Windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元十二任務(wù)1：配置ADCS課件

Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動(dòng)目錄域服務(wù)單元三：管理用戶(hù)和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲(chǔ)系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：IP地址與配置方法單元九：配置與管理DHCP服務(wù)器單元十：配置與管理DNS服務(wù)器單元十一：配置與管理Web服務(wù)器 單元十二：配置與管理ADCS單元十三：配置路由與遠(yuǎn)程訪(fǎng)問(wèn)單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝wind單元十二配置與管理ADCS單元十二工作背景

你是時(shí)訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的通訊安全，許多技術(shù)都需要證書(shū)的支持，比如文件加密，與服務(wù)器的加密連接，安全Web訪(fǎng)問(wèn)，基于證書(shū)的VPN加密連接以及基于證書(shū)的NAP保護(hù)等，為此，你需要在當(dāng)前公司網(wǎng)絡(luò)中部署ADCS基礎(chǔ)結(jié)構(gòu)。工作背景你是時(shí)訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的工作任務(wù)任務(wù)1安裝與配置ADCS任務(wù)2部署用戶(hù)和計(jì)算機(jī)證書(shū)工作任務(wù)任務(wù)1安裝與配置ADCS單元十二配置與管理ADCS任務(wù)1安裝與配置ADCS任務(wù)2部署用戶(hù)和計(jì)算機(jī)證書(shū)單元十二配置與管理ADCS任務(wù)1安裝與配任務(wù)1安裝與配置ADCS一：課程導(dǎo)入二：知識(shí)原理2.1PKI及其優(yōu)點(diǎn)2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對(duì)PKI的支持2.5CA概述2.6CA的類(lèi)型2.7獨(dú)立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項(xiàng)2.10安裝子級(jí)CA的注意事項(xiàng)三：演示：安裝根CA和安裝子級(jí)CA四：小結(jié)任務(wù)1安裝與配置ADCS一：課程導(dǎo)入一、課程導(dǎo)入你在網(wǎng)上購(gòu)物，然后用網(wǎng)銀支付，是否擔(dān)心賬戶(hù)密碼給別人竊取？

你在網(wǎng)上與別人聊天，不擔(dān)心聊天內(nèi)容被黑客截獲？

你公司的服務(wù)器，可能被心懷不軌的人登錄竊取或破壞？一、課程導(dǎo)入你在網(wǎng)上購(gòu)物，然后用網(wǎng)銀支付，是否擔(dān)心賬二、知識(shí)原理2.1PKI及其優(yōu)點(diǎn)2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對(duì)PKI的支持2.5CA概述2.6CA的類(lèi)型2.7獨(dú)立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項(xiàng)2.10安裝子級(jí)CA的注意事項(xiàng)二、知識(shí)原理2.1PKI及其優(yōu)點(diǎn)2.1PKI及其優(yōu)點(diǎn)公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（PublicKeyInfrastructure）即"公鑰基礎(chǔ)設(shè)施"，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系，簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI通過(guò)提供以下幾點(diǎn)增強(qiáng)基礎(chǔ)結(jié)構(gòu)安全性：機(jī)密性：PKI提供了加密存儲(chǔ)和傳輸數(shù)據(jù)的能力完整性：使用數(shù)字簽名，可識(shí)別在信息傳送過(guò)程中是否有數(shù)據(jù)被修改。真實(shí)性：利用哈希算法生成信息摘要，利用私鑰對(duì)摘要進(jìn)行簽名，以

證明該消息摘要是由發(fā)送方生成。不可抵賴(lài)性：數(shù)字簽名是數(shù)據(jù)來(lái)源的證明2.1PKI及其優(yōu)點(diǎn)公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（P幾個(gè)概念凱撒密碼：相傳當(dāng)年凱撒大帝行軍打仗時(shí)為了保證自己的命令不被敵軍知道，就用一種特殊的方法進(jìn)行通信，以確保信息傳遞的安全，他的原理是：把字母表中的每一個(gè)字母按順序向后移X位，例如：“baidu”向后移3位變成：edlgx，這里”baidu”是原始信息，edlgx是密文，3是密鑰。公鑰和私鑰：是通過(guò)一種算法得到的一個(gè)密鑰對(duì)（即一個(gè)公鑰和一個(gè)私鑰）其中的一個(gè)向外界公開(kāi)，稱(chēng)為公鑰；另一個(gè)自己保留，稱(chēng)為私鑰。通過(guò)這種算法得到的密鑰對(duì)能保證在世界范圍內(nèi)是唯一的。用公鑰加密數(shù)據(jù)就必須用私鑰解密，用私鑰加密也必須用公鑰解密，否則解密將不會(huì)成功。數(shù)字簽名：類(lèi)似寫(xiě)在紙上的普通的物理簽名。將摘要信息用發(fā)送者的私鑰加密，如果對(duì)方能用發(fā)送者的公鑰機(jī)密，則能證明是發(fā)送者的身份。幾個(gè)概念凱撒密碼：相傳當(dāng)年凱撒大帝行軍打仗時(shí)為了保證自己的命2.2PKI的應(yīng)用軟件代碼簽名加密文件系統(tǒng)智能卡登錄802.1xIP安全I(xiàn)nternet身份驗(yàn)證安全電子郵件Windows2008

證書(shū)服務(wù)器軟件限制策略數(shù)字簽名2.2PKI的應(yīng)用軟件代碼加密文智能卡登錄802.1x2.3PKI解決方案的組件證書(shū)頒發(fā)機(jī)構(gòu)數(shù)字證書(shū)證書(shū)吊銷(xiāo)列表和聯(lián)機(jī)響應(yīng)程序證書(shū)模板支持公鑰的應(yīng)用程序和服務(wù)證書(shū)和CA管理工具AIA和CRL分發(fā)點(diǎn)2.3PKI解決方案的組件證書(shū)頒發(fā)機(jī)構(gòu)數(shù)字證書(shū)證書(shū)吊銷(xiāo)2.4ADCS對(duì)PKI的支持CAADCSCAWeb注冊(cè)聯(lián)機(jī)響應(yīng)程序網(wǎng)絡(luò)設(shè)備注冊(cè)服務(wù)2.4ADCS對(duì)PKI的支持CAADCSCA2.5CA概述證書(shū)頒發(fā)機(jī)構(gòu)為自己頒發(fā)證書(shū)驗(yàn)證證書(shū)申請(qǐng)者的身份管理證書(shū)吊銷(xiāo)向用戶(hù)、計(jì)算機(jī)和服務(wù)頒發(fā)證書(shū)在windowsserver2008網(wǎng)絡(luò)中，CA（證書(shū)頒發(fā)機(jī)構(gòu)）是裝有CS（證書(shū)服務(wù)）角色的計(jì)算機(jī)。2.5CA概述證書(shū)頒發(fā)機(jī)構(gòu)為自己頒發(fā)證書(shū)驗(yàn)證證書(shū)申請(qǐng)2.6CA的類(lèi)型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA類(lèi)型是自簽名證書(shū)向其他子級(jí)CA頒發(fā)證書(shū)擁有物理安全性以及通常比子級(jí)CA更加嚴(yán)格的證書(shū)頒發(fā)策略根CA由根CA或其他CA頒發(fā)證書(shū)針對(duì)具體的使用策略、組織性或地域性邊界、負(fù)載平衡以及容錯(cuò)設(shè)置的CA向其他CA頒發(fā)證書(shū)，以形成分層的PKI基礎(chǔ)結(jié)構(gòu)子級(jí)CA2.6CA的類(lèi)型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA2.7獨(dú)立CA和企業(yè)CA獨(dú)立CA企業(yè)CA如果有任何CA（根CA或中間CA/策略）脫機(jī)，那么必須使用獨(dú)立CA。這是因?yàn)楠?dú)立CA不加入ADDS域。要求使用ActiveDirectory需要ADDS可使用組策略將證書(shū)填入受信任的根CA證書(shū)存儲(chǔ)默認(rèn)用戶(hù)只能通過(guò)網(wǎng)頁(yè)申請(qǐng)。將用戶(hù)證書(shū)和CRL發(fā)布到ADDS不需要證書(shū)模板頒發(fā)基于證書(shū)模板的證書(shū)所有證書(shū)申請(qǐng)保持掛起狀態(tài)，直到管理員批準(zhǔn)支持自動(dòng)注冊(cè)來(lái)頒發(fā)證書(shū)2.7獨(dú)立CA和企業(yè)CA獨(dú)立CA企業(yè)CA要求使2.8CA層次結(jié)構(gòu)的使用方案根子級(jí)RASEFSS/MIME印度加拿大美國(guó)根子級(jí)根子級(jí)根子級(jí)制造部門(mén)工程部門(mén)會(huì)計(jì)部門(mén)員工承包商合作伙伴證書(shū)用途位置部門(mén)組織單位2.8CA層次結(jié)構(gòu)的使用方案根子級(jí)RASEFSS/MI2.9安裝根CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)和配置私鑰配置有效期證書(shū)數(shù)據(jù)庫(kù)和日志位置CSP默認(rèn)值：2048密鑰字符長(zhǎng)度哈希算法證書(shū)#規(guī)劃根CA服務(wù)器的配置2.9安裝根CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)安裝根CA的注意事項(xiàng)對(duì)于大多數(shù)組織，根證書(shū)頒發(fā)機(jī)構(gòu)(CA)的證書(shū)是其安裝的第一個(gè)ActiveDirectory證書(shū)服務(wù)(AD

CS)角色服務(wù)。在基本公鑰基礎(chǔ)結(jié)構(gòu)(PKI)中，根CA可能是組織部署的唯一CA。無(wú)論您是安裝一個(gè)CA還是多個(gè)CA，根CA證書(shū)都會(huì)建立一些基本規(guī)則，用于管理整個(gè)PKI的證書(shū)頒發(fā)和使用。其中根證書(shū)定義一些標(biāo)準(zhǔn)規(guī)定在PKI層次結(jié)構(gòu)可接受和不可接受的內(nèi)容，AD

CS將這些標(biāo)準(zhǔn)應(yīng)用于任何其他CA和D

CS角色服務(wù)。根CA可以是獨(dú)立CA或企業(yè)CA。如果組織中有多個(gè)CA，則除非需要處理從屬CA證書(shū)的申請(qǐng)，否則很多組織通過(guò)使根CA脫機(jī)以使其盡可能不暴露。本地管理員中的成員身份或等效身份是完成此過(guò)程所需的最低要求。如果是企業(yè)CA，那么DomainAdmins中的成員身份或等效身份是完成此過(guò)程所需的最低要求。安裝根CA的注意事項(xiàng)對(duì)于大多數(shù)組織，根證書(shū)頒發(fā)機(jī)構(gòu)(CA)2.10安裝子級(jí)CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)和配置有效期證書(shū)數(shù)據(jù)庫(kù)和日志位置為子級(jí)CA申請(qǐng)證書(shū)CSP默認(rèn)值：2048密鑰字符長(zhǎng)度哈希算法證書(shū)#規(guī)劃根CA2.10安裝子級(jí)CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身安裝子級(jí)CA的注意事項(xiàng)安裝根證書(shū)頒發(fā)機(jī)構(gòu)(CA)之后，很多組織會(huì)安裝一個(gè)或多個(gè)從屬CA以對(duì)公鑰基礎(chǔ)結(jié)構(gòu)(PKI)實(shí)施策略限制并向最終客戶(hù)端頒發(fā)證書(shū)。至少使用一個(gè)從屬CA可以幫助防止不必要的公開(kāi)根CA。如果從屬CA用于向帳戶(hù)在ActiveDirectory域中的用戶(hù)或計(jì)算機(jī)頒發(fā)證書(shū)，則將從屬CA安裝為企業(yè)CA，可以使用ActiveDirectory域服務(wù)(ADDS)中的客戶(hù)端現(xiàn)有帳戶(hù)數(shù)據(jù)來(lái)頒發(fā)和管理證書(shū)并將證書(shū)發(fā)布到ADDS。本地管理員中的成員身份或等效身份是完成此過(guò)程所需的最低要求。如果是企業(yè)CA，那么DomainAdmins中的成員身份或等效身份是完成此過(guò)程所需的最低要求。安裝子級(jí)CA的注意事項(xiàng)安裝根證書(shū)頒發(fā)機(jī)構(gòu)(CA)之后，很三、演示安裝CA證書(shū)頒發(fā)機(jī)構(gòu)工作場(chǎng)景：

你是時(shí)訊公司的網(wǎng)絡(luò)管理員，時(shí)訊公司在多個(gè)城市有分支機(jī)構(gòu)，該公司目前運(yùn)行windowsserver2008系統(tǒng)，集合使用windowsserver2008activedirectory證書(shū)服務(wù)（ADCS）來(lái)部署公鑰基礎(chǔ)機(jī)構(gòu)（PKI）解決方案。為此，你需要在一臺(tái)windowsserver2008服務(wù)器上安裝并配置ADCS根證書(shū)CA，在另外一臺(tái)服務(wù)器上安裝子級(jí)CA，并將該服務(wù)器配置為使用Web界面分發(fā)證書(shū)。實(shí)驗(yàn)環(huán)境：SH-DC1獨(dú)立根CASH-CLI1SH-SVR1企業(yè)子CA三、演示安裝CA證書(shū)頒發(fā)機(jī)構(gòu)工作場(chǎng)景：SH-DC1SH-C任務(wù)在DC上安裝ADCS服務(wù)器角色，并配置為獨(dú)立根CA安裝類(lèi)型：獨(dú)立指定CA：根CA私鑰：新建私鑰密鑰長(zhǎng)度：4096CA名稱(chēng)：shixunCA在SVR1上安裝帶Web注冊(cè)的企業(yè)級(jí)子CA安裝類(lèi)型：企業(yè)指定CA：子級(jí)CA私鑰：新建私鑰密鑰長(zhǎng)度：4096CA名稱(chēng)：IssuingCA向父CA申請(qǐng)證書(shū)：shixunCA頒發(fā)子級(jí)CA證書(shū)安裝并驗(yàn)證子級(jí)CA證書(shū)任務(wù)在DC上安裝ADCS服務(wù)器角色，并配置為獨(dú)立根CA演示安裝CA證書(shū)頒發(fā)機(jī)構(gòu)目的：在DC上安裝ADCS服務(wù)器角色，并配置為獨(dú)立根CA在SVR1上安裝帶Web注冊(cè)的企業(yè)級(jí)子CA頒發(fā)子級(jí)CA證書(shū)安裝并驗(yàn)證子級(jí)CA證書(shū)演示安裝CA證書(shū)頒發(fā)機(jī)構(gòu)目的：四、小結(jié)通過(guò)本節(jié)的學(xué)習(xí)，你能夠：了解PKI及其優(yōu)點(diǎn)了解PKI的應(yīng)用熟悉PKI解決方案的組件了解ADCS對(duì)PKI的支持熟悉CA概念和功能掌握CA的類(lèi)型掌握獨(dú)立CA和企業(yè)CA的概念熟悉CA層次結(jié)構(gòu)的使用方案掌握如何安裝根CA和

安裝子級(jí)CA四、小結(jié)通過(guò)本節(jié)的學(xué)習(xí)，你能夠：Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動(dòng)目錄域服務(wù)單元三：管理用戶(hù)和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲(chǔ)系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：IP地址與配置方法單元九：配置與管理DHCP服務(wù)器單元十：配置與管理DNS服務(wù)器單元十一：配置與管理Web服務(wù)器 單元十二：配置與管理ADCS單元十三：配置路由與遠(yuǎn)程訪(fǎng)問(wèn)單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝wind單元十二配置與管理ADCS單元十二工作背景

你是時(shí)訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的通訊安全，許多技術(shù)都需要證書(shū)的支持，比如文件加密，與服務(wù)器的加密連接，安全Web訪(fǎng)問(wèn)，基于證書(shū)的VPN加密連接以及基于證書(shū)的NAP保護(hù)等，為此，你需要在當(dāng)前公司網(wǎng)絡(luò)中部署ADCS基礎(chǔ)結(jié)構(gòu)。工作背景你是時(shí)訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的工作任務(wù)任務(wù)1安裝與配置ADCS任務(wù)2部署用戶(hù)和計(jì)算機(jī)證書(shū)工作任務(wù)任務(wù)1安裝與配置ADCS單元十二配置與管理ADCS任務(wù)1安裝與配置ADCS任務(wù)2部署用戶(hù)和計(jì)算機(jī)證書(shū)單元十二配置與管理ADCS任務(wù)1安裝與配任務(wù)1安裝與配置ADCS一：課程導(dǎo)入二：知識(shí)原理2.1PKI及其優(yōu)點(diǎn)2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對(duì)PKI的支持2.5CA概述2.6CA的類(lèi)型2.7獨(dú)立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項(xiàng)2.10安裝子級(jí)CA的注意事項(xiàng)三：演示：安裝根CA和安裝子級(jí)CA四：小結(jié)任務(wù)1安裝與配置ADCS一：課程導(dǎo)入一、課程導(dǎo)入你在網(wǎng)上購(gòu)物，然后用網(wǎng)銀支付，是否擔(dān)心賬戶(hù)密碼給別人竊取？

你在網(wǎng)上與別人聊天，不擔(dān)心聊天內(nèi)容被黑客截獲？

你公司的服務(wù)器，可能被心懷不軌的人登錄竊取或破壞？一、課程導(dǎo)入你在網(wǎng)上購(gòu)物，然后用網(wǎng)銀支付，是否擔(dān)心賬二、知識(shí)原理2.1PKI及其優(yōu)點(diǎn)2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對(duì)PKI的支持2.5CA概述2.6CA的類(lèi)型2.7獨(dú)立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項(xiàng)2.10安裝子級(jí)CA的注意事項(xiàng)二、知識(shí)原理2.1PKI及其優(yōu)點(diǎn)2.1PKI及其優(yōu)點(diǎn)公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（PublicKeyInfrastructure）即"公鑰基礎(chǔ)設(shè)施"，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系，簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI通過(guò)提供以下幾點(diǎn)增強(qiáng)基礎(chǔ)結(jié)構(gòu)安全性：機(jī)密性：PKI提供了加密存儲(chǔ)和傳輸數(shù)據(jù)的能力完整性：使用數(shù)字簽名，可識(shí)別在信息傳送過(guò)程中是否有數(shù)據(jù)被修改。真實(shí)性：利用哈希算法生成信息摘要，利用私鑰對(duì)摘要進(jìn)行簽名，以

證明該消息摘要是由發(fā)送方生成。不可抵賴(lài)性：數(shù)字簽名是數(shù)據(jù)來(lái)源的證明2.1PKI及其優(yōu)點(diǎn)公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（P幾個(gè)概念凱撒密碼：相傳當(dāng)年凱撒大帝行軍打仗時(shí)為了保證自己的命令不被敵軍知道，就用一種特殊的方法進(jìn)行通信，以確保信息傳遞的安全，他的原理是：把字母表中的每一個(gè)字母按順序向后移X位，例如：“baidu”向后移3位變成：edlgx，這里”baidu”是原始信息，edlgx是密文，3是密鑰。公鑰和私鑰：是通過(guò)一種算法得到的一個(gè)密鑰對(duì)（即一個(gè)公鑰和一個(gè)私鑰）其中的一個(gè)向外界公開(kāi)，稱(chēng)為公鑰；另一個(gè)自己保留，稱(chēng)為私鑰。通過(guò)這種算法得到的密鑰對(duì)能保證在世界范圍內(nèi)是唯一的。用公鑰加密數(shù)據(jù)就必須用私鑰解密，用私鑰加密也必須用公鑰解密，否則解密將不會(huì)成功。數(shù)字簽名：類(lèi)似寫(xiě)在紙上的普通的物理簽名。將摘要信息用發(fā)送者的私鑰加密，如果對(duì)方能用發(fā)送者的公鑰機(jī)密，則能證明是發(fā)送者的身份。幾個(gè)概念凱撒密碼：相傳當(dāng)年凱撒大帝行軍打仗時(shí)為了保證自己的命2.2PKI的應(yīng)用軟件代碼簽名加密文件系統(tǒng)智能卡登錄802.1xIP安全I(xiàn)nternet身份驗(yàn)證安全電子郵件Windows2008

證書(shū)服務(wù)器軟件限制策略數(shù)字簽名2.2PKI的應(yīng)用軟件代碼加密文智能卡登錄802.1x2.3PKI解決方案的組件證書(shū)頒發(fā)機(jī)構(gòu)數(shù)字證書(shū)證書(shū)吊銷(xiāo)列表和聯(lián)機(jī)響應(yīng)程序證書(shū)模板支持公鑰的應(yīng)用程序和服務(wù)證書(shū)和CA管理工具AIA和CRL分發(fā)點(diǎn)2.3PKI解決方案的組件證書(shū)頒發(fā)機(jī)構(gòu)數(shù)字證書(shū)證書(shū)吊銷(xiāo)2.4ADCS對(duì)PKI的支持CAADCSCAWeb注冊(cè)聯(lián)機(jī)響應(yīng)程序網(wǎng)絡(luò)設(shè)備注冊(cè)服務(wù)2.4ADCS對(duì)PKI的支持CAADCSCA2.5CA概述證書(shū)頒發(fā)機(jī)構(gòu)為自己頒發(fā)證書(shū)驗(yàn)證證書(shū)申請(qǐng)者的身份管理證書(shū)吊銷(xiāo)向用戶(hù)、計(jì)算機(jī)和服務(wù)頒發(fā)證書(shū)在windowsserver2008網(wǎng)絡(luò)中，CA（證書(shū)頒發(fā)機(jī)構(gòu)）是裝有CS（證書(shū)服務(wù)）角色的計(jì)算機(jī)。2.5CA概述證書(shū)頒發(fā)機(jī)構(gòu)為自己頒發(fā)證書(shū)驗(yàn)證證書(shū)申請(qǐng)2.6CA的類(lèi)型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA類(lèi)型是自簽名證書(shū)向其他子級(jí)CA頒發(fā)證書(shū)擁有物理安全性以及通常比子級(jí)CA更加嚴(yán)格的證書(shū)頒發(fā)策略根CA由根CA或其他CA頒發(fā)證書(shū)針對(duì)具體的使用策略、組織性或地域性邊界、負(fù)載平衡以及容錯(cuò)設(shè)置的CA向其他CA頒發(fā)證書(shū)，以形成分層的PKI基礎(chǔ)結(jié)構(gòu)子級(jí)CA2.6CA的類(lèi)型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA2.7獨(dú)立CA和企業(yè)CA獨(dú)立CA企業(yè)CA如果有任何CA（根CA或中間CA/策略）脫機(jī)，那么必須使用獨(dú)立CA。這是因?yàn)楠?dú)立CA不加入ADDS域。要求使用ActiveDirectory需要ADDS可使用組策略將證書(shū)填入受信任的根CA證書(shū)存儲(chǔ)默認(rèn)用戶(hù)只能通過(guò)網(wǎng)頁(yè)申請(qǐng)。將用戶(hù)證書(shū)和CRL發(fā)布到ADDS不需要證書(shū)模板頒發(fā)基于證書(shū)模板的證書(shū)所有證書(shū)申請(qǐng)保持掛起狀態(tài)，直到管理員批準(zhǔn)支持自動(dòng)注冊(cè)來(lái)頒發(fā)證書(shū)2.7獨(dú)立CA和企業(yè)CA獨(dú)立CA企業(yè)CA要求使2.8CA層次結(jié)構(gòu)的使用方案根子級(jí)RASEFSS/MIME印度加拿大美國(guó)根子級(jí)根子級(jí)根子級(jí)制造部門(mén)工程部門(mén)會(huì)計(jì)部門(mén)員工承包商合作伙伴證書(shū)用途位置部門(mén)組織單位2.8CA層次結(jié)構(gòu)的使用方案根子級(jí)RASEFSS/MI2.9安裝根CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)和配置私鑰配置有效期證書(shū)數(shù)據(jù)庫(kù)和日志位置CSP默認(rèn)值：2048密鑰字符長(zhǎng)度哈希算法證書(shū)#規(guī)劃根CA服務(wù)器的配置2.9安裝根CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)安裝根CA的注意事項(xiàng)對(duì)于大多數(shù)組織，根證書(shū)頒發(fā)機(jī)構(gòu)(CA)的證書(shū)是其安裝的第一個(gè)ActiveDirectory證書(shū)服務(wù)(AD

CS)角色服務(wù)。在基本公鑰基礎(chǔ)結(jié)構(gòu)(PKI)中，根CA可能是組織部署的唯一CA。無(wú)論您是安裝一個(gè)CA還是多個(gè)CA，根CA證書(shū)都會(huì)建立一些基本規(guī)則，用于管理整個(gè)PKI的證書(shū)頒發(fā)和使用。其中根證書(shū)定義一些標(biāo)準(zhǔn)規(guī)定在PKI層次結(jié)構(gòu)可接受和不可接受的內(nèi)容，AD

CS將這些標(biāo)準(zhǔn)應(yīng)用于任何其他CA和D

CS角色服務(wù)。根CA可以是獨(dú)立CA或企業(yè)CA。如果組織中有多個(gè)CA，則除非需要處理從屬CA證書(shū)的申請(qǐng)，否則很多組織通過(guò)使根CA脫機(jī)以使其盡可能不暴露。本地管理員中的成員身份或等效身份是完成此過(guò)程所需的最低要求。如果是企業(yè)CA，那么DomainAdmins中的成員身份或等效身份是完成此過(guò)程所需的最低要求。安裝根CA的注意事項(xiàng)對(duì)于大多數(shù)組織，根證書(shū)頒發(fā)機(jī)構(gòu)(CA)2.10安裝子級(jí)CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)和配置有效期證書(shū)數(shù)據(jù)庫(kù)和日志位置為子級(jí)CA申請(qǐng)證書(shū)CSP默認(rèn)值：2048密鑰字符長(zhǎng)度哈希算法證書(shū)#規(guī)劃根CA2.10安裝子級(jí)CA的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身安裝子級(jí)CA的注意事項(xiàng)安裝根證書(shū)頒發(fā)機(jī)構(gòu)(CA)之后，很多組織會(huì)安裝一個(gè)或多個(gè)從屬CA以對(duì)公鑰基礎(chǔ)結(jié)構(gòu)(PKI)實(shí)施策略限制并向最終客戶(hù)端頒發(fā)證書(shū)。至少使用一個(gè)從屬CA可以幫助防止不必要的公開(kāi)根CA。如果從屬CA用于向帳戶(hù)在ActiveDirectory域中的用戶(hù)或計(jì)算機(jī)頒發(fā)證書(shū)，則將從屬CA安裝為企業(yè)CA，可以使用ActiveDirectory域服務(wù)(AD