|
证书服务器配置与管理全文共33页,当前为第1页。 学习目标 证书服务的基本概念 安装与配置证书服务器 客户端证书安装与使用 公钥基础设施PKI是目前实施网络安全应用的主要技术,其核心技术即使用公钥数字证书实现主体身份和公钥的绑定,制成各种安全机制的应用。Windows Server 2003提供了公钥证书管理工具,使用该工具可以方便产生、颁发、注销数字证书,架构企业自己的认证中心。本章介绍证书服务器的配置与管理,包括以下主要内容: 证书服务器配置与管理全文共33页,当前为第2页。 目 录 证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书 证书服务器配置与管理全文共33页,当前为第3页。 证书服务的基本概念 公钥数字证书(又称为公钥证书、数字证书、Certificates)简称证书,是用于绑定实体身份和公钥信息的经过权威机构数字签名的声明,以文件的形式存在,证书将公钥与保存对应私钥的实体绑定在一起。 证书一般由可信的权威第三方CA中心(权威授权机构)颁发, CA 对其颁发的证书进行数字签名,以保证所颁发证书的完整性和可鉴别性。 CA可以为用户、计算机或服务等各类实体颁发证书。 证书服务器配置与管理全文共33页,当前为第4页。 证书服务的基本概念 公钥证书以公钥密码算法为基础。公钥密码算法基于复杂数学问题构建公钥和私钥的映射关系。 使用公钥加密数据(数据加密),只能使用对应的私钥解密(数据解密)。 使用私钥加密数据(称数字签名),只能使用对应公钥解密(签名验证)。 证书服务器配置与管理全文共33页,当前为第5页。 证书服务的基本概念 广泛应用的证书格式基于国际电信联盟电信标准部门(ITU-T)建议的X.509v3 标准。 X.509 证书包括公钥和有关证书授予的人员或实体的信息、有关证书的有效期、用途等信息,以及有关颁发证书的CA的信息。 实体的主题(或主体,Subject)标示证书的持有者,证书的颁发者(Issuer)和签名者是CA。 证书服务器配置与管理全文共33页,当前为第6页。 证书服务的基本概念 证书只在证书颁发者对该证书指定的时间段内有效。每个证书包含"有效期从"和"有效期至"日期,这两个日期设置了证书有效期的界限。一旦超过证书的有效期,证书持有者必须重新请求证书。 如果因为某种原因,如证书主体私钥泄密、证书主体身份变更等,必须撤销证书的使用,颁发者可以吊销证书。每个颁发者(CA)维护一个证书吊销列表(CRL)。 证书服务器配置与管理全文共33页,当前为第7页。 证书服务的基本概念 IE浏览器,"工具"/"Internet选项"菜单,选择"内容"选项卡,单击"证书"按钮。对话框包括"个人"、"其他人"、"中级证书颁发机构"、"受信任的根证书颁发机构"等不同证书存储区域。 证书服务器配置与管理全文共33页,当前为第8页。 目 录 证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书 证书服务器配置与管理全文共33页,当前为第9页。 安装证书服务 安装Windows Server 2003证书服务组件 证书服务子组件详细信息 证书服务器配置与管理全文共33页,当前为第10页。 安装证书服务 设置CA类型 证书服务器配置与管理全文共33页,当前为第11页。 安装证书服务 选择加密服务提供程序 证书服务器配置与管理全文共33页,当前为第12页。 安装证书服务 设置CA的公用名称 证书服务器配置与管理全文共33页,当前为第13页。 安装证书服务 证书数据库设置 证书服务器配置与管理全文共33页,当前为第14页。 安装证书服务 完成安装后,系统重新启动IIS服务。在"管理工具"应用程序组中添加了"证书颁发机构"管理控制台,管理员使用它可以进行证书服务的管理与设置。 证书服务安装完成后,在证书服务器上将增加一个共享文件夹%SystemRoot%\system32\ certsrv\CertEnroll,下面存放CA的根证书和证书撤销列表(CRL)文件。 同时,在服务器的IIS服务中将增加证书服务的Web服务。 证书服务器配置与管理全文共33页,当前为第15页。 管理证书服务器 "证书颁发机构"管理证书服务器 处理挂起的证书请求 证书服务器配置与管理全文共33页,当前为第16页。 管理证书服务器 处理颁发的证书 证书服务器配置与管理全文共33页,当前为第17页。 目 录 客户端申请和安装证书 证书服务器配置与管理全文共33页,当前为第18页。 安装CA证书 安装受信任的CA根证书 访问证书服务器 证书服务器配置与管理全文共33页,当前为第19页。 安装CA证书 下载CA证书页面 证书服务器配置与管理全文共33页,当前为第20页。 安装CA证书 证书下载到本地磁盘后,可以安装到操作系统中。在IE浏览器中选择"工具"/
**证书服务器配置与管理**
公钥基础设施(PKI)是现代网络安全的核心技术,它通过公钥数字证书确保网络中实体的身份认证和数据安全。在Windows Server 2003操作系统中,内置的证书服务提供了方便的工具来创建、分发、管理和撤销数字证书,使得组织能够构建自己的认证中心(CA)。以下将详细介绍证书服务器配置与管理的关键概念和步骤。
**一、证书服务的基本概念**
1. **公钥数字证书**:证书是绑定实体身份和公钥的声明,由权威的证书颁发机构(CA)签名,并以文件形式存在。它将公钥与其对应的私钥持有者的身份绑定,确保通信的安全性。
2. **证书颁发机构(CA)**:CA是负责颁发、管理和撤销证书的可信第三方。CA对颁发的证书进行数字签名,以保证证书的完整性和可信赖性。
3. **X.509v3证书**:广泛采用的证书格式,包含公钥、证书持有者信息、有效期、用途以及CA信息。证书主题标识持有者,而颁发者和签名者通常是CA。
4. **证书有效期与撤销**:证书有明确的有效期限,超出期限需重新申请。如果出现私钥泄露或主体身份变化,CA可以吊销证书,并发布证书吊销列表(CRL)。
**二、安装与配置证书服务**
1. **安装证书服务组件**:在Windows Server 2003上,需要安装证书服务组件,包括子组件的详细设置,如CA类型、加密服务提供程序、公用名称以及证书数据库。
2. **设置CA类型**:可以选择不同类型的CA,如企业根CA或下属CA,根据组织的需求来决定。
3. **选择加密服务提供程序**:选择合适的加密算法和服务提供程序,确保数据的安全性。
4. **设置CA的公用名称**:CA的名称应具有唯一性,以便识别和信任。
5. **证书数据库设置**:配置证书存储的位置和备份策略,以确保证书数据的安全。
6. **完成安装**:安装完成后,IIS服务将被重启,添加“证书颁发机构”管理控制台,同时会在系统中创建证书相关的共享文件夹和Web服务。
**三、管理证书服务器**
1. **处理挂起的证书请求**:管理员通过管理控制台可以审核并处理待签发的证书请求。
2. **处理颁发的证书**:管理已颁发的证书,包括查看、更新、撤销等操作。
**四、客户端证书的申请与安装**
1. **安装受信任的CA根证书**:客户端需要安装CA的根证书,以信任由该CA颁发的所有证书。
2. **访问证书服务器**:通过网络访问证书服务器,下载并安装所需证书。
总结来说,证书服务器配置与管理涉及了公钥基础设施的基础理论、证书服务的安装与配置,以及客户端证书的申请和管理。理解这些知识对于构建和维护安全的网络环境至关重要。在实际操作中,管理员需要根据具体需求来调整配置,并确保所有操作符合安全标准,以保护组织的网络安全。
|