《Windows Server 2003-创建和管理数字证书10.ppt》由会员分享,可在线阅读,更多相关《Windows Server 2003-创建和管理数字证书10.ppt(32页珍藏版)》请在三一文库上搜索。
1、第10讲创建和管理数字证书,第10讲: 创建和管理数字证书,证书介绍 设计公钥基础结构 管理证书,证书介绍,公钥基础结构介绍 理解 PKI 功能,10.1证书介绍,计算机、用户或服务,CA,*,公钥基本架构构介绍,10.1.1公钥基本架构构介绍,公钥基本结构介绍,域控制器,SSL 和 IPSec,10.1.1公钥基本架构构介绍,理解 PKI 功能,证书层次结构由不同的证书颁发机构组成 使用基于证书服务的证书层次结构称为公钥基础结构 组织可以让信任的第三方证书颁发机构为其企业根证书签名 Internet Explorer 包含几个信任的第三方证书颁发机构,10.1.2理解 PKI 功能,理解 P
2、KI 功能,发布证书证书服务可以在 Web 站点上或 Active Directory 中创建证书和发布证书 注册客户端注册是指客户端从证书颁发机构申请和接收证书的过程 使用证书一旦客户端申请和接收了证书,客户端就可以使用它来用各种方法保护它的通信安全 续订证书证书通常在有限的时间段内有效 吊销证书当 CA 管理员明确吊销一个证书时,CA 会将它添加到证书吊销列表(CRL,Certificate Revocation List),10.1.2理解 PKI 功能,理解 PKI 功能,10.1.2理解 PKI 功能,第10讲: 创建和管理数字证书,证书介绍 设计公钥基础结构 管理证书,设计公钥基本
3、架构,确定证书需求 创建 CA 基础结构 理解 Windows Server 2003 CA 类型 配置证书,10.2设计公钥基本架构,确定证书需求,身份验证: 验证某人或某物的身份 隐私: 确保该信息仅可用于指定用户 加密: 掩饰信息,使未授权的读者无法将其解密 数字签名: 提供不可否认和消息完整性,10.2.1确定证书需求,确定证书需求,10.2.1确定证书需求,创建 CA 基本结构,证书颁发机构使用层次结构工作 每个 CA 被处于更高级别的 CA 验证,直到到达根 CA 根 CA 是组织的最终颁发机构。CA 不仅向应用程序和用户颁发证书,而且向其他 CA 颁发证书,10.2.2创建 CA
4、 基本结构,证书颁发机构信任向下传递,根CA,中间CA,颁发CA,颁发CA,信任,信任,信任,10.2.2创建 CA 基本结构,创建 CA 基本结构,独立 CA: 独立于 Active Directory 可以签发证书供外部网和内部网使用 主要用于不提供 Active Directory 服务的情况下(例如:公共网站(Pucblic Web)、电子邮件服务) 不适合颁发用户登录到域的证书 企业 CA: 企业安全架构的一部分 保存在 Active Directory 的 CA 对象中 依赖于 Active Directory 支持独立 CA 所支持的所有功能和生成智能卡登录时所用的证书,10.2
5、.2创建 CA 基本结构,创建 CA 基本结构,根 CA: 成为自验证的根 CA 大多数组织最初都安装根 CA,然后使用这个 CA 认证组织中的所有其他 CA 从属 CA: 配置成联系现有的 CA ,以便在安装时接受证书 随后,通过安装父 CA 的证书来验证从属 CA,10.2.2创建 CA 基本结构,创建 CA 基本结构,10.2.2创建 CA 基本结构,理解 Windows Server 2003 CA 类型,使用内部或外部 CA CA 的数量 创建 CA 层次结构,10.2.3理解 Windows Server 2003 CA 类型,理解 Windows Server 2003 CA 类
6、型,10.2.3理解 Windows Server 2003 CA 类型,理解 Windows Server 2003 CA 类型,10.2.3理解 Windows Server 2003 CA 类型,配置证书,我需要传输安全信息,这是我的公钥,使用加密密钥传输加密的文本,接收机密文件,结束,结束,加密过的文档,公钥交换 发送者询问接收者的公钥密钥 接收者发送加密公钥 发送者使用公钥来加密信息 发送发送者的加密信息 接收者用它的私钥解密信息,接收者,传输者,10.2.4配置证书,第10讲: 创建和管理数字证书,证书介绍 设计公钥基础结构 管理证书,管理证书,理解证书注册和续订 手动申请证书 吊
7、销证书,10.3管理证书,理解证书注册和续订,企业 CA 可以使用自动注册,在自动注册过程中 CA 从客户端接收证书申请,对它们进行评估,然后自动决定是颁发证书还是拒绝请求 安装独立 CA 不能使用自动注册,必须安排一名管理员来为 CA(使用“证书颁发机构”控制台)监视传入申请,并决定是颁发证书还是拒绝这些请求,10.3.1理解证书注册和续订,手动申请证书,10.3.2手动申请证书,吊销证书,证书申请人的私钥泄露或被怀疑泄露 证书颁发机构的私钥泄露或被怀疑泄露 发现证书是用欺骗手段获得的 作为信任实体的证书申请人的状态改变 更改证书申请人的名称,10.3.3吊销证书,吊销证书,10.3.3吊销
8、证书,吊销证书,吊销证书,申请 ID,申请人姓名,二进制证书,序列号,证书颁发机构,操作 查看,树,证书颁发机构(本地),吊销的证书 颁发的证书 待定申请 不成功的申请 策略设置,Win2153A CA,24e925f1 24ef12b2 24f6d615 2553d5b7 2558fb82 2ffd8774 ,下一次发行 CRL 时,吊销的证书将出现在 CRL 上。,10.3.3吊销证书,吊销证书,证书颁发机构,控制台,窗口(W),帮助(H),操作(A),查看(V),证书颁发机构,证书服务 (本地),手动发行当前的 CRL,吊销的证书,颁发的证书,MSTest,待定申请,所有任务,不成功的申
9、,查看 从这里创建窗口,刷新,属性,帮助,发行,申请 ID,二进制证书,Serial Number,-BEGIN CERTIFICATE-. 1aaaf7000000012 -BEGIN CERTIFICATE-. 1c7d7400000014 E-. 1e41b500000016,10.3.3吊销证书,实验10-1 CA设计,目的: 阅读场景 完成相关问题 在班级讨论你的解决方案,10.3.4实验10-1 CA设计,实验10-2 CA故障诊断,目的: 阅读场景 完成相关问题 在班级讨论你的解决方案,10.3.5实验10-2 CA故障诊断,回顾,学习完本讲后,将能够: 掌握如何使用密钥加密的功能 了解证书的内容 了解证书颁发的功能,