第05章 PKI与网络安全.pptVIP

第5章 PKI与网络安全 本章学习目标 本章主要讲解证书服务器的配置与管理。通过本章学习，读者应该掌握以下知识： 证书服务的基本概念； 安装与配置证书服务器； 客户端证书安装与使用； 5.1 PKI概述 公钥数字证书（又称为公钥证书、数字证书、certificates）简称证书，是用于身份验证的经过（权威机构）数字签名的声明（以文件的形式存在）。证书将公钥与保存对应私钥的实体绑定在一起，证书一般由可信的权威第三方CA中心（权威授权机构）颁发， CA 对其颁发证书进行数字签名，以保证所颁发证书的完整性和可鉴别性。CA可以为用户、计算机或服务等各类实体颁发证书。 5.2 独立CA的安装与证书申请实例演示 作为 Enterprise Admins 组和根域的 Domain Admins 组的成员登录。 单击“开始”，再单击“控制面版”，再单击“添加和删除程序”，然后单击“添加 Windows 组件”。 在“Windows 组件向导”中，选中“证书服务”复选框。然后会出现一个对话框，通知您在证书服务安装之后计算机不能被重新命名以及计算机不能加入域或从域中删除。单击 “是”。 注意： 如果要使用证书服务的 Web 组件，应单击“应用服务器”（但不要选中它的复选框）以确保“IIS”复选框已选中，然后单击“详细信息”，选中“Internet 信息服务 (IIS)”，然后单击“确定”。单 击“下一步” 客户端申请 Mmc控制台方式 浏览器方式 企业CA会自动发放证书 5.3 独立CA的安装与证书申请实例演示 5.3.1 独立CA安装 5.3.2 证书申请 5.3.1 安装证书服务 安装证书服务器的步骤如下： 步骤一，选择“开始”/“设置”/“控制面板”/“添加或删除程序”，选择“添加/删除Windows组件”，在出现的如图5-4所示对话框中，选择“证书服务”复选框，并单击“详细信息”按钮，出现如图5-5所示“证书服务”子组件详细对话框。 步骤二，在如图5-5所示证书服务详细内容对话框中，选择“证书服务CA”和“证书服务Web注册支持”， “证书Web注册支持”服务选项，允许用户以浏览器模式访问Windows Server 2003证书服务器，申请证书。单击“确定”按钮，返回图5-4所示对话框界面，单击“下一步”按钮继续。 步骤三，在出现如图5-6所示“CA类型”对话框中，选择“独立根”和“用自定义设置生成密匙对和CA证书”选项，这里我们构建企业自己独立的CA服务器。单击“下一步”按钮继续。 步骤四，在出现的如图5-7所示对话框中进行加密服务提供程序的设置，选择散列算法（建议选用SHA-1）和密匙长度。根据安全应用的需要可以选择512、1024或2048位密钥长度。单击“下一步”按钮。 步骤五，在出现的如图5-8所示对话框中输入CA的识别信息，本例中设置为Henan University of Technology，即CA的公共名称（CN, Common Name）为Henan University of Technology。用户可以任意设置为本企业的标识名称。单击“下一步”继续。 步骤六，在出现如图5-9所示对话框中进行证书数据库、证书日志存储路径的设置。单击“下一步”弹出一询问停止IIS服务的对话框，选择“是”停止IIS服务，接下来系统开始组件安装。 5.3.2 客户端申请和安装证书 5.5 证书的管理 证书服务安装好后，可以使用管理工具中“证书颁发机构”工具对证书服务器进行管理。通过“开始”/“程序”/“管理工具”/“证书颁发机构”，打开“证书颁发机构”管理控制台窗口，如图5-12所示，显示此计算机上已经安装好证书服务，而且已经自动启动运行。 本章小结 本章介绍了Windows Server 2003证书服务的概念、服务的安装与配置，给出了完整的用户申请数字证书的过程，并以安全电子邮件为例，介绍了使用Outlook电子邮件程序实现邮件的签名与加密的安全服务。使用Windows Server 2003证书服务可以架构企业内部自己的CA中心，依靠数字证书应用拓展网络安全服务与应用。 图5-21 申请用户证书页面 图5-22 申请电子邮件保护证书 图5-23 证书申请页面 图5-24 查询证书申请 图5-25 查询证书申请 图5-12 证书颁发机构管理控制台窗口 图5-13 处理挂起的证书请求 图5-14 处理颁发的证书 * * 图5-1 证书数据结构 图5-2 证书对话框 图5-3 查看证书详细信息 图5-4 安装Windows 2003证书服务组件 图5-5 证书服务子组件对话框 图5-6 设置CA类型对话框 图5-7 选择加密服务提供程序对话框 图5-8 设置CA标识名称对话框