WindowsServer-创建和管理数字证书1033页
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
理解 PKI 功能
10.1.2理解 PKI 功能
第10讲: 创建和管理数字证书
证书介绍 设计公钥基础结构 管理证书
设计公钥基本架构
10.2设计公钥基本架构
确定证书需求 创建 CA 基础结构 理解 Windows Server 2019 CA 类型 配置证书
确定证书需求
10.2.1确定证书需求
的证书
创建 CA 基本结构
10.2.2创建 CA 基本结构
根 CA:
成为自验证的根 CA 大多数组织最初都安装根 CA,然后使用这个 CA 认证组
织中的所有其他 CA
从属 CA:
配置成联系现有的 CA ,以便在安装时接受证书 随后,通过安装父 CA 的证书来验证从属 CA
创建 CA 基本结构
安全证书来使用
公钥基本结构介绍
证书服务
颁发 或吊销证书
10.1.1公钥基本架构构介绍
Active Directory
颁发证书
来自百度文库
具有 PKI 功能 的应用程序
域客户端计算机
SSL 和 IPSec
域控制器
理解 PKI 功能
证书层次结构由不 同的证书颁发机构 组成 使用基于证书服务 的证书层次结构称 为公钥基础结构 组织可以让信任的 第三方证书颁发机 构为其企业根证书 签名 Internet Explorer 包 含几个信任的第三 方证书颁发机构
第10讲: 创建和管理数字证书
证书介绍 设计公钥基础结构 管理证书
证书介绍
公钥基础结构介绍 理解 PKI 功能
10.1证书介 绍
公钥基本架构构介绍
10.1.1公钥基本架构构介绍
计算机、用户或服务
1 CA 接收一个认证请 求
2 验证信息
3 使用私钥把数字签名
发送给申请者
~*~*~*~
4
CA
颁发数字签名作为
根 CA
信任 信任
信任
从属 CA
从属 CA
从属 CA
理解 Windows Server 2019 CA 类型
10.2.3理解 Windows Server 2019 CA 类型
配置证书
10.2.4配置证书
接收者
传输者
我需要传输安全信息 这是我的公钥 使用加密密钥传输加 密的文本 加密过的文档
公钥交换 发送者询问接收者 的公钥密钥 接收者发送加密公 钥 发送者使用公钥来 加密信息 发送发送者的加密 信息 接收者用它的私钥 解密信息
身份验证: 验证某人或某物的身份
隐私: 确保该信息仅可用于指定用户
加密: 掩饰信息,使未授权的读者无法将其解密
数字签名: 提供不可否认和消息完整性
确定证书需求
10.2.1确定证书需求
用途
描述
安全电子邮件 确保电子邮件消息的完整性、原始性和机密性
软件代码签名 使用数字签名,确保分布式软件的完整性
接收机密文件
结束
结束
第10讲: 创建和管理数字证书
证书介绍 设计公钥基础结构 管理证书
管理证书
理解证书注册和续订 手动申请证书 吊销证书
10.3管理证书
理解证书注册和续订
10.3.1理解证书注册和续订
企业 CA
可以使用自动注册,在自动注册过程中 CA 从客 户端接收证书申请,对它们进行评估,然后自 动决定是颁发证书还是拒绝请求
证书颁发机构使用层次结构工作
每个 CA 被处于更高级别的 CA 验证,直到到达根 CA
根 CA 是组织的最终颁发机构。CA 不仅向应用程序 和用户颁发证书,而且向其他 CA 颁发证书
证书颁发机构信任向下传递 10.2.2创建 CA 基本结构
根CA
信任
信任
中间CA
信任
颁发CA
颁发CA
创建 CA 基本结构
安装独立 CA
不能使用自动注册,必须安排一名管理员来为 CA(使用“证书颁发机构”控制台)监视传入 申请,并决定是颁发证书还是拒绝这些请求
手动申请证书
10.3.2手动申请证书
吊销证书
10.3.3吊销证书
证书申请人的私钥泄露或被怀疑泄露 证书颁发机构的私钥泄露或被怀疑泄露 发现证书是用欺骗手段获得的 作为信任实体的证书申请人的状态改变 更改证书申请人的名称
10.1.2理解 PKI 功能
理解 PKI 功能
10.1.2理解 PKI 功能
发布证书 证书服务可以在 Web 站点上或 Active Directory 中创 建证书和发布证书 注册客户端 注册是指客户端从证书颁发机构申请和接收证书的 过程 使用证书 一旦客户端申请和接收了证书,客户端就可以使用 它来用各种方法保护它的通信安全 续订证书 证书通常在有限的时间段内有效 吊销证书 当 CA 管理员明确吊销一个证书时,CA 会将它添加 到证书吊销列表(CRL,Certificate Revocation List)
安全网络通信 为 Web 服务器和客户端之间的通信提供身份验证和加密
安全网站
验证对安全网站的访问
智能卡登录
验证使用智能卡登录的用户
IPSec 客户端验 证
为两台使用 IPSec 的主机之间的通信提供身份验证
文件加密系统 保护 EFS 文件加密密钥
创建 CA 基本结构
10.2.2创建 CA 基本结构
10.2.2创建 CA 基本结构
理解 Windows Server 2019 CA 类型
10.2.3理解 Windows Server 2019 CA 类型
使用内部或外部 CA CA 的数量 创建 CA 层次结构
理解 Windows Server 2019 CA 类型
10.2.3理解 Windows Server 2019 CA 类型
10.2.2创建 CA 基本结构
独立 CA:
独立于 Active Directory 可以签发证书供外部网和内部网使用 主要用于不提供 Active Directory 服务的情况下(例如:公共
网站(Pucblic Web)、电子邮件服务) 不适合颁发用户登录到域的证书
企业 CA:
企业安全架构的一部分 保存在 Active Directory 的 CA 对象中 依赖于 Active Directory 支持独立 CA 所支持的所有功能和生成智能卡登录时所用
吊销证书
10.3.3吊销证书
吊销证书
证书颁发机构 操作 查看 树
证书颁发机构(本地) Win2153A CA 吊销的证书 颁发的证书 待定申请 不成功的申请 策略设置
10.3.3吊销证书
申请 ID
申请人姓名
二进制证书
2
NWTRADERS… ----BEGIN CERT