安装配置和管理证书颁发机构2823A

2.3.7 修改发布位置的方法
演示： 演示修改和发布 AIA 和 CDP 扩展
CDP： http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl AIA： http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt
示例：中国金融认证中心（CFCA）最初层次架构设计
设计初衷： • 将 CFCA做成全国性的金融CA，向公众提供服务。 • 根CA的作用主要是负责制定和审批CA的总策略，向政策
CA发放证书，以及与国际其他PKI域的CA进行交叉认证。 • 三个政策CA则分别负责制定和审批银行、证券、保险领域
CA的策略，向运营CA发放证书。 • 运营CA则负责颁发最终用户的证书。
特点
保密性
PKI 解决方案
数据加密
完整性 不可抵赖性
散列算法+数字签名 数字签名
可用性
冗余
PKI 的组件
证书和 CA 管理工具
颁发机构
2.1.2 PKI的组件
颁发机构信息访 问和 CRL 分发点
证书模板
数字证书
证书吊销列表
使用公钥的应用程序和 服务
使用 PKI 的应用程序
2.1.3 使用 PKI 的应用程序
默认情况下，CRL 和增量 CRL 文件在 CA 的下列位置上发布： Systemroot\System32\Certsrv\Certenroll
证书颁发机构设计
用途
根 策略
位置
2.1.8 证书颁发机构设计
根
策略
S/MIME
部门
EFS
RAS
根 策略
印度
加拿大
组织单位
美国 根 策略
制造
工程
会计部
雇员 独立承包商 外部业务伙伴
安全/多用途 Internet 邮件扩充 (Secure/Multipurpose Internet Mail Extensions, S/MIME)
注只有XP和2003以及更新的OS才支 持 注意发布间隔，既要优化网络流量， 又要请客房端及时了解新吊销的证书
证书服务发布 CRL 的方式 2.3.4 证书服务发布 CRL 的方式
增量 CRL #2
吊销 Cert5
Cert5
吊销 Cert7
Cert5 Cert7
增量 CRL #3
Time
Cert3
[AuthorityInformationAccess] URL="http://ca.contoso.msft/certenroll/contoso.crt"
[certsrv_server] RenewalKeyLength=4096 RenewalValidityPeriod=20 RenewalValidityPeriodUnits=Years CRLDeltaPeriodUnits = 4 CRLPeriod = days CRLDeltaPeriod = hours CRLPeriodUnits = 2
与 Active Directory 的 使用无关
源自文库
颁发 CA 需要 Active Directory
证书申请
使用 Web 方式
可以使用“证书申请 向导”和web方式
证书申请管理
必须由CA管理员来 颁发或拒绝
证书申请的接受或拒
绝取决于所申请证书
模板的随机访问控制 列表（DACL）
CA在企业中的一般部署架构？
certutil示例
certutil -backup -p compaq c:\share 备份证书服务
certutil -getcrl MyMostRecentCRL.crl 要检索最近发布的基 CRL到MyMostRecentCRL.crl 文件中
certutil -setreg exit\smtp\CRLIssued\To E-mailString 发布证书吊销列表时给指定地址发E-mail
加密文 件系统
数字签名
智能卡登录
Internet 身份验证
Windows 2003 证书服务器
安全电子 邮件
软件限制策略
802.1x
IP 安全
软件代码 签名
使用支持 PKI 的应用程序的账户 2.1.4 使用支持 PKI 的应用程序的账户 用户
计算机 服务
PKI 工具
2.1.5 PKI 工具
目录
第 2 章 安装、配置和管理证书颁发机构
PKI 和证书颁发机构简介 安装证书颁发机构 管理证书颁发机构 备份和还原证书颁发机构
安装证书颁发机构
CAPolicy.inf 文件 安装企业从属 CA 的方法 在从属 CA 上安装证书的方法
2.2安装证书颁发机构
CAPolicy.inf 文件
2.2.1 CAPolicy.inf 文件
Superseded（取代） CessationOfOperation
智能卡失效或用户依法登记的名称改变 撤销一个 CA
CertificateHold
临时吊销 （可解除）
Unspecified
吊销一个证书 ，而不指定任何原因
CRL（证书吊销列表）
基本CRL：包含CA所有被吊销的证书 的序列号及吊销原因的列表。其发布 点CDP可通过URL访问 增量CRL：包含自上次发布基本CRL后 ，CA所有新吊销的证书序列号及吊销 原因。其发布点CDP可通过URL访问。
2.3.6发布 CRL 发布点的位置
Internet
外部 Web 服务器
防火墙
Active Directory
防火墙
发布根 CA 证 书和 CRL 到
Active Directory Web 服务器 FTP 服务器 文件服务器
FTP 服 务器
内部 Web 服 务器
文件 服务
器
离线 根 CA
修改发布位置的方法
工具
MMC 管理单元
证书模板管理单元 证书颁发机构管理单元 证书管理单元
命令行工具
Certutil.exe(对CA管理) Certreq.exe（通过REQ文件来申请）
Resource Kit 中的工 密钥恢复工具（Krt.exe）
具
Pkiview.msc
编程工具
CryptoAPI CapiCOM
certutil示例下页
吊销检查
可通过微软操作系统提供的CryptoAPI接口来实现
证书验证测试
2.3.2 证书验证测试
测试
时间有效性 证书格式 证书内容 签名检查 吊销检查 信任检查 策略验证 关键扩展
标准
当前日期和时间必须处于证书的开始日 期和到期日期之间
证书必须符合有效的 X.509 标准
所有必须的区域都必须完成
数字签名验证失败
将证书的序列号与CA 的CRL 中的所有项对 比 颁发 CA 证书的证书链必须包含受信任根或 包含在已经签名证书受信任列表(CTL) 应用程序要求证书包含特定的证书策略或 应用程序策略 如果证书包含标记为关键的扩展，但是应 用程序不能实现或使用该扩展
多媒体演示：证书链引擎
证书链引擎
根 CA
策略 CA
颁发 CA
计算机或用户 证书
课堂上不看，有兴趣课后自己看看
证书为什么需要吊销？
吊销证书的原因码
2.3.3 吊销证书的原因码
原因码
KeyCompromise
使用场合
便携式计算机被窃或智能卡遗失
CACompromise
证书管理程序吊销 CA 的证书
AffiliationChanged
已辞退员工或从组织中重新注册了
基本 CRL #1
Cert3 Cert5 Cert7
基本 CRL #4
CRL 发布间隔的规划标准
2.3.5 CRL 发布间隔的规划标准
发布间隔依靠以下几点：
客户端操作系统（2000或更早的系统无法使用增量CRL） CRL 获取网络负载 增量 CRL 大小 CRL 吊销频率 复制延迟 注册表设置客户端CRL有效期：
CRLOverlapPeriod（默认为CRL发布间隔的十分之一） CRLOverlapUnits（时间单位） ClockSkewMinutes（时差）
HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\testCA
发布 CRL 发布点的位置
[CAPolicy] Policies=CorporateITPolicy
[CorporateITPolicy] OID=1.3.6.1.4.1.311.21.43 URL="http://hr.contoso.msft/policies.html"
[CRLDistributionPoint] URL="http://ca.contoso.msft/certenroll/contoso.crl"
2.3 管理证书颁发机构
应用程序如何验正证书？
应用程序检查证书状态的方法
2.3.1 应用程序检查证书状态的方法
过程
操作
证书查找 路径验证
收集 CA 证书的过程。从存储区或
1 URL 选择证书时，这些证书都会被
缓存
2
证书链中所有证书进行验证，直到 追溯到受信任的自签名证书为止的
过程
3 确认没有被吊销的证书
CAPolicy.inf 文件是一个用于配置证书服务的可选文 件 CAPolicy.inf 文件定义了:
证书实行声明（CPS） CRL 发布间隔 CA 续订设置 密钥长度 根 CA 的有效期 CDP 和 AIA 路径
CApolicy.inf文件示例见下页：
CApolicy.inf示例：
[Version] Signature="$Windows NT$"
必须
对于根CA，都设为： Empty=True
安装企业从属 CA 的方法 2.2.2 安装企业从属 CA 的方法
演示： 演示如何安装企业从属 CA
第 2 章 安装、配置和管理证书颁发机构
PKI 和证书颁发机构简介 安装证书颁发机构 管理证书颁发机构 备份和还原证书颁发机构
管理证书颁发机构
应用程序检查证书状态的方法 证书验证测试 多媒体演示：证书链引擎 吊销证书的原因码 证书服务发布 CRL 的方式 CRL 发布间隔的规划标准 发布 CRL 发布点的位置 修改发布位置的方法
第 2 章 安装、配置和管理证书颁发机构
PKI 和证书颁发机构简介 安装证书颁发机构 管理证书颁发机构 备份和还原证书颁发机构
PKI 和证书颁发机构简介 2.1 PKI 和证书颁发机构简介
PKI PKI 的组件 使用 PKI 的应用程序 使用支持 PKI 的应用程序的账户 PKI 工具 证书颁发机构 不同证书颁发机构类型之间的差异 证书颁发机构设计 CA 层次结构中的等级
所申请的证书类型决定所颁发证书的内容
提供证书和证书状态的查询
CRL 由一个证书序列号列表组成，这些都是 CA 颁发的 不再受信任的证书
企业CA与独立CA的主要区别是什 么？
不同证书颁发机构类型之间的差异
2.1.7不同证书颁发机构类型之间的差异
独立
企业
何时使用
离线 CA
Active Directory
证书申请示例：
certreq -submit userreq.req req.cer
CA主要功能是什么？
证书颁发机构（CERTIFICATE AUTHORITY ） 2.1.6 证书颁发机构
CA 的职责：
验证证书请求者的身份
取决于接受证书申请提交的 CA 类型
签发数字证书 CA密钥的管理 管理颁发证书
CA 层次结构中的等级
2.1.9 CA 层次结构中的等级
自签名证书
根 CA
策略 CA
颁发CA
根 CA 通常会保持离线 ，因为根 CA 被侵入或向未经授权的实体颁发了 证书，组织中任何基于证书的安全措施就会变得非常容易受攻击 策略CA：CA 在受理证书请求、以及颁发证书、吊销证书和发布 CRL时 所采用的一套标准称为 CA 策略。通常情况下，CA 以一种叫做证书惯例 声明 (Certification Practice Statement, CPS) 的文档发布其策略。
示例：中国金融认证中心（CFCA）实际层次架构
由于三层结构CA的证书链较长，认证速度效率较 低，而且认证业务并没有按原来所设想的方向发展 ，政策CA实际上只建了1个，原来的初衷未能实现 。因此，CFCA后来新建的CA系统全部采用RCA — OCA两层的扁平结构，省却了政策CA这层。
示例：中国金融认证中心（CFCA）部署模型
PKI （public key infrastructure ）
2.1.1 PKI
PKI是基于公钥算法和技术，为网上通信提供安全 服务的基础设施。
PKI 是应用程序和加密技术的组合，可以让组织保 护其通信和业务事务
是创建、颁发、管理、注销公钥证书所涉及到的所 有软件、硬件的集合体。其核心元素是数字证书， 核心执行者是CA认证机构。