資源描述:
《網(wǎng)絡(luò)服務(wù)器配置與管理——Windows Server 2003篇 姚華婷 第9章 證書服務(wù)器》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1、第9章證書服務(wù)器與網(wǎng)絡(luò)安全應(yīng)用主編:姚華婷本章學(xué)習(xí)導(dǎo)航本章學(xué)習(xí)導(dǎo)航本章學(xué)習(xí)要點(diǎn)(1)公鑰基礎(chǔ)結(jié)構(gòu)概述(2)證書服務(wù)器組建與管理(3)SSL網(wǎng)絡(luò)安全應(yīng)用(4)S/MIME安全電子郵件建議課時(shí):4課時(shí)9.1公鑰基礎(chǔ)結(jié)構(gòu)概述網(wǎng)絡(luò)通信和電子交易的安全需求信息保密——信息傳輸?shù)臋C(jī)密性�����,防止未授權(quán)用戶訪問(wèn)��,內(nèi)容不會(huì)被未授權(quán)的第三方所知身份驗(yàn)證——確認(rèn)對(duì)方的身份抗否認(rèn)——信息的不可抵賴性��,確保發(fā)送方不能否認(rèn)已發(fā)送的信息�����,要承擔(dān)相應(yīng)的責(zé)任完整性控制——保證信息傳輸時(shí)不被修改、破壞�,不能被未授權(quán)的第三方篡改或偽造網(wǎng)絡(luò)安全需求9.1公鑰基礎(chǔ)結(jié)構(gòu)概述對(duì)稱
2、加密模式非對(duì)稱加密模式公鑰加密技術(shù)9.1公鑰基礎(chǔ)結(jié)構(gòu)概述公鑰基礎(chǔ)結(jié)構(gòu)概念一套基于公鑰加密技術(shù)�,為電子商務(wù)、電子政務(wù)等提供安全服務(wù)的技術(shù)和規(guī)范主要目的是通過(guò)自動(dòng)管理密鑰和數(shù)字證書���,為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境以PKI為基礎(chǔ)的安全應(yīng)用基于SSL(安全套接字層)的網(wǎng)絡(luò)安全服務(wù)基于SET的電子交易系統(tǒng)基于S/MIME的安全電子郵件用于認(rèn)證的智能卡軟件的代碼簽名認(rèn)證虛擬專用網(wǎng)的安全認(rèn)證什么是公鑰基礎(chǔ)結(jié)構(gòu)9.1公鑰基礎(chǔ)結(jié)構(gòu)概述數(shù)字證書概念PKI的一種密鑰管理媒介(實(shí)際上是一種權(quán)威性的電子文檔)由一對(duì)密鑰(公鑰和私鑰)及用戶信息等數(shù)據(jù)共同組
3���、成在網(wǎng)絡(luò)中充當(dāng)一種身份證���,用于證明某一實(shí)體的身份數(shù)字證書格式一般采用X.509國(guó)際標(biāo)準(zhǔn)數(shù)字證書采用公鑰密碼機(jī)制�����,用一對(duì)互相匹配的密鑰進(jìn)行加解密數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即認(rèn)證中心簽發(fā)數(shù)字證書9.1公鑰基礎(chǔ)結(jié)構(gòu)概述數(shù)字證書類型服務(wù)器身份證書計(jì)算機(jī)證書個(gè)人證書安全電子郵件證書企業(yè)證書代碼簽名證書數(shù)字證書9.1公鑰基礎(chǔ)結(jié)構(gòu)概述證書頒發(fā)機(jī)構(gòu)概念專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理����,以保證數(shù)字證書的真實(shí)可靠的第三方機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)職能證書頒發(fā)�、證書更新、證書吊銷�����、證書和證書吊銷列表(CRL)的公布、證書狀態(tài)的在線查詢�、證書認(rèn)證證書頒發(fā)機(jī)構(gòu)證書發(fā)
4、放方式在線發(fā)放離線發(fā)放證書頒發(fā)機(jī)構(gòu)9.1公鑰基礎(chǔ)結(jié)構(gòu)概述分層證書頒發(fā)體系根CA是證書頒發(fā)體系中第一個(gè)證書頒發(fā)機(jī)構(gòu)����,是所有信任的起源CA層次不要太多,最多3到4層證書頒發(fā)機(jī)構(gòu)9.2證書服務(wù)器的組建和管理規(guī)劃證書頒發(fā)機(jī)構(gòu)面向企業(yè)內(nèi)網(wǎng)的所有用戶或計(jì)算機(jī)頒發(fā)證書���,應(yīng)選擇企業(yè)CA�����,前提是要建立ActiveDirectory面向Internet��,應(yīng)選擇獨(dú)立CA企業(yè)內(nèi)網(wǎng)如果沒有部署ActiveDirectory�����,可選擇獨(dú)立CA選擇好CA類型后還要規(guī)劃層次機(jī)構(gòu)部署WindowsServer2003證書服務(wù)器9.2證書服務(wù)器的組建和管理安裝證書服務(wù)組
5���、件安裝之前應(yīng)確認(rèn)計(jì)算機(jī)名稱和域成員身份Web注冊(cè)必須依賴IIS組件,最好在證書服務(wù)器上安裝IIS組件使用“添加或刪除程序”工具啟動(dòng)證書服務(wù)安裝向?qū)нM(jìn)行安裝部署WindowsServer2003證書服務(wù)器9.2證書服務(wù)器的組建和管理安裝證書服務(wù)組件部署WindowsServer2003證書服務(wù)器9.2證書服務(wù)器的組建和管理證書頒發(fā)機(jī)構(gòu)控制臺(tái)啟動(dòng)或停止證書頒發(fā)機(jī)構(gòu)服務(wù)管理證書頒發(fā)機(jī)構(gòu)9.2證書服務(wù)器的組建和管理查看證書頒發(fā)機(jī)構(gòu)證書管理證書頒發(fā)機(jī)構(gòu)9.2證書服務(wù)器的組建和管理設(shè)置獲取證書吊銷列表和證書的位置管理證書頒發(fā)機(jī)構(gòu)9.2證書服務(wù)器
6�、的組建和管理備份和還原證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)控制臺(tái)提供了備份向?qū)Ш瓦€原向?qū)浞莺瓦€原操作的目的是保護(hù)證書頒發(fā)機(jī)構(gòu)及其可操作數(shù)據(jù)續(xù)訂CA證書CA永遠(yuǎn)不會(huì)頒發(fā)超出自己證書到期時(shí)間的證書當(dāng)CA自身的證書達(dá)到其有效期時(shí),它頒發(fā)的所有證書也將到期管理證書頒發(fā)機(jī)構(gòu)9.2證書服務(wù)器的組建和管理查看已頒發(fā)的證書審查頒發(fā)證書吊銷證書通過(guò)證書吊銷將還未過(guò)期的證書強(qiáng)制作廢管理證書頒發(fā)機(jī)構(gòu)的證書9.2證書服務(wù)器的組建和管理管理證書模版企業(yè)CA每一種證書模板代表一種用于特定目的的證書類型證書申請(qǐng)者只能根據(jù)其權(quán)限從企業(yè)CA提供的證書模板中進(jìn)行選擇管理證書頒發(fā)
7���、機(jī)構(gòu)的證書9.2證書服務(wù)器的組建和管理基于MMC的證書管理單元使用證書管理單元可以執(zhí)行多種證書管理任務(wù)管理客戶端的證書9.2證書服務(wù)器的組建和管理查驗(yàn)證書的有效性檢查個(gè)人證書:個(gè)人證書必須獲得與證書上的公鑰對(duì)應(yīng)的私鑰檢查受信任的根證書頒發(fā)機(jī)構(gòu)管理客戶端的證書9.2證書服務(wù)器的組建和管理自動(dòng)注冊(cè)證書設(shè)置用于自動(dòng)注冊(cè)的證書模板注冊(cè)證書9.2證書服務(wù)器的組建和管理自動(dòng)注冊(cè)證書設(shè)置用于自動(dòng)注冊(cè)證書的ActiveDirectory組策略注冊(cè)證書9.2證書服務(wù)器的組建和管理使用證書申請(qǐng)向?qū)暾?qǐng)證書只有客戶端計(jì)算機(jī)作為域成員才能使用這種方式使用證
8���、書管理單元直接從企業(yè)CA獲取證書注冊(cè)證書9.2證書服務(wù)器的組建和管理使用Web瀏覽器申請(qǐng)證書非域成員客戶端�。如沒有加入域的Windows計(jì)算機(jī)需要通過(guò)NAT服務(wù)器來(lái)訪問(wèn)證書頒發(fā)機(jī)構(gòu)的客戶端計(jì)算機(jī)為多個(gè)不同用戶申請(qǐng)證書需要特殊的定制功能
