使用ADCS部署证书.docVIP

部署和管理证书 本章概述 本章旨在帮助学生部署和管理证书。 教学目标 使用 AD CS 部署证书 使用自动注册部署证书 吊销证书 配置证书模板 配置证书恢复 教学重点 使用 AD CS 部署证书 使用自动注册部署证书 吊销证书 配置证书模板 配置证书恢复 教学难点 配置证书模板 配置证书恢复 教学资源 课本 知识点 1使用AD CS部署证书 2使用自动注册部署证书吊销证书配置证书模板配置证书恢复 实验 配置证书自动注册配置AD CS证书吊销配置AD CS证书模板管理密钥存档和恢复 课件 电子课件、实验报告、实验答案 建议学时数 课堂教学（4课时）+实验课时（4课时） 使用AD CS部署证书 教学提示 ： 本部分主要达到以下目的： 掌握使用AD CS部属证书的方法。 教学内容和方法 数字证书 你可以向学生描述数字证书是一种包含公钥的电子凭据，公钥提供了有关证书使用者和证书有效性的信息。公钥还提供了有关可使用证书的应用程序和服务信息。 在讨论此主题时，请确保学生了解数字证书与私钥之间的区别。很多学生认为数字证书总是包含私钥，但是拥有数字证书并不保证也拥有了关联的私钥。 证书生命周期概述 你可向学生说明证书生命周期包含以下事件： 用户、计算机或服务申请从 CA 获得证书。 CA 生成证书。 将证书分发给该用户、计算机或服务。 证书用于支持 PKI 的应用程序。 证书达到其生命周期的终点。 证书过期、续订或吊销。 过期（如果证书有效期终止）。 续订。它可以继续使用现有密钥对，也可以不使用。 吊销。注意，CA 管理员可以在证书生命周期终止之前吊销证书。如果续订证书，证书生命周期将重新开始。 证书注册方法 你可以向学生描述每一种注册方法： 自动注册：在此方法中，管理员定义证书模板的权限和配置，以使申请者无需任何最终用户交互即可自动申请、检索和续订证书。此方法用于加入 AD DS 域的计算机。 手动注册：在此方法中，证书申请与私钥一起在设备上生成。或者当设备不支持自动注册时使用。然后，证书申请转送到用它来生成证书的 CA。随后，证书转送回设备以供安装。此方法在申请者无法直接与 CA 通信时应用。 Web 注册：在此方法中，如果 Active Directory 证书服务 CA 上安装了 Internet 信息服务 (IIS)，那么可以启用 CA 上的网站，用户通过该网站可获得证书。为了获得证书，申请者可登录到网站、选择相应的证书模板，然后提交申请。如果用户有相应的权限，可以注册获得证书，那么证书将自动颁发。当无法使用自动注册时，此方法是颁发证书的好办法。 注册代理：在此方法中，Windows CA 管理员可为某个用户分配相应的代理权限（通过为该用户颁发特殊的注册代理证书），使其可代表其他用户注册申请证书。 注册代理是一个账户，它允许一个用户代表其他用户注册申请证书。例如，需要允许经理在新雇员的智能卡上预装智能卡登录凭据。 使用Web注册获得证书演示：如何手动获得Web服务的证书NDES NDES 在 Internet 信息服务 (IIS) 上作为 Internet 服务器应用程序编程接口 (ISAPI) 筛选器运行，其执行下列功能： 生成一次性注册密码，并提供给管理员。 代表在网络设备上运行的软件，接收并处理 SCEP 注册请求。 从 CA 检索挂起的请求。 设置 NDES 涉及以下任务： 创建一个作为注册机构的账户，并将其添加到 IIS_IUSERS 本地组。执行此任务的账户必须拥有本地管理权。 附带 NDES 角色服务安装 Active Directory 证书服务。将该服务配置为使用注册账户，并指定 CA 以及提供注册机构信息和加密设置。执行此任务的账户必须是域管理员或企业管理员。 参考资料 Microsoft SCEP Implementation Whitepaper：/downloads/details.aspx?FamilyID=e11780de-819f-40d7-8b8e-10845bc8d446DisplayLang=en。 使用自动注册部署证书 讨论：自动注册的益处和使用 你可以与学生一起，就自动注册功能展开讨论。使用下面的问题作为引导： 问题：自动注册在公司中如何简化证书管理？ 答案：自动注册提供了自动将证书部署到用户和计算机的功能。 问题：请举出可从自动注册获益的应用示例。 答案： 智能卡。 EFS。 SSL。 S/MIME。 IPSec。 自动注册的工作方式 你可以组织学生讨论以下要点： 自动注册使公司能将基于公钥的证书自动部署到用户和计算机。 Windows XP 或 Windows Server 2003 或者更高的版本形成了使用证书自动注册的域成员。 注册和自动注册权限为接收证