TSM_2823_2824_03

1、第3章 配置、部署和管理證書第3章 配置、部署和管理證書本章概述企業(yè)依靠證書提供可靠性、保密性和不可抵賴性等好處。本章講述了如何為了預(yù)期的目的將證書頒發(fā)給正確的安全主體，以及如何簡(jiǎn)單明了的為用戶部署證書。此外，還應(yīng)該掌握恢復(fù)數(shù)字證書的方法，以防用戶或計(jì)算機(jī)丟失與數(shù)字證書關(guān)聯(lián)的私鑰。學(xué)習(xí)完本章后，希望大家能夠掌握以上知識(shí)點(diǎn)，結(jié)合實(shí)驗(yàn)理解證書的管理。教學(xué)目標(biāo)l 能夠配置證書模板l 能夠部署和廢除證書模板l 能夠管理證書模板教學(xué)重點(diǎn)l 配置證書模板：數(shù)字證書、生命周期、證書模板概念和配置l 部署與吊銷用戶和計(jì)算機(jī)證書：證書注冊(cè)和吊銷l 管理證書：密鑰的恢復(fù)和導(dǎo)出教學(xué)難點(diǎn)l 需要對(duì)數(shù)字證書有一定程度的

2、了解，學(xué)生不一定具備證書的概念教學(xué)資源課本知識(shí)點(diǎn)3.1配置證書模板3.2部署與吊銷用戶和計(jì)算機(jī)證書3.3管理證書習(xí)題習(xí)題1-對(duì)應(yīng)知識(shí)（3.1.2）習(xí)題2-對(duì)應(yīng)知識(shí)（3.1.4）習(xí)題3-對(duì)應(yīng)知識(shí)（3.2.5）習(xí)題4-對(duì)應(yīng)知識(shí)（3.2.6）習(xí)題5-對(duì)應(yīng)知識(shí)（3.3.3）習(xí)題6-對(duì)應(yīng)知識(shí)（3.1.3）習(xí)題7-對(duì)應(yīng)知識(shí)（3.2.2）習(xí)題8-對(duì)應(yīng)知識(shí)（3.1.9）習(xí)題9-對(duì)應(yīng)知識(shí)（3.3.2）習(xí)題10-對(duì)應(yīng)知識(shí)（3.3.6）教學(xué)指導(dǎo)手冊(cè)包新版幻燈片教師光盤:/Powerpnt/2823A_03.ppt多媒體視頻證書注冊(cè)習(xí)題解答教師光盤:/tPrep/answer/Answer3.doc先修知識(shí)在正式開始

3、學(xué)習(xí)本章內(nèi)容以前，學(xué)生須具備下列知識(shí)基礎(chǔ)。知識(shí)基礎(chǔ)推薦補(bǔ)充網(wǎng)絡(luò)基本概念、服務(wù)器基本應(yīng)用和知識(shí)網(wǎng)絡(luò)常見協(xié)議的概念和使用Internet的使用和電子郵件服務(wù)公鑰基礎(chǔ)結(jié)構(gòu)建議學(xué)時(shí)課堂教學(xué)2課時(shí)+實(shí)驗(yàn)教學(xué)2課時(shí)教學(xué)過程3.1 配置證書模板教學(xué)提示 ：本節(jié)主要達(dá)到以下目的:l 了解數(shù)字證書的特點(diǎn)和什么是證書模版（稍作詳講）l 怎樣管理和修改證書模版（詳講）教學(xué)內(nèi)容教學(xué)方法教學(xué)提示講授：介紹什么是證書模版，引入本節(jié)的主題。簡(jiǎn)單說證書模版就是針對(duì)某一類證書，為了簡(jiǎn)化證書頒發(fā)時(shí)的配置工作，而使用的一種模版。使用證書模版不僅可以節(jié)省配置工作，還可以防止不小心給證書分配不應(yīng)該的屬性。例如，使用郵件簽名的模版頒發(fā)的

4、證書，就能夠避免因?yàn)椴划?dāng)操作使得證書能夠用于EFS文件加密。閱書：3.1.1幻燈：第6頁略講，為本節(jié)開頭講授：回顧數(shù)字證書。說明數(shù)字證書的作用和數(shù)字證書的內(nèi)容。講解課本：3.1.1略講講授：描述數(shù)字證書的生命周期。說明一下證書的有效期由CA和證書模版決定。講解課本：3.1.2閱書：3.1.2幻燈：第7頁略講講授：說明證書模版的實(shí)質(zhì)：是針對(duì)一些內(nèi)容的規(guī)則和設(shè)置的一個(gè)集合。說明證書模版能夠?qū)崿F(xiàn)哪些配置，是應(yīng)用到具體的證書申請(qǐng)過程中的。描述清楚只有企業(yè)CA才能夠使用證書模版。并且可以通過活動(dòng)目錄來統(tǒng)一存放證書模版。正是由于存放在活動(dòng)目錄中，也就保證了每一個(gè)證書模版都有獨(dú)立的DACL來控制能夠訪問證書

5、模版的安全實(shí)體。講解課本：3.1.3閱書：3.1.3幻燈：第8頁稍作講解，要讓學(xué)生了解證書模版是怎樣的一個(gè)概念，可以用來干什么。講授：說明證書模版分為版本1和版本2兩種，并向?qū)W生說明這兩種不同版本的證書模版的區(qū)別:版本1的證書模版無法單獨(dú)修改證書有效期限和密鑰長度等信息。而版本2證書模版提供了更多的修改選項(xiàng)并能夠?qū)崿F(xiàn)密鑰存檔和自動(dòng)注冊(cè)等新的功能。講清楚兩種之間的區(qū)別即可。講授：根據(jù)證書模版所能頒發(fā)的證書的種類不同，能夠?qū)⒆C書模版分為許多種類。首先是第一大類，單用途模版。此類模版用途基本單一。此類模版用于要求證書用法獨(dú)立的場(chǎng)合，例如EFS加密，IPSec的加密和會(huì)話的加密等等。另一大類是多用途的

6、模版。為了減少頒發(fā)證書的數(shù)量，可以將要求不那么獨(dú)立的證書進(jìn)行合并。講解課本：3.1.4、3.1.5閱書：3.1.4幻燈：第9頁通過結(jié)合實(shí)際用例來說明講授：解釋證書模版的權(quán)限是用來干什么的。即，使用權(quán)限規(guī)定特定安全實(shí)體能夠使用模版的方式?？梢岳脵?quán)限限制通過模版申請(qǐng)證書的安全實(shí)體。講解課本：3.1.6閱書：3.1.6幻燈：第11頁簡(jiǎn)單介紹講授：為了獲取合適使用的證書模版，可以修改現(xiàn)有版本2的證書模版或者設(shè)計(jì)新的模版。講解課本：3.1.7閱書：3.1.7幻燈：第12頁簡(jiǎn)單介紹講授：比較本小節(jié)的兩種情況：修改模版和取代模版。說明什么情況下應(yīng)該對(duì)模版進(jìn)行修改，什么情況下應(yīng)該對(duì)模版進(jìn)行替換。講解課本：3

7、.1.8閱書：3.1.8幻燈：第13頁描述清楚兩種做法對(duì)應(yīng)的情況。講授：介紹如何通過管理控制臺(tái)，修改和取代證書模版。時(shí)間和條件允許的情況下，做一下管理控制臺(tái)的界面演示。講解課本：3.1.9閱書：3.1.9幻燈：第14頁按照步驟簡(jiǎn)單介紹實(shí)驗(yàn)3-1：按照實(shí)驗(yàn)手冊(cè)，引導(dǎo)學(xué)生完成實(shí)驗(yàn)，并加深理解前面介紹的內(nèi)容。適當(dāng)回顧課堂的講授的內(nèi)容，再結(jié)合實(shí)驗(yàn)的動(dòng)手操作。小結(jié)：本節(jié)著重介紹了有關(guān)證書模版的內(nèi)容，關(guān)鍵在于讓學(xué)生理解證書模版的作用和證書模版的實(shí)質(zhì)。結(jié)合實(shí)驗(yàn)應(yīng)該讓學(xué)生完全理解證書模版對(duì)于證書服務(wù)的作用。3.2 部署與吊銷用戶和計(jì)算機(jī)證書教學(xué)提示 ：本節(jié)主要達(dá)到以下目的:l 介紹如何注冊(cè)證書(詳講)l 如何

8、注銷證書（略講）教學(xué)內(nèi)容教學(xué)方法教學(xué)提示講授：介紹多種證書注冊(cè)的方式，以及說明它們各自可以用于那些情況下。后面的課程將詳細(xì)介紹幾種注冊(cè)方式，因此在這里簡(jiǎn)單對(duì)各種注冊(cè)方式做一些比較介紹即可。講解課本：3.2.1閱書：3.2.1幻燈：第19頁注意不同注冊(cè)方式間的比較。講授：介紹怎樣使用Web來進(jìn)行證書的注冊(cè)。說明安裝CA的時(shí)候，可以在IIS的基礎(chǔ)上建立CA的Web站點(diǎn)，這樣可以通過Web來注冊(cè)證書。擴(kuò)展介紹一下Web注冊(cè)證書的好處。即可以通過防火墻等將CA發(fā)布到互聯(lián)網(wǎng)。當(dāng)外部用戶也需要證書服務(wù)時(shí)，可以提供證書服務(wù)。講解課本：3.2.2閱書：3.2.2幻燈：第20頁略為介紹講授：介紹怎樣使用管理控制

9、臺(tái)來申請(qǐng)證書。介紹如何使用certreq.exe命令行來申請(qǐng)證書。介紹如何設(shè)置證書服務(wù)以提供自動(dòng)證書申請(qǐng)注冊(cè)。講解課本：3.2.3、3.2.4、3.2.5閱書：3.2.3幻燈：第21頁中心放在如何設(shè)置自動(dòng)證書注冊(cè)上。講授和實(shí)驗(yàn)：簡(jiǎn)單介紹如何吊銷證書。按照實(shí)驗(yàn)手冊(cè)來進(jìn)行吊銷證書的實(shí)驗(yàn)以幫助理解書面的知識(shí)。講解課本：3.2.6閱書：3.2.6幻燈：第24頁小結(jié)： 注冊(cè)證書有幾種方法。根據(jù)證書管理者的審批要求，可以手動(dòng)或自動(dòng)處理證書申請(qǐng)。本章介紹部署和吊銷用戶和計(jì)算機(jī)證書的必要技巧和知識(shí)。3.3 管理證書教學(xué)提示 ：本節(jié)主要達(dá)到以下目的：l 如何管理密鑰以備需要的時(shí)候恢復(fù)l 如何導(dǎo)出證書教學(xué)內(nèi)容教學(xué)

10、方法教學(xué)提示講授：可以以EFS為例說明密鑰對(duì)的作用。首先說明一下EFS是利用用戶證書里的密鑰對(duì)來加密文件。解釋清楚EFS需要利用密鑰對(duì)來進(jìn)行文件的加密解密。接著提問，因?yàn)楦鞣N原因，例如系統(tǒng)重裝，磁盤損壞或者硬件被盜等情況，如果密鑰丟失了怎么辦？向?qū)W生講解，要恢復(fù)出加密的文件，必須要原有的密鑰對(duì)。也就是需要用戶的私鑰來進(jìn)行解密。還是以EFS來說明問題。為了恢復(fù)已經(jīng)用EFS加密的文件，可以使用DRA即數(shù)據(jù)恢復(fù)代理，也可以使用預(yù)先導(dǎo)出備份的私鑰。DRA的實(shí)質(zhì)也是在EFS加密的同時(shí)，保存允許解密的DRA帳號(hào)的私鑰。將課程引導(dǎo)到導(dǎo)出私鑰的方向上來，為后面的課程鋪墊。講解課本：3.3.1閱書：3.3.1幻

11、燈：第28頁要讓學(xué)生理解秘鑰對(duì)必須同時(shí)存在來工作的原理。學(xué)生可能提出，可以利用備份來恢復(fù)文件，指出EFS解密必須是要有密鑰的。提問：從前面的內(nèi)容過渡過來。引導(dǎo)學(xué)生思考，既然密鑰對(duì)這么重要，我們是不是應(yīng)該保護(hù)它們？介紹PKCS #7和PKCS #12的不同，即根據(jù)是否包含私鑰，應(yīng)用的場(chǎng)合不一樣，要求也不一樣。重點(diǎn)提一下私鑰需要使用一個(gè)強(qiáng)密碼來保護(hù)。講解課本：3.3.2閱書：3.3.1幻燈：第29頁說明清楚之間的差異即可講授：接著介紹使用哪些手段可以導(dǎo)出密鑰。有多種方法可以導(dǎo)出密鑰，根據(jù)課本進(jìn)行介紹即可。關(guān)鍵在于導(dǎo)出密鑰時(shí)的操作。即什么時(shí)候應(yīng)該怎樣導(dǎo)出密鑰。對(duì)于EFS的數(shù)據(jù)恢復(fù)代理，為了強(qiáng)調(diào)安全性

12、，或者將恢復(fù)權(quán)利保護(hù)起來，可以將數(shù)據(jù)恢復(fù)代理的證書導(dǎo)出，這時(shí)需要包含私鑰，并且可以不在系統(tǒng)中保留私鑰。也就是使用“如果導(dǎo)出成功，刪除密鑰”選項(xiàng)。如果密鑰需要安裝到從來沒有安裝過CA節(jié)點(diǎn)證書的機(jī)器上，那么可以包含證書路徑，這樣，只需要導(dǎo)入一個(gè)證書就可以提供完整的證書鏈。在介紹強(qiáng)保護(hù)的時(shí)候強(qiáng)調(diào)一下密碼保護(hù)證書的重要性。這時(shí)由證書的重要性決定的。講解課本：3.3.3閱書：3.3.3幻燈：第30頁工具本身不用太過詳細(xì)，說明清楚導(dǎo)出密鑰時(shí)的選項(xiàng)應(yīng)用于哪些環(huán)境。講授：介紹一下導(dǎo)出密鑰的步驟。為下面的實(shí)驗(yàn)準(zhǔn)備。講解課本：3.3.4閱書：3.3.4幻燈：第31頁簡(jiǎn)單描述實(shí)驗(yàn)3-3： 根據(jù)課本的講授和實(shí)驗(yàn)手冊(cè)，

13、帶領(lǐng)學(xué)生完成實(shí)驗(yàn)。講授：說明KRA，密鑰恢復(fù)代理的意義和作用?？梢韵群?jiǎn)單介紹后面密鑰恢復(fù)的內(nèi)容，說明下密鑰恢復(fù)過程的作用，即用戶的私鑰損壞時(shí)，可以根據(jù)證書的序列號(hào)，由證書管理員和KRA一起，從CA的數(shù)據(jù)庫里將用戶的私鑰恢復(fù)出來。跟著講授密鑰恢復(fù)的整個(gè)流程，說明KRA和證書管理員在此流程中的作用。然后再反過來，講授如何指定KRA，如何讓系統(tǒng)支持KRA的設(shè)置。講解課本：3.3.6、3.3.7、3.3.8閱書：3.3.6幻燈：第33頁可根據(jù)實(shí)際的應(yīng)用，現(xiàn)說明清楚KRA的概念和作用，再回過頭說明如何實(shí)現(xiàn)。講授：介紹一下密鑰恢復(fù)可能存在的安全風(fēng)險(xiǎn)，以及如何參考課本的知識(shí)來規(guī)避這樣的風(fēng)險(xiǎn)。講解課本：3.3.9閱書：3.3.9幻燈：第36頁簡(jiǎn)單描述實(shí)驗(yàn)3-4：根據(jù)實(shí)驗(yàn)手冊(cè)輔導(dǎo)學(xué)生完成實(shí)驗(yàn)。本實(shí)驗(yàn)的目的在于讓學(xué)生熟悉證書管理的操作過程。應(yīng)該在實(shí)驗(yàn)的同時(shí)，幫助學(xué)生回顧每一步操作對(duì)應(yīng)的理論知識(shí)，理論聯(lián)系實(shí)際幫助理解和記憶本章的知識(shí)點(diǎn)。多進(jìn)行一些知識(shí)點(diǎn)的回顧。小結(jié)： 如果由于系統(tǒng)故障或任何其他原因丟失了公鑰和私鑰對(duì)（通常稱為密鑰對(duì)）以及相關(guān)的證書，要替換密鑰和使用密鑰保護(hù)的數(shù)據(jù)可能會(huì)