2823A_02

第2章安装、配置和管理证书颁发机构网络安全的实现和管理--以WindowsServer2003和ISAServer2004为例第1章规划和配置授权和身份验证策略第2章安装、配置和管理证书颁发机构第3章配置、部署和管理证书第4章规划、实现和故障诊断智能卡证书第5章加密文件系统的规划、实现和故障排除第6章规划、配置和部署安全的成员服务器基线第7章为服务器角色规划、配置和部署安全基线第8章规划、配置、实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划、部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全网络安全的实现和管理--以WindowsServer2003和ISAServer2004为例第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004第2章：安装、配置和管理证书颁发机构PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构PKI和证书颁发机构简介PKIPKI的组件使用PKI的应用程序使用支持PKI的应用程序的账户PKI工具证书颁发机构不同证书颁发机构类型之间的差异证书颁发机构设计CA层次结构中的等级2.1PKI和证书颁发机构简介PKI特点PKI解决方案保密性数据加密完整性数字签名不可抵赖性数字签名、日志审核可用性冗余PKI是应用程序和加密技术的组合，可以让组织保护其通信和业务事务2.1.1PKIPKI的组件证书模板数字证书证书吊销列表启用公钥的应用程序和服务颁发机构信息访问和CRL分发点证书和CA管理工具颁发机构2.1.2PKI的组件使用PKI的应用程序软件代码签名加密文件系统智能卡登录802.1xIP安全Internet身份验证安全电子邮件Windows2003证书服务器软件限制策略数字签名2.1.3使用PKI的应用程序用户计算机服务2.1.4使用支持PKI的应用程序的账户使用支持PKI的应用程序的账户PKI工具目录工具MMC管理单元证书模板管理单元证书颁发机构管理单元证书管理单元命令行工具Certutil.exeCertreq.exeResourceKit中的工具密钥恢复工具（Krt.exe）Pkiview.msc编程工具CryptoAPICapiCOM2.1.5PKI工具证书颁发机构CA的职责：验证证书请求者的身份取决于接受证书申请提交的CA类型颁发证书所申请的证书类型决定所颁发证书的内容管理证书吊销CRL由一个证书序列号列表组成，这些都是CA颁发的不再受信任的证书2.1.6证书颁发机构独立企业何时使用离线CA颁发CAActiveDirectory与ActiveDirectory的使用无关需要ActiveDirectory证书申请使用Web方式可以使用“证书申请向导”证书申请管理必须由证书管理程序颁发或拒绝证书申请的接受或拒绝取决于所申请证书模板的随机访问控制列表（DACL）2.1.7不同证书颁发机构类型之间的差异不同证书颁发机构类型之间的差异证书颁发机构设计组织单位雇员独立承包商外部业务伙伴部门制造工程会计部位置印度加拿大美国证书使用情况S/MIME根EFSRAS根策略策略根策略根策略2.1.8证书颁发机构设计CA层次结构中的等级根CA策略CA颁发CA根CA通常会保持离线，因为根CA被侵入或向未经授权的实体颁发了证书，组织中任何基于证书的安全措施就会变得非常容易受攻击2.1.9CA层次结构中的等级课堂讨论：选择PKI应用程序目的：决定组织中应用程序可以使用的PKI功能第2章：安装、配置和管理证书颁发机构PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构安装证书颁发机构CAPolicy.inf文件安装企业从属CA的方法在从属CA上安装证书的方法2.2安装证书颁发机构CAPolicy.inf文件CAPolicy.inf文件是一个用于配置证书服务的可选文件CAPolicy.inf文件定义了:证书实行声明（CPS）CRL发布间隔CA续订设置密钥大小根CA的有效期CDP和AIA路径2.2.1CAPolicy.inf文件安装企业从属CA的方法演示：演示如何安装企业从属CA2.2.2安装企业从属CA的方法演示：在从属CA上安装证书2.2.3在从属CA上安装证书的方法在从属CA上安装证书的方法第2章：安装、配置和管理证书颁发机构PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构管理证书颁发机构应用程序检查证书状态的方法证书验证测试多媒体演示：证书链引擎吊销证书的原因码证书服务发布CRL的方式CRL发布间隔的规划标准发布CRL发布点的位置修改发布位置的方法2.3管理证书颁发机构过程操作证书查找收集CA证书的过程。从存储区或URL选择证书时，这些证书都会被缓存路径验证证书链中所有证书进行验证，直到追溯到受信任的自签名证书为止的过程吊销检查确认没有被吊销的证书1232.3.1应用程序检查证书状态的方法应用程序检查证书状态的方法证书验证测试测试标准时间有效性当前日期和时间必须处于证书的开始日期和到期日期之间证书识别证书必须符合有效的X.509标准证书内容所有必须的区域都必须完成签名检查数字签名验证失败吊销检查将证书的序列号与CA的CRL中的所有项对比根检查颁发CA的证书的证书链必须包含受信任根或包含在已经签名证书受信任列表策略验证用程序要求证书包含特定的证书策略或应用程序策略关键扩展证书包含标记为关键的扩展，但是应用程序不能实现或使用该扩展2.3.2证书验证测试多媒体演示：证书链引擎证书链引擎根CA颁发CA策略CA计算机或用户证书吊销证书的原因码原因码使用场合KeyCompromise便携式计算机被窃或智能卡遗失CACompromise证书管理程序吊销CA的证书AffiliationChanged已辞退员工或从组织中重新注册了Superseded智能卡失效或用户依法登记的名称改变CessationOfOperation撤销一个CACertificateHold临时吊销RemoveFromCRLCA从网络移出Unspecified吊销一个CA，而不指定任何鸢鹰2.3.3吊销证书的原因码Time基本CRL#4Cert3Cert5Cert7基本CRL#1Cert3增量CRL#3Cert5Cert7吊销Cert5增量CRL#2Cert5吊销Cert72.3.4证书服务发布CRL的方式证书服务发布CRL的方式CRL发布间隔的规划标准发布间隔依靠以下几点：客户端操作系统CRL获取网络负载增量CRL大小CRL吊销频率复制延迟注册表设置：CRLOverlapPeriodCRLOverlapUnitsClockSkewMinutes2.3.5CRL发布间隔的规划标准发布CRL发布点的位置离线根CAActiveDirectory外部Web服务器内部Web服务器Internet防火墙FTP服务器文件服务器ActiveDirectoryWeb服务器FTP服务器文件服务器防火墙发布根CA证书和CRL到2.3.6发布CRL发布点的位置修改发布位置的方法演示：演示修改和发布AIA和CDP扩展2.3.7修改发布位置的方法目的：配置AIA和CDP的容错性设置2.3.8实验2-1：决定颁发机构信息访问和CRL可用性实验2-1：决定颁发机构信息访问和CRL可用性第2章：安装、配置和管理证书颁发机构PKI和证书颁发机构简介安装证书颁发机构管理证书颁发机构备份和还原证书颁发机构备份和还原证书颁发机构备份CA的方法备份证书服务的方法还原证书服务的方法备份证书服务的最佳实践2.4备份和还原证书颁发机构备份CA的方法系统状态包含：1.备份CA数据库2.日志文件3.CA密钥对4.配置数据库5.所有证书服务注册表手工备份包含：1.CA数据库2.日志文件3.CA密钥对2.4.1备份CA的方法备份证书服务的方法演示：使用“备份或还原向导”备份证书颁发机构的系统状态2.4.2备份证书服务的方法还原证书服务的方法演示：还原证书服务从下列位置进行恢复:从系统状态备份还原从手动备份还原2.4.3还原证书服务的方法备份CA：备份CA密钥对经常备份CA根据所颁发证书的数量规划备份间隔将备份和还原角色分开以增强安全性将所有备份介质保存在安全的位置经常测试还原的CA以确保所有备份都是成功的2.4.4备份证书服务的最佳实践备份证书服务的最佳实践练习1安装企业从属证书颁发机构练习2发布颁发机构信息访问和CRL分发点扩展2.5实验2-2：安装和配置证书颁发机构实验2-2：安装和配置证书颁发机构回顾学习完本章后，将能够：掌握PKI基本概念了解PKI中使用的应用程序和组件安装证书颁发机构（CA，CertificationAuthority）能够创建并发布证书吊销列表和颁发机构信息访问（AIA，AuthorityInformationAccess）分发点掌握证书服务器的相关备份和还原