數(shù)字證書服務器的配置與應用
《數(shù)字證書服務器的配置與應用》由會員分享,可在線閱讀,更多相關《數(shù)字證書服務器的配置與應用(58頁珍藏版)》請在裝配圖網(wǎng)上搜索。
★ 學習目標 ★ ? 熟悉數(shù)字證書的概念和功能 ? 熟悉 ? 熟悉基于 003數(shù)字證書服務的功能特點 ? 掌握基于 003數(shù)字證書服務器的安裝和配置方法 ? 掌握數(shù)字證書的使用方法 ? 掌握數(shù)字證書的管理方法 第 5講 數(shù)字證書服務器的配置與應用 重點難點 ? 熟悉基于 003數(shù)字證書服務的功能特點 ? 掌握基于 003數(shù)字證書服務器的安裝和配置方法 ? 掌握數(shù)字證書的使用方法 隨著網(wǎng)絡應用的快速發(fā)展 , 相應的安全問題也越來越明顯 , 形式各樣的安全威脅越來越突出 。 在隨之產(chǎn)生的各種網(wǎng)絡安全解決方案中 , 數(shù)字證書便是其中一種 。 與其他安全技術和解決方案相比 , 數(shù)字證書服務具有高效 、 實用 、方便使用等特點 。 本講在介紹數(shù)字證書 、 以 003操作系統(tǒng)為主 , 介紹數(shù)字證書服務器的安裝 、 配置和使用方法 。 數(shù)字證書也稱為數(shù)字標識( D)。它提供了一種在 用來標識和證明網(wǎng)絡通信雙方身份的數(shù)字信息文件。數(shù)字證書由一個權威的證書認證機構(gòu)( 行,在網(wǎng)絡中可以通過從 俗地講,數(shù)字證書就是個人或單位在 比較專業(yè)的數(shù)字證書定義是:數(shù)字證書是一個經(jīng)證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數(shù)字簽名。一般情況下,證書中還包括密鑰的有效時間,發(fā)證機關(證書授權中心)的名稱,該證書的序列號等信息,證書的格式遵循相關國際標準。 通過數(shù)字證書就可以使信息傳輸?shù)谋C苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性交易者身份的確定性這四大網(wǎng)絡安全要素得到保障。 數(shù)字證書的概念 目前,計算機網(wǎng)絡中的安全體系分為 中,非 如用戶大量使用的“用戶名稱 +密碼”的形式就屬于非 于非 以近年來 鑰基礎設施)為網(wǎng)上信息的傳輸提供了加密( 驗證( 能,在信息發(fā)送前對其進行加密處理,當對方接收到信息后,能夠驗證該信息是否確實是由發(fā)送方發(fā)送的信息,同時還可以確定信息的完整性( 即信息在發(fā)送過程中未被他人非法篡改。數(shù)字證書是 有安全操作都主要通過證書來實現(xiàn)。 包括簽署這些證書的認證、數(shù)字證書庫、密鑰備份及恢復系統(tǒng)、證書作廢系統(tǒng)、應用程序接口( 基本構(gòu)成部分。 提供前面介紹的加密和驗證功能,在此過程中需要公開密鑰和私有密鑰來支持,其中: ? 公開密鑰( 公開密鑰也稱為公共密鑰(簡稱為“公鑰”),在安全系統(tǒng)中公開密鑰不需要進行保密,是向網(wǎng)絡中的所有用戶公開的。對于一個安全系統(tǒng)來說,公開密鑰是唯一的。 ? 私有密鑰( 私有密鑰簡稱為“私鑰”,是用戶個人擁有的密碼,它存在于用戶自己的計算機或其他介質(zhì)中,只有該用戶自己才能使用。私有密鑰需要安全保存和管理。 在信息的安全傳輸中,發(fā)送信息前可以通過公開密鑰對其進行加密,接收方在接收到信息后再利用自己的私有密鑰進行解密。 開密鑰加密法 公開密鑰加密法是使用公開密鑰和私有密鑰一組密鑰來進行加密和解密處理,其中公開密鑰用來進行加密,而私有密鑰用來進行解密,這種加密和解密的處理方式也稱為“非對稱”( 密法。另外,還有一種稱為“秘密密鑰加密法”( 該算法也稱為“對稱”( 密法,這種方法在進行加密和解密的過程中都使用同一個密鑰。 圖 1 張三與李四之間利用公開密鑰加密法傳輸信息 開密鑰驗證法 數(shù)字簽名”是通過一個單向函數(shù)對要傳送的報文進行處理得到的,用以認證信息來源并核實信息是否發(fā)生變化的一個字母數(shù)字串。 用戶可以利用“公開密鑰驗證法”來對要發(fā)送的信息進行數(shù)字簽名,而對方在收到該信息后,能夠通過此數(shù)字簽名來驗證信息是否確實是由發(fā)送方發(fā)送來的,同時還可以確認信息在發(fā)送過程中是否被篡改。從實現(xiàn)原理來看,數(shù)字簽名其實就是對加密、解密的應用。簽名的過程為加密過程,查看簽名的過程為解密過程。 圖 2 數(shù)字簽名的實現(xiàn)過程 書認證機構(gòu)( 在整個加密解密過程中,僅擁有密鑰(公開密鑰和私有密鑰)是不夠的,還必須申請相應的數(shù)字證書( 數(shù)據(jù)標識( D),這樣才可能利用密鑰執(zhí)行信息加密和身份驗證操作。在這里,密鑰相當于“汽車”,而數(shù)字證書相當于“駕駛證”,只有汽車而沒有駕駛證是無法開車上路的,同樣只有駕駛證而沒有汽車也無法使駕駛證發(fā)揮作用。所以,密鑰和數(shù)字證書應該是構(gòu)成該系統(tǒng)的必備條件。為了便于數(shù)字證書的管理,出現(xiàn)了一些專門的數(shù)字證書管理機構(gòu),負責發(fā)放和管理數(shù)字證書,將這一機構(gòu)稱為“證書認證機構(gòu)”,或“認證中心”( 如圖 3所示,當用戶在申請證書時,必須輸入申請者的詳細資料:如姓名、地址、電子郵箱等,這些信息將被發(fā)送到一個稱為加密服務提供者( 程序,由 銷密鑰,以及使用密鑰執(zhí)行各種加、解密操作。 個公開密鑰和一個私有密鑰。 請者)計算機的注冊表中,然后將證書申請信息和公開密鑰一并發(fā)送到 進行加密、解密時,當用戶需要某一用戶的公開密鑰時,就會向 將得到的數(shù)字證書保存在自己的計算機中 。 圖 3 申請數(shù)字證書時提交的用戶信息 基于 A,即將 A)和“從屬 A)。其中: 1. 根 方面它可以發(fā)放用來保護電子郵件安全的證書、提供網(wǎng)站 密套接字協(xié)議層)安全傳輸?shù)淖C書、用來登錄 003域的智能卡證書、用來提供基于 一方面,根 A(從屬在大部分環(huán)境中,根 2. 從屬 屬 供網(wǎng)站 來登錄 003域的智能卡證書、用來提供基于可以發(fā)放證書給其下一層的從屬 屬 A(可能是根 可能是從屬 得證書后,才可以發(fā)放證書。 提示:對于 000、 P、 003來說,如果該計算機已經(jīng)信任了根 么他們將會自動信任該根 就是 是,當用戶將從屬 從屬 不存在以上的繼承關系。 000、 P、 003的計算機已經(jīng)信任由一些知名的 要時,用戶可以向上述知名的 這些 時,也有一些不收費的 果用戶只希望在本單位或系統(tǒng)內(nèi)部實現(xiàn)基于 以利用003提供的“證書服務”來組建自己的 后利用該 戶、供應商等發(fā)放證書,而不需要向其他 樣,當本單位或系統(tǒng)中的員工、客戶、供應商的計算機設置為信任該 可以通過自己的 圖 4 查看計算機中已信任的根證書 003中 003提供的“證書服務”可以將 003扮演 A,也可以是獨立 1. 企業(yè) 業(yè) 本域內(nèi)的用戶或計算機是無法向該企業(yè) 域內(nèi)的用戶向企業(yè) 業(yè) 證用戶是否為本域中的用戶或計算機),并根據(jù)驗證結(jié)果決定是否發(fā)放證書。 企業(yè) A( A)和企業(yè)從屬 A)兩種類型。其中,在大多數(shù)情況下,企業(yè)根 企業(yè)從屬 后才可以向其域內(nèi)的用戶或計算機以及其下屬的企業(yè)從屬 業(yè)從屬 供網(wǎng)站 來登錄 003域的智能卡證書、進行基于 2. 獨立 立 演獨立 003的獨立服務器,也可以是成員服務器或域控制器。無論用戶和計算機是否是 可以向獨立 于用戶在向獨立 像企業(yè) 以用戶需要自行輸入申請者的詳細信息和所要申請的證書類型。 獨立 A( A)和獨立從屬 A)兩種類型。其中,在多數(shù)情況下,獨立根 A。而獨立從屬 A(既可以是獨立根 可以是上層的獨立從屬 得證書,然后才可以發(fā)放證書。獨立從屬 供網(wǎng)站 來登錄 003域的智能卡證書、進行基于 由于基于 003的數(shù)字證書服務器分為企業(yè) 中企業(yè) 時只能向本企業(yè)內(nèi)部加入活動目錄的用戶提供數(shù)字證書服務。而獨立 且可以向加入活動目錄域控制器的用戶和沒有加入活動目錄域控制器的用戶提供數(shù)字證書服務。兩者相比,獨立 以本節(jié)將介紹獨立 字證書服務器的安裝和配置 裝 5 選擇要安裝的 件 圖 6 選取 “ 息服務( ” 圖 7 理器窗口 圖 8 測試 工作狀態(tài) 裝證書服務 獨立 中獨立從屬 中,父 A,也可以是其他的獨立從屬 于絕大多數(shù)中小企業(yè)來說,一般只需要配置一臺數(shù)字證書服務器即可。所以,本節(jié)僅介紹獨立根 圖 10 選取了 “ 證書服務 ” 后的系統(tǒng)提示信息 圖 11 選擇 型 圖 12 設置 識別信息 圖 9 安裝 “ 證書服務 ” 提示:如果獨立 且是以域管理員(如 身份來安裝的,則獨立 果獨立 是安裝在沒有使用 內(nèi)用戶則需要另外執(zhí)行信任此獨立 圖 13 選擇證書的保存位置 圖 14 系統(tǒng)提示在安裝證書之前需要停止 圖 16 系統(tǒng)提供的證書模板 圖 15 證書頒發(fā)機構(gòu)操作窗口 字證書的申請方法 不管是否為域用戶,都可以利用 面,以用戶為其電子郵件 體方法如下: ( 1) 在要安裝證書的計算機上打開 地址欄中輸入以下的地址: ,計算機名稱為 圖 17 . 證書申請窗口 圖 18 選擇要申請證書的類型 圖 19 輸入用戶的詳細信息 圖 21 顯示未被頒發(fā)的證書名稱 圖 20 證書申請結(jié)束后的顯示 圖 22 顯示已申請的證書 圖 23 該證書已頒發(fā) 圖 24 安裝證書之前的系統(tǒng)提示信息 圖 25 系統(tǒng)顯示證書已成功安裝 圖 26 顯示已信任的證書名稱 圖 27 顯示證書的詳細信息 書的保存和應用 在前面的介紹中,用戶一般是在要安裝證書的計算機上來申請并安裝證書。但是,在實際應用中,有時需要將申請到的證書安裝在其他的計算機上,或出于安全考慮對已申請到的證書進行安全備份,當原來的證書不小心被刪除或計算機重新安裝操作系統(tǒng)后,就可以利用備份來還原。為解決此類問題,我們需要將申請到的證書以文件形式進行保存和應用。具體方法如下: 圖 28 選擇在線安裝或下載已申請的證書 圖 29 證書鏈成功 安裝后的顯示信息 在圖 29中出現(xiàn)的“證書鏈”的概念,“證書鏈”有時也叫做“證書鏈服務”或“交叉認證”,它是一個書鏈可以擴大企業(yè)內(nèi)部 般企業(yè)內(nèi)部 法被外部的網(wǎng)絡應用所識別和信任。例如,當企業(yè)員工利用企業(yè) 時可能會遇到郵件接收者不能識別郵件的情況,或者出現(xiàn)其他的瀏覽器和服務器不能識別或信任該企業(yè) 用證書鏈服務,可以使企業(yè) 件客戶端所信任,這樣就無需為每一種軟件、每一個郵件客戶端重新申請證書,來要求他們信任企業(yè) 而低成本、高效率地實現(xiàn)了信任度的擴展。 在圖 29中,還可以單擊“下載 “下載 將 果該證書不慎被丟失,則可以在打開該證書文件所在的文件夾后,單擊鼠標右鍵,在出現(xiàn)的快捷菜單中選擇“安裝證書”重新進行安裝,如圖 30所示。 圖 30 通過已保存的證書文件來安裝證書 如果單位內(nèi)部的獨立根 003的獨立服務器上,或是安裝在沒有使用 以 003提供的“證書服務”組件來實現(xiàn)證書管理。此時,可以通過“受信任的根證書授權策略”將此獨立根 域內(nèi)的所有用戶能夠自動信任該獨立根 在下面的操作中,我們將已建立的獨立根 CA“ 證書,自動發(fā)送到域 域內(nèi)用戶自動信任獨立根 下載獨立根 首先,在域控制器( 算機上,通過以下方式從獨立根 體方法如下 圖 31 獨立根 書申請窗口 圖 32 選擇下載證書的類型 提示:對于根 此,可以選擇圖 33和圖 34中的任一種方式。 圖 33 保存證書文件 圖 34 保存證書鏈文件 圖 35 導出計算機中已有的證書 入數(shù)字證書 下面,可以將前面申請或?qū)С龅?信任的根證書授權策略”中,具體方法如下: ( 1) 在域控制器(本例為 ,選擇“開始” → “程序” → “管理工具” → “域安全策略” → “安全設置” → “公鑰策略”,打開如圖 36所示的窗口。 圖 36 域安全策略設置窗口 圖 37 輸入要導入的證書文件 圖 38 選擇證書存儲的系統(tǒng)區(qū)域 圖 39 導入的證書信息 圖 40 顯示所導入的證書 完成以上的操作之后,凡是加入該域的用戶都會自動應用此策略,都會自動信任上述的獨立根 內(nèi)的計算機并不會馬上應用此策略,如果要應用此策略,需要具有以下的條件之一: · 重新啟動計算機。 · 等待策略自動生效。一般域控制器需要大約 5分鐘左右的時間,如果是隸屬于域內(nèi)的其他計算機,大約需要 90~120分鐘的時間。 圖 41 令的執(zhí)行過程和結(jié)果 圖 42 顯示已信任的證書 下面,以用戶郵箱 wq@紹利用 字簽名是利用發(fā)送方的私有密鑰進行加密,在接收方利用發(fā)送方的公開密鑰進行解密。當用戶 戶 用戶 利用用戶 體過程如下: 字證書應用舉例 圖 43 選取郵件賬戶 圖 44 選取證書 圖 47 用戶 收到一份由用戶 送過來的經(jīng)過簽名的電子郵件 圖 48 用戶 通訊地址 圖 49 用戶 數(shù)字標識 圖 50 安全提示信息 圖 51 系統(tǒng)提示該電子郵件已經(jīng)過安裝檢查 圖 52 系統(tǒng)安全警告 圖 53 系統(tǒng)提示 “ 簽名數(shù)字標識不可取 ” 子郵件的加密 簽名是利用發(fā)送者的私有密鑰,而加密則是利用接收者的公開密鑰。因為,當用戶戶 以下面用戶 體方法如下: 圖 54 對郵件同時進行加密和簽名處 理 圖 55 用戶 收到由用戶 送的同時經(jīng)過加密和簽名的電子郵件 如果該郵件在傳輸過程中出現(xiàn)問題(如被他人篡改、證書已到期等),將會出現(xiàn)如圖 52所示的警告信息。 圖 56 查看電 子郵件的內(nèi)容 ,可以通過對系統(tǒng)狀態(tài)的操作來實現(xiàn)對 1. 對于數(shù)字證書系統(tǒng)來說, 了防止系統(tǒng)出現(xiàn)故障或重新安裝操作系統(tǒng)后丟失 議網(wǎng)絡管理員對 體方法如下: 字證書的管理 圖 57 選擇 “ 備份 ” 操作 圖 5 8 選擇要備份的內(nèi)容和備份文件夾的存儲位置 2. 恢復到故障前的狀態(tài)。具體操作方法為 圖 59 設置備份文件夾的密碼 圖 60 完成備份設置 圖 61 系統(tǒng)提示要暫停證書服務 圖 62 選擇還原的項目及還原文件的位置 練一練:在已配置的數(shù)字證書服務器上,首先對 后利用備份的數(shù)據(jù)來還原 圖 63 輸入文件的還原密碼 圖 64 結(jié)束設置 加證書模板 “證書模板”是 65中顯示的是 中每一個模板內(nèi)會包含多種不同用途的證書,例如“計算機”模板就包含了“客戶端驗證”和“服務器驗證”兩種證書,如圖 66所示。 圖 65 企業(yè) 供的證書模板 圖 66 “ 計算機 ” 模板所包含的證書類型 另外,企業(yè) 戶在使用之前可以通過以下的方法來啟用:在如圖 65中選取“證書模板”,單擊鼠標右鍵,在出現(xiàn)的快捷菜單中選擇“新建” → “要頒發(fā)的證書模板”,打開如圖 67所示的對話框。在該對話框中提供了大量非常實用的證書模板,如 戶可以在該對話框中選取要使用的證書模板,然后單擊“確定”按鈕進行啟用。 圖 67 啟用新的證書模板 獨立 如果獨立 夠由該獨立 通過以下的方法來進行: 提示:在修改了證書的頒發(fā)方式后,必須重新啟動該證書服務后,所進行的設置才會生效。 圖 68 “ 策略模板 ” 設置對話框 圖 69 將請求方式設置為自動頒發(fā) 書的吊銷管理 用戶申請到的每一類證書都有一定的使用期限,例如“電子郵件保護證書”自申請后的使用期限為 1年。當證書的使用期限到期后,系統(tǒng)會自動進行吊銷。另外,在證書還未到期之前,證書管理員也可以吊銷該證書。例如,企業(yè)的某一員工離開公司后,就可以將其使用的證書進行吊銷處理。 1. 吊銷證書 證書管理員可以通過以下方法來吊銷尚未到期的證書:在“證書頒發(fā)機構(gòu)”窗口中選取“頒發(fā)的證書”,已申請使用的證書將會顯示在列表中,如圖 70所示 圖 70 正在使用中的證書 書的吊銷管理 用戶申請到的每一類證書都有一定的使用期限,例如“電子郵件保護證書”自申請后的使用期限為 1年。當證書的使用期限到期后,系統(tǒng)會自動進行吊銷。另外,在證書還未到期之前,證書管理員也可以吊銷該證書。例如,企業(yè)的某一員工離開公司后,就可以將其使用的證書進行吊銷處理。 1. 吊銷證書 證書管理員可以通過以下方法來吊銷尚未到期的證書:在“證書頒發(fā)機構(gòu)”窗口中選取“頒發(fā)的證書”,已申請使用的證書將會顯示在列表中,如圖 71所示 圖 71 正在使用中的證書 圖 72 . 顯示已被吊銷的證書 2. 發(fā)布“證書吊銷列表( 當某些用戶的證書被吊銷后,網(wǎng)絡中的用戶如何才能知道哪些用戶的證書被吊銷了呢?首先, 書吊銷列表”發(fā)布出去,之后計算機在網(wǎng)上下載了這個“證書吊銷列表”后,就可以知道有哪些證書已經(jīng)被吊銷了。 書吊銷列表”。 圖 73 設置 發(fā)布時間參數(shù) 圖 74 選擇要發(fā)布的 類型 3. 下載“證書吊銷列表( 網(wǎng)絡中的計算機如何能夠下載“證書吊銷列表”呢?在 書吊銷列表”后,網(wǎng)絡中的計算機可以通過自動下載和手工下載兩種方式來下載“證書吊銷列表”。 ( 1) 自動下載。 圖 75 選擇自動下載 圖 76 選擇自動下載 ( 2) 手工下載。 提示:如果不是第一次進行如上所述的手工下載操作,并且在如圖 73中設置了“發(fā)布增量 那么,在打開的如圖 78所示的列表中將出多出一項名為“下載最新的增量 項,單擊該鏈接,可以下載最新的 圖 77 證書申請窗口 圖 78 下載最新的基 戶證書的導入和導出 作為用戶在網(wǎng)絡中身份象征的數(shù)字證書,用戶一定要妥善保存。一般情況下,當安裝了證書后,為了防止將來證書的丟失(如操作系統(tǒng)故障,證書被誤刪除等),就可以利用備份的證書文件來恢復。用戶可以利用 圖 79 選取證書 圖 80 選取導出方式 圖 81 選擇導出文件使用的格式 圖 82 設置導出文件的密碼 圖 83 選擇導出文件的保存位置 圖 84 證書文件導出設置完成 圖 85 高級證書申請 圖 86 選擇證書類別 圖 87 設置用戶信息和密碼選項 通過以上方式申請到的證書,私有密鑰是可以導出到文件中的。 書到期前的更新 每一類證書在申請后都有一定的使用期限,如果證書在到期后用戶還要繼續(xù)使用該證書,則可以對其進行更新操作。 提示:根 從屬 以從屬 設根 年,而從屬 年,那么當該根 年時如果從屬么從屬 年。但是,當根 年時,這時從屬 年。 為此,在多 般建議對根 其能夠盡可能地為從屬 于大部分只有一個 需要對僅有的這一臺數(shù)字證書服務器進行操作即可,而不必關心不同 1. 對于 以通過以下的方法來完成: ( 1) 選擇“開始” → “程序” → “管理工具” → “證書頒發(fā)機構(gòu)”,打開“證書頒發(fā)機構(gòu)”窗口。 圖 88 更新 證書 2. 用戶證書的更新方法 用于用戶來說,則可以通過以下方式來更新所申請到的證書(以 P ( 1) 選擇“開始” → “運行”,在出現(xiàn)的對話框中輸入 打開的對話框中選擇“文件 → 添加 /刪除管理員單元”,如圖 89所示 圖 89 選取 “ 添加 / 刪除管理單元 ” 圖 90 添加 “ 證書 ” 圖 91 選取 “ 我的用戶帳戶 ” 圖 92 顯示新建的證書 圖 93 用戶證書的更新操作 根據(jù)網(wǎng)絡安全應用和管理的需要,許多單位都建立了自己的 為用戶提供證書服務。本章首先介紹了數(shù)字證書、 著以基于 003操作系統(tǒng)的 “ 獨立 的安裝和使用為例,詳細介紹了數(shù)字證書的申請、使用和管理方法。相信讀者通過對本章內(nèi)容的學習,能夠結(jié)合自己的網(wǎng)絡安全需求,安裝和使用 能夠根據(jù)應用需要使用數(shù)字證書服務。- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 數(shù)字證書 服務器 配置 應用
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://m.hcyjhs8.com/p-10275.html