网络基础2003证书服务器.pptVIP

实验目的 掌握安装和管理证书服务器的方法 掌握证书的申请的方法 实验内容 安装和配置独立CA服务器 管理和配置证书颁发机构 客户端的证书申请和管理 安装CA证书 证书服务概述 证书服务提供可自定义的服务，用以颁发和管理在使用公钥技术的软件安全系统中所用的证书 可在 Windows 操作系统中使用证书服务来创建证书颁发机构 (CA)，该颁发机构负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表 (CRL) 证书服务也可用于 使用 Web 或证书 Microsoft 管理控制台 (MMC) 管理单元从 CA 为用户注册证书，或者通过自动注册透明地为用户注册证书 根据 CA 所使用的策略，使用证书模板帮助简化在申请证书时申请者必须作出的选择 利用 Active Directory目录服务，发布信任的根证书，发布已颁发的证书，发布 CRL 使用智能卡实现登录到 Windows 操作系统域的能力 证书策略 证书策略是一组指导或规则，用于在处理证书申请、颁发证书、吊销证书和发布 CRL 时使用。这些指导是 CA 上的管理策略和配置设置的组合。 安装证书服务时，将 CA 配置为具有默认规则和设置集。这些默认规则和设置集定义 CA 特定设置，例如，CA 的证书、它的默认颁发行为以及它的密钥恢复代理。该 CA 还可以安装许多预先配置的证书模板，这些模板用来定义证书申请必须拥有哪些信息以及如何基于该模板处理进入的证书申请。应用 CA 设置和证书模板设置，以及定义的管理准则的组合，会产生控制 CA 操作的证书策略。 处理证书申请 用户可以使用浏览器，来申请证书。此外，用户还可使用证书管理单元从企业 CA 申请证书，或者管理员可配置证书自动注册来透明地为用户申请和安装证书 当用户启动证书申请时，其计算机上的加密服务提供程序 (CSP) 会为该用户生成公钥和私钥对。用户的公钥随同必要的识别信息发送至 CA。如果用户的识别信息符合批准申请的 CA 标准，那么 CA 将生成证书，该证书由客户端应用程序检索并就地存储 CA 的安全考虑 物理保护 由于 CA 代表企业中的高度信任实体，因此保护它们不被篡改。在物理上对 CA 服务器进行隔离，服务器放在只允许安全管理员访问的房间 还原 如果出现硬件故障，则 CA 可能会丢失。证书服务支持使用“备份”来备份 CA，以便能在事后还原。这是整个 CA 管理过程的一个重要内容 密钥管理 私钥提供了认证过程中相互信任的基础。加密硬件设备可提供防篡改的密钥存储，并将加密操作与服务器上运行的其他软件分离 证书服务支持来自其他源的加密服务提供程序 (CSP)，但是，Windows 中包含的文档特定于 Windows 包含的软件 CSP。如果使用其他来源的 CSP，那么应该与供应商确认该 CSP 可与证书服务一同使用 公钥基础结构 公钥基础结构 (PKI) 是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构 (CA) 和其他注册机构 (RA) Windows Server?2003 可以帮助您的单位实现公钥基础结构，包括 证书。证书基本上是颁发机构所颁发的证明证书持有人的身份的数字声明。证书将公钥与拥有相应私钥的个人、计算机或服务绑在一起。证书由各种公钥安全服务和提供身份验证的应用程序、数据完整性和通过网络的安全通讯（例如 Internet）使用。 Windows 中基于证书的进程所使用的标准证书格式是 X.509v3。主体信息可以包括实体的名称、公钥，以及公钥算法 证书服务 ：用于创建和管理证书颁发机构 (CA) 的组件 公钥基础结构 证书模板。 证书是由 CA 根据证书申请中提供的信息和证书模板中包含的设置来颁发的。证书模板是针对接收到的证书申请应用的规则和设置的集合。对于企业 CA 可以颁发的每一种类型的证书，都必须配置证书模板 证书自动注册。自动注册允许管理员配置受领人，以便自动注册证书、检索颁发的证书，以及延长过期的证书，而不需要受领人进行交互 Web 注册页面。这些是证书服务的单独组件。这些网页是安装 CA 时默认安装的，并允许证书申请者使用 Web 浏览器递交证书申请 智能卡支持。智能卡可以用于进行 Web 身份验证、发送安全的电子邮件、无线网络和其他与公钥加密相关的活动 公钥策略。在 Windows 中可以使用组策略自动给受领人分发证书，建立公共可信的证书颁发机构，以及为 EFS（加密文件系统）管理恢复策略 安装独立根CA 安装之前，应确定计算机名和域成员身份，因证书服务运行后，更改计算机名和域成员身份将导致CA颁发的证书无效 安装独立根CA 安装独立根CA 安装独立根CA 安装独立根CA 安装独立根CA 安