《网络操作系统-Windows Server 2003 系统与应用》 电子教案
第 13章 证书服务 Ú 教学目的 Ú 学习在Windows Server 2003系统中安装与使用证书服务 Ú 重点、难点 Ú Ú 公共密钥基础架构 证书服务器的安装 证书服务器的管理 客户端如何使用证书 Ú 教学方法 Ú 讲授法、练习法 Ú 教学课时 Ú 3节理论课+3节课堂练习
13. 1 公共密钥基础结构(PKI)简介 对于电子商务系统中的身份识别,以及内部和 外部网络上的数据加密来说,公共密钥技术是一 项重要的技术。与公共密钥技术相关的两个基本 概念分别是公钥加密和公钥认证。公共密钥基础 结构是由数字证书(Digital Certificate)、证书 颁发机构(Certificate Authority)所组成的系统。 此系统可以用于解决信息加密和身份识别等问题。
13. 1 公共密钥基础结构(PKI)简介 Ú 13. 1. 1 公钥加密 数据 3. 李 红 用 李 红 的 私 钥 (Private Key) 将消息解密 1.王强使用李红的公钥 (Public Key) 加密数据 2.被加密的消息通 过网络进行传输 3 A 78 数据
13. 1. 2 公钥认证 数据 1.王强用王强的私钥 (Private Key) 对消息进行签名 3.李红用王强的公钥 (Public Key) 验证来自王强的消息 2.消息通过网络进行 传输 3 A 78 数据
13. 1. 3 证书颁发机构 Ú 证书颁发机构(CA)负责提供和分配密钥, Ú Ú 用来加密、解密和认证。CA通过颁发证书来 分配密钥,证书中包含公钥和一系列属性。 1.证书 2.外部CA和内部CA 3.颁发证书的过程 4.证书吊销
13. 1. 4 证书等级 Ú 证书等级是一种信任模式,它通过建立CA之间的父 /子关系来创建证书路径。 Ú 1.根CA 企业根CA 独立根CA Ú 2.从属CA 企业从属CA 独立从属CA
13. 1. 5 证书模板 Ú 默认可以使用的证书模板主要有: ◆ 目录电子邮件复制 ◆ 域控制器身份验证 ◆ EFS故障恢复代理 ◆ 基本EFS ◆ 域控制器 ◆ Web服务器 ◆ 计算机 ◆ 用户 ◆ 从属证书颁发机构 ◆ 系统管理员 Windows Server 2003默认提供了31个模板,证书管理员可 以管理这些默认的证书模板,还可以控制用户申请哪些证书, 或是控制用户怎样去申请证书。
13. 2 安装证书服务 Ú 证书服务与其他Windows Server 2003系统组件一样, 使用“添加/删除程序” 具进行安装。安装证书服务 后,计算机可以作为证书颁发机构,管理和颁发证 书,但是安装证书服务的计算机不可以更改计算机 名称。对于企业根CA或企业从属CA也不能删除 Active Directory。 Ú 企业类或独立类。每个类型都可以有一个根CA和一 个(或多个)从属CA。 Ú 操作安装证书服务的过程。
13. 3 管理证书颁发机构 Ú 13. 3. 1 启动和停止证书服务 Ú 1.命令行方式 Net start certsrv Net stop certsrv Net pause certsvc 启动证书服务 停止证书服务 暂停证书服务
13. 3 管理证书颁发机构 Ú 13. 3. 1 启动和停止证书服务 Ú 2.在“服务”控制台
13. 3 管理证书颁发机构 Ú 13. 3. 1 启动和停止证书服务 Ú 3.在“证书颁发机构”控制台窗口
13. 3. 2 配置CA
13. 3. 3 备份和还原CA
13. 4 管理证书 Ú 13. 4. 1 管理证书模板 Ú 1.新增证书模板
![13. 4 管理证书 Ú 13. 4. 1 管理证书模板 Ú 2.管理证书模板 Ú 在“证书颁发机构”控制台窗口中,选择“证书模板”,然后在“操作”菜单 中选择“管理”,打开“Certtmpl-[证书模板]”窗口。](https://present5.com/presentation/cb7907f551c3c20a96d94b8a9e8dbe36/image-16.jpg "13. 4 管理证书 Ú 13. 4. 1 管理证书模板 Ú 2.管理证书模板 Ú 在“证书颁发机构”控制台窗口中,选择“证书模板”,然后在“操作”菜单 中选择“管理”,打开“Certtmpl-[证书模板]”窗口。")
13. 4 管理证书 Ú 13. 4. 1 管理证书模板 Ú 2.管理证书模板 Ú 在“证书颁发机构”控制台窗口中,选择“证书模板”,然后在“操作”菜单 中选择“管理”,打开“Certtmpl-[证书模板]”窗口。
13. 4. 2 管理颁发证书 Ú 1.颁发的证书 Ú 在“颁发的证书”右侧窗口中,为已颁发的证书。
13. 4. 2 管理颁发证书 Ú 2.挂起的申请 在“挂起的申请”项目中,可以查看用户已经申请,但是还 没有经过证书管理员决定颁发或拒绝的证书。
13. 4. 2 管理颁发证书 Ú 3.吊销的证书 如果证书被吊销了,CA必须将已吊销的证书颁发,这样 才能使其他人知道证书已经无效。所以证书管理员必须在吊 销证书后,在“吊销的证书”项目中执行“发布”命令,更新证书 吊销列表。
13. 4. 3 客户端证书申请
13. 5 案例分析 Ú 1.某企业需要允许业务伙伴通过Internet访问 企业内部的产品说明数据库,同时必须要确保 信息的保密性,你应该怎样做? 分析:要确保Internet上通信计算机之间的网络通信安全,可以使用 证书来加密计算机之间的IP通信。Windows Server 2003内置了证书 服务功能,可以用来加密数据和认证用户身份 解决方法:使用Windows Server 2003内置的证书服务功能或第三方 认证机构的证书,为用户颁发证书,提供数据加密和用户身份认证, 以保证数据库的安全访问,以及对网络中传输的数据的加密。
13. 5 案例分析 Ú 2.客户端希望申请一个“Exchange 用户”证书,用于 对电子邮件进行认证。当用户在Web页中进行证书申 请时,在证书模板下找不到“Exchange 用户”证书模板, 是什么原因?应该怎么办? 分析:在“证书颁发机构”的“证书模板”中只列出了默认的十个证书模板, “Exchange 用户”证书模板不是默认证书,因此没有列出,客户端也无法找到。 解决方法:在“证书模板”中选择 “新建”—“要颁发的证书模板”。在“启用证书模 板”中选择“Exchange 用户”证书模板即可将其添加到“证书模板”中。重新启动“ 证书颁发机构”,客户端就可以使用该证书模板了。
Ú 课后小结 Ú 作业: (1)什么是公钥加密? (2)什么是公钥认证? (3)什么是证书颁发机构(CA)? (4)一个证书被吊销后,并没有出现在CRL列表中,应 该怎么办? Ú (5)怎样添加证书模板? Ú (6)哈希算法指的是什么? Ú (7)证书颁发机构自身的证书快要到期了,如果还想继 续使用,应该怎么办? Ú Ú
Скачать презентацию 网络操作系统-Windows Server 2003 系统与应用 电子教案 第 13章
cb7907f551c3c20a96d94b8a9e8dbe36.ppt