《计算机网络操作系统(第二版)——Windows Server 2008配置与管理教学课件 张浩军 第13章证书服务配置与管理》由会员分享,可在线阅读,更多相关《计算机网络操作系统(第二版)——Windows Server 2008配置与管理教学课件 张浩军 第13章证书服务配置与管理(34页珍藏版)》请在金锄头文库上搜索。
1、21世纪高等院校规划教材,计算机网络操作系统(第二版) Windows Server 2008配置与管理,主 编 张浩军 赵玉娟,中国水利水电出版社,第13章 证书服务配置与管理,本章学习目标,Windows Server 2008提供了公钥证书管理工具,使用该工具可以方便的产生、颁发和注销数字证书,架构企业自己的认证中心。本章介绍证书服务器的配置与管理,包括以下主要内容: 证书服务的基本概念 安装与配置证书服务器 客户端证书安装与使用,目 录,13.1 证书服务的基本概念 13.2 安装与配置证书服务 13.3 客户端申请和安装证书,13.1 证书服务的基本概念,公钥数字证书(又称为公钥证书
2、、数字证书、Certificates)简称证书,是用于绑定实体身份和公钥信息的经过权威机构数字签名的声明,以文件的形式存在,证书将公钥与保存对应私钥的实体绑定在一起。 证书一般由可信的权威第三方CA中心(权威授权机构)颁发, CA 对其颁发的证书进行数字签名,以保证所颁发证书的完整性和可鉴别性。 CA可以为用户、计算机或服务等各类实体颁发证书。,13.1 证书服务的基本概念,公钥证书以公钥密码算法为基础。公钥密码算法基于复杂数学问题构建公钥和私钥的映射关系。 使用公钥加密数据(数据加密),只能使用对应的私钥解密(数据解密)。,使用私钥加密数据(称数字签名),只能使用对应公钥解密(签名验证)。,
3、13.1 证书服务的基本概念,广泛应用的证书格式基于国际电信联盟电信标准部门(ITU-T)建议的X.509v3 标准。 X.509 证书包括公钥和有关证书授予的人员或实体的信息、有关证书的有效期、用途等信息,以及有关颁发证书的CA的信息。 实体的主题(或主体,Subject)标示证书的持有者,证书的颁发者(Issuer)和签名者是CA。,13.1 证书服务的基本概念,证书只在证书颁发者对该证书指定的时间段内有效。每个证书包含“有效期从”和“有效期至”日期,这两个日期设置了证书有效期的界限。一旦超过证书的有效期,证书持有者必须重新请求证书。 如果因为某种原因,如证书主体私钥泄密、证书主体身份变更
4、等,必须撤销证书的使用,颁发者可以吊销证书。每个颁发者(CA)维护一个证书吊销列表(CRL)。,13.1 证书服务的基本概念,IE浏览器,“工具”/“Internet选项”菜单,选择“内容”选项卡,单击“证书”按钮。对话框包括“个人”、“其他人”、“中级证书颁发机构”、“受信任的根证书颁发机构”等不同证书存储区域。,目 录,13.1 证书服务的基本概念 13.2 安装与配置证书服务 13.3 客户端申请和安装证书,13.2.1 安装证书服务,Windows Server 2008操作系统内置了证书服务角色,安装该角色可以构建自己的CA中心,适合中小企业构建自己的安全基础设施PKI应用。 步骤一
5、、安装证书服务,单击“开始”/“程序”/“管理工具”/“服务器管理”,打开“服务器管理”窗口,选择“角色”选项,单击“添加角色”按钮,打开“添加角色”向导。在如图13-4所示的对话框中,选择“Active Directory证书服务”复选框,单击“下一步”继续。,13.2.1 安装证书服务,步骤二、在 “Active Directory证书服务简介”对话框中,给出了Windows Server 2008证书服务的基本介绍。单击“下一步”按钮,打开“选择角色服务”对话框,如图13-5所示。选择为Active Directory证书服务安装的角色服务,单击“下一步”继续。 步骤三、出现“安装类型”
6、对话框,为证书服务选择安装类型,可以选择“企业CA”或者“独立CA”。若服务器不是域控制器,并且未加入域,则企业单选按钮为不可用状态。单击“下一步”继续。,13.2.1 安装证书服务,步骤四、在 “CA类型”对话框中,由于当前是第一次安装,并且是惟一的证书颁发机构,因此点选“根CA”选项,单击“下一步”继续。 步骤五、若要生成证书并颁发给客户端,CA必须有一个私钥。在“设置私钥”对话框中可以指定要新建私钥还是使用现有私钥。若是第一次安装CA,且当前没有私钥,可点选“新建私钥”选项;若不是第一次安装CA,为确保与先前颁发的证书的连续性,可点选“使用现有私钥”按钮,如图13-7所示。单击“下一步”
7、继续。,13.2.1 安装证书服务,步骤六、在如图13-8所示“配置加密”对话框中进行加密服务提供程序的设置,选择散列算法(建议选用SHA-1)和密匙长度的设置。根据安全应用的需要可以选择512、1024或2048位密钥长度,密钥长度越高,CA证书的安全性越强,但是会增加完成签名操作所需要的时间。单击“下一步”继续。 步骤七、在如图13-9所示“配置CA名称”对话框中输入该CA的公用名称,本例中设置为Henan University of Technology,即CA的公用名称CN(Common Name)为Henan University of Technology。用户可以任意设置本企业的
8、标识名称,单击“下一步”继续。,13.2.1 安装证书服务,步骤八、在“设置有效期”对话框中,设置此CA生成的证书的有效期,默认证书的有效期限为5年,CA仅在有效期内才能颁发有效的证书。单击“下一步”继续。 步骤九、在如图13-10所示对话框中设置证书数据库以及证书日志的存储路径,使用默认值即可。单击“下一步”继续。,13.2.1 安装证书服务,步骤十、由于要同时安装“证书颁发机构Web注册”功能,因此单击“下一步”按钮时,显示“Web服务器(IIS)”对话框,显示IIS的简介信息,单击“下一步”按钮,出现Web服务的“选择角色服务”对话框中,选择为Web服务器(IIS)安装的角色服务。此处保
9、持默认设置即可,单击“下一步”继续。 步骤十一、出现“确认安装选择”对话框,该对话框中列出了将要安装的角色。单击“安装”按钮继续,开始安装证书服务及相关组件。安装完成后,在“安装结果”对话框中显示安装成功,单击“关闭”按钮,完成证书服务的安装。 完成安装后,系统重新启动IIS服务。在“管理工具”/“服务器管理”窗口中,展开“角色”/“Active Directory证书服务”选项,展开“证书颁发机构(本例中为Henan University of Technology)”管理控制台,管理员使用它可以进行证书服务的管理与设置,如图13-11所示。,13.2.2 证书的颁发,证书服务安装成功后,可
10、以打开管理工具中的“服务器管理”窗口,展开“角色”/“Active Directory证书服务”选项,展开如图13-11所示的“证书颁发机构”管理控制台窗口,显示此计算机上已经安装好的证书服务,而且已经自动启动运行。 证书服务器管理分为“吊销的证书”、“颁发的证书”、 “挂起的申请”和“失败的申请”四个目录, “挂起的申请”用来存放证书申请文件, “颁发的证书”用来存放已经审核通过并颁发的证书。,13.2.2 证书的颁发,当用户申请证书后,用户证书申请文件存放在“挂起的申请”文件夹内,如图13-12所示。 选择右侧窗口中的证书请求记录,通过双击记录查看该记录的详细内容,若符合CA证书颁发策略及
11、要求,则右击该记录,选择快捷菜单“所有任务”/“颁发”选项,如图13-13所示。 审核通过颁发此证书,证书将出现在“颁发的证书”文件夹内,如图13-14所示。,13.2.3 证书的备份,为了防止证书服务器因意外故障或证书被误删而导致证书丢失,对用户的使用造成损失,网络管理员和用户都应定期备份证书服务器中的证书,以便在证书丢失或损坏时能够及时还原,而不必再重新申请。证书的备份步骤如下: 步骤一、以管理员用户身份登录到证书服务器,打开“服务器管理”窗口,选择“角色”/“Active Directory证书服务”选项。右击证书服务器的名称。单击快捷菜单中的“所有任务”/“备份CA”命令,运行证书颁发
12、机构备份向导,如图13-15所示。该向导将帮助用户备份重要信息,如私钥和证书颁发机构(CA)证书、配置信息、颁发的证书日志和待定证书申请队列等,单击“下一步”继续。,13.2.3 证书的备份,步骤二、显示如图13-16所示的“要备份的项目”对话框,在“选择要备份的项目”选项组中选择要备份的项目,在“备份到这个位置”文本框中输入备份证书的保存路径, 步骤三、单击“下一步”按钮,显示如图13-17所示的“选择密码”对话框,该密码在访问证书文件或还原数字证书时需要用到。 步骤四、单击“下一步”按钮,显示“正在完成证书颁发机构备份向导”对话框,若没有需要修改的地方,单击“完成”按钮,即可完成证书的备份
13、操作。,13.2.4 证书的还原,重新安装服务器或因特殊原因导致数字证书丢失后,可以借助还原证书的方式,快速恢复数字证书服务。步骤如下: 步骤一、打开“服务器管理”窗口,选择“角色”,展开“Active Directory证书服务”,右击证书服务器的名称,单击快捷菜单中的“所有任务”/“还原CA”命令,显示如图13-18所示的提示框,提示还原证书过程中不能运行Active Directory证书服务,需要立即停止证书服务。单击“确定”按钮,停止Active Directory证书服务,并启动证书颁发机构还原向导。 步骤二、单击“下一步”按钮,显示如图13-19所示的“要还原的项目”对话框,在“
14、选择要还原的项目”选项组中选择要还原的项目。在“从这个位置还原”文本框中输入备份证书所在的路径,或单击“浏览”按钮进行选择,如本例中为:C:Windowszhengshu。,13.2.4 证书的还原,步骤三、单击“下一步”按钮,显示如图13-20所示的“提供密码”对话框,在“密码”文本框中键入备份CA时设置的密码。 步骤四、单击“下一步”按钮,显示“正在完成证书颁发机构还原向导”对话框,在“您已选择下列设置”列表框中列出了所作的设置,若需要修改,则单击“上一步”按钮返回重新设置;若不需要修改,则单击“完成”按钮,证书还原成功,显示如图13-21所示的提示框,提示是否要启动证书服务。单击“是”按
15、钮,启动Active Directory证书服务。,13.2.5 证书的吊销与解除,一、吊销证书 打开“服务器管理”窗口,选择“角色”,展开“Active Directory证书服务”,在“颁发的证书”列表中右击欲吊销的证书,单击快捷菜单中的“所有任务 ”/“吊销证书”命令,如图13-22所示。 显示如图13-23所示的“证书吊销”对话框,在“理由码”下拉列表框中选择吊销的原因,如果选择的证书吊销原因是“证书待定”,则该吊销的证书可以还原。 单击“是”按钮,即可吊销该证书。当证书被吊销后,将显示在“吊销的证书”列表中,如图12-24所示。,13.2.5 证书的吊销与解除,二、解除吊销的证书 如
16、果有些已经吊销的证书需要继续使用,也可以将这些证书解除吊销。但需要注意的是,只有吊销原因为“证书待定”的证书才能解除吊销,因其他原因吊销的证书将不能解除吊销。 证书的解除吊销操作如下:打开“服务器管理”窗口,选择“角色”,展开“Active Directory证书服务”,在“吊销的证书”列表中右击欲解除吊销的证书,单击快捷菜单中的“所有任务 ”/“解除吊销证书”命令即可。 如果证书无法被解除吊销,将出现“取消吊销命令失败”提示框,提示解除吊销失败。,目 录,13.1 证书服务的基本概念 13.2 安装与配置证书服务 13.3 客户端申请和安装证书,13.3.1 安装CA证书,运行IE浏览器,连接上节中安装好的证书服务器,如本例为“http:/172.18.67.217/certsrv”,出现如图13-25所示页面。在页面中选择“下载一个CA证书、证书链或CRL”链接,进入如图13-26所示页面。 在如图13-26所示页面中选择“下载CA证书”链接,可以将CA证书文件(扩展名为.crt)下载并保存到本地磁盘上,也可以选择“安装此CA证书链”链接,系统自动将CA证书安装到本地
