安装、配置和管理证书颁发机构2823A_02指导.ppt

* 介绍如何安装CA。 如何使用CAPolicy.inf来定义CA的安装。 如何安装从属CA。 注意： 加下划线为即将学到的内容。 * 注意： 本节内容主要介绍相关证书服务器部署安装方面内容； 难点： 用户在向独立 CA 提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型，否则申请的证书可能不能正常发挥作用。 * 重点： 介绍 CAPolicy 文件的内容； 证书的实行声明(CPS) 　　一些PKI系统由商业证书认证权威(CCA)或可信的第三方操作，因而需要证书实行声明CPS。CPS是一个详细的文档，包括在实际应用中如何执行和维持安全方针。它包括下列说明：如何建立和执行CA；如何发行、接受和废除证书；如何生成、注册和鉴定密钥，以及确立证书的存放位置和如何让用户使用。 注意： 为了防止黑客或恶意用户盗用管理员账户来验证自己的 CA，网络管理员通常应该创建一个独立根 CA，用它来验证一个从属企业 CA，然后关闭根 CA，直到需要用它来刷新证书颁发者的证书，或者确认来自新 CA 的证书请求时再启动 。 相关习题： 习题5 * 说明： ? RenewalKeyLength 设置仅用于续订的密钥长度。只有在 CA 续订要生成新密钥时使用。 ? RenewalValidityPeriod 和 RenewalValidityPeriodUnits 在续订旧 CA 证书时建立新根 CA 证书的有效期。 ? CRLPeriod 和 CRLPeriodUnits 建立完整 CRL 的有效期，而 CRLDeltaPeriod 和 CRLDeltaPeriodUnits 则建立增量 CRL 的有效期。 ? RenewalKeyLength、RenewalValidityPeriod 和 RenewalValidityPeriodUnits 仅在续订 CA 时进行处理。 ? LoadDefaultTemplates 在 CA 为从属 CA 时不进行处理。 * 注意： 介绍如何安装从属证书颁发机构； 注意： 证书颁发机构的 Web 界面要求运行 Active Server Pages； 参考： Windows Server 2003 提供的主要加密算法： RC2（MD2）是一种密钥算法，用于对存储在磁盘上的文件进行块加密； RC4（MD4）是一种密钥算法，用于 Internet 连接的流加密，如 SSl； DES（Data Encryption Standard，数据加密标准）是一种密钥算法，用于 TCP/IP 数据包加密，以及其他多种用途； SHA-1 用于公钥加密； MD5 用于消息签名、密码加密以及数字签名。 * 本节主要达到两个目的。 如何管理证书颁发机构以实现证书的应用。 如何配置证书颁发机构的设置。 注意： 加下划线为即将学到的内容。 * 注意： 加下划线为即将学到的内容。 * 重点： 讲解应用程序如何检查证书状态的方法； 参考： 如果客户端有事先发布的 CRL 的高速缓存复制件，那么即使新的 CRL 已经发布，客户端仍然可以继续使用高速缓存中的复制件，直至其有效期到期为止。 AIA和 CRL 发布点: 分别称为颁发机构信息访问 (Authority Information Access) 和 CRL 分发点( CRL Distribution Point, CDP) * 重点： 讲解证书验证测试的概念和作用，并实际演示操作方法； 难点： 为了宣布某个证书无效，必须发布一个证书吊销列表 (CRL) 。单单宣布某个证书无效，还不足以使这些信息成为公开可用； 相关习题： 习题8 参考： 可以问问大家有没有经常看到报纸上的声明（类似的情况）； CRL（Certificate Revocation List，证书吊销列表）：由列出已被吊销证书的证书颁发机构维护和发布的文档。 * 注意： 观看演示前，建议教师可以先简单描述相关知识点，然后进行观看，在总结一遍相关知识点，一般效果比较好，相关知识点如下： 应用程序使用证书链引擎对证书进行验证； 证书链引擎验证链中的每个证书； 验证从计算机或用户证书开始，到颁发 CA 证书，然后是策略 CA 证书，最终到自签名根证书； 证书链引擎使用以下三种匹配技术之一来查找颁发 CA 的 CA 证书： 精确匹配：如果AKI中包含主题和序列号，则证书链引擎就使用精确匹配来查找证书 密钥匹配：如果AKI中只包含CA的公钥的哈希（CA可用相同的密钥对申请多个CA证书），则证书链引擎就通过查询CA证书的SKI（主题密钥标识符）来查找相同哈希值的证书，即密钥匹配 名称匹配：如果AKI中没有任何信息或证书中不存在AKI扩展，则证书链引擎就使用证