WindowsServer2003_创建和管理数字证书10.ppt

第10讲创建和管理数字证书 第10讲： 创建和管理数字证书 证书介绍 设计公钥基础结构 管理证书 证书介绍 公钥基础结构介绍 理解 PKI 功能 公钥基本架构构介绍 公钥基本结构介绍 理解 PKI 功能 证书层次结构由不同的证书颁发机构组成 使用基于证书服务的证书层次结构称为公钥基础结构 组织可以让信任的第三方证书颁发机构为其企业根证书签名 Internet Explorer 包含几个信任的第三方证书颁发机构 理解 PKI 功能 发布证书证书服务可以在 Web 站点上或 Active Directory 中创建证书和发布证书 注册客户端 注册是指客户端从证书颁发机构申请和接收证书的过程 使用证书 一旦客户端申请和接收了证书，客户端就可以使用它来用各种方法保护它的通信安全 续订证书证书通常在有限的时间段内有效 吊销证书当 CA 管理员明确吊销一个证书时，CA 会将它添加到证书吊销列表（CRL，Certificate Revocation List） 理解 PKI 功能 第10讲： 创建和管理数字证书 证书介绍 设计公钥基础结构 管理证书 设计公钥基本架构 确定证书需求 创建 CA 基础结构 理解 Windows Server 2003 CA 类型 配置证书 确定证书需求 身份验证： 验证某人或某物的身份 隐私： 确保该信息仅可用于指定用户 加密： 掩饰信息，使未授权的读者无法将其解密 数字签名： 提供不可否认和消息完整性 确定证书需求 创建 CA 基本结构 证书颁发机构使用层次结构工作 每个 CA 被处于更高级别的 CA 验证，直到到达根 CA 根 CA 是组织的最终颁发机构。CA 不仅向应用程序和用户颁发证书，而且向其他 CA 颁发证书 证书颁发机构信任向下传递 创建 CA 基本结构 独立 CA： 独立于 Active Directory 可以签发证书供外部网和内部网使用 主要用于不提供 Active Directory 服务的情况下（例如：公共网站(Pucblic Web)、电子邮件服务） 不适合颁发用户登录到域的证书 企业 CA： 企业安全架构的一部分 保存在 Active Directory 的 CA 对象中 依赖于 Active Directory 支持独立 CA 所支持的所有功能和生成智能卡登录时所用的证书 创建 CA 基本结构 根 CA： 成为自验证的根 CA 大多数组织最初都安装根 CA，然后使用这个 CA 认证组织中的所有其他 CA 从属 CA： 配置成联系现有的 CA ，以便在安装时接受证书 随后，通过安装父 CA 的证书来验证从属 CA 创建 CA 基本结构 理解 Windows Server 2003 CA 类型 使用内部或外部 CA CA 的数量 创建 CA 层次结构 理解 Windows Server 2003 CA 类型 理解 Windows Server 2003 CA 类型 配置证书 第10讲： 创建和管理数字证书 证书介绍 设计公钥基础结构 管理证书 管理证书 理解证书注册和续订 手动申请证书 吊销证书 理解证书注册和续订 企业 CA 可以使用自动注册，在自动注册过程中 CA 从客户端接收证书申请，对它们进行评估，然后自动决定是颁发证书还是拒绝请求 安装独立 CA 不能使用自动注册，必须安排一名管理员来为 CA（使用“证书颁发机构”控制台）监视传入申请，并决定是颁发证书还是拒绝这些请求 手动申请证书 吊销证书 证书申请人的私钥泄露或被怀疑泄露 证书颁发机构的私钥泄露或被怀疑泄露 发现证书是用欺骗手段获得的 作为信任实体的证书申请人的状态改变 更改证书申请人的名称 吊销证书 吊销证书 吊销证书 实验10-1 CA设计 目的： 阅读场景 完成相关问题 在班级讨论你的解决方案 实验10-2 CA故障诊断 目的： 阅读场景 完成相关问题 在班级讨论你的解决方案 回顾 学习完本讲后，将能够： 掌握如何使用密钥加密的功能 了解证书的内容 了解证书颁发的功能 10.3.5实验10-2 CA故障诊断 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5