证书服务器的相关管理和部署
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 定义证书用途、颁发对象、密钥长度、有效期等参数 • 两种版本。在独立CA和企业CA中有区别。
2 PKI概述
公钥架构的组成部分(续)
– AIA:扩展指定获取CA最新证书的位置 – CRL:证书吊销列表 – CDP:扩展指定获取CA签名的最新CRL位置 – 证书和CA管理工具
使用PKI的应用程序
管理证书吊销
CRL 由一个证书序列号列表组成,这些都是 CA 颁发的 不再受信任的证书
3 实现和管理CA
实现CA
百度文库– 安装准备
• 安装操作系统并准备相关环境 • 安装和配置IIS • 删除【更新根证书】组件 • 配置CAPolicy.inf文件
– CA的种类
• 独立根CA和独立从属CA • 企业根CA和企业从属CA
– 数字签名 – 智能卡登录 – 安全电子邮件 – 软件代码签名 – IPSec – 802.1x – 软件限制 – Internet身份验证 – EFS
2 PKI概述
证书和 CA 管理 工具
颁发机构
PKI 的组件
颁发机构信息访 问和 CRL 分发点
证书模板
数字证书
证书吊销列表
启用公钥的应用程序和 服务
不同证书颁发机构类型之间的差异
独立
企业
何时使用
Active Directory
离线 CA
颁发 CA
与 Active Directory 需要 Active
的使用无关
Directory
证书申请
使用 Web 方式
可以使用“证书申请 向导”
证书申请管理
必须由证书管理程 序颁发或拒绝
证书申请的接受或拒 绝取决于所申请证书 模板的随机访问控制 列表(DACL)
– 密钥存档的前提条件 – 配置CA进行密钥存档的方法
» 设置KRA模板权限 » 配置CA颁发KRA模板 » 为用户颁发KRA » 批准和安装KRA证书 » 配置CA使用恢复代理 » 配置新模板使用恢复代理 » 配置CA基于新模板颁发证书
• 密钥恢复过程
PKI应用 模板设置 证书注销
5 本章考点
– 证书颁发机构 – Certutil.exe
4 配置、部署和管理证书
管理证书
– 密钥恢复的原因
• 用户配置文件被删除 • 重新安装OS • 磁盘损坏 • 计算机失窃
– 方法和步骤
• 导出密钥和证书使用的文件格式 • 导出密钥的方法 • 密钥存档和恢复
4 配置、部署和管理证书
管理证书(续)
• 密钥存档和恢复
使用 PKI 的应用程序
加密文 件系统
数字签名
智能卡登录
Internet 身份验证
Windows 2003 证书服务器
安全电子 邮件
软件限制策略
802.1x
IP 安全
软件代码 签名
使用支持 PKI 的应用程序的账户
用户
服务
计算机
PKI 工具
目录 MMC 管理单元
工具
证书模板管理单元 证书颁发机构管理单元 证书管理单元
证书服务器的相关管理 和部署
2020/8/21
课程知识点
1. 授权和身份验证(第 1 章)
2. 证书服务器的相关管理和部署(第2、3 章)
3. 智能卡相关概念和配置(第 4 章) 4. 客户端和服务器端安全部署(第 6、7章) 5. EFS 相关概念和操作(第5 章) 6. 安全更新服务器的管理和部署(第9章) 7. 数据传输安全配置与部署(第 10~13章) 8. ISA Server 2004 概述和安装配置 (第14 、15章) 9. ISA Server 2004 服务器配置和部署 上(第 16 ~17,第22章) 10. ISA Server 2004 服务器配置和部署 下(第 18 ~21 章) 11. ISA Server 2004 服务器的监视(第 23 章)
• MMC • AD的站点和服务 • 证书颁发机构
– 不同版本的证书模板特性 – 更行证书模板方法
• 修改原始证书模板 • 取代现有证书模板
– 在证书颁发机构中添加模板
4 配置、部署和管理证书
申请证书的方法
– 基于web – 证书控制台 – Certreq.exe – 自动注册 – 注册代理
吊销证书方法
2 PKI概述
公钥架构的组成部分
– 非对称密钥
• 由非对称密钥函数生成。每个通信方都有两个Key。一般由 证书申请者在本地生成,或由专门应用程序生成。
• 非对称函数保证了公钥和私钥的验证匹配。
– 数字证书
• 颁发机构所颁发的证书持有人的身份的数字声明。将公钥与 拥有私钥的个人、计算机或服务绑在一起。
3 实现和管理CA
证书吊销
– 吊销原因 – 证书服务发布CRL的方式
CA的安全控制
– 安全属性 – CA审核
备份和还原CA
– 备份CA的方法
• 系统状态备份 • 手动备份
– 还原CA的方法
3 实现和管理CA
4 配置、部署和管理证书
配置证书模板
– 数字证书的概念 – 企业CA所颁发的证书都是基于证书模板 – 证书模板的操作方法
• 证书由各种公钥安全服务、提供身份验证的应用程序、数据 完整性和通过网络的安全通信使用。
2 PKI概述
公钥架构的组成部分(续)
– 证书颁发机构:CA,负责审核、颁发管理和维护任务 。证书使用者必须信任CA。
– 使用者:用户,计算机,所有的证书都是为了一定的 应用程序而申请和颁发的。
– 证书模板
5 本章考点
PKI应用
– 有一台计算机运行IIS,是对外的电子商务站点。你计 划应用SSL,你不想让客户在用SSL链接你的电子商务 站点时出现需要获取安全证书的提示。你需要选择一个 合适的CA服务器给你的web服务器颁发SSL证书。你该 选择什么类型的CA?
命令行工具
Resource Kit 中的工具 编程工具
Certutil.exe Certreq.exe
密钥恢复工具(Krt.exe) Pkiview.msc
CryptoAPI CapiCOM
证书颁发机构
CA 的职责:
验证证书请求者的身份
取决于接受证书申请提交的 CA 类型
颁发证书
所申请的证书类型决定所颁发证书的内容
1. 课程导入 2. PKI的工作原理 3. 实现和管理CA 4. 配置、部署和管理证书 5. 本章考点 6. Q&A
今日主题
公民 网民 身份验证
1 课程导入
2 PKI概述
什么是PKI
– 通过使用非对称密钥算法技术来确保系统信息安全并 负责验证数字证书持有者身份的一种体系。
– PKI采用由各参与方都信任的CA来核对和验证各参与 方的信任机制。
2 PKI概述
公钥架构的组成部分(续)
– AIA:扩展指定获取CA最新证书的位置 – CRL:证书吊销列表 – CDP:扩展指定获取CA签名的最新CRL位置 – 证书和CA管理工具
使用PKI的应用程序
管理证书吊销
CRL 由一个证书序列号列表组成,这些都是 CA 颁发的 不再受信任的证书
3 实现和管理CA
实现CA
百度文库– 安装准备
• 安装操作系统并准备相关环境 • 安装和配置IIS • 删除【更新根证书】组件 • 配置CAPolicy.inf文件
– CA的种类
• 独立根CA和独立从属CA • 企业根CA和企业从属CA
– 数字签名 – 智能卡登录 – 安全电子邮件 – 软件代码签名 – IPSec – 802.1x – 软件限制 – Internet身份验证 – EFS
2 PKI概述
证书和 CA 管理 工具
颁发机构
PKI 的组件
颁发机构信息访 问和 CRL 分发点
证书模板
数字证书
证书吊销列表
启用公钥的应用程序和 服务
不同证书颁发机构类型之间的差异
独立
企业
何时使用
Active Directory
离线 CA
颁发 CA
与 Active Directory 需要 Active
的使用无关
Directory
证书申请
使用 Web 方式
可以使用“证书申请 向导”
证书申请管理
必须由证书管理程 序颁发或拒绝
证书申请的接受或拒 绝取决于所申请证书 模板的随机访问控制 列表(DACL)
– 密钥存档的前提条件 – 配置CA进行密钥存档的方法
» 设置KRA模板权限 » 配置CA颁发KRA模板 » 为用户颁发KRA » 批准和安装KRA证书 » 配置CA使用恢复代理 » 配置新模板使用恢复代理 » 配置CA基于新模板颁发证书
• 密钥恢复过程
PKI应用 模板设置 证书注销
5 本章考点
– 证书颁发机构 – Certutil.exe
4 配置、部署和管理证书
管理证书
– 密钥恢复的原因
• 用户配置文件被删除 • 重新安装OS • 磁盘损坏 • 计算机失窃
– 方法和步骤
• 导出密钥和证书使用的文件格式 • 导出密钥的方法 • 密钥存档和恢复
4 配置、部署和管理证书
管理证书(续)
• 密钥存档和恢复
使用 PKI 的应用程序
加密文 件系统
数字签名
智能卡登录
Internet 身份验证
Windows 2003 证书服务器
安全电子 邮件
软件限制策略
802.1x
IP 安全
软件代码 签名
使用支持 PKI 的应用程序的账户
用户
服务
计算机
PKI 工具
目录 MMC 管理单元
工具
证书模板管理单元 证书颁发机构管理单元 证书管理单元
证书服务器的相关管理 和部署
2020/8/21
课程知识点
1. 授权和身份验证(第 1 章)
2. 证书服务器的相关管理和部署(第2、3 章)
3. 智能卡相关概念和配置(第 4 章) 4. 客户端和服务器端安全部署(第 6、7章) 5. EFS 相关概念和操作(第5 章) 6. 安全更新服务器的管理和部署(第9章) 7. 数据传输安全配置与部署(第 10~13章) 8. ISA Server 2004 概述和安装配置 (第14 、15章) 9. ISA Server 2004 服务器配置和部署 上(第 16 ~17,第22章) 10. ISA Server 2004 服务器配置和部署 下(第 18 ~21 章) 11. ISA Server 2004 服务器的监视(第 23 章)
• MMC • AD的站点和服务 • 证书颁发机构
– 不同版本的证书模板特性 – 更行证书模板方法
• 修改原始证书模板 • 取代现有证书模板
– 在证书颁发机构中添加模板
4 配置、部署和管理证书
申请证书的方法
– 基于web – 证书控制台 – Certreq.exe – 自动注册 – 注册代理
吊销证书方法
2 PKI概述
公钥架构的组成部分
– 非对称密钥
• 由非对称密钥函数生成。每个通信方都有两个Key。一般由 证书申请者在本地生成,或由专门应用程序生成。
• 非对称函数保证了公钥和私钥的验证匹配。
– 数字证书
• 颁发机构所颁发的证书持有人的身份的数字声明。将公钥与 拥有私钥的个人、计算机或服务绑在一起。
3 实现和管理CA
证书吊销
– 吊销原因 – 证书服务发布CRL的方式
CA的安全控制
– 安全属性 – CA审核
备份和还原CA
– 备份CA的方法
• 系统状态备份 • 手动备份
– 还原CA的方法
3 实现和管理CA
4 配置、部署和管理证书
配置证书模板
– 数字证书的概念 – 企业CA所颁发的证书都是基于证书模板 – 证书模板的操作方法
• 证书由各种公钥安全服务、提供身份验证的应用程序、数据 完整性和通过网络的安全通信使用。
2 PKI概述
公钥架构的组成部分(续)
– 证书颁发机构:CA,负责审核、颁发管理和维护任务 。证书使用者必须信任CA。
– 使用者:用户,计算机,所有的证书都是为了一定的 应用程序而申请和颁发的。
– 证书模板
5 本章考点
PKI应用
– 有一台计算机运行IIS,是对外的电子商务站点。你计 划应用SSL,你不想让客户在用SSL链接你的电子商务 站点时出现需要获取安全证书的提示。你需要选择一个 合适的CA服务器给你的web服务器颁发SSL证书。你该 选择什么类型的CA?
命令行工具
Resource Kit 中的工具 编程工具
Certutil.exe Certreq.exe
密钥恢复工具(Krt.exe) Pkiview.msc
CryptoAPI CapiCOM
证书颁发机构
CA 的职责:
验证证书请求者的身份
取决于接受证书申请提交的 CA 类型
颁发证书
所申请的证书类型决定所颁发证书的内容
1. 课程导入 2. PKI的工作原理 3. 实现和管理CA 4. 配置、部署和管理证书 5. 本章考点 6. Q&A
今日主题
公民 网民 身份验证
1 课程导入
2 PKI概述
什么是PKI
– 通过使用非对称密钥算法技术来确保系统信息安全并 负责验证数字证书持有者身份的一种体系。
– PKI采用由各参与方都信任的CA来核对和验证各参与 方的信任机制。