數(shù)字證書服務(wù)器的配置與應(yīng)用

學(xué)習(xí)目標(biāo) 熟悉數(shù)字證書的概念和功能 熟悉 PKI與數(shù)字證書之間的關(guān)系 熟悉基于 Windows Server 2003數(shù)字證書服務(wù)的功能特點(diǎn) 掌握基于 Windows Server 2003數(shù)字證書服務(wù)器的安裝和配置方法 掌握數(shù)字證書的使用方法 掌握數(shù)字證書的管理方法 第 5講 數(shù)字證書服務(wù)器的配置與應(yīng)用 重點(diǎn)難點(diǎn) 熟悉基于 Windows Server 2003數(shù)字證書服務(wù)的功能特點(diǎn) 掌握基于 Windows Server 2003數(shù)字證書服務(wù)器的安裝和配置方法 掌握數(shù)字證書的使用方法 隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展 ， 相應(yīng)的安全問題也越來越明顯 ， 形式各樣的安全威脅越來越突出 。 在隨之產(chǎn)生的各種網(wǎng)絡(luò)安全解決方案中 ， 數(shù)字證書便是其中一種 。 與其他安全技術(shù)和解決方案相比 ， 數(shù)字證書服務(wù)具有高效 、 實(shí)用 、方便使用等特點(diǎn) 。 本講在介紹數(shù)字證書 、 PKI等網(wǎng)絡(luò)安全設(shè)施的基本概念后 ， 以 Windows Server 2003操作系統(tǒng)為主 ， 介紹數(shù)字證書服務(wù)器的安裝 、 配置和使用方法 。 數(shù)字證書也稱為數(shù)字標(biāo)識（ Digital Certificate，或 Digital ID）。它提供了一種在 Internet等公共網(wǎng)絡(luò)中進(jìn)行身份驗(yàn)證的方式，是用來標(biāo)識和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。數(shù)字證書由一個權(quán)威的證書認(rèn)證機(jī)構(gòu)（ Certificate Authority， CA）發(fā)行，在網(wǎng)絡(luò)中可以通過從 CA中獲得的數(shù)字證書來識別對方的身份。通俗地講，數(shù)字證書就是個人或單位在 Internet等公共網(wǎng)絡(luò)上的身份證。 比較專業(yè)的數(shù)字證書定義是：數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下，證書中還包括密鑰的有效時間，發(fā)證機(jī)關(guān)（證書授權(quán)中心）的名稱，該證書的序列號等信息，證書的格式遵循相關(guān)國際標(biāo)準(zhǔn)。 通過數(shù)字證書就可以使信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性交易者身份的確定性這四大網(wǎng)絡(luò)安全要素得到保障。 5.1 數(shù)字證書的概念 目前，計算機(jī)網(wǎng)絡(luò)中的安全體系分為 PKI體系和非 PKI安全體系兩大類。其中，非 PKI安全體系的應(yīng)用最為廣泛，例如用戶大量使用的“用戶名稱 +密碼”的形式就屬于非 PKI體系。由于非 PKI體系的安全性相對較弱，所以近年來 PKI安全體系得到了越來越廣泛的關(guān)注和應(yīng)用 5.2 PKI的概念和組成 5.2.1 PKI的概念 PKI（ Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）為網(wǎng)上信息的傳輸提供了加密（ Encryption）和驗(yàn)證（ Authentication）功能，在信息發(fā)送前對其進(jìn)行加密處理，當(dāng)對方接收到信息后，能夠驗(yàn)證該信息是否確實(shí)是由發(fā)送方發(fā)送的信息，同時還可以確定信息的完整性（ Integrity），即信息在發(fā)送過程中未被他人非法篡改。數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書來實(shí)現(xiàn)。 PKI的組成除數(shù)字證書之外，還包括簽署這些證書的認(rèn)證、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用程序接口（ API）等基本構(gòu)成部分。 PKI根據(jù)公開密鑰學(xué)（ Public Key Cryptography）來提供前面介紹的加密和驗(yàn)證功能，在此過程中需要公開密鑰和私有密鑰來支持，其中： 公開密鑰（ Public Key）。公開密鑰也稱為公共密鑰（簡稱為“公鑰”），在安全系統(tǒng)中公開密鑰不需要進(jìn)行保密，是向網(wǎng)絡(luò)中的所有用戶公開的。對于一個安全系統(tǒng)來說，公開密鑰是唯一的。 私有密鑰（ Private Key）。私有密鑰簡稱為“私鑰”，是用戶個人擁有的密碼，它存在于用戶自己的計算機(jī)或其他介質(zhì)中，只有該用戶自己才能使用。私有密鑰需要安全保存和管理。 在信息的安全傳輸中，發(fā)送信息前可以通過公開密鑰對其進(jìn)行加密，接收方在接收到信息后再利用自己的私有密鑰進(jìn)行解密。 5.2.2 公開密鑰加密法 公開密鑰加密法是使用公開密鑰和私有密鑰一組密鑰來進(jìn)行加密和解密處理，其中公開密鑰用來進(jìn)行加密，而私有密鑰用來進(jìn)行解密，這種加密和解密的處理方式也稱為“非對稱”（ asymmetric）加密法。另外，還有一種稱為“秘密密鑰加密法”（ secret key encryption），該算法也稱為“對稱”（ symmetric）加密法，這種方法在進(jìn)行加密和解密的過程中都使用同一個密鑰。 圖 1 張三與李四之間利用公開密鑰加密法傳輸信息 5.2.3 公開密鑰驗(yàn)證法 數(shù)字簽名”是通過一個單向函數(shù)對要傳送的報文進(jìn)行處理得到的，用以認(rèn)證信息來源并核實(shí)信息是否發(fā)生變化的一個字母數(shù)字串。 用戶可以利用“公開密鑰驗(yàn)證法”來對要發(fā)送的信息進(jìn)行數(shù)字簽名，而對方在收到該信息后，能夠通過此數(shù)字簽名來驗(yàn)證信息是否確實(shí)是由發(fā)送方發(fā)送來的，同時還可以確認(rèn)信息在發(fā)送過程中是否被篡改。從實(shí)現(xiàn)原理來看，數(shù)字簽名其實(shí)就是對加密、解密的應(yīng)用。簽名的過程為加密過程，查看簽名的過程為解密過程。 圖 2 數(shù)字簽名的實(shí)現(xiàn)過程 5.2.4 證書認(rèn)證機(jī)構(gòu)（ CA） 在整個加密解密過程中，僅擁有密鑰（公開密鑰和私有密鑰）是不夠的，還必須申請相應(yīng)的數(shù)字證書（ digital certification）或數(shù)據(jù)標(biāo)識（ digital ID），這樣才可能利用密鑰執(zhí)行信息加密和身份驗(yàn)證操作。在這里，密鑰相當(dāng)于“汽車”，而數(shù)字證書相當(dāng)于“駕駛證”，只有汽車而沒有駕駛證是無法開車上路的，同樣只有駕駛證而沒有汽車也無法使駕駛證發(fā)揮作用。所以，密鑰和數(shù)字證書應(yīng)該是構(gòu)成該系統(tǒng)的必備條件。為了便于數(shù)字證書的管理，出現(xiàn)了一些專門的數(shù)字證書管理機(jī)構(gòu)，負(fù)責(zé)發(fā)放和管理數(shù)字證書，將這一機(jī)構(gòu)稱為“證書認(rèn)證機(jī)構(gòu)”，或“認(rèn)證中心”（ Certificate Authority， CA）。 如圖 3所示，當(dāng)用戶在申請證書時，必須輸入申請者的詳細(xì)資料：如姓名、地址、電子郵箱等，這些信息將被發(fā)送到一個稱為加密服務(wù)提供者（ Cryptographic Service Provider， CSP）的程序，由 CSP負(fù)責(zé)創(chuàng)建密鑰、吊銷密鑰，以及使用密鑰執(zhí)行各種加、解密操作。 CPS會自動建立一對密鑰：一個公開密鑰和一個私有密鑰。 CSP會將私有密鑰存儲到用戶（申請者）計算機(jī)的注冊表中，然后將證書申請信息和公開密鑰一并發(fā)送到 CA進(jìn)行管理。在進(jìn)行加密、解密時，當(dāng)用戶需要某一用戶的公開密鑰時，就會向 CA進(jìn)行查詢，并將得到的數(shù)字證書保存在自己的計算機(jī)中 。 圖 3 申請數(shù)字證書時提交的用戶信息 5.2.5 CA的結(jié)構(gòu)及信任關(guān)系 基于 Windows操作系統(tǒng)的 PKI支持結(jié)構(gòu)化的 CA，即將 CA分為“根 CA”（ root CA）和“從屬 CA”（ subordinate CA）。其中： 1. 根 CA 根 CA位于系統(tǒng)的最上層，一方面它可以發(fā)放用來保護(hù)電子郵件安全的證書、提供網(wǎng)站 SSL（ Security Socket Layer，加密套接字協(xié)議層）安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、用來提供基于 L2TP的VPN認(rèn)證的證書等。另一方面，根 CA可用來發(fā)放證書給其他的 CA（從屬CA）。在大部分環(huán)境中，根 CA的主要作用是為從屬 CA發(fā)放證書。 2 從屬 CA 從屬 CA主要用來發(fā)放用于保護(hù)電子郵件安全的證書、提供網(wǎng)站 SSL安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、用來提供基于L2TP的 VPN認(rèn)證的證書等。也可以發(fā)放證書給其下一層的從屬 CA。從屬 CA必須先向其父 CA（可能是根 CA，也可能是從屬 CA）取得證書后，才可以發(fā)放證書。 提示：對于 Windows 2000、 Windows XP、 Windows Server 2003來說，如果該計算機(jī)已經(jīng)信任了根 CA，那么他們將會自動信任該根 CA下的所有從屬CA，這就是 CA信任的繼承性。但是，當(dāng)用戶將從屬 CA的信任關(guān)系刪除，或從屬 CA的證書已經(jīng)過期后，就不存在以上的繼承關(guān)系。 Windows 2000、 Windows XP、 Windows Server 2003的計算機(jī)已經(jīng)信任由一些知名的 CA發(fā)放的證書，需要時，用戶可以向上述知名的 CA申請證書，但這些 CA發(fā)放的證書一般是要收費(fèi)的。同時，也有一些不收費(fèi)的 CA另外，如果用戶只希望在本單位或系統(tǒng)內(nèi)部實(shí)現(xiàn)基于 Internet信息傳輸?shù)陌踩?，可以利用Windows Server 2003提供的“證書服務(wù)”來組建自己的 CA，然后利用該 CA向本單位或系統(tǒng)中的員工、客戶、供應(yīng)商等發(fā)放證書，而不需要向其他 CA申請。這樣，當(dāng)本單位或系統(tǒng)中的員工、客戶、供應(yīng)商的計算機(jī)設(shè)置為信任該 CA所發(fā)放的證書時，就可以通過自己的 CA加強(qiáng)信息傳輸?shù)陌踩浴?圖 4 查看計算機(jī)中已信任的根證書 5.2.6 Windows Server 2003中 CA的分類 Windows Server 2003提供的“證書服務(wù)”可以將 Windows Server 2003扮演 CA的角色，該 CA可以是企業(yè) CA，也可以是獨(dú)立 CA。 1 企業(yè) CA 企業(yè) CA發(fā)放證書的對象是域內(nèi)的所有用戶和計算機(jī)，非本域內(nèi)的用戶或計算機(jī)是無法向該企業(yè) CA申請證書的。當(dāng)域內(nèi)的用戶向企業(yè) CA申請證書時，企業(yè) CA將通過 Active Directory進(jìn)行身份驗(yàn)證（驗(yàn)證用戶是否為本域中的用戶或計算機(jī)），并根據(jù)驗(yàn)證結(jié)果決定是否發(fā)放證書。 企業(yè) CA可以分為企業(yè)根 CA（ enterprise root CA）和企業(yè)從屬 CA（ enterprise subordinate CA）兩種類型。其中，在大多數(shù)情況下，企業(yè)根 CA主要用來為企業(yè)從屬 CA發(fā)放證書。而企業(yè)從屬 CA必須先向企業(yè)根 CA取得證書，然后才可以向其域內(nèi)的用戶或計算機(jī)以及其下屬的企業(yè)從屬 CA發(fā)放證書。企業(yè)從屬 CA主要用來發(fā)放保護(hù)電子郵件安全的證書、提供網(wǎng)站 SSL安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、進(jìn)行基于L2TP的 VPN驗(yàn)證的證書等。 2 獨(dú)立 CA 獨(dú)立 CA不需要 Active Directory，扮演獨(dú)立 CA的計算機(jī)既可以是運(yùn)行 Windows Server 2003的獨(dú)立服務(wù)器，也可以是成員服務(wù)器或域控制器。無論用戶和計算機(jī)是否是 Active Directory域內(nèi)的用戶，都可以向獨(dú)立 CA申請證書。由于用戶在向獨(dú)立 CA申請證書時，不像企業(yè) CA首先通過 Active Directory來驗(yàn)證其身份，所以用戶需要自行輸入申請者的詳細(xì)信息和所要申請的證書類型。 獨(dú)立 CA也分為獨(dú)立根 CA（ standard-alone CA）和獨(dú)立從屬 CA（ standard-alone subordinate CA）兩種類型。其中，在多數(shù)情況下，獨(dú)立根 CA主要用來發(fā)放證書給從屬 CA。而獨(dú)立從屬 CA必須先向其父 CA（既可以是獨(dú)立根 CA，也可以是上層的獨(dú)立從屬 CA）取得證書，然后才可以發(fā)放證書。獨(dú)立從屬 CA主要用來發(fā)放保護(hù)電子郵件安全的證書、提供網(wǎng)站 SSL安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、進(jìn)行基于 L2TP的 VPN驗(yàn)證的證書等 。 由于基于 Windows Server 2003的數(shù)字證書服務(wù)器分為企業(yè) CA和獨(dú)立 CA兩種類型，其中企業(yè) CA需要建立在活動目錄的基礎(chǔ)上，同時只能向本企業(yè)內(nèi)部加入活動目錄的用戶提供數(shù)字證書服務(wù)。而獨(dú)立 CA不需要活動目錄的支持，而且可以向加入活動目錄域控制器的用戶和沒有加入活動目錄域控制器的用戶提供數(shù)字證書服務(wù)。兩者相比，獨(dú)立 CA的配置和使用要比企業(yè) CA方便，所以本節(jié)將介紹獨(dú)立 CA的安裝和配置方法。 5.3 數(shù)字證書服務(wù)器的安裝和配置 5.3.1 安裝 IIS 圖 5 選擇要安裝的 Windows 組件 圖 6 選取 “ Internet 信息服務(wù)（ IIS ） ” 圖 7 IIS 管理器窗口 圖 8 測試 IIS 的工作狀態(tài) 5.3.2 安裝證書服務(wù) 獨(dú)立 CA可分為獨(dú)立根 CA和獨(dú)立從屬 CA兩種，其中獨(dú)立從屬 CA必須建立在其父CA的基礎(chǔ)上。其中，父 CA既可以是獨(dú)立根 CA，也可以是其他的獨(dú)立從屬 CA。對于絕大多數(shù)中小企業(yè)來說，一般只需要配置一臺數(shù)字證書服務(wù)器即可。所以，本節(jié)僅介紹獨(dú)立根 CA的安裝方法。 圖 10 選取了 “ 證書服務(wù) ” 后的系統(tǒng)提示信息 圖 11 選擇 CA 類型 圖 12 設(shè)置 CA 的識別信息 圖 9 安裝 “ 證書服務(wù) ” 提示：如果獨(dú)立 CA安裝在域控制器或成員服務(wù)器內(nèi)，而且是以域管理員（如 Administrator）的身份來安裝的，則獨(dú)立 CA會自動通過 Active Directory來讓域內(nèi)的所有用戶與計算機(jī)應(yīng)用由獨(dú)立根 CA發(fā)放的證書；如果獨(dú)立 CA安裝在獨(dú)立服務(wù)器上，或是安裝在沒有使用 Active Directory的成員服務(wù)器或域控制器上，域內(nèi)用戶則需要另外執(zhí)行信任此獨(dú)立 CA的操作。 圖 13 選擇證書的保存位置 圖 14 系統(tǒng)提示在安裝證書之前需要停止 IIS 圖 16 系統(tǒng)提供的證書模板 圖 15 證書頒發(fā)機(jī)構(gòu)操作窗口 5.3.3 數(shù)字證書的申請方法 不管是否為域用戶，都可以利用 Web方式向獨(dú)立 CA申請數(shù)字證書。下面，以用戶為其電子郵件 申請用于電子郵件安全的證書為例進(jìn)行介紹。具體方法如下： （ 1） 在要安裝證書的計算機(jī)上打開 IE瀏覽器，在地址欄中輸入以下的地址： http:/CA的計算機(jī)名稱或 IP地址 /certsrv/ 本例中所使用的獨(dú)立根 CA計算機(jī)的 IP地址為 5，計算機(jī)名稱為wldhj。 圖 17 . 證書申請窗口 圖 18 選擇要申請證書的類型 圖 19 輸入用戶的詳細(xì)信息 圖 21 顯示未被頒發(fā)的證書名稱 圖 20 證書申請結(jié)束后的顯示 圖 22 顯示已申請的證書 圖 23 該證書已頒發(fā) 圖 24 安裝證書之前的系統(tǒng)提示信息 圖 25 系統(tǒng)顯示證書已成功安裝 圖 26 顯示已信任的證書名稱 圖 27 顯示證書的詳細(xì)信息 5.3.4 證書的保存和應(yīng)用 在前面的介紹中，用戶一般是在要安裝證書的計算機(jī)上來申請并安裝證書。但是，在實(shí)際應(yīng)用中，有時需要將申請到的證書安裝在其他的計算機(jī)上，或出于安全考慮對已申請到的證書進(jìn)行安全備份，當(dāng)原來的證書不小心被刪除或計算機(jī)重新安裝操作系統(tǒng)后，就可以利用備份來還原。為解決此類問題，我們需要將申請到的證書以文件形式進(jìn)行保存和應(yīng)用。具體方法如下： 圖 28 選擇在線安裝或下載已申請的證書 圖 29 證書鏈成功 安裝后的顯示信息 在圖 29中出現(xiàn)的“證書鏈”的概念，“證書鏈”有時也叫做“證書鏈服務(wù)”或“交叉認(rèn)證”，它是一個CA擴(kuò)展其信任范圍或被認(rèn)可范圍的一種實(shí)現(xiàn)機(jī)制。證書鏈可以擴(kuò)大企業(yè)內(nèi)部 CA被信任的范圍。一般企業(yè)內(nèi)部 CA發(fā)放的證書只能在企業(yè)內(nèi)部使用，無法被外部的網(wǎng)絡(luò)應(yīng)用所識別和信任。例如，當(dāng)企業(yè)員工利用企業(yè) CA發(fā)放的證書進(jìn)行郵件加密和簽名后發(fā)送給外部人員，這時可能會遇到郵件接收者不能識別郵件的情況，或者出現(xiàn)其他的瀏覽器和服務(wù)器不能識別或信任該企業(yè) CA發(fā)放的證書的情形。利用證書鏈服務(wù)，可以使企業(yè) CA發(fā)放的證書自動被所有信任本企業(yè) CA的瀏覽器、郵件客戶端所信任，這樣就無需為每一種軟件、每一個郵件客戶端重新申請證書，來要求他們信任企業(yè) CA發(fā)放的證書，從而低成本、高效率地實(shí)現(xiàn)了信任度的擴(kuò)展。 在圖 29中，還可以單擊“下載 CA證書”或“下載 CA證書鏈”，將 CA的證書以文件形式保存起來。如果該證書不慎被丟失，則可以在打開該證書文件所在的文件夾后，單擊鼠標(biāo)右鍵，在出現(xiàn)的快捷菜單中選擇“安裝證書”重新進(jìn)行安裝，如圖 30所示。 圖 30 通過已保存的證書文件來安裝證書 如果單位內(nèi)部的獨(dú)立根 CA架設(shè)在一臺運(yùn)行 Windows Server 2003的獨(dú)立服務(wù)器上，或是安裝在沒有使用 Active Directory進(jìn)行數(shù)據(jù)庫管理的成員服務(wù)器上，并以 Windows Server 2003提供的“證書服務(wù)”組件來實(shí)現(xiàn)證書管理。此時，可以通過“受信任的根證書授權(quán)策略”將此獨(dú)立根 CA的證書自動發(fā)送到域內(nèi)的所有計算機(jī)上，使域內(nèi)的所有用戶能夠自動信任該獨(dú)立根 CA。 在下面的操作中，我們將已建立的獨(dú)立根 CA“alone-CA”（ IP地址為 5）的證書，自動發(fā)送到域 中的所有計算機(jī)中。 5.4 讓域內(nèi)用戶自動信任獨(dú)立根 CA 5.4.1 下載獨(dú)立根 CA的證書 首先，在域控制器（ ）計算機(jī)上，通過以下方式從獨(dú)立根 CA服務(wù)器下載所需要的數(shù)字證書。具體方法如下 圖 31 獨(dú)立根 CA 證書申請窗口 圖 32 選擇下載證書的類型 提示：對于根 CA來說， CA證書和 CA證書鏈所起的作用是相同的。為此，可以選擇圖 33和圖 34中的任一種方式。 圖 33 保存證書文件 圖 34 保存證書鏈文件 圖 35 導(dǎo)出計算機(jī)中已有的證書 5.4.2 導(dǎo)入數(shù)字證書 下面，可以將前面申請或?qū)С龅?CA證書或 CA證書鏈文件導(dǎo)入到域控制器的“受信任的根證書授權(quán)策略”中，具體方法如下： （ 1） 在域控制器（本例為 ）上，選擇“開始” “程序” “管理工具” “域安全策略” “安全設(shè)置” “公鑰策略”，打開如圖 36所示的窗口。 圖 36 域安全策略設(shè)置窗口 圖 37 輸入要導(dǎo)入的證書文件 圖 38 選擇證書存儲的系統(tǒng)區(qū)域 圖 39 導(dǎo)入的證書信息 圖 40 顯示所導(dǎo)入的證書 完成以上的操作之后，凡是加入該域的用戶都會自動應(yīng)用此策略，都會自動信任上述的獨(dú)立根 CA。域內(nèi)的計算機(jī)并不會馬上應(yīng)用此策略，如果要應(yīng)用此策略，需要具有以下的條件之一： 重新啟動計算機(jī)。 等待策略自動生效。一般域控制器需要大約 5分鐘左右的時間，如果是隸屬于域內(nèi)的其他計算機(jī)，大約需要 90120分鐘的時間。 圖 41 gpupdate /target:computer /force 命令的執(zhí)行過程和結(jié)果 圖 42 顯示已信任的證書 5.5.1電子郵件的數(shù)字簽名 下面，以用戶郵箱 和 之間收發(fā)電子郵件為例，介紹利用 CA進(jìn)行電子郵件簽名和加密的方法。數(shù)字簽名是利用發(fā)送方的私有密鑰進(jìn)行加密，在接收方利用發(fā)送方的公開密鑰進(jìn)行解密。當(dāng)用戶 wq要向用戶 lfj發(fā)送經(jīng)過簽名的電子郵件時，用戶 wq需要利用自己的私有密鑰進(jìn)行加密，當(dāng)用戶 lfj接收到該加密的電子郵件時，再利用用戶 wq的公開密鑰進(jìn)行解密。具體過程如下： 5.5 數(shù)字證書應(yīng)用舉例 圖 43 選取郵件賬戶 圖 44 選取證書 圖 47 用戶 lfj 接收到一份由用戶 wq 發(fā)送過來的經(jīng)過簽名的電子郵件 圖 48 用戶 wq 的通訊地址 圖 49 用戶 wq 的數(shù)字標(biāo)識 圖 50 安全提示信息 圖 51 系統(tǒng)提示該電子郵件已經(jīng)過安裝檢查 圖 52 系統(tǒng)安全警告 圖 53 系統(tǒng)提示 “ 簽名數(shù)字標(biāo)識不可取 ” 5.5.2 電子郵件的加密 簽名是利用發(fā)送者的私有密鑰，而加密則是利用接收者的公開密鑰。因?yàn)?，?dāng)用戶lfj閱讀了由用戶 wq發(fā)送的經(jīng)過數(shù)字簽名的電子郵件后，用戶 wq的公開密鑰和證書信息就會自動安裝在用戶 lfj的計算機(jī)中，所以下面用戶 lfj就可以直接給用戶 wq發(fā)送加密的電子郵件了。具體方法如下： 圖 54 對郵件同時進(jìn)行加密和簽名處 理 圖 55 用戶 wq 接收到由用戶 lfj 發(fā)送的同時經(jīng)過加密和簽名的電子郵件 如果該郵件在傳輸過程中出現(xiàn)問題（如被他人篡改、證書已到期等），將會出現(xiàn)如圖 52所示的警告信息。 圖 56 查看電 子郵件的內(nèi)容 5.6.1 CA的備份與還原 CA數(shù)據(jù)庫及相應(yīng)信息保存在系統(tǒng)狀態(tài)（ System State）中，可以通過對系統(tǒng)狀態(tài)的操作來實(shí)現(xiàn)對 CA的備份和還原。 1 CA的備份 對于數(shù)字證書系統(tǒng)來說， CA中用戶數(shù)據(jù)的安全性是非常重要的。為了防止系統(tǒng)出現(xiàn)故障或重新安裝操作系統(tǒng)后丟失 CA中的數(shù)據(jù)，建議網(wǎng)絡(luò)管理員對 CA進(jìn)行定期的備份。具體方法如下： 5.6 數(shù)字證書的管理 圖 57 選擇 “ 備份 ” 操作 圖 5 8 選擇要備份的內(nèi)容和備份文件夾的存儲位置 2 CA的還原 CA的還原是指當(dāng) CA出現(xiàn)故障或運(yùn)行 CA的計算機(jī)重新安裝操作系統(tǒng)后，對 CA數(shù)據(jù)庫及相關(guān)信息進(jìn)行還原，以恢復(fù)到故障前的狀態(tài)。具體操作方法為 圖 59 設(shè)置備份文件夾的密碼 圖 60 完成備份設(shè)置 圖 61 系統(tǒng)提示要暫停證書服務(wù) 圖 62 選擇還原的項目及還原文件的位置 練一練：在已配置的數(shù)字證書服務(wù)器上，首先對 CA進(jìn)行備份，然后利用備份的數(shù)據(jù)來還原 CA。 圖 63 輸入文件的還原密碼 圖 64 結(jié)束設(shè)置 5.6.2 增加證書模板 “證書模板”是 CA發(fā)放證書的依據(jù)，圖 65中顯示的是 CA為用戶提供的可供選擇的證書模板，其中每一個模板內(nèi)會包含多種不同用途的證書，例如“計算機(jī)”模板就包含了“客戶端驗(yàn)證”和“服務(wù)器驗(yàn)證”兩種證書，如圖 66所示。 圖 65 企業(yè) CA 提供的證書模板 圖 66 “ 計算機(jī) ” 模板所包含的證書類型 另外，企業(yè) CA還提供其他一些實(shí)有的模板，用戶在使用之前可以通過以下的方法來啟用：在如圖 65中選取“證書模板”，單擊鼠標(biāo)右鍵，在出現(xiàn)的快捷菜單中選擇“新建” “要頒發(fā)的證書模板”，打開如圖 67所示的對話框。在該對話框中提供了大量非常實(shí)用的證書模板，如 IPSec、 RAS和 IAS服務(wù)器等。用戶可以在該對話框中選取要使用的證書模板，然后單擊“確定”按鈕進(jìn)行啟用。 圖 67 啟用新的證書模板 5.6.3 讓獨(dú)立 CA自動發(fā)放用戶申請的證書 如果獨(dú)立 CA的管理員希望用戶在向該獨(dú)立 CA申請了證書后，能夠由該獨(dú)立 CA自動進(jìn)行發(fā)放，可通過以下的方法來進(jìn)行： 提示：在修改了證書的頒發(fā)方式后，必須重新啟動該證書服務(wù)后，所進(jìn)行的設(shè)置才會生效。 圖 68 “ 策略模板 ” 設(shè)置對話框 圖 69 將請求方式設(shè)置為自動頒發(fā) 5.6.4 證書的吊銷管理 用戶申請到的每一類證書都有一定的使用期限，例如“電子郵件保護(hù)證書”自申請后的使用期限為 1年。當(dāng)證書的使用期限到期后，系統(tǒng)會自動進(jìn)行吊銷。另外，在證書還未到期之前，證書管理員也可以吊銷該證書。例如，企業(yè)