第10章节电子证书服务.pptVIP

10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 运行Web服务器证书向导 10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 设置SSL端口 选择证书颁发机构 10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 成功安装Web服务器证书 10.5.3 在IIS 6.0中建立SSL安全网站 在Web网站上启用SSL 设置SSL端口 设置SSL安全通信选项 10.5.3 在IIS 6.0中建立SSL安全网站 在客户端安装CA证书 服务器和浏览器两端要信任同一CA 在客户端根证书存储区安装该证书颁发机构的CA证书链 10.5.3 在IIS 6.0中建立SSL安全网站 在客户端安装CA证书 10.5.3 在IIS 6.0中建立SSL安全网站 测试基于SSL连接的Web访问 本章小结（1） 认证中心CA颁发证书涉及如下4个步骤: CA收到证书请求信息（包括个人资料和公钥等）。 CA对请求用户所提供的信息进行核实。 CA用自己的私钥将它的数字签名应用于该证书。 CA将证书发给用户，将它用作PKL内的安全性凭证。 本章小结（2） 本章还讲述了以下重要内容: 证书服务 CA的层次结构 企业CA的安装与证书申请 数字证书的管理公共密钥基础结构 部署认证服务 加密文件系统恢复代理 基于SSL的网络安全应用 实训1 认证服务 实训2 Web站点的SSL安全连接 实训3 EFS加密文件恢复 实训4 签名电子邮件 (实训内容详见人民邮电出版社《Windwos Server 2003组网技术与实训》（第2版）) ? * * * CA的层次结构 证书层次结构是一种信任模式。 在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。 1、根CA（根本权威）是一个机构的PKL中最可信任的CA类型。 通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。 在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。 2、下层CA已经被机构中的另一个CA鉴定过的CA。 CA的层次结构 通常，下层CA针对特定的用途发放证书（例如安全电子邮件、基于web的身份验证，或者智能卡身份验证）。此外，下层CA也可以向其他的、更下层的CA发放证书。 提示:父CA和子CA彼此没有从属关系，不需要使所有的CA共享一个公共的顶级父CA(或根CA)。 10.3 企业CA的安装与证书申请 若要使用证书服务，必须在服务器上安装并部署企业CA，然后由用户向该企业CA申请证书，使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证。 CA模式 Windows 2003支持两类认证中心(CA)：企业CA和独立存在的CA。每类CA中都包含根CA和下层CA。 安装认证服务时可选择4种CA模式： 1. 企业根CA 2. 企业从属CA 3. 独立根CA 4. 独立从属CA CA模式 企业根CA 是顶级根，企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为特定的的证书类型所要求的安全性权限。 独立存在的根CA 是顶级根，它可以是，也可不是某个域的成员并不要求有活动目录。还可以断开与网络的连接 企业下层CA 在机构内发放证书，但企业下层CA不是最可信的CA。你可以利用某个企业下层CA针对特定用途发放证书。它必须有一个父CA 独立存在的下层CA 它作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。你为公司以外的实体发放证书，你应该建立独立存在的下层CA 安装证书服务 To install Certificate Services 选择证书类型 高级设置选项 输入识别信息 指定本地数据库，日志文件和共享文件夹 架设企业根CA（1） （1）准备工作。在企业网络中创建活动目录，将要架设为企业根CA的服务器加入至活动目录，并升级为域外控制器。安装应用程序服务Web组件，并确保添加Active Server Page（ASP）组件，便于用户以Web方式申请CA证书。 默认情况下，Windows 2003安装程序不安装证书服务。 重要说明：安装了正式服务后，计算机不能再被重新命名，也不能加入到某个域中，或者从某个域中删除。 注：为了利用证书服务的Web组件，必须先安装IIS。 架设企业根CA（2） （2）添加证书服务组件。运行“Windows组件向导”，在“组件”列表框中选中“证书服务”复选框。 （3）选择CA类型。在“CA类型”对话框中选中“企业根CA”单选按钮。 （4）CA识别信息。在“此CA的公用名称”文本框中设置此CA在Active Directory内的公用名称，此CA默认的有效年限为5年。 架设