数字证书服务器的配置与应用.ppt

网络配置与应用,学习目标 熟悉数字证书的概念和功能熟悉PKI与数字证书之间的关系熟悉基于Windows Server 2003数字证书服务的功能特点掌握基于Windows Server 2003数字证书服务器的安装和配置方法掌握数字证书的使用方法掌握数字证书的管理方法,第5讲 数字证书服务器的配置与应用,重点难点熟悉基于Windows Server 2003数字证书服务的功能特点掌握基于Windows Server 2003数字证书服务器的安装和配置方法掌握数字证书的使用方法,随着网络应用的快速发展，相应的安全问题也越来越明显，形式各样的安全威胁越来越突出。在随之产生的各种网络安全解决方案中，数字证书便是其中一种。与其他安全技术和解决方案相比，数字证书服务具有高效、实用、方便使用等特点。本讲在介绍数字证书、PKI等网络安全设施的基本概念后，以Windows Server 2003操作系统为主，介绍数字证书服务器的安装、配置和使用方法。,数字证书也称为数字标识（Digital Certificate，或Digital ID）。它提供了一种在Internet等公共网络中进行身份验证的方式，是用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权威的证书认证机构（Certificate Authority，CA）发行，在网络中可以通过从CA中获得的数字证书来识别对方的身份。通俗地讲，数字证书就是个人或单位在Internet等公共网络上的身份证。比较专业的数字证书定义是：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下，证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准。通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不可否认性交易者身份的确定性这四大网络安全要素得到保障。,5.1 数字证书的概念,目前，计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类。其中，非PKI安全体系的应用最为广泛，例如用户大量使用的“用户名称+密码”的形式就属于非PKI体系。由于非PKI体系的安全性相对较弱，所以近年来PKI安全体系得到了越来越广泛的关注和应用,5.2 PKI的概念和组成,5.2.1 PKI的概念PKI（Public Key Infrastructure，公钥基础设施）为网上信息的传输提供了加密（Encryption）和验证（Authentication）功能，在信息发送前对其进行加密处理，当对方接收到信息后，能够验证该信息是否确实是由发送方发送的信息，同时还可以确定信息的完整性（Integrity），即信息在发送过程中未被他人非法篡改。数字证书是PKI中最基本的元素，所有安全操作都主要通过证书来实现。PKI的组成除数字证书之外，还包括签署这些证书的认证、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口（API）等基本构成部分。,PKI根据公开密钥学（Public Key Cryptography）来提供前面介绍的加密和验证功能，在此过程中需要公开密钥和私有密钥来支持，其中：公开密钥（Public Key）。公开密钥也称为公共密钥（简称为“公钥”），在安全系统中公开密钥不需要进行保密，是向网络中的所有用户公开的。对于一个安全系统来说，公开密钥是唯一的。私有密钥（Private Key）。私有密钥简称为“私钥”，是用户个人拥有的密码，它存在于用户自己的计算机或其他介质中，只有该用户自己才能使用。私有密钥需要安全保存和管理。在信息的安全传输中，发送信息前可以通过公开密钥对其进行加密，接收方在接收到信息后再利用自己的私有密钥进行解密。,5.2.2 公开密钥加密法公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理，其中公开密钥用来进行加密，而私有密钥用来进行解密，这种加密和解密的处理方式也称为“非对称”（asymmetric）加密法。另外，还有一种称为“秘密密钥加密法”（secret key encryption），该算法也称为“对称”（symmetric）加密法，这种方法在进行加密和解密的过程中都使用同一个密钥。,5.2.3 公开密钥验证法数字签名”是通过一个单向函数对要传送的报文进行处理得到的，用以认证信息来源并核实信息是否发生变化的一个字母数字串。用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名，而对方在收到该信息后，能够通过此数字签名来验证信息是否确实是由发送方发送来的，同时还可以确认信息在发送过程中是否被篡改。从实现原理来看，数字签名其实就是对加密、解密的应用。签名的过程为加密过程，查看签名的过程为解密过程。,5.2.4 证书认证机构（CA）在整个加密解密过程中，仅拥有密钥（公开密钥和私有密钥）是不够的，还必须申请相应的数字证书（digital certification）或数据标识（digital ID），这样才可能利用密钥执行信息加密和身份验证操作。在这里，密钥相当于“汽车”，而数字证书相当于“驾驶证”，只有汽车而没有驾驶证是无法开车上路的，同样只有驾驶证而没有汽车也无法使驾驶证发挥作用。所以，密钥和数字证书应该是构成该系统的必备条件。为了便于数字证书的管理，出现了一些专门的数字证书管理机构，负责发放和管理数字证书，将这一机构称为“证书认证机构”，或“认证中心”（Certificate Authority，CA）。,如图3所示，当用户在申请证书时，必须输入申请者的详细资料：如姓名、地址、电子邮箱等，这些信息将被发送到一个称为加密服务提供者（Cryptographic Service Provider，CSP）的程序，由CSP负责创建密钥、吊销密钥，以及使用密钥执行各种加、解密操作。CPS会自动建立一对密钥：一个公开密钥和一个私有密钥。CSP会将私有密钥存储到用户（申请者）计算机的注册表中，然后将证书申请信息和公开密钥一并发送到CA进行管理。在进行加密、解密时，当用户需要某一用户的公开密钥时，就会向CA进行查询，并将得到的数字证书保存在自己的计算机中。,5.2.5 CA的结构及信任关系基于Windows操作系统的PKI支持结构化的CA，即将CA分为“根CA”（root CA）和“从属CA”（subordinate CA）。其中：1.根CA根CA位于系统的最上层，一方面它可以发放用来保护电子邮件安全的证书、提供网站SSL（Security Socket Layer，加密套接字协议层）安全传输的证书、用来登录Windows Server 2003域的智能卡证书、用来提供基于L2TP的VPN认证的证书等。另一方面，根CA可用来发放证书给其他的CA（从属CA）。在大部分环境中，根CA的主要作用是为从属CA发放证书。,2 从属CA从属CA主要用来发放用于保护电子邮件安全的证书、提供网站SSL安全传输的证书、用来登录Windows Server 2003域的智能卡证书、用来提供基于L2TP的VPN认证的证书等。也可以发放证书给其下一层的从属CA。从属CA必须先向其父CA（可能是根CA，也可能是从属CA）取得证书后，才可以发放证书。提示：对于Windows 2000、Windows XP、Windows Server 2003来说，如果该计算机已经信任了根CA，那么他们将会自动信任该根CA下的所有从属CA，这就是CA信任的继承性。但是，当用户将从属CA的信任关系删除，或从属CA的证书已经过期后，就不存在以上的继承关系。,Windows 2000、Windows XP、Windows Server 2003的计算机已经信任由一些知名的CA发放的证书，需要时，用户可以向上述知名的CA申请证书，但这些CA发放的证书一般是要收费的。同时，也有一些不收费的CA另外，如果用户只希望在本单位或系统内部实现基于Internet信息传输的安全性，可以利用Windows Server 2003提供的“证书服务”来组建自己的CA，然后利用该CA向本单位或系统中的员工、客户、供应商等发放证书，而不需要向其他CA申请。这样，当本单位或系统中的员工、客户、供应商的计算机设置为信任该CA所发放的证书时，就可以通过自己的CA加强信息传输的安全性。,5.2.6 Windows Server 2003中CA的分类Windows Server 2003提供的“证书服务”可以将Windows Server 2003扮演CA的角色，该CA可以是企业CA，也可以是独立CA。1 企业CA企业CA发放证书的对象是域内的所有用户和计算机，非本域内的用户或计算机是无法向该企业CA申请证书的。当域内的用户向企业CA申请证书时，企业CA将通过Active Directory进行身份验证（验证用户是否为本域中的用户或计算机），并根据验证结果决定是否发放证书。企业CA可以分为企业根CA（enterprise root CA）和企业从属CA（enterprise subordinate CA）两种类型。其中，在大多数情况下，企业根CA主要用来为企业从属CA发放证书。而企业从属CA必须先向企业根CA取得证书，然后才可以向其域内的用户或计算机以及其下属的企业从属CA发放证书。企业从属CA主要用来发放保护电子邮件安全的证书、提供网站SSL安全传输的证书、用来登录Windows Server 2003域的智能卡证书、进行基于L2TP的VPN验证的证书等。,2 独立CA独立CA不需要Active Directory，扮演独立CA的计算机既可以是运行Windows Server 2003的独立服务器，也可以是成员服务器或域控制器。无论用户和计算机是否是Active Directory域内的用户，都可以向独立CA申请证书。由于用户在向独立CA申请证书时，不像企业CA首先通过Active Directory来验证其身份，所以用户需要自行输入申请者的详细信息和所要申请的证书类型。独立CA也分为独立根CA（standard-alone CA）和独立从属CA（standard-alone subordinate CA）两种类型。其中，在多数情况下，独立根CA主要用来发放证书给从属CA。而独立从属CA必须先向其父CA（既可以是独立根CA，也可以是上层的独立从属CA）取得证书，然后才可以发放证书。独立从属CA主要用来发放保护电子邮件安全的证书、提供网站SSL安全传输的证书、用来登录Windows Server 2003域的智能卡证书、进行基于L2TP的VPN验证的证书等。,由于基于Windows Server 2003的数字证书服务器分为企业CA和独立CA两种类型，其中企业CA需要建立在活动目录的基础上，同时只能向本企业内部加入活动目录的用户提供数字证书服务。而独立CA不需要活动目录的支持，而且可以向加入活动目录域控制器的用户和没有加入活动目录域控制器的用户提供数字证书服务。两者相比，独立CA的配置和使用要比企业CA方便，所以本节将介绍独立CA的安装和配置方法。,5.3 数字证书服务器的安装和配置,5.3.1 安装IIS,图5,选择要安装的,Windows,组件,图6,选取“,Internet,信息服务（,IIS,）”,5.3.2 安装证书服务独立CA可分为独立根CA和独立从属CA两种，其中独立从属CA必须建立在其父CA的基础上。其中，父CA既可以是独立根CA，也可以是其他的独立从属CA。对于绝大多数中小企业来说，一般只需要配置一台数字证书服务器即可。所以，本节仅介绍独立根CA的安装方法。,图9,安装“证书服务”,提示：如果独立CA安装在域控制器或成员服务器内，而且是以域管理员（如Administrator）的身份来安装的，则独立CA会自动通过Active Directory来让域内的所有用户与计算机应用由独立根CA发放的证书；如果独立CA安装在独立服务器上，或是安装在没有使用Active Directory的成员服务器或域控制器上，域内用户则需要另外执行信任此独立CA的操作。,图13,选择证书的保存位置,图14,系统提示在安装证书之前需要停止,IIS,图15,证书颁发机构操作窗口,5.3.3 数字证书的申请方法不管是否为域用户，都可以利用Web方式向独立CA申请数字证书。下面，以用户为其电子邮件申请用于电子邮件安全的证书为例进行介绍。具体方法如下：（1）在要安装证书的计算机上打开IE浏览器，在地址栏中输入以下的地址：http:/CA的计算机名称或IP地址/certsrv/本例中所使用的独立根CA计算机的IP地址为172.16.1.15，计算机名称为wldhj。,图18,选择要申请证书的类型,图19,输入用户的详细信息,图20,证书申请结束后的显示,图22,显示已申请的证书,图23,该证书已颁发,图24,安装证书之前的系统提示信息,图25,系统显示证书已成功安装,图26,显示已信任的证书名称,图27,显示证书的详细信息,5.3.4 证书的保存和应用在前面的介绍中，用户一般是在要安装证书的计算机上来申请并安装证书。但是，在实际应用中，有时需要将申请到的证书安装在其他的计算机上，或出于安全考虑对已申请到的证书进行安全备份，当原来的证书不小心被删除或计算机重新安装操作系统后，就可以利用备份来还原。为解决此类问题，我们需要将申请到的证书以文件形式进行保存和应用。具体方法如下：,图28,选择在线安装或下载已申请的证书,图29,证书链成功,安装后的显示信息,在图29中出现的“证书链”的概念，“证书链”有时也叫做“证书链服务”或“交叉认证”，它是一个CA扩展其信任范围或被认可范围的一种实现机制。证书链可以扩大企业内部CA被信任的范围。一般企业内部CA发放的证书只能在企业内部使用，无法被外部的网络应用所识别和信任。例如，当企业员工利用企业CA发放的证书进行邮件加密和签名后发送给外部人员，这时可能会遇到邮件接收者不能识别邮件的情况，或者出现其他的浏览器和服务器不能识别或信任该企业CA发放的证书的情形。利用证书链服务，可以使企业CA发放的证书自动被所有信任本企业CA的浏览器、邮件客户端所信任，这样就无需为每一种软件、每一个邮件客户端重新申请证书，来要求他们信任企业CA发放的证书，从而低成本、高效率地实现了信任度的扩展。,在图29中，还可以单击“下载CA证书”或“下载CA证书链”，将CA的证书以文件形式保存起来。如果该证书不慎被丢失，则可以在打开该证书文件所在的文件夹后，单击鼠标右键，在出现的快捷菜单中选择“安装证书”重新进行安装，如图30所示。,图30,通过已保存的证书文件来安装证书,如果单位内部的独立根CA架设在一台运行Windows Server 2003的独立服务器上，或是安装在没有使用Active Directory进行数据库管理的成员服务器上，并以Windows Server 2003提供的“证书服务”组件来实现证书管理。此时，可以通过“受信任的根证书授权策略”将此独立根CA的证书自动发送到域内的所有计算机上，使域内的所有用户能够自动信任该独立根CA。在下面的操作中，我们将已建立的独立根CA“alone-CA”（IP地址为172.16.1.15）的证书，自动发送到域中的所有计算机中。,5.4 让域内用户自动信任独立根CA,5.4.1 下载独立根CA的证书首先，在域控制器（）计算机上，通过以下方式从独立根CA服务器下载所需要的数字证书。具体方法如下,图31,独立根,CA,证书申请窗口,图32,选择下载证书的类型,提示：对于根CA来说，CA证书和CA证书链所起的作用是相同的。为此，可以选择图33和图34中的任一种方式。,图,33,保存证书文件,图,34,保存证书链文件,5.4.2 导入数字证书下面，可以将前面申请或导出的CA证书或CA证书链文件导入到域控制器的“受信任的根证书授权策略”中，具体方法如下：（1）在域控制器（本例为）上，选择“开始”“程序”“管理工具”“域安全策略”“安全设置”“公钥策略”，打开如图36所示的窗口。,完成以上的操作之后，凡是加入该域的用户都会自动应用此策略，都会自动信任上述的独立根CA。域内的计算机并不会马上应用此策略，如果要应用此策略，需要具有以下的条件之一：重新启动计算机。等待策略自动生效。一般域控制器需要大约5分钟左右的时间，如果是隶属于域内的其他计算机，大约需要90120分钟的时间。,5.5.1电子邮件的数字签名下面，以用户邮箱和之间收发电子邮件为例，介绍利用CA进行电子邮件签名和加密的方法。数字签名是利用发送方的私有密钥进行加密，在接收方利用发送方的公开密钥进行解密。当用户wq要向用户lfj发送经过签名的电子邮件时，用户wq需要利用自己的私有密钥进行加密，当用户lfj接收到该加密的电子邮件时，再利用用户wq的公开密钥进行解密。具体过程如下：,5.5 数字证书应用举例,5.5.2 电子邮件的加密签名是利用发送者的私有密钥，而加密则是利用接收者的公开密钥。因为，当用户lfj阅读了由用户wq发送的经过数字签名的电子邮件后，用户wq的公开密钥和证书信息就会自动安装在用户lfj的计算机中，所以下面用户lfj就可以直接给用户wq发送加密的电子邮件了。具体方法如下：,如果该邮件在传输过程中出现问题（如被他人篡改、证书已到期等），将会出现如图52所示的警告信息。,5.6.1 CA的备份与还原CA数据库及相应信息保存在系统状态（System State）中，可以通过对系统状态的操作来实现对CA的备份和还原。1 CA的备份对于数字证书系统来说，CA中用户数据的安全性是非常重要的。为了防止系统出现故障或重新安装操作系统后丢失CA中的数据，建议网络管理员对CA进行定期的备份。具体方法如下：,5.6 数字证书的管理,2 CA的还原CA的还原是指当CA出现故障或运行CA的计算机重新安装操作系统后，对CA数据库及相关信息进行还原，以恢复到故障前的状态。具体操作方法为,练一练：在已配置的数字证书服务器上，首先对CA进行备份，然后利用备份的数据来还原CA。,5.6.2 增加证书模板“证书模板”是CA发放证书的依据，图65中显示的是CA为用户提供的可供选择的证书模板，其中每一个模板内会包含多种不同用途的证书，例如“计算机”模板就包含了“客户端验证”和“服务器验证”两种证书，如图66所示。,另外，企业CA还提供其他一些实有的模板，用户在使用之前可以通过以下的方法来启用：在如图65中选取“证书模板”，单击鼠标右键，在出现的快捷菜单中选择“新建”“要颁发的证书模板”，打开如图67所示的对话框。在该对话框中提供了大量非常实用的证书模板，如IPSec、RAS和IAS服务器等。用户可以在该对话框中选取要使用的证书模板，然后单击“确定”按钮进行启用。,5.6.3 让独立CA自动发放用户申请的证书如果独立CA的管理员希望用户在向该独立CA申请了证书后，能够由该独立CA自动进行发放，可通过以下的方法来进行：,提示：在修改了证书的颁发方式后，必须重新启动该证书服务后，所进行的设置才会生效。,5.6.4 证书的吊销管理用户申请到的每一类证书都有一定的使用期限，例如“电子邮件保护证书”自申请后的使用期限为1年。当证书的使用期限到期后，系统会自动进行吊销。另外，在证书还未到期之前，证书管理员也可以吊销该证书。例如，企业的某一员工离开公司后，就可以将其使用的证书进行吊销处理。1 吊销证书证书管理员可以通过以下方法来吊销尚未到期的证书：在“证书颁发机构”窗口中选取“颁发的证书”，已申请使用的证书将会显示在列表中，如图70所示,5.6.4 证书的吊销管理用户申请到的每一类证书都有一定的使用期限，例如“电子邮件保护证书”自申请后的使用期限为1年。当证书的使用期限到期后，系统会自动进行吊销。另外，在证书还未到期之前，证书管理员也可以吊销该证书。例如，企业的某一员工离开公司后，就可以将其使用的证书进行吊销处理。1 吊销证书证书管理员可以通过以下方法来吊销尚未到期的证书：在“证书颁发机构”窗口中选取“颁发的证书”，已申请使用的证书将会显示在列表中，如图71所示,2 发布“证书吊销列表（CRL）”当某些用户的证书被吊销后，网络中的用户如何才能知道哪些用户的证书被吊销了呢？首先，CA必须将“证书吊销列表”发布出去，之后计算机在网上下载了这个“证书吊销列表”后，就可以知道有哪些证书已经被吊销了。CA可以通过自动发布和手工发布两种方式来发布“证书吊销列表”。,3 下载“证书吊销列表（CRL）”网络中的计算机如何能够下载“证书吊销列表”呢？在CA发布了“证书吊销列表”后，网络中的计算机可以通过自动下载和手工下载两种方式来下载“证书吊销列表”。（1）自动下载。,（2）手工下载。,提示：如果不是第一次进行如上所述的手工下载操作，并且在如图73中设置了“发布增量CRL”。那么，在打开的如图78所示的列表中将出多出一项名为“下载最新的增量CRL”一项，单击该链接，可以下载最新的CRL增量。,5.6.5 用户证书的导入和导出作为用户在网络中身份象征的数字证书，用户一定要妥善保存。一般情况下，当安装了证书后，为了防止将来证书的丢失（如操作系统故障，证书被误删除等），就可以利用备份的证书文件来恢复。用户可以利用Web方式来导入和导出证书。,5.6.6 证书到期前的更新每一类证书在申请后都有一定的使用期限，如果证书在到期后用户还要继续使用该证书，则可以对其进行更新操作。提示：根CA的证书是自己发给自己的，而从属CA的证书是从根CA那里获得的，所以从属CA证书的有效期限不会超过根CA的证书期限。假设根CA的证书有效期限为5年，而从属CA的证书有效期为2年，那么当该根CA的证书有效期还有3年时如果从属CA向其申请证书，那么从属CA获得的证书的有效期还是2年。但是，当根CA的证书有效期限只有1年时，这时从属CA从该根CA那里获得的证书的有效期限权为1年。为此，在多CA的企业中，一般建议对根CA的证书有效期限进行适时的更新操作，使其能够尽可能地为从属CA和用户提供足够期限的证书。对于大部分只有一个CA的证书系统，只需要对仅有的这一台数字证书服务器进行操作即可，而不必关心不同CA之间的关系。,1 CA证书更新方法对于CA证书的更新，可以通过以下的方法来完成：（1）选择“开始”“程序”“管理工具”“证书颁发机构”，打开“证书颁发机构”窗口。,2 用户证书的更新方法用于用户来说，则可以通过以下方式来更新所申请到的证书（以Windows XP Professional操作系统为例）：（1）选择“开始”“运行”，在出现的对话框中输入MMC，在打开的对话框中选择“文件添加/删除管理员单元”，如图89所示,根据网络安全应用和管理的需要，许多单位都建立了自己的CA，并为用户提供证书服务。本章首先介绍了数字证书、PKI、CA的相关概念，接着以基于Windows Server 2003操作系统的“独立CA”的安装和使用为例，详细介绍了数字证书的申请、使用和管理方法。相信读者通过对本章内容的学习，能够结合自己的网络安全需求，安装和使用CA，并能够根据应用需要使用数字证书服务。,本讲小结,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,