配置、部署和管理證書

第3章

配置、部署和管理證書配置、部署和管理證書網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理

——以WindowsServer2003和ISAServer2004為例第1章 規(guī)劃和配置授權(quán)和身份驗(yàn)證策略第2章 安裝、配置和管理證書頒發(fā)機(jī)構(gòu)第3章 配置、部署和管理證書第4章 智能卡證書的規(guī)劃、實(shí)現(xiàn)和故障診斷第5章 加密文件系統(tǒng)的規(guī)劃、實(shí)現(xiàn)和故障排除第6章 規(guī)劃、配置和部署安全的成員服務(wù)器基線第7章 為服務(wù)器角色規(guī)劃、配置和部署安全基線第8章 規(guī)劃、配置、實(shí)現(xiàn)和部署安全客戶端計(jì)算機(jī)基線第9章 規(guī)劃和實(shí)現(xiàn)軟件更新服務(wù)第10章數(shù)據(jù)傳輸安全性的規(guī)劃、部署和故障排除第11章部署配置和管理SSL第12章規(guī)劃和實(shí)施無線網(wǎng)絡(luò)的安全措施第13章保護(hù)遠(yuǎn)程訪問安全配置、部署和管理證書網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理

——以WindowsServer2003和ISAServer2004為例第14章MicrosoftISAServer概述第15章安裝和維護(hù)ISAServer第16章允許對(duì)Internet資源的訪問第17章配置ISAServer作為防火墻第18章配置對(duì)內(nèi)部資源的訪問第19章集成ISAServer2004和MicrosoftExchangeServer第20章高級(jí)應(yīng)用程序和Web篩選第21章為遠(yuǎn)程客戶端和網(wǎng)絡(luò)配置虛擬專用網(wǎng)絡(luò)訪問第22章實(shí)現(xiàn)緩存第23章監(jiān)視ISAServer2004配置、部署和管理證書第3章配置、部署和管理證書配置證書模板

部署與吊銷用戶和計(jì)算機(jī)證書管理證書配置、部署和管理證書

配置證書模板數(shù)字證書數(shù)字證書的生命周期證書模板證書模板的類型證書模板分類證書模板權(quán)限更新證書模板的方法修改和取代現(xiàn)有證書模板的指導(dǎo)方針修改和取代證書模板的方法3.1配置證書模板配置、部署和管理證書數(shù)字證書包括哪些內(nèi)容？配置、部署和管理證書數(shù)字證書數(shù)字簽名CA通過對(duì)數(shù)據(jù)證書進(jìn)行簽名，以防止非法修改數(shù)字證書數(shù)字證書主要內(nèi)容來自證書所有者密鑰對(duì)的公鑰有關(guān)申請(qǐng)?jiān)撟C書所有者的信息驗(yàn)證證書所需信息：CDP及AIA有關(guān)頒發(fā)該證書的CA的信息（簽名）3.1.1數(shù)字證書數(shù)字證書：它是由公鑰組成的電子憑據(jù)配置、部署和管理證書數(shù)字證書的生命周期CA生成證書2證書頒發(fā)給提出申請(qǐng)的用戶、計(jì)算機(jī)或服務(wù)3用戶、計(jì)算機(jī)或服務(wù)在使用支持PKI的應(yīng)用程序時(shí)使用證書4證書有效期限結(jié)束前5向CA提出申請(qǐng)1證書吊銷6證書續(xù)訂6證書過期63.1.2數(shù)字證書的生命周期配置、部署和管理證書為什么需要證書模板，使用證書模板有哪些好處？配置、部署和管理證書證書模板證書模板定義：證書模板頒發(fā)根據(jù)證書預(yù)定用途設(shè)置的證書格式和內(nèi)容定義創(chuàng)建和提交有效證書申請(qǐng)的過程允許讀取、注冊(cè)或自動(dòng)注冊(cè)證書的安全主體通過使用DACL定義讀取、注冊(cè)、自動(dòng)注冊(cè)或修改證書模板的權(quán)限（允許哪些安全主體申請(qǐng)?jiān)撟C書及申請(qǐng)方式）只有企業(yè)CA才能基于證書模板頒發(fā)證書3.1.3證書模板證書模板：針對(duì)某種應(yīng)用而專門定義的證書配置規(guī)則的集合。如根據(jù)證書預(yù)期用途和證書的頒發(fā)給用戶的方式等設(shè)置配置、部署和管理證書證書模板的類型特點(diǎn)

版本1版本2默認(rèn)情況下創(chuàng)建是是可以復(fù)制是是可以添加、刪除或修改否是頒發(fā)來源Windows2000Server家族服務(wù)器WindowsServer2003家族服務(wù)器WindowsServer2003,EnterpriseWindowsServer2003,DatacenterEdition3.1.4證書模板的類型配置、部署和管理證書證書模板分類類別單用途模板多用途模板用戶基本EFS智能卡登錄系統(tǒng)管理員用戶智能卡用戶計(jì)算機(jī)Web服務(wù)器IPSec計(jì)算機(jī)域控制器3.1.5證書模板分類從功能的角度從使用者的角度配置、部署和管理證書證書模板權(quán)限權(quán)限描述完全控制允許安全主體修改證書模板的所有屬性，包括證書模板的權(quán)限

讀取允許安全主體在注冊(cè)證書時(shí)在ActiveDirectory中找到證書模板

寫入允許安全主體修改除指定給證書模板的權(quán)限外的所有證書模板屬性

注冊(cè)允許安全主體注冊(cè)基于證書模板的證書。要注冊(cè)證書，安全主體還必須擁有證書模板的“讀取”權(quán)限

自動(dòng)注冊(cè)允許安全主體通過自動(dòng)注冊(cè)過程收到證書。自動(dòng)注冊(cè)權(quán)限要求用戶同時(shí)擁有“讀取”和“注冊(cè)”權(quán)限

3.1.6證書模板權(quán)限配置、部署和管理證書更新證書模板的方法版本2.1版本2.2修改或復(fù)制生成新模板通過修改證書模板并對(duì)其應(yīng)用更改取代、修改或復(fù)制生成新模板取代一個(gè)或更多證書模板為新更新的證書模板智能卡SCUserSCard兩個(gè)因素3.1.7更新證書模板的方法配置、部署和管理證書符合下列情況時(shí)，應(yīng)考慮修改現(xiàn)有證書模板符合下列情況時(shí)，應(yīng)考慮取代或復(fù)制生成新模板修改只影響一個(gè)證書模板現(xiàn)有證書模板是版本2證書模板對(duì)證書模板的改變相對(duì)較小將多個(gè)現(xiàn)有證書模板合并為一個(gè)證書模板修改版本1證書模板修改證書有效期限修改證書的密鑰長(zhǎng)度添加和刪除應(yīng)用程序或頒發(fā)策略3.1.8修改和取代現(xiàn)有證書模板的指導(dǎo)方針修改和取代現(xiàn)有證書模板的指導(dǎo)方針配置、部署和管理證書修改和取代證書模板的方法演示：演示如何修改和取代證書模板的方法3.1.9修改和取代證書模板的方法示例：通過將用戶模板和智能卡登錄模板合并，然后取代原來兩個(gè)模板配置、部署和管理證書實(shí)驗(yàn)3-1取代證書模板目的：掌握如何取代證書模板3.1.10實(shí)驗(yàn)3-1取代證書模板配置、部署和管理證書第3章配置、部署和管理證書配置證書模板部署與吊銷用戶和計(jì)算機(jī)證書

管理證書配置、部署和管理證書部署與吊銷用戶和計(jì)算機(jī)證書證書注冊(cè)方法使用基于Web的界面注冊(cè)證書的方法使用證書申請(qǐng)向?qū)暾?qǐng)證書的方法使用Certreq.exe執(zhí)行的任務(wù)啟用自動(dòng)證書注冊(cè)的方法吊銷證書的方法3.2部署與吊銷用戶和計(jì)算機(jī)證書配置、部署和管理證書證書是如何生成的？配置、部署和管理證書多媒體演示：證書注冊(cè)值得一看：數(shù)字證書生成配置、部署和管理證書證書注冊(cè)方法注冊(cè)方法用途基于Web從獨(dú)立CA或企業(yè)CA申請(qǐng)證書“證書”控制臺(tái)從企業(yè)CA申請(qǐng)證書

Certreq.exe能提交證書申請(qǐng)、從CA獲取證書、接受并安裝向CA新申請(qǐng)的證書自動(dòng)注冊(cè)自動(dòng)向CA提交證書申請(qǐng)并獲取和存儲(chǔ)頒發(fā)的證書

注冊(cè)代理幫用戶申請(qǐng)“智能卡用戶”證書3.2.1證書注冊(cè)方法配置、部署和管理證書演示：演示如何使用基于Web的界面手動(dòng)注冊(cè)證書3.2.2使用基于Web的界面注冊(cè)證書的方法使用基于Web的界面注冊(cè)證書的方法配置、部署和管理證書演示：演示如何使用MMC證書申請(qǐng)向?qū)暾?qǐng)證書3.2.3使用證書申請(qǐng)向?qū)暾?qǐng)證書的方法使用證書申請(qǐng)向?qū)暾?qǐng)證書的方法配置、部署和管理證書使用Certreq.exe執(zhí)行的任務(wù)Certreq.exe：腳本支持證書申請(qǐng)過程Certreq.exe命令參數(shù)：命令參數(shù)目的-submit向CA提交申請(qǐng)-retrieve從CA獲取證書-accept接受并安裝向CA新申請(qǐng)的證書3.2.4使用Certreq.exe執(zhí)行的任務(wù)certreq-newtest.inftest.reqcertreq-submittest.reqtest.cer配置、部署和管理證書啟用自動(dòng)證書注冊(cè)的方法方法描述自動(dòng)證書申請(qǐng)?jiān)O(shè)置通過“組策略”設(shè)置，使版本1證書能部署到運(yùn)行Windows2000、WindowsXP和WindowsServer2003的計(jì)算機(jī)上

自動(dòng)注冊(cè)設(shè)置基于組策略設(shè)置和版本2證書模板的組合

允許運(yùn)行Windows

XPProfessional或WindowsServer

2003的客戶端計(jì)算機(jī)自動(dòng)注冊(cè)用戶或計(jì)算機(jī)證書

3.2.5啟用自動(dòng)證書注冊(cè)的方法配置、部署和管理證書自動(dòng)證書申請(qǐng)?jiān)O(shè)置（V1） 自動(dòng)注冊(cè)設(shè)置(V2)配置、部署和管理證書吊銷證書的方法演示：演示如何吊銷證書3.2.6吊銷證書的方法配置、部署和管理證書實(shí)驗(yàn)3-2：吊銷證書目的：吊銷一個(gè)證書并發(fā)布證書吊銷列表3.2.7實(shí)驗(yàn)3-2：吊銷證書配置、部署和管理證書第3章配置、部署和管理證書配置證書模板部署與吊銷用戶和計(jì)算機(jī)證書管理證書配置、部署和管理證書

管理證書密鑰恢復(fù)概述導(dǎo)出密鑰和證書使用的文件格式導(dǎo)出密鑰的工具導(dǎo)出密鑰的方法密鑰存檔和恢復(fù)的要求配置CA進(jìn)行密鑰存檔的方法密鑰恢復(fù)過程降低密鑰恢復(fù)相關(guān)安全風(fēng)險(xiǎn)的指導(dǎo)方針3.3管理證書配置、部署和管理證書如果用戶私鑰丟失會(huì)有什么后果？配置、部署和管理證書密鑰恢復(fù)概述使用密鑰恢復(fù)的場(chǎng)景：用戶配置文件被刪除重新安裝操作系統(tǒng)磁盤損壞計(jì)算機(jī)失竊恢復(fù)數(shù)據(jù)方法：使用數(shù)據(jù)恢復(fù)代理（DRA，DataRecoveryAgent）使用密鑰恢復(fù)代理（KRA）（只有由版本2生成的證書才支持這種方式）3.3.1密鑰恢復(fù)概述如果安裝了證書服務(wù)，但是CertSrv虛擬目錄不存在，可以運(yùn)行certutil-vroot命令創(chuàng)建它配置、部署和管理證書導(dǎo)出密鑰和證書使用的文件格式導(dǎo)出格式目的PKCS#7稱為：密碼消息語法標(biāo)準(zhǔn)(Cms，CryptographicMessageSyntax)導(dǎo)出沒有私鑰的證書從CA下載證書鏈（不含私鑰）PKCS#12稱為：私人信息交換語法標(biāo)準(zhǔn)可導(dǎo)出證書和私鑰3.3.2導(dǎo)出密鑰和證書使用的文件格式x.509der編碼（DER編碼的二進(jìn)制X.509

）x.509base64編碼（這種編碼方式主要是為使用“安全／多用途Internet郵件擴(kuò)展(S/MIME)”而開發(fā)的，文本字符）PKCS：PublicKeyCryptographyStandards的縮寫,(公鑰密碼標(biāo)準(zhǔn)).p7b.pfx.cer配置、部署和管理證書導(dǎo)出密鑰的工具導(dǎo)出證書工具：能否導(dǎo)出私鑰在模板屬性的處理請(qǐng)求選項(xiàng)卡中選擇導(dǎo)出證書所用工具由證書模板決定，如果證書中包含擴(kuò)展密鑰使用的OID(對(duì)象標(biāo)識(shí)符)，則可用Outlook或“證書”管理單元導(dǎo)出，否則只能用“證書”管理單元導(dǎo)出MMC管理單元證書頒發(fā)機(jī)構(gòu)MMC管理單元Certutil.exeOutlookInternetExplorer導(dǎo)出密鑰的工具配置、部署和管理證書導(dǎo)出密鑰的方法演示：演示導(dǎo)出密鑰的方法3.3.4導(dǎo)出密鑰的方法配置、部署和管理證書實(shí)驗(yàn)3-3導(dǎo)出私鑰目的：掌握如何導(dǎo)出私鑰3.3.5實(shí)驗(yàn)3-3導(dǎo)出私鑰配置、部署和管理證書密鑰存檔和恢復(fù)的要求要求包含：版本2證書模板運(yùn)行在WindowsServer2003的CA支持CMC協(xié)議（XP和2003客戶端均支持）具有WindowsServer2003架構(gòu)擴(kuò)展的ActiveDirectory3.3.6密鑰存檔和恢復(fù)的要求CMS(CryptographicMessageSyntax))：密碼消息語法CMC，CertificateManagementMessagesoverCMS配置、部署和管理證書演示：演示如何配置CA和進(jìn)行密鑰存檔的方法3.3.7配置CA進(jìn)行密鑰存檔的方法配置CA進(jìn)行密鑰存檔的方法CA管理員KRA用戶：配置、部署和管理證書密鑰恢復(fù)過程私鑰丟失或損壞1CA證書管理者確定證書的序列號(hào)2Serial#:00A036…證書管理者將PKCS#7文件傳輸給KRA4KRA恢復(fù)私鑰為用戶生成用指定密碼加密的PKCS#12文件并通過安全方式傳給用戶5用戶導(dǎo)入私鑰6證書管理者從CA數(shù)據(jù)庫提取加密私鑰和證書3PKCS#73.3.8密鑰恢復(fù)過程該文件用KRA的公鑰加密了配置、部署和管理證書規(guī)劃密鑰恢復(fù)：實(shí)行CA管理者與