微软系统工程师、微软企业架构专家课程-CA证书服务配置及管理.ppt

,微软企业管理专家、微软企业架构专家课程,第六次课程,证书服务配置及管理,Configuring AD CS,PKI 的概述部署 CA 层次结构安装 AD CS管理 CA,什么是 PKI？通过 PKI 管理 IDA 和提高安全性PKI 解决方案的组件通过 PKI 解决方案验证证书AD CS 的支持 PKI,Lesson 1:Overview of PKI,What Is PKI?,A Public Key Infrastructure(PKI):,是软件、加密技术、进程，和服务，使组织能够保护通信和商业交易的组合依赖的经过身份验证的用户和受信任的资源之间的数字证书,PKI enhances infrastructure security by providing:,保密完整性真伪认可,Discussion:Managing IDA and Enhancing Security by Using PKI,PKI 解决方案向您的组织而会提供哪些好处？举出可以使用证书增强安全性的服务的少数的例子。PKI 解决方案如何支持 IDA 管理？,组件的 PKI 解决方案,证书颁发机构,数字证书,证书吊销列表&联机响应,证书模版,公钥-启用应用程序和服务,证书和 CA 管理工具,AIA 和 CRL 分发点,通过 PKI 解决方案验证证书,启用 PKI 的应用程序使用 CryptoAPI 来验证证书。,证书发现,路径验证,吊销检查,AD CS 的支持 PKI,Lesson 2:部署 CA 层次结构,CA 概述用于实现 CA 选项CA 类型独立 vs 企业 CACA 层次结构中的使用场合什么是经认证层次结构？,Overview of CA,证书颁发机构,Discussion:用于实现 CA 选项,优点和缺点使用外部公共 CA 是什么？优点和缺点使用内部的 CA 是什么？,CA 类型,是 CA 最受信任的类型在 PKI 基础结构中。是自签名的证书。其他问题证书从属 CA。拥有物理安全及证书发行策略通常比从属 CA 更严格的,Root CA,由另一个 CA 颁发解决特定的用法政策、组织或地理边界、负载平衡，和容错能力向窗体分层的 PKI 基础结构其他核证机关发出证书,Subordinate CA,独立与企业 CA,CA 层次结构中的使用场合,Root,Subordinate,RAS,EFS,S/MIME,India,Canada,USA,Root,Subordinate,Root,Subordinate,Root,Subordinate,Manufacturing,Engineering,Accounting,Employee,Contractor,Partner,证书使用,位置,部门,组织单位,什么是经过认证层次结构？,Root CA,Root CA,Organization 1,Organization 2,Subordinate CA,Subordinate CA,Root CA,Root CA,Organization 1,Organization 2,Subordinate CA,Subordinate CA,在根目录 CA 级别的认证,经认证从属 CA 到根 CA,Lesson 3:Installing AD CS,安装根 CA 的注意事项。如何安装 AD CS 如根 CA。安装附属 CA。如何 CAPolicy.inf 文件被用于安装。CA 管理控制台的概述,安装根 CA 的注意事项,计算机名称和域成员,Name and Configuration,私人密钥配置,Validity Period,Certificate Database and Log Location,CSP,Default:2048,Key Character Length,Hash Algorithm,Certificate,#,规划根 CA,Demonstration:如何安装 AD CS 作为根 CA,为企业根 CA 安装 AD CS 服务器角色,安装一个附属 CA 的注意事项,计算机名称和域成员,Name and Configuration,私人密钥配置,Validity Period,Certificate Database and Log Location,申请附属 CA 证书,CSP,Default:2048,Key Character Length,Hash Algorithm,Certificate,#,规划根 CA,如何 CAPolicy.inf 文件被用于安装,CAPolicy.inf 文件存储在%Windir%文件夹根或从属 CA。此文件定义：,认证执行语句(CPS),对象标识符(OID),CRL 发布间隔,CA 重建设置,密钥大小,证书有效性期间,CDP 和 AIA 路径,Demonstration:CA 管理控制台的概述,打开 CA 管理控制台和检讨可用的选项,Lesson 4:管理 CA,什么是 CRL？CRL 已发布将发布 AIAs 和 CDP 何处？配置 AIA 和 CRL 提供,什么是 CRL？,增量 CRL,使用 Windows XP(R)的客户端计算机或Windows Server 2003,基础 CRL,所有撤销的证书,大发布间隔,最后基础 CRL证书,较短的发布间隔,+,-,大尺寸,小尺寸,客户端计算机使用任何版本的 Windows(R),CRL 是如何发布的,Cert3,Base CRL#1,Revoke Cert5,Delta CRL#2,Cert5,Revoke Cert7,Cert5Cert7,Delta CRL#3,Cert3Cert5Cert7,Time,Base CRL#2,发布 AIAs 和 CDP 的位置,Offline Root CA,发布根证书 CA 和 URL：Active DirectoryWeb 服务器FTP 服务器文件服务器,Internet,Firewall,Firewall,External Web Server,Active Directory,FTP Server,Internal Web Server,File Server,如何配置 AIA 和 CRL 可用性,若要配置 AIA 和 CDP 设置发布最新版本的 CRL将发布到 HTTP 位置的 CRL 和 CA 证书脱机根 CA以查看该 CRL若要将 CRL 和 CA 证书发布到 Active Directory,部署和管理证书,通过 AD CS 部署证书。部署证书通过自动注册。吊销证书。配置证书模板。配置证书恢复。,Lesson 1:通过 AD CS 部署证书,什么是数字证书？证书生命周期概述。证书注册方法。通过 Web 注册取得证书。通过手动注册取得证书。如何手动为 Web 服务获取证书什么是 NDES？,什么是数字证书?,公钥加密密钥,信息对象,CA 信息,数字证书,证书生命周期概述,用户、计算机或服务从 CA 请求证书。,1,证书注册方法,Web Enrollment,Manual Enrollment,Auto enrollment,Enrollment Agents,以使用 Web 注册取得证书,Connect to http:/ServerName/certsrv by using a Web browser.,Click Request a certificate.,Select the type of certificate that you want to request.,Type or verify your identification.,Install the certificate.,2,3,1,5,4,使用手动注册取得证书,Certificates MMC,Web Server,NDES,Manual Enrollment,Demonstration:如何手动为 Web 服务获取证书,To use IIS and perform Web site enrollment by using one of the manual enrollment methods,什么是 NDES?,CA,Network Router,Network,Lesson 2:通过自动注册部署证书,使用自动注册的优点自动注册的运作,Discussion:优点和使用自动注册,如何自动注册可以简化您的组织中的证书管理？可以从自动注册受益的应用程序的示例是什么？,自动注册的运作,证书模板配置为允许，注册，和接收证书的用户的自动注册权限。,客户端计算机下一组策略刷新间隔期间接收证书。,要启用自动注册创建 an Active Directory(R)组策略对象(GPO)。该 GPO 链接到适当的站点、域或组织单位。,CA 配置为发出该模板。,Certificate Template,Certificate Authority,GPO,Client Machine,Lesson 3:撤销证书,为撤销证书的原因代码如何撤销证书什么是联机的响应程序？如何联机响应工作配置联机的响应程序的步骤如何配置联机的响应程序,为撤销证书的原因代码,Demonstration:如何撤销证书,撤销颁发以前的证书，,什么是联机的响应程序？,Online Responder,如何联机响应工作,应用程序验证的证书，包含 OCSP 响应的位置。,联机响应程序接收到请求通过 HTTP，如果找不到缓存的 OCSP 响应。,联机响应程序 Web 代理组件解码，并验证请求。,联机响应程序接受请求并检查本地 CRL.,Web 代理进行编码，并发送回客户端响应,配置联机的响应程序的步骤,安装联机响应程序角色服务,配置 CA,创建撤销配置,Stop,Start,Demonstration:如何配置联机的响应程序,若要配置 CA 以支持联机响应程序安装和配置联机响应程序角色服务,Lesson 4:配置证书模板,什么是证书模板？证书模板版本证书模板类别和用途配置证书模板权限更新证书模板的方法如何修改和启用证书模板,什么是证书模板？,格式和内容的证明书创建和提交有效的证书请求的过程允许读取、注册的安全原则或自动注册证书权限来读取，注册自动注册，或修改证书模板,Certificate templates define the:,证书模板版本,提供为了向后兼容默认情况下安装 CA 时创建不能修改或删除，但可以被复制到成为版本 2 或 3 模板,Version 1:,允许在该模板中的自定义的大多数设置安装一个 CA 时提供几个预配置的模板,Version 2:,支持 Suite B 加密设置。包括加密、数字签名、密钥 Exchange，和哈希的高级的选项。仅支持 Windows Serveru(R)2008 和 Windows Vistauc 1 u 174?,Version 3:,证书模板类别和用途,配置证书模板权限,Full Control,Write,Enroll,Autoenrollment,Read,更新证书模板的方法,修改原始的证书模板，把新的设置。,Updated,Modifying,一个或多个证书模板替换为一个更新的证书模板。,Superseding,Smart Card,Smart Card,Smart Cards,Two-Factor,Original,Demonstration:如何修改和启用证书模板,若要创建，修改，并取代模板发出要使用的 CA 证书,配置证书恢复,密钥存档和恢复的重要性手动导出证书和私人密钥配置自动密钥存档如何配置密钥存档恢复丢失的密钥如何恢复丢失的键,密钥存档和恢复的重要性,删除用户配置文件重新安装操作系统磁盘已损坏计算机被盗,Keys get lost when:,Data recovery methods that use:,密钥存档和密钥恢复代理手动密钥存档和恢复,手动导出证书和私人密钥,您可以使用以下导出证书:,证书 MMC 管理单元MMC 管理单元中的证书颁发机构Certutil.exe OutlookInternet Explorer(R),使用该工具取决于该证书所基于的证书模板.,配置自动存档密钥,配置和发出的证书模板密钥恢复代理.,若要配置自动密钥存档:,配置和发出的证书模板密钥恢复代理.,启用键在 CA 上存档.,修改并启用密钥存档的所需的证书模板。,如何配置密钥存档,配置和发出的证书模板密钥恢复代理。要指定一个人是关键恢复代理及注册该证书。要启用密钥归档在 CA 上。要修改并启用密钥存档的所需的证书模板,恢复丢失的密钥,证书管理器查找证书序列号。,2,专用密钥丢失或损坏。,1,证书管理器从 CA 中提取数字 PKCS#7。,3,用户导入私钥.,6,该 KRA 恢复私钥。,5,证书管理器将数字 PKCS#7 转移到该 KRA.,4,配置 IPsec,Module Overview,IPsec 的概述配置连接安全规则配置 IPsec NAP 执行,Lesson 1:Overview of IPsec,IPsec 好处建议使用 IPsec用于配置 IPsec 的工具什么是连接安全规则？演示：配置常规 IPsec 设置,Benefits of IPsec,IPsec 是一系列的协议，允许安全加密通过不安全的网络两台计算机之间的通信,IPsec 有两个目标：以保护 IP 数据包，并抵御网络攻击,在发送和接收计算机上配置 IPsec 使两台计算机将安全的数据发送给对方,IPsec 保护通过使用加密和数据签名的网络通信,IPsec 策略定义通信 IPsec 检查、如何保护和加密的交通和 IPsec 对等方进行身份验证的类型,Ipsec的推荐用途,Recommended uses of IPsec include:,进行身份验证和加密主机主机交通进行身份验证和加密通信服务器L2TP/对于 VPN 连接的 IPsec站点站点隧道执行逻辑网络,Notes Page Over-flow Slide.Do Not Print Slide.See Notes pane.,用于配置 IPsec 的工具,To configure IPsec,you can use:,具有高级安全性 MMC 的 Windows 防火墙（用于 Windows Server 2008 和 Windows Vista）IP 安全策略 MMC（用于混合环境和配置适用于所有 Windows 版本的策略）Netsh 命令行工具,什么是连接安全规则？,连接安全规则涉及:,他们开始通信之前，请验证两台计算机。两台计算机之间发送的信息安全。使用密钥交换、身份验证、数据完整性和数据加密（可选）,防火墙规则和连接规则被相关:,防火墙规则允许通信通过，但做不安全的交通连接安全规则可以保护，通信，但创建连接安全规则不允许通过防火墙的交通,Demonstration:配置常规 IPsec 设置,In this demonstration,you will see how to configure General IPsec settings in Windows Firewall with Advanced Security,Lesson 2:配置连接安全规则,选择连接安全规则类型什么是终结点？选择身份验证要求身份验证方法确定用户配置文件演示：配置连接安全规则,选择连接安全规则类型,什么是终结点？,ESP 隧道模式,ESP 传输模式,选择身份验证要求,身份验证方法,确定用户配置文件,Windows 支持三种网络类型并程序可以使用这些位置自动应用适当的配置选项：,当计算机是域成员时选定域：受信任的用户（家庭或小型办公网络）的私营：网络公共：为新检测到网络的默认通常限制性最强的设置分配由于的公共网络上存在的安全风险,安全设置可以动态更改与网络位置类型,网络位置类型是最有用可能移动网络网络的便携式计算机上,Demonstration:配置连接安全规则,In this demonstration,you will see how to configure a Connection Security rule,Module Review and Takeaways,检讨问题IPsec 的常见误解IPsec 好处工具,Notes Page Over-flow Slide.Do Not Print Slide.See Notes pane.,Notes Page Over-flow Slide.Do Not Print Slide.See Notes pane.,