《网络安全的实现和管理3》由会员分享,可在线阅读,更多相关《网络安全的实现和管理3(38页珍藏版)》请在金锄头文库上搜索。
1、第第 3 章章配置、部署和管理证书配置、部署和管理证书网络安全的实现和管理网络安全的实现和管理-以以Windows Server 2003和和ISA Server 2004为为例例第第1章章规划和配置授权和身份验证策略规划和配置授权和身份验证策略第第2章章安装、配置和管理证书颁发机构安装、配置和管理证书颁发机构第第3章章配置、部署和管理证书配置、部署和管理证书第第4章章规划、实现和故障诊断智能卡证书规划、实现和故障诊断智能卡证书第第5章章加密文件系统的规划、实现和故障排除加密文件系统的规划、实现和故障排除第第6章章规划、配置和部署安全的成员服务器基线规划、配置和部署安全的成员服务器基线第第7章
2、章为服务器角色规划、配置和部署安全基线为服务器角色规划、配置和部署安全基线第第8章章规划、配置、实现和部署安全客户端计算机基线规划、配置、实现和部署安全客户端计算机基线第第9章章规划和实现软件更新服务规划和实现软件更新服务第第10章章 数据传输安全性的规划、部署和故障排除数据传输安全性的规划、部署和故障排除第第11章章 部署配置和管理部署配置和管理SSL第第12章章 规划和实施无线网络的安全措施规划和实施无线网络的安全措施第第13章章 保护远程访问安全保护远程访问安全网络安全的实现和管理网络安全的实现和管理-以以Windows Server 2003和和ISA Server 2004为为例例
3、第第14章章 MICROSOFT ISA SERVER 概述概述第第15章章 安装和维护安装和维护 ISA Server第第16章章 允许对允许对 Internet 资源的访问资源的访问第第17章章 配置配置 ISA Server 作为防火墙作为防火墙第第18章章 配置对内部资源的访问配置对内部资源的访问第第19章章 集成集成 ISA Server 2004和和Microsoft Exchange Server第第20章章 高级应用程序和高级应用程序和Web筛选筛选第第21章章 为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问第第22章章 实现缓存实现缓存第第23章
4、章 监视监视ISA Server2004第第 3 章:配置、部署和管理证书章:配置、部署和管理证书配置证书模板配置证书模板 部署与吊销用户和计算机证书部署与吊销用户和计算机证书 管理证书管理证书 配置证书模板配置证书模板数字证书数字证书数字证书的生命周期数字证书的生命周期证书模板证书模板证书模板的类型证书模板的类型证书模板分类证书模板分类证书模板权限证书模板权限更新证书模板的方法更新证书模板的方法修改和取代现有证书模板的指导方针修改和取代现有证书模板的指导方针修改和取代证书模板的方法修改和取代证书模板的方法3.1 配置证书模板配置证书模板数字证书数字证书数字签名数字签名用来验证用户、计算机或程
5、序用来验证用户、计算机或程序 包含颁发者和主体的信息包含颁发者和主体的信息通过通过 CA 签名签名数字签名内容数字签名内容来自证书所有者的密钥对的公用加密密钥来自证书所有者的密钥对的公用加密密钥有关申请该证书的所有者的信息有关申请该证书的所有者的信息有关颁发该证书的有关颁发该证书的 CA 的信息的信息3.1.1 数字证书数字证书数字证书的生命周期数字证书的生命周期CA生成证书2证书颁发给提出申请的用户、计算机或服务3用户、计算机或服务在使用支持PKI的应用程序时使用证书4证书有效期限结束5向CA提出申请1证书吊销6证书续订6证书过期63.1.2 数字证书的生命周期数字证书的生命周期证书模板证书
6、模板证书模板定义:证书模板定义:证书模板颁发证书模板颁发根据证书预定用途设置的证书格式和内容创建和提交有效的证书申请的过程允许读取、注册或自动注册证书的安全主体通过使用DACL读取、注册、自动注册或修改证书模板的权限只有企业CA才能基于证书模板颁发证书 3.1.3 证书模板证书模板证书模板的类型证书模板的类型特点特点 版本版本 1 版本版本 2 在默认情况下创在默认情况下创建建是是可以复制可以复制是是可以添加、删除可以添加、删除或修改或修改 否是颁发来源颁发来源 Windows2000Server家族服务器WindowsServer2003家族服务器WindowsServer2003,Ente
7、rpriseWindowsServer2003,DatacenterEdition3.1.4 证书模板的类型证书模板的类型证书模板分类证书模板分类类别类别单用途模板单用途模板多用途模板多用途模板用户用户基本EFS经过验证的会话智能卡登录系统管理员用户智能卡用户计算机计算机Web服务器IPSec计算机域控制器3.1.5 证书模板分类证书模板分类证书模板权限证书模板权限权限权限描述描述完全控制完全控制允许安全主体修改证书模板的所有属性,包括证书模板的权限 读取读取 允许安全主体在注册证书时在ActiveDirectory中找到证书模板 写入写入允许安全主体修改除指定给证书模板的权限外的所有证书模板
8、属性 注册注册允许安全主体注册基于证书模板的证书。要注册证书,安全主体还必须拥有证书模板的“读取”权限 自动注册自动注册允许安全主体通过自动注册过程收到证书。自动注册权限要求用户同时拥有“读取”和“注册”权限 3.1.6 证书模板权限证书模板权限更新证书模板的方法更新证书模板的方法版本版本 2.1版本版本 2.2修改修改通过修改证书模板并对其应用更改取代取代取代一个或更多证书模板为新更新的证书模板智能卡智能卡SCUserSCard两个因素两个因素3.1.7 更新证书模板的方法更新证书模板的方法符合下列情况时,应考虑修改现有证书模板符合下列情况时,应考虑修改现有证书模板 :符合下列情况时,应考虑
9、取代现有证书模板符合下列情况时,应考虑取代现有证书模板 修改只影响一个证书模板修改只影响一个证书模板现有证书模板是版本现有证书模板是版本 2 证书模板证书模板对证书模板的改变相对较小对证书模板的改变相对较小将多个现有证书模板合并为一个证书模板将多个现有证书模板合并为一个证书模板修改版本修改版本 1 证书模板证书模板修改证书有效期限修改证书有效期限修改证书的密钥大小修改证书的密钥大小添加和删除应用程序或颁发策略添加和删除应用程序或颁发策略3.1.8 修改和取代现有证书模板的指导方针修改和取代现有证书模板的指导方针修改和取代现有证书模板的指导方针修改和取代现有证书模板的指导方针修改和取代证书模板的
10、方法修改和取代证书模板的方法演示:演示:演示如何修改和取代证书模板的方法演示如何修改和取代证书模板的方法3.1.9 修改和取代证书模板的方法修改和取代证书模板的方法实验实验3-1:取代证书模板:取代证书模板目的:掌握如何取消证书模板3.1.10 实验实验3-1:取代证书模板:取代证书模板第第 3 章:配置、部署和管理证书章:配置、部署和管理证书配置证书模板配置证书模板 部署与吊销用户和计算机证书部署与吊销用户和计算机证书 管理证书管理证书证书注册方法证书注册方法使用基于使用基于 Web 的界面注册证书的方法的界面注册证书的方法使用证书申请向导申请证书的方法使用证书申请向导申请证书的方法使用使用
11、 Certreq.exe 执行的任务执行的任务启用自动证书注册的方法启用自动证书注册的方法吊销证书的方法吊销证书的方法3.2 部署与吊销用户和计算机证书部署与吊销用户和计算机证书部署与吊销用户和计算机证书部署与吊销用户和计算机证书多媒体演示:证书注册多媒体演示:证书注册证书注册方法证书注册方法注册方法注册方法用途用途基于基于 Web 从独立CA或企业CA申请证书通过防火墙申请证书“证书证书”控制台控制台 从企业CA申请证书 Certreq.exe提交、获取、创建和接受发送到CA的证书申请 自动注册自动注册 自动向CA提交证书申请并获取和存储颁发的证书 注册代理注册代理 申请“智能卡用户”证书3
12、.2.1 证书注册方法证书注册方法演示:演示:演示如何使用基于演示如何使用基于 Web的界面手动注册证书的界面手动注册证书3.2.2 使用基于使用基于 Web 的界面注册证书的方法的界面注册证书的方法使用基于使用基于 Web 的界面注册证书的方法的界面注册证书的方法演示:演示:演示如何使用证书申请向导申请证书演示如何使用证书申请向导申请证书3.2.3 使用证书申请向导申请证书的方法使用证书申请向导申请证书的方法使用证书申请向导申请证书的方法使用证书申请向导申请证书的方法使用使用 Certreq.exe 执行的任务执行的任务Certreq.exe:脚本支持证书申请过程Certreq.exe 命令
13、参数:命令参数:命令参数命令参数目的目的-submit向CA提交申请-retrieve从CA获取证书-accept接受并安装向CA新申请的证书3.2.4 使用使用 Certreq.exe 执行的任务执行的任务启用自动证书注册的方法启用自动证书注册的方法方法方法描述描述自动证书申请自动证书申请设置设置通过“组策略”设置,使版本1证书能部署到运行Windows2000、WindowsXP和WindowsServer2003的计算机上 自动注册设置自动注册设置基于组策略设置和版本2证书模板的组合 允许运行WindowsXPProfessional或WindowsServer2003的客户端计算机自动
14、注册用户或计算机证书 3.2.5 启用自动证书注册的方法启用自动证书注册的方法吊销证书的方法吊销证书的方法演示:演示:演示如何吊销证书演示如何吊销证书3.2.6 吊销证书的方法吊销证书的方法实验实验3-2:吊销证书:吊销证书目的:吊销一个证书并发布证书吊销列表3.2.7 实验实验3-2:吊销证书:吊销证书第第 3 章:配置、部署和管理证书章:配置、部署和管理证书配置证书模板配置证书模板 部署与吊销用户和计算机证书部署与吊销用户和计算机证书 管理证书管理证书 管理证书管理证书密钥恢复概述密钥恢复概述导出密钥和证书使用的文件格式导出密钥和证书使用的文件格式导出密钥的工具导出密钥的工具导出密钥的方法
15、导出密钥的方法密钥存档和恢复的要求密钥存档和恢复的要求配置配置 CA 进行密钥存档的方法进行密钥存档的方法密钥恢复过程密钥恢复过程减轻密钥恢复相关安全风险的指导方针减轻密钥恢复相关安全风险的指导方针3.3 管理证书管理证书密钥恢复概述密钥恢复概述使用密钥恢复场景:使用密钥恢复场景:1.用户配置文件被删除用户配置文件被删除2.重新安装操作系统重新安装操作系统3.磁盘损坏磁盘损坏4.计算机失窃计算机失窃恢复数据方法:恢复数据方法:1.使用数据恢复代理(使用数据恢复代理(DRA,Data Recovery Agent)2.使用密钥恢复代理(使用密钥恢复代理(KRA)3.3.1 密钥恢复概述密钥恢复概
16、述导出格式导出格式目的目的PKCS #7l导出没有私钥的证书l从CA下载证书链PKCS #12l导出证书和私钥3.3.2 导出密钥和证书使用的文件格式导出密钥和证书使用的文件格式导出密钥和证书使用的文件格式导出密钥和证书使用的文件格式导出密钥的工具导出密钥的工具导出证书工具:导出证书工具:导出证书应该使用的工具由产生证书所基于的证导出证书应该使用的工具由产生证书所基于的证书模板决定书模板决定MMC 管理单元管理单元证书颁发机构证书颁发机构 MMC 管理单元管理单元Certutil.exeOutlookInternet Explorer3.3.3导出密钥的工具导出密钥的工具导出密钥的方法导出密钥
17、的方法演示:演示: 演示导出密钥的方法演示导出密钥的方法3.3.4 导出密钥的方法导出密钥的方法实验实验3-3:导出私钥:导出私钥目的:掌握如何导出私钥3.3.5 实验实验3-3:导出私钥:导出私钥密钥存档和恢复的要求密钥存档和恢复的要求需求包含:需求包含:版本版本 2 证书模板证书模板运行在运行在 Windows Server 2003 的的 CA 支持支持 CMC 协议协议具有具有 Windows Server 2003 架构扩展的架构扩展的 Active Directory3.3.6 密钥存档和恢复的要求密钥存档和恢复的要求演示:演示:演示如何配置演示如何配置 CA 和进行密钥存档的方法
18、和进行密钥存档的方法3.3.7 配置配置 CA 进行密钥存档的方法进行密钥存档的方法配置配置 CA 进行密钥存档的方法进行密钥存档的方法密钥恢复过程密钥恢复过程私钥丢失或损坏私钥丢失或损坏1CA 证书管理者确定证证书管理者确定证书的序列号序列号书的序列号序列号 2Serial #: 00A036证书管理者将证书管理者将 PKCS #7 文件传输给文件传输给 KRA 4KRA 恢复私钥恢复私钥5用户导入私钥用户导入私钥6证书管理者从证书管理者从 CA 数据库提取加密私数据库提取加密私钥和证书钥和证书3PKCS#73.3.8 密钥恢复过程密钥恢复过程规划密钥恢复:规划密钥恢复:实行证书管理者与实行
19、证书管理者与 KRA 角色的分离角色的分离如果私钥可能已泄密,在恢复私钥后,立即吊销如果私钥可能已泄密,在恢复私钥后,立即吊销与该私钥关联的证书与该私钥关联的证书从相关用户配置文件删除从相关用户配置文件删除 KRA 证书和私钥证书和私钥为向原所有者传输私钥设计安全的方法为向原所有者传输私钥设计安全的方法3.3.9 减轻密钥恢复相关安全风险的指导方针减轻密钥恢复相关安全风险的指导方针减轻密钥恢复相关安全风险的指导方针减轻密钥恢复相关安全风险的指导方针实验实验 3-3:部署和管理证书:部署和管理证书练习练习 1配置多目的证书模板配置多目的证书模板练习练习 2 配置证书自动注册配置证书自动注册练习练习 3 配置单用途证书的自动注册配置单用途证书的自动注册练习练习 4 更新证书模板更新证书模板练习练习 5吊销证书吊销证书3.4 实验实验 3-3:部署和管理:部署和管理证书证书回顾回顾学习完本章后,将能够:学习完本章后,将能够:理解证书模板概念掌握配置证书模板的方法理解部署和废除证书模板能够管理和配置证书模板
