证书服务器配置与管理 共33页
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
处理挂起的证书请求
16
管理证书服务器
处理颁发的证书
17
目录
客户端申请和安装证书
18
安装CA证书
• 安装受信任的CA根证书
访问证书服务器
19
安装CA证书
下载CA证书页面
20
安装CA证书
• 证书下载到本地磁 盘后,可以安装到 操作系统中。在IE 浏览器中选择“工 具”/“Internet选 项”/“内容”/“证 书”,打开“证书” 对话框,选择“受 信任的根证书颁发 机构”选项卡,单 击“导入”按钮, 进入证书导入向导。
• 证书服务安装完成后,在证书服务器上将增加一 个共享文件夹%SystemRoot%\system32\ certsrv\CertEnroll,下面存放CA的根证书和证 书撤销列表(CRL)文件。
• 同时,在服务器的IIS服务中将增加证书服 务的Web服务。
15
管理证书服务器
• “证书颁发机构”管理证书服务器
31
小结
本章介绍了Windows Server 2019证书服务的 安装与配置,给出了完整的用户申请数字证书的过 程,并以安全电子邮件为例,介绍了使用Outlook Express电子邮件程序实现邮件的签名与加密的安 全服务。
使用Windows Server 2019证书服务可以架构 企业内部自己的CA中心,依靠数字证书应用拓展网 络安全服务与应用。
查询证书申请
28
证书应用
• 运行Outlook Express,选择“工具”菜单中的“账户”, 弹出 “Internet账户”对话框。选择“邮件”选项卡,选 择邮箱账户,单击“属性”按钮。
邮件账户设置
29
证书应用
为邮件安全服务添加证书
选择证书
30
证书应用
使用Outlook Express签名和加密邮件
32
• 证书服务的基本概念 • 安装与配置证书服务器 • 客户端证书安装与使用
2
目录
证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书
3
证书服务的基本概念
• 公钥数字证书(又称为公钥证书、数字证书、 Certificates)简称证书,是用于绑定实体身份和公钥信 息的经过权威机构数字签名的声明,以文件的形式存在, 证书将公钥与保存对应私钥的实体绑定在一起。
9
安装证书服务
安装Windows Server 2019证书服务组件
证书服务子组件详细信息 10
安装证书服务
• 设置CA类型
11
安装证书服务
• 选择加密服务提供程序
12
安装证书服务
• 设置CA的公用名称
13
安装证书服务
• 证书数据库设置
14
安装证书服务
• 完成安装后,系统重新启动IIS服务。在“管理工 具”应用程序组中添加了“证书颁发机构”管理 控制台,管理员使用它可以进行证书服务的管理 与设置。
选择证书导入文件
21
安装CA证书
选择证书导入区域
22
安装CA证书
• “受信任的根证书颁发机构”区域内将增加刚下载 的CA证书。
23
申请并安装客户证书
申请用户证书页面
24
申请并安装客户证书
申请电子邮 件保护证书
25
申请并安装客户证书
证书申请页面
26
申请并安装客户证书
查询证书申请的状态
27
申请并安装客户证书
• 使用公钥加密数据(数据加密),只能使用对应的私钥 解密(数据解密)。
• 使用私钥加密数据 (称数字签名),wenku.baidu.com只能使用对应公钥 解密(签名验证)。
5
证书服务的基本概念
• 广泛应用的证书格式基于国际
电信联盟电信标准部门(ITU-T)
版本号
CA 私钥
建议的X.509v3 标准。
序列号
• X.509 证书包括公钥和有关证 书授予的人员或实体的信息、
发者(Issuer)和签名者是CA。
扩展项
CA签 名
6
证书服务的基本概念
• 证书只在证书颁发者对该证书指定的时间段内有 效。每个证书包含“有效期从”和“有效期至” 日期,这两个日期设置了证书有效期的界限。一 旦超过证书的有效期,证书持有者必须重新请求 证书。
• 如果因为某种原因,如证书主体私钥泄密、证书 主体身份变更等,必须撤销证书的使用,颁发者 可以吊销证书。每个颁发者(CA)维护一个证书 吊销列表(CRL)。
7
证书服务的基本概念
• IE浏览器,“工 具”/“Internet选项” 菜单,选择“内容” 选项卡,单击“证书” 按钮。对话框包括 “个人”、“其他 人”、“中级证书颁 发机构”、“受信任 的根证书颁发机构” 等不同证书存储区域。
8
目录
证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书
签名和哈希算法 颁 发 者 X .5 0 0 惟 一 识 别 名
有关证书的有效期、用途等信 息,以及有关颁发证书的CA的
有效期 主 体 X .5 0 0 惟 一 识 别 名
散 签名生成 列
信息。
主体公钥信息
•
实体的主题(或主体,Subject) 标示证书的持有者,证书的颁
颁 发 者 惟 一 标 识 符 (可 选 ) 主 体 惟 一 标 识 符 (可 选 )
证书服务配置与管理
学习目标
公钥基础设施PKI是目前实施网络安全应用的主要技术, 其核心技术即使用公钥数字证书实现主体身份和公钥的绑定, 制成各种安全机制的应用。Windows Server 2019提供了 公钥证书管理工具,使用该工具可以方便产生、颁发、注销 数字证书,架构企业自己的认证中心。本章介绍证书服务器 的配置与管理,包括以下主要内容:
• 证书一般由可信的权威第三方CA中心(权威授权机构) 颁发, CA 对其颁发的证书进行数字签名,以保证所颁发 证书的完整性和可鉴别性。
• CA可以为用户、计算机或服务等各类实体颁发证书。
4
证书服务的基本概念
• 公钥证书以公钥密码算法为基础。公钥密码算法基于复 杂数学问题构建公钥和私钥的映射关系。
16
管理证书服务器
处理颁发的证书
17
目录
客户端申请和安装证书
18
安装CA证书
• 安装受信任的CA根证书
访问证书服务器
19
安装CA证书
下载CA证书页面
20
安装CA证书
• 证书下载到本地磁 盘后,可以安装到 操作系统中。在IE 浏览器中选择“工 具”/“Internet选 项”/“内容”/“证 书”,打开“证书” 对话框,选择“受 信任的根证书颁发 机构”选项卡,单 击“导入”按钮, 进入证书导入向导。
• 证书服务安装完成后,在证书服务器上将增加一 个共享文件夹%SystemRoot%\system32\ certsrv\CertEnroll,下面存放CA的根证书和证 书撤销列表(CRL)文件。
• 同时,在服务器的IIS服务中将增加证书服 务的Web服务。
15
管理证书服务器
• “证书颁发机构”管理证书服务器
31
小结
本章介绍了Windows Server 2019证书服务的 安装与配置,给出了完整的用户申请数字证书的过 程,并以安全电子邮件为例,介绍了使用Outlook Express电子邮件程序实现邮件的签名与加密的安 全服务。
使用Windows Server 2019证书服务可以架构 企业内部自己的CA中心,依靠数字证书应用拓展网 络安全服务与应用。
查询证书申请
28
证书应用
• 运行Outlook Express,选择“工具”菜单中的“账户”, 弹出 “Internet账户”对话框。选择“邮件”选项卡,选 择邮箱账户,单击“属性”按钮。
邮件账户设置
29
证书应用
为邮件安全服务添加证书
选择证书
30
证书应用
使用Outlook Express签名和加密邮件
32
• 证书服务的基本概念 • 安装与配置证书服务器 • 客户端证书安装与使用
2
目录
证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书
3
证书服务的基本概念
• 公钥数字证书(又称为公钥证书、数字证书、 Certificates)简称证书,是用于绑定实体身份和公钥信 息的经过权威机构数字签名的声明,以文件的形式存在, 证书将公钥与保存对应私钥的实体绑定在一起。
9
安装证书服务
安装Windows Server 2019证书服务组件
证书服务子组件详细信息 10
安装证书服务
• 设置CA类型
11
安装证书服务
• 选择加密服务提供程序
12
安装证书服务
• 设置CA的公用名称
13
安装证书服务
• 证书数据库设置
14
安装证书服务
• 完成安装后,系统重新启动IIS服务。在“管理工 具”应用程序组中添加了“证书颁发机构”管理 控制台,管理员使用它可以进行证书服务的管理 与设置。
选择证书导入文件
21
安装CA证书
选择证书导入区域
22
安装CA证书
• “受信任的根证书颁发机构”区域内将增加刚下载 的CA证书。
23
申请并安装客户证书
申请用户证书页面
24
申请并安装客户证书
申请电子邮 件保护证书
25
申请并安装客户证书
证书申请页面
26
申请并安装客户证书
查询证书申请的状态
27
申请并安装客户证书
• 使用公钥加密数据(数据加密),只能使用对应的私钥 解密(数据解密)。
• 使用私钥加密数据 (称数字签名),wenku.baidu.com只能使用对应公钥 解密(签名验证)。
5
证书服务的基本概念
• 广泛应用的证书格式基于国际
电信联盟电信标准部门(ITU-T)
版本号
CA 私钥
建议的X.509v3 标准。
序列号
• X.509 证书包括公钥和有关证 书授予的人员或实体的信息、
发者(Issuer)和签名者是CA。
扩展项
CA签 名
6
证书服务的基本概念
• 证书只在证书颁发者对该证书指定的时间段内有 效。每个证书包含“有效期从”和“有效期至” 日期,这两个日期设置了证书有效期的界限。一 旦超过证书的有效期,证书持有者必须重新请求 证书。
• 如果因为某种原因,如证书主体私钥泄密、证书 主体身份变更等,必须撤销证书的使用,颁发者 可以吊销证书。每个颁发者(CA)维护一个证书 吊销列表(CRL)。
7
证书服务的基本概念
• IE浏览器,“工 具”/“Internet选项” 菜单,选择“内容” 选项卡,单击“证书” 按钮。对话框包括 “个人”、“其他 人”、“中级证书颁 发机构”、“受信任 的根证书颁发机构” 等不同证书存储区域。
8
目录
证书服务的基本概念 安装与配置证书服务 客户端申请和安装证书
签名和哈希算法 颁 发 者 X .5 0 0 惟 一 识 别 名
有关证书的有效期、用途等信 息,以及有关颁发证书的CA的
有效期 主 体 X .5 0 0 惟 一 识 别 名
散 签名生成 列
信息。
主体公钥信息
•
实体的主题(或主体,Subject) 标示证书的持有者,证书的颁
颁 发 者 惟 一 标 识 符 (可 选 ) 主 体 惟 一 标 识 符 (可 选 )
证书服务配置与管理
学习目标
公钥基础设施PKI是目前实施网络安全应用的主要技术, 其核心技术即使用公钥数字证书实现主体身份和公钥的绑定, 制成各种安全机制的应用。Windows Server 2019提供了 公钥证书管理工具,使用该工具可以方便产生、颁发、注销 数字证书,架构企业自己的认证中心。本章介绍证书服务器 的配置与管理,包括以下主要内容:
• 证书一般由可信的权威第三方CA中心(权威授权机构) 颁发, CA 对其颁发的证书进行数字签名,以保证所颁发 证书的完整性和可鉴别性。
• CA可以为用户、计算机或服务等各类实体颁发证书。
4
证书服务的基本概念
• 公钥证书以公钥密码算法为基础。公钥密码算法基于复 杂数学问题构建公钥和私钥的映射关系。