WindowsServer2003教学 第十章 PKI和IPSEC的部署.pptVIP

第十章 PKI和IPSEC的部署 本章内容 PKI的体系架构 规划PKI体系架构 理解IPSEC策略规则 部署实施IPSEC IPSec的工作流程 第一阶段，ISAKMP/Oakley 服务在通讯的计算机之间建立安全的通道。每台计算机上都维护一个安全联盟(SA)。 第二阶段，发送和接收数据的计算机上的IPSec驱动使用安全联盟的共享密钥创建SA会话密钥。 Windows Server 2003中IPSec的新特性 可以使用永久策略。允许无本地策略或域策略被应用时也可以应用永久策略 免除了IKE通讯的IPSec过滤 可以与网络负载平衡(NLB)相集成 Windows Server 2003中包含了对RSOP的扩展 可以排除颁发证书的CA的计算机名以防止其它计算机访问CA IPSec NAT-T 什么是IPSEC规则 流量数据所匹配的类型 对匹配的流量所采取的动作 认证的方法 IPSec的模式是隧道模式还是传输模式 连接的类型是LAN还是WAN 默认的三种策略 客户端(仅响应) 服务器(请求安全) 安全服务器(需要安全) 案例：部署实施IPSEC 总结 PKI的体系架构，CA的功能 随后介绍了规划PKI体系架构的方法 安装实现独立的根CA和从属CA的步骤 IPSEC的工作流程 Windows Server 2003中IPSEC的新特性 IPSEC的策略和规则 实施IPSEC以保证通讯安全 * * 三种安全服务 机密性 完整性 不可否认性 PKI的体系架构 Widows Server 2003中支持PKI体系架构的应用或服务 数字签名技术 智能卡登录 安全的电子邮件 软件代码签名技术 IPSec协议 802.1x协议 软件限制策略 加密文件系统(EFS) CA的功能 验证证书申请。 颁发证书给申请证书的用户和计算机。 管理证书的撤销。 受信任的根证书 根证书就是自己为自己颁发的证书。CA颁发证书，同时也收到自己颁发的证书，以此来担保自己的身份，这样的为自己颁发证书的证书授权服务器被称为根CA 指派受信任的根证书的方法 微软根证书程序 受信任的根CA存储 域中的组策略 活动目录 分布式信任 使用私有CA 的场景 组织内部需要管理自己的PKI体系架构 证书只在组织内部使用 在伙伴之间使用证书是可行的 使用商业CA的场景 组织内部无自己的PKI体系架构 证书必须被其它组织所信任 伙伴之间的证书是不可行的 CA的层次 CA层次中的角色 根CA 策略CA 颁发CA 证书服务CA的类型 独立的根CA 独立的从属CA 企业的根CA 企业的从属CA 不同证书服务器类型 案例：在域控制器上安装独立的根CA 案例：安装从属的根CA