第十章电子证书服务.ppt

证书吊销 证书的吊销使得证书在自然过期之前便宣告作废。 可能的原因包括： 证书拥有者的私钥泄漏或被怀疑泄漏。 发现证书是用欺骗手段获得的。 证书拥有者的情况发生了改变。 第二十九页，共七十四页。 证书层次结构 Root CA Subordinate CA Subordinate CA Subordinate CA Trust Trust Trust 第三十页，共七十四页。 CA的层次结构 Windows Server 2003 PKI采用了分层CA模型。 第三十一页，共七十四页。 CA的层次结构 证书层次结构是一种信任模式。 在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。 1、根CA（根本权威）是一个机构的PKL中最可信任的CA类型。 通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。 在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。 2、下层CA已经被机构中的另一个CA鉴定过的CA。 第三十二页，共七十四页。 CA的层次结构 通常，下层CA针对特定的用途发放证书（例如安全电子邮件、基于web的身份验证，或者智能卡身份验证）。此外，下层CA也可以向其他的、更下层的CA发放证书。 提示:父CA和子CA彼此没有从属关系，不需要使所有的CA共享一个公共的顶级父CA(或根CA)。 第三十三页，共七十四页。 10.3 企业CA的安装与证书申请 若要使用证书服务，必须在服务器上安装并部署企业CA，然后由用户向该企业CA申请证书，使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证。 第三十四页，共七十四页。 CA模式 Windows 2003支持两类认证中心(CA)：企业CA和独立存在的CA。每类CA中都包含根CA和下层CA。 安装认证服务时可选择4种CA模式： 1. 企业根CA 2. 企业从属CA 3. 独立根CA 4. 独立从属CA 第三十五页，共七十四页。 CA模式 企业根CA 是顶级根，企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为特定的的证书类型所要求的安全性权限。 独立存在的根CA 是顶级根，它可以是，也可不是某个域的成员并不要求有活动目录。还可以断开与网络的连接 企业下层CA 在机构内发放证书，但企业下层CA不是最可信的CA。你可以利用某个企业下层CA针对特定用途发放证书。它必须有一个父CA 独立存在的下层CA 它作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。你为公司以外的实体发放证书，你应该建立独立存在的下层CA 第三十六页，共七十四页。 安装证书服务 To install Certificate Services 选择证书类型 高级设置选项 输入识别信息 指定本地数据库，日志文件和共享文件夹 第三十七页，共七十四页。 架设企业根CA（1） （1）准备工作。在企业网络中创建活动目录，将要架设为企业根CA的服务器加入至活动目录，并升级为域外控制器。安装应用程序服务Web组件，并确保添加Active Server Page（ASP）组件，便于用户以Web方式申请CA证书。 默认情况下，Windows 2003安装程序不安装证书服务。 重要说明：安装了正式服务后，计算机不能再被重新命名，也不能加入到某个域中，或者从某个域中删除。 注：为了利用证书服务的Web组件，必须先安装IIS。 第三十八页，共七十四页。 架设企业根CA（2） （2）添加证书服务组件。运行“Windows组件向导”，在“组件”列表框中选中“证书服务”复选框。 （3）选择CA类型。在“CA类型”对话框中选中“企业根CA”单选按钮。 （4）CA识别信息。在“此CA的公用名称”文本框中设置此CA在Active Directory内的公用名称，此CA默认的有效年限为5年。 第三十九页，共七十四页。 架设企业根CA（3） （5）证书数据库设置。选择证书数据库文件和日志文件的目录。 CA发出的证书默认存储在：WINNT\system32\Certlog （6）证书服务安装完成后，在“管理工具”中会增加“证书颁发机构”服务。 证书颁发机构：——用于对CA进行管理的控制台，位于安装有证书服务的服务器上。 证书服务的Web注册支持——用于请求证书的Web页。访问：服务器名/certsrv 第四十页，共七十四页。 申请和使用证书 域用户申请企业CA证书的方式有两种： 利用“证书向导”申请证书 以Web方式申请证书 独立CA申请证书时，只能通过Web浏览器方式 。 第四十一页，共七十四页。 客户端证书的申请 CA发放该证书，将它用做PKI内的安全凭证 4 Computer, User, or Service CA ~*~*~*~ CA接受证书请求 1 确认请求者信息 2