证书服务器的相关管理跟部署资料.pptVIP

证书服务器的相关管理和部署 福州大学 吴海东 MCSE/MCDBA, CIWSA, MOE讲师 whd1972@ 课程知识点 授权和身份验证（第 1 章） 证书服务器的相关管理和部署（第2、3 章） 智能卡相关概念和配置（第 4 章） 客户端和服务器端安全部署（第 6、7章） EFS 相关概念和操作（第5 章） 安全更新服务器的管理和部署（第9章） 数据传输安全配置与部署（第 10～13章） ISA Server 2004 概述和安装配置 （第14 、15章) ISA Server 2004 服务器配置和部署 上（第 16 ～17，第22章） ISA Server 2004 服务器配置和部署 下（第 18 ～21 章） ISA Server 2004 服务器的监视（第 23 章） 今日主题 课程导入 PKI的工作原理 实现和管理CA 配置、部署和管理证书 本章考点 QA 1 课程导入 公民 网民 身份验证 2 PKI概述 什么是PKI 通过使用非对称密钥算法技术来确保系统信息安全并负责验证数字证书持有者身份的一种体系。 PKI采用由各参与方都信任的CA来核对和验证各参与方的信任机制。 2 PKI概述 公钥架构的组成部分 非对称密钥 由非对称密钥函数生成。每个通信方都有两个Key。一般由证书申请者在本地生成，或由专门应用程序生成。 非对称函数保证了公钥和私钥的验证匹配。 数字证书 颁发机构所颁发的证书持有人的身份的数字声明。将公钥与拥有私钥的个人、计算机或服务绑在一起。 证书由各种公钥安全服务、提供身份验证的应用程序、数据完整性和通过网络的安全通信使用。 2 PKI概述 公钥架构的组成部分（续） 证书颁发机构：CA，负责审核、颁发管理和维护任务。证书使用者必须信任CA。 使用者：用户，计算机，所有的证书都是为了一定的应用程序而申请和颁发的。 证书模板 定义证书用途、颁发对象、密钥长度、有效期等参数 两种版本。在独立CA和企业CA中有区别。 2 PKI概述 公钥架构的组成部分（续） AIA：扩展指定获取CA最新证书的位置 CRL：证书吊销列表 CDP：扩展指定获取CA签名的最新CRL位置 证书和CA管理工具 2 PKI概述 使用PKI的应用程序 数字签名 智能卡登录 安全电子邮件 软件代码签名 IPSec 802.1x 软件限制 Internet身份验证 EFS PKI 的组件 使用 PKI 的应用程序 使用支持 PKI 的应用程序的账户 PKI 工具 证书颁发机构 3 实现和管理CA 实现CA 安装准备 安装操作系统并准备相关环境 安装和配置IIS 删除【更新根证书】组件 配置CAPolicy.inf文件 CA的种类 独立根CA和独立从属CA 企业根CA和企业从属CA 不同证书颁发机构类型之间的差异 3 实现和管理CA 证书吊销 吊销原因 证书服务发布CRL的方式 CA的安全控制 安全属性 CA审核 3 实现和管理CA 备份和还原CA 备份CA的方法 系统状态备份 手动备份 还原CA的方法 4 配置、部署和管理证书 配置证书模板 数字证书的概念 企业CA所颁发的证书都是基于证书模板 证书模板的操作方法 MMC AD的站点和服务 证书颁发机构 不同版本的证书模板特性 更行证书模板方法 修改原始证书模板 取代现有证书模板 在证书颁发机构中添加模板 4 配置、部署和管理证书 申请证书的方法 基于web 证书控制台 Certreq.exe 自动注册 注册代理 吊销证书方法 证书颁发机构 Certutil.exe 4 配置、部署和管理证书 管理证书 密钥恢复的原因 用户配置文件被删除 重新安装OS 磁盘损坏 计算机失窃 方法和步骤 导出密钥和证书使用的文件格式 导出密钥的方法 密钥存档和恢复 4 配置、部署和管理证书 管理证书（续） 密钥存档和恢复 密钥存档的前提条件 配置CA进行密钥存档的方法 设置KRA模板权限 配置CA颁发KRA模板 为用户颁发KRA 批准和安装KRA证书 配置CA使用恢复代理 配置新模板使用恢复代理 配置CA基于新模板颁发证书 密钥恢复过程 5 本章考点 PKI应用 模板设置 证书注销 5 本章考点 PKI应用 有一台计算机运行IIS，是对外的电子商务站点。你计划应用SSL，你不想让客户在用SSL链接你的电子商务站点时出现需要获取安全证书的提示。你需要选择一个合适的CA服务器给你的web服务器颁发SSL证书。你该选择什么类型的CA？ 5 本章考点 模板设置 安全策略要求 私钥必须能够导出； 私钥大小为2048； 私钥和证书在CA上必须能够恢复； 当私钥被使用时，提示用户并要求用户输入 5 本章考点 证书注销 你安装了一个CA服务，为员工的e-mail加密和weh站点验证