1、单击此处编辑母版标题样式单击此处编辑母版副标题样式*1网络操作系统-Windows Server 2003系统与应用电子教案第13章 证书服务教学目的 学习在Windows Server 2003系统中安装与使用证书服务重点、难点 公共密钥基础架构 证书服务器的安装 证书服务器的管理 客户端如何使用证书教学方法 讲授法、练习法教学课时 3节理论课+3节课堂练习13.1 公共密钥基础结构(PKI)简介 对于电子商务系统中的身份识别,以及内部和外部网络上的数据加密来说,公共密钥技术是一项重要的技术。与公共密钥技术相关的两个基本概念分别是公钥加密和公钥认证。公共密钥基础结构是由数字证书(Digita
2、l Certificate)、证书颁发机构(Certificate Authority)所组成的系统。此系统可以用于解决信息加密和身份识别等问题。13.1 公共密钥基础结构(PKI)简介 13.1.1 公钥加密3李红用李红的私钥 (Private Key) 将消息解密数据3A78数据1王强使用李红的公钥 (Public Key) 加密数据2被加密的消息通过网络进行传输13.1.2 公钥认证3李红用王强的公钥 (Public Key) 验证来自王强的消息数据3A78数据1王强用王强的私钥 (Private Key) 对消息进行签名2消息通过网络进行传输13.1.3 证书颁发机构证书颁发机构(CA
3、)负责提供和分配密钥,用来加密、解密和认证。CA通过颁发证书来分配密钥,证书中包含公钥和一系列属性。1证书2外部CA和内部CA3颁发证书的过程4证书吊销13.1.4 证书等级证书等级是一种信任模式,它通过建立CA之间的父/子关系来创建证书路径。1根CA 企业根CA 独立根CA2从属CA 企业从属CA 独立从属CA13.1.5 证书模板默认可以使用的证书模板主要有: 目录电子邮件复制 域控制器身份验证 EFS故障恢复代理 基本EFS 域控制器 Web服务器 计算机 用户 从属证书颁发机构 系统管理员 Windows Server 2003默认提供了31个模板,证书管理员可以管理这些默认的证书模板
4、,还可以控制用户申请哪些证书,或是控制用户怎样去申请证书。13.2 安装证书服务证书服务与其他Windows Server 2003系统组件一样,使用“添加/删除程序”工具进行安装。安装证书服务后,计算机可以作为证书颁发机构,管理和颁发证书,但是安装证书服务的计算机不可以更改计算机名称。对于企业根CA或企业从属CA也不能删除Active Directory。企业类或独立类。每个类型都可以有一个根CA和一个(或多个)从属CA。 操作安装证书服务的过程。13.3 管理证书颁发机构13.3.1 启动和停止证书服务 1命令行方式 Net start certsrv 启动证书服务 Net stop ce
5、rtsrv 停止证书服务 Net pause certsvc 暂停证书服务13.3 管理证书颁发机构13.3.1 启动和停止证书服务2在“服务”控制台13.3 管理证书颁发机构13.3.1 启动和停止证书服务 3在“证书颁发机构”控制台窗口13.3.2 配置CA13.3.3 备份和还原CA13.4 管理证书13.4.1 管理证书模板 1新增证书模板13.4 管理证书13.4.1 管理证书模板2管理证书模板在“证书颁发机构”控制台窗口中,选择“证书模板”,然后在“操作”菜单中选择“管理”,打开“Certtmpl-证书模板”窗口。13.4.2 管理颁发证书1颁发的证书在“颁发的证书”右侧窗口中,为
6、已颁发的证书。 13.4.2 管理颁发证书2挂起的申请 在“挂起的申请”项目中,可以查看用户已经申请,但是还没有经过证书管理员决定颁发或拒绝的证书。 13.4.2 管理颁发证书3吊销的证书 如果证书被吊销了,CA必须将已吊销的证书颁发,这样才能使其他人知道证书已经无效。所以证书管理员必须在吊销证书后,在“吊销的证书”项目中执行“发布”命令,更新证书吊销列表。 13.4.3 客户端证书申请13.5 案例分析1某企业需要允许业务伙伴通过Internet访问企业内部的产品说明数据库,同时必须要确保信息的保密性,你应该怎样做?分析:要确保Internet上通信计算机之间的网络通信安全,可以使用证书来加
7、密计算机之间的IP通信。Windows Server 2003内置了证书服务功能,可以用来加密数据和认证用户身份解决方法:使用Windows Server 2003内置的证书服务功能或第三方认证机构的证书,为用户颁发证书,提供数据加密和用户身份认证,以保证数据库的安全访问,以及对网络中传输的数据的加密。13.5 案例分析2客户端希望申请一个“Exchange 用户”证书,用于对电子邮件进行认证。当用户在Web页中进行证书申请时,在证书模板下找不到“Exchange 用户”证书模板,是什么原因?应该怎么办?分析:在“证书颁发机构”的“证书模板”中只列出了默认的十个证书模板,“Exchange 用户”证书模板不是默认证书,因此没有列出,客户端也无法找到。解决方法:在“证书模板”中选择 “新建”“要颁发的证书模板”。在“启用证书模板”中选择“Exchange 用户”证书模板即可将其添加到“证书模板”中。重新启动“证书颁发机构”,客户端就可以使用该证书模板了。 课后小结作业:(1)什么是公钥加密?(2)什么是公钥认证?(3)什么是证书颁发机构(CA)?(4)一个证书被吊销后,并没有出现在CRL列表中,应该怎么办?(5)怎样添加证书模板?(6)哈希算法指的是什么?(7)证书颁发机构自身的证书快要到期了,如果还想继续使用,应该怎么办?