒發(fā)機構(gòu) 證書主體必須都信任同一個CA(需要配置) 只要信任根CA,就自動信任根CA下所有子CA 有企業(yè)CA和獨立CA,10,企業(yè)CA,企業(yè)CA需要Active Directory 企業(yè)CA可以頒發(fā)智能卡證書 企業(yè)CA通過web方式只能申請一部分 域控可自動申請,默認自動頒發(fā)證書 結(jié)合組策略使用,11,

4、獨立CA,獨立需要Active Directory 獨立CA不能頒發(fā)智能卡證書 獨立CA通過web方式能申請全部證書 需要手動申請,默認手動頒發(fā)證書,12,CA的層次結(jié)構(gòu),單層CA,企業(yè)或獨立CA,中小型企業(yè)適用 多層CA,適合大型企業(yè)適用,根CA長期脫機,嚴密保護,建議根CA為獨立CA.因為如果是企業(yè)CA的話,60天需要連入網(wǎng)絡(luò)同步數(shù)據(jù)。,13,證書存儲區(qū),用戶證書物理位置是存儲在用戶profile 計算機或服務(wù)證書物理位置是存儲在注冊表 邏輯位置為個人或受信任的CA存儲區(qū),14,配置CA信任方法,證書管理單元中手動導(dǎo)入CA的證書 從web下載CA的證書,再手動導(dǎo)入 從AIA分發(fā)點手動cop

5、y 通過配置組策略自動信任CA,15,證書模板,可供證書主體申請相對應(yīng)的證書 企業(yè)CA所獨有,獨立CA沒有 有v1和v2 版本 v1為灰色,不可改,v2為綠色,可以修改,16,證書申請方法,Web 證書管理單元 命令行 Req文件 組策略,17,管理證書的工具,證書頒發(fā)機構(gòu) 證書管理單元 證書模板,18,證書的吊銷,通過CA管理單元來做 管理員手動來執(zhí)行 被吊銷的證書就無效了 只有吊銷原因為”證書待定”的才能撤銷吊銷,19,證書的備份和恢復(fù),建議備份系統(tǒng)狀態(tài)數(shù)據(jù) 備份企業(yè)CA數(shù)據(jù)庫間隔時間不能超過60天,20,數(shù)據(jù)存儲安全(EFS),EFS加密的文件,只有用戶自己才能復(fù)制和打開,管理員也無權(quán)限

6、復(fù)制和打開 建議用戶使用EFS后,導(dǎo)出自己的證書(包含私鑰) 可以配置組策略(域環(huán)境建議配置默認域策略)來實現(xiàn)故障恢復(fù)代理 可以配置EFS共享,實現(xiàn)加密文件共享訪問,21,終端服務(wù)器安全,終端服務(wù)器身份驗證和加密: 條件: 1.終端服務(wù)器使用Windows Server 2003 SP1 2.終端服務(wù)器使用“服務(wù)器身份驗證證書“ 3.客戶端使用RDP 5.2 4.客戶端信任終端服務(wù)器的頒發(fā)CA 細節(jié): 1.客戶端和服務(wù)器進行SSL身份驗證時使用3389端口。 2.客戶端連接終端服務(wù)器可能需要和證書的common name對應(yīng),不然驗證可能會失敗。,22,Web服務(wù)器安全(SSL),確保Web通訊的安全 步驟: 1.給Web服務(wù)器頒發(fā)“服務(wù)器身份驗證證書” 2.啟用SSL安全通道,23,安全的電子郵件,簽名郵件:(確保郵件來自發(fā)件人,不會被篡改) 1.發(fā)件人用私鑰簽名郵件 2.收件人用發(fā)件人公鑰解密簽名郵件 加密郵件:(確保郵件傳遞安全) 1.發(fā)件人和收件人都需要申請“用戶證書” 2.發(fā)件人

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論