9使用证书服务保护网络通信

1、服务器配置与管理服务器配置与管理项目项目9 9 使用证书服务保护网络通信使用证书服务保护网络通信服务器配置与管理服务器配置与管理 学习情境学习情境v场景场景1 1、网坚、网坚总公司与各子公司之间、各子公司的部门之间通总公司与各子公司之间、各子公司的部门之间通过过PKIPKI机制进行安全通信。机制进行安全通信。 2 2、网坚公司员工因调动、更替等导致信任关系更改，、网坚公司员工因调动、更替等导致信任关系更改，加加强证书管理和控制，确保证书安全和有效。强证书管理和控制，确保证书安全和有效。v平台平台 Windows Server 2003 Windows Server 2003系统提供系统提供PK

2、IPKI安全管理机制，通安全管理机制，通过过证书服务证书服务 ，确保双方安全、可靠地进行通信。，确保双方安全、可靠地进行通信。v实施实施 本项目将基于本项目将基于Windows Server 2003Windows Server 2003在网坚公司的企业在网坚公司的企业网络中部署企业根网络中部署企业根CA,CA,实现企业域用户企业实现企业域用户企业CACA证书申请、证书申请、CACA证书管理和控制功能。证书管理和控制功能。服务器配置与管理服务器配置与管理学习任务学习任务任务任务1 1 安装与配置证书服务安装与配置证书服务任务任务2 2 管理证书服务管理证书服务服务器配置与管理服务器配置与管理任

3、务任务1 1 安装与配置证书服务安装与配置证书服务 v 任务描述任务描述 Windows Server 2003Windows Server 2003通过通过PKIPKI安全管理机制保护用户的信息，对安全管理机制保护用户的信息，对用户身份进行验证。企业域内用户与计算机之间相互通信，关键用户身份进行验证。企业域内用户与计算机之间相互通信，关键信息在域内网络间的传送都需要得到保护，以保证只有合法用户信息在域内网络间的传送都需要得到保护，以保证只有合法用户才可以访问这些信息，而未经授权的用户不能访问这些信息，通才可以访问这些信息，而未经授权的用户不能访问这些信息，通过使用企业过使用企业CACA实现数

4、据加密和用户身份的标识，保证用户的信息实现数据加密和用户身份的标识，保证用户的信息在网络传输过程中的可靠性和一致性。在网络传输过程中的可靠性和一致性。 v 任务分析任务分析 公司用户访问网络通常使用账户与密码作为保证安全的手段，但公司用户访问网络通常使用账户与密码作为保证安全的手段，但是公用密码方式极容易受到网络黑客与非法入侵手段的攻击和破是公用密码方式极容易受到网络黑客与非法入侵手段的攻击和破解，解，Windows Server 2003Windows Server 2003通过通过PKIPKI安全管理机制保护用户的信息，安全管理机制保护用户的信息，对用户身份进行验证。对用户身份进行验证。服

5、务器配置与管理服务器配置与管理相关知识与技能相关知识与技能2 2. .安装与配置证书服务安装与配置证书服务 3 3. .域用户申请并安装证书域用户申请并安装证书 1. 1. PKI基础知识基础知识 服务器配置与管理服务器配置与管理1. 1. PKIPKI基础知识基础知识 vPKIPKI（Public Key InfrastructurePublic Key Infrastructure）基础知识）基础知识 PKIPKI即即“公钥基础设施公钥基础设施”，是一种遵循既定标准的密钥，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密、数字签管理平台，它能够为所有网络应用提供加密、数字签名

6、等服务，还提供必需的密钥和证书管理体系。名等服务，还提供必需的密钥和证书管理体系。PKIPKI技技术是信息安全技术的核心，术是信息安全技术的核心，PKIPKI的基础技术包括加密、的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签数字签名、数据完整性机制、数字信封、双重数字签名等。名等。 完整的完整的PKIPKI系统必须具有权威证书认证机构系统必须具有权威证书认证机构（Certification AuthorityCertification Authority，CACA）、数字证书库、密）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（钥备份及恢复系统、证书作废系统、应

7、用接口（APIAPI）等基本构成部分，构建等基本构成部分，构建PKIPKI也将围绕着这五大系统来着也将围绕着这五大系统来着手构建。手构建。 服务器配置与管理服务器配置与管理1. 1. PKIPKI基础知识基础知识 PKIPKI提供以下功能，确保用户能够在网络上安全传送信提供以下功能，确保用户能够在网络上安全传送信息：息： 加密发送的信息 验证信息 PKIPKI根据公开密钥密码学来提供信息加密和身份验证，根据公开密钥密码学来提供信息加密和身份验证，用户需要有一组密钥来支持用户需要有一组密钥来支持PKIPKI功能的实现：功能的实现： 公开密钥（Public Key）：用户可以将自己的公开密钥发送给

8、其它用户。 私有密钥（Private Key）：密钥为该用户私有，且存储在用户的计算机内，只有用户自己能够访问。 在在PKIPKI架构下，架构下，CACA是可信任的机构，它向用户颁发有效是可信任的机构，它向用户颁发有效的证书。的证书。CACA主要有两类：商业主要有两类：商业CACA公司和公司和WindowsWindows自带的自带的CACA程序（称为程序（称为MicrosoftMicrosoft证书服务证书服务MCSMCS）。）。 服务器配置与管理服务器配置与管理1. 1. PKIPKI基础知识基础知识被加密的消息通过网被加密的消息通过网络进行传输络进行传输3A78Alice 使用使用 Bob

9、 的的公钥公钥 (Public Key) 加密消息加密消息数据数据Bob 使用使用 Bob 的的私钥私钥 (Private Key) 把消息解密把消息解密数据数据公钥加密和解密过程公钥加密和解密过程服务器配置与管理服务器配置与管理1. PKI1. PKI基础知识基础知识消息通过网络进行传消息通过网络进行传输输*Alice 用她的用她的私钥私钥 (Private Key) 对消息进行签名对消息进行签名*Bob 使用使用 Alice 的的公钥公钥 (Public Key) 验证来自验证来自 Alice 的消息的消息公钥认证过程公钥认证过程服务器配置与管理服务器配置与管理颁发数字签名作为颁发数字签名

10、作为安全证书来使用安全证书来使用1. PKI1. PKI基础知识基础知识*CA 接收一个认证请接收一个认证请求求验证信息验证信息使用私钥把数字签名使用私钥把数字签名发送给申请者发送给申请者证书申请及使用证书申请及使用服务器配置与管理服务器配置与管理1. 1. PKIPKI基础知识基础知识 Windows Server 2003Windows Server 2003、Windows XPWindows XP、Windows 2000Windows 2000等等计算机系统默认已经信任由一些知名的计算机系统默认已经信任由一些知名的CACA所发放的证书。所发放的证书。 在在IEIE浏览器的窗口中，选择

11、浏览器的窗口中，选择“工具工具”“”“InternetInternet选选项项”“”“内容内容”“”“证书证书”“”“受信任的根证书颁发机受信任的根证书颁发机构构”选项可以查看受信任的根证书颁发机构，如图选项可以查看受信任的根证书颁发机构，如图9-19-1所示。所示。图9-1 “证书”对话框 服务器配置与管理服务器配置与管理1. PKI1. PKI基础知识基础知识 微软的微软的PKIPKI支持结构化的支持结构化的CACA，在该架构下，在该架构下CACA分为以下两分为以下两个级别：个级别： 根CA 从属CA 通过安装通过安装“证书服务证书服务”，可以让，可以让Windows Server 200

12、3Windows Server 2003扮演扮演CACA的角色，可以将其设为：的角色，可以将其设为： 企业根CA或企业从属CA 独立根CA或独立从属CA 服务器配置与管理服务器配置与管理1. PKI1. PKI基础知识基础知识 证证书书等等级级服务器配置与管理服务器配置与管理1. PKI1. PKI基础知识基础知识 颁发颁发或吊销证书或吊销证书颁发证书颁发证书具有具有 PKI 功能功能的应用程序的应用程序 Windows Windows 2003 2003 Server Server PKIPKISSL 和和 IPSec服务器配置与管理服务器配置与管理2.2. 安装与配置证书服务安装与配置证书

13、服务 vWindows Server 2003Windows Server 2003系统内置了证书服务组件，系统内置了证书服务组件，默认状态下没有安装证书服务，需要另外单独安默认状态下没有安装证书服务，需要另外单独安装。在本案例中，我们选择装。在本案例中，我们选择IPIP地址地址00、子网掩码为子网掩码为的计算机作为服务器，的计算机作为服务器，在其上安装证书服务组件，建立企业根在其上安装证书服务组件，建立企业根CACA。 选择选择“开始开始”“”“控制面板控制面板”“”“添加或删除程序添加或删除程序

14、”选选项，打开添加或删除程序窗口，单击项，打开添加或删除程序窗口，单击“添加添加/ /删除删除WindowsWindows组件组件”，打开如图，打开如图9-29-2所示对话框。所示对话框。 图9-2 Windows 组件安装向导对话框服务器配置与管理服务器配置与管理2.2. 安装与配置证书服务安装与配置证书服务 选择选择“证书服务证书服务”选项，单击选项，单击“下一步下一步”按钮，打开按钮，打开如图如图9-39-3所示对话框，该对话框提示安装证书服务后，所示对话框，该对话框提示安装证书服务后，计算机名和域成员身份不能改。计算机名和域成员身份不能改。 选中选中“企业根企业根CA”CA”及及“用自

15、定义设置生成密钥对和用自定义设置生成密钥对和CACA证书证书”选项，单击选项，单击“下一步下一步”按钮。按钮。图9-3 证书服务消息框图9-4 设置CA类型对话框服务器配置与管理服务器配置与管理2.2. 安装与配置证书服务安装与配置证书服务 Microsoft Microsoft 证书服务的默认证书服务的默认CSPCSP为为“Microsoft Strong Microsoft Strong Cryptographic Provider”Cryptographic Provider”，默认散列算法为，默认散列算法为“SHA-SHA-1”1”，密钥长度为，密钥长度为20482048，选中，选中“

16、使用现有密钥使用现有密钥”列表框列表框中所列密钥，单击中所列密钥，单击“下一步下一步”按钮。按钮。 图9-5 “公钥/私钥对”设置对话框服务器配置与管理服务器配置与管理2.2. 安装与配置证书服务安装与配置证书服务 设置该设置该CACA在在Active DirectoryActive Directory内公用的名称，设置内公用的名称，设置CACA默认的有效期限为默认的有效期限为5 5年，如图年，如图9-69-6所示。所示。图9-6 CA识别信息对话框服务器配置与管理服务器配置与管理2.2. 安装与配置证书服务安装与配置证书服务 企业企业CACA的设置信息会自动被存储在的设置信息会自动被存储在A

17、ctive DirectoryActive Directory数据库中，如果选择图中数据库中，如果选择图中“将配置信息将配置信息”存储在共享存储在共享文件夹中，则会另外将其存储到指定的共享文件夹中，文件夹中，则会另外将其存储到指定的共享文件夹中，如图如图9-79-7所示。所示。图9-7 证书数据库设置对话框 服务器配置与管理服务器配置与管理2.2. 安装与配置证书服务安装与配置证书服务 在安装过程中可能出现以下各对话框，进行相关操作在安装过程中可能出现以下各对话框，进行相关操作继续进行安装，最后单击对话框中的继续进行安装，最后单击对话框中的“完成完成”按钮，按钮，完成证书安装向导。完成证书安装

18、向导。图9-10 “证书颁发机构”窗口完成安装完成安装“证书服务证书服务”后，选择后，选择“开始开始”“”“管理工管理工具具”“”“证书颁发机构证书颁发机构”来管理来管理CACA，如图，如图9-109-10所示。所示。 服务器配置与管理服务器配置与管理3 3域用户申请并安装证书域用户申请并安装证书 v域用户可以使用域用户可以使用“证书申请向导证书申请向导”和和“WebWeb浏览器浏览器”两种方式向企业根两种方式向企业根CACA申请证书。假设域用户向企申请证书。假设域用户向企业根业根CACA申请用来保护电子邮件的证书，企业根申请用来保护电子邮件的证书，企业根CACA会通过会通过Active Di

19、rectoryActive Directory自动查询该用户电子邮自动查询该用户电子邮件账户，以便针对电子邮件账户发放电子邮件保件账户，以便针对电子邮件账户发放电子邮件保护证书。护证书。服务器配置与管理服务器配置与管理3 3域用户申请并安装证书域用户申请并安装证书（1 1）域用户通过）域用户通过“证书申请向导证书申请向导”申请和安装证书申请和安装证书 打开打开MMCMMC控制台，选择控制台，选择“文件文件”“”“添加添加/ /删除管理单删除管理单元元”选项，打开选项，打开“添加添加/ /删除管理单元删除管理单元”对话框。对话框。 单击单击“添加添加”按钮，打开按钮，打开“添加独立管理单元添加独

20、立管理单元”对话对话框，在可用的独立管理单元列表中选择框，在可用的独立管理单元列表中选择“证书证书”选项。选项。服务器配置与管理服务器配置与管理3 3域用户申请并安装证书域用户申请并安装证书 单击单击“添加添加”按钮，在出现的证书管理单元对话框中按钮，在出现的证书管理单元对话框中选择选择“我的用户账户我的用户账户”单选按钮。单选按钮。 单击单击“完成完成”按钮，并依次单击按钮，并依次单击“关闭关闭”和和“确定确定”按按钮，返回控制台。钮，返回控制台。 服务器配置与管理服务器配置与管理3 3域用户申请并安装证书域用户申请并安装证书 右击图中右击图中“个人个人”列表项，选择列表项，选择“所有任务所

21、有任务”“”“申申请新证书请新证书”选项，选择选项，选择“用户用户”列表项，它提供了用列表项，它提供了用来将文件加密的证书、保护电子邮件安全的证书与验来将文件加密的证书、保护电子邮件安全的证书与验证客户端身份的证书。证客户端身份的证书。 在出现的在出现的“加密服务提供程序加密服务提供程序”对话框中，选择对话框中，选择加密服务提供程序和密钥长度。加密服务提供程序和密钥长度。 服务器配置与管理服务器配置与管理3 3域用户申请并安装证书域用户申请并安装证书 在出现的在出现的“证书颁发机构证书颁发机构”对话框中，设置证书颁发对话框中，设置证书颁发机构机构CACA ，为证书起一个好记的名字，设置适当的相

22、应为证书起一个好记的名字，设置适当的相应描述，点击描述，点击“完成完成”按钮关闭证书申请向导，完成证按钮关闭证书申请向导，完成证书申请。出现证书申请成功对话框，单击书申请。出现证书申请成功对话框，单击“安装证安装证书书”，证书将安装到本地计算机上，证书将安装到本地计算机上 。 服务器配置与管理服务器配置与管理3 3域用户申请并安装证书域用户申请并安装证书（2 2）域用户通过）域用户通过“WebWeb浏览器浏览器”申请和安装证书申请和安装证书 启动启动IEIE浏览器，在地址栏中输入企业根浏览器，在地址栏中输入企业根CACA服务器地址，服务器地址，本例证书服务器地址为本例证书服务器地址为http:

23、/0/certsrv/0/certsrv/，打开如图，打开如图9-219-21所示所示窗口。窗口。 图9-21 申请证书窗口 服务器配置与管理服务器配置与管理3 3域用户申请并安装证书域用户申请并安装证书 单击单击“申请一个证书申请一个证书”链接，然后单击链接，然后单击“申请一个证申请一个证书书”链接链接 ，再，再单击单击“用户证书用户证书”链接，在用户信息识链接，在用户信息识别页面中，单击别页面中，单击“提交提交”按钮。然后在出现的按钮。然后在出现的“潜在潜在的脚本冲突的脚本冲突”消息框中单击消息框中单击“是是”按钮。等待服务器按钮。等

24、待服务器响应并颁发证书，当出现证书已颁发页面，单击响应并颁发证书，当出现证书已颁发页面，单击“安安装此证书装此证书”链接安装证书。链接安装证书。服务器配置与管理服务器配置与管理课堂练习课堂练习 1. 1. 证书申请；证书申请； 2. 2. 证书安装证书安装 ； 3. 3. 查看证书查看证书 。服务器配置与管理服务器配置与管理拓展与提高拓展与提高v安装独立根安装独立根CACA 独立根独立根CACA不需要不需要Active DirectoryActive Directory支持，扮演独立根支持，扮演独立根CACA角色的计算机可以是独立服务器、成员服务器或域角色的计算机可以是独立服务器、成员服务器或

25、域控制器。无论是否为域内的用户、计算机都可向独立控制器。无论是否为域内的用户、计算机都可向独立根根CACA申请证书。申请证书。 独立根独立根CACA的安装与企业根的安装与企业根CACA的安装过程基本相同，首的安装过程基本相同，首先安装先安装IISIIS服务，然后安装服务，然后安装CACA证书服务，在证书服务，在CACA类型组件类型组件向导对话框中选择向导对话框中选择“独立根独立根CA”CA”选项。选项。 证书安装完成后，单击证书安装完成后，单击“开始开始”“”“程序程序”“”“管理管理工具工具”“”“服务服务”，打开系统服务窗口，查看证书服，打开系统服务窗口，查看证书服务（务（Certific

26、ate ServicesCertificate Services）是否已经启用。）是否已经启用。 服务器配置与管理服务器配置与管理拓展与提高拓展与提高v客户端向独立根客户端向独立根CACA申请证书申请证书 无论是否为域用户，向独立根无论是否为域用户，向独立根CACA申请证书都需要利用申请证书都需要利用WebWeb浏览器，无法通过浏览器，无法通过“证书申请向导证书申请向导”进行。进行。v颁发证书颁发证书 使用系统管理员账户登录到独立根使用系统管理员账户登录到独立根CACA计算机上，选择计算机上，选择“开始开始”“”“管理工具管理工具”“”“证书颁发机构证书颁发机构”选项，选项， 选择选择“待定申

27、请待定申请”列表项，在窗口的右侧右击用户申列表项，在窗口的右侧右击用户申请的证书，然后在弹出的快捷菜单中，选择请的证书，然后在弹出的快捷菜单中，选择“所有任所有任务务”“”“颁发颁发”选项，被颁发的证书将会被存放到选项，被颁发的证书将会被存放到“颁发的证书颁发的证书”文件夹中。文件夹中。 v下载与安装证书下载与安装证书服务器配置与管理服务器配置与管理任务回顾任务回顾 课堂提问课堂提问11PKI主要功能是什么？ 课堂提问课堂提问22CA等级有哪些？服务器配置与管理服务器配置与管理任务任务2 2 管理证书服务管理证书服务v任务描述任务描述 网坚公司员工因业务关系时常发生人员调动与更替，网坚公司员工

28、因业务关系时常发生人员调动与更替，在某些情况下，用户操作不当或误操作可能造成证书在某些情况下，用户操作不当或误操作可能造成证书信任关系损毁，因此，必须加强对证书进行管理和控信任关系损毁，因此，必须加强对证书进行管理和控制，确保证书安全和有效。制，确保证书安全和有效。服务器配置与管理服务器配置与管理任务任务2 2 管理证书服务管理证书服务v任务分析任务分析 公司因业务和发展需求，时常发生员工调动与更新，公司因业务和发展需求，时常发生员工调动与更新，新员工需要进行证书申请，对调离员工所持的证书可新员工需要进行证书申请，对调离员工所持的证书可能需要吊销。在某些情况下，用户操作不当或误操作能需要吊销。

29、在某些情况下，用户操作不当或误操作可能造成证书信任关系损毁，必须对证书进行必要地可能造成证书信任关系损毁，必须对证书进行必要地备份和恢复。通过备份和恢复。通过Windows Server 2003 Windows Server 2003 管理工具可管理工具可以对证书进行管理和控制，确保证书安全和有效。以对证书进行管理和控制，确保证书安全和有效。服务器配置与管理服务器配置与管理任务任务2 2 管理证书服务管理证书服务v管理证书服务需要满足以下要求：管理证书服务需要满足以下要求： 服务器必须安装使用能够提供证书服务的服务器必须安装使用能够提供证书服务的WindowsWindows版本，版本，如如W

30、indows Server 2003Windows Server 2003企业版（企业版（EnterpriseEnterprise）、标准）、标准版（版（StandardStandard）等。）等。 服务器的服务器的IPIP地址应是静态的，即地址应是静态的，即IPIP地址、子网掩码、地址、子网掩码、默认网关等默认网关等TCP/IPTCP/IP属性均需手工设置。属性均需手工设置。 管理证书服务需要具有系统管理员的权限管理证书服务需要具有系统管理员的权限。 服务器配置与管理服务器配置与管理相关知识与技能相关知识与技能1 1. .管理证书服务管理证书服务2 2. .备份与还原备份与还原CACA3.3

31、.吊销证书吊销证书4.4.导入和导出证书导入和导出证书服务器配置与管理服务器配置与管理1.1.管理证书服务管理证书服务v证书服务安装完成后，可以使用证书服务安装完成后，可以使用Windows Server Windows Server 20032003管理工具中的管理工具中的“证书颁发机构证书颁发机构”对证书服务对证书服务进行管理。进行管理。 单击单击“开始开始”“”“程序程序”“”“管理工具管理工具”“”“证书颁证书颁发机构发机构”选项，打开选项，打开“证书颁发机构证书颁发机构”窗口，如图窗口，如图9-9-2626所示，显示计算机上已经安装好的证书服务。右击所示，显示计算机上已经安装好的证书

32、服务。右击要停止的证书服务，在弹出快捷菜单中选择要停止的证书服务，在弹出快捷菜单中选择“所有任所有任务务”“”“停止服务停止服务”选项，即可停止证书服务。选项，即可停止证书服务。图9-26 启动与停止证书服务服务器配置与管理服务器配置与管理2.2.备份与还原备份与还原CACA证书证书 （1 1）备份备份CACA证书证书 打开打开“证书颁发机构证书颁发机构”管理器控制台窗口，右击管理器控制台窗口，右击要备份的要备份的CACA证书，在弹出的快捷菜单中选择证书，在弹出的快捷菜单中选择“所有所有任务任务”“”“备份备份”选项，打开备份向导对话框，单选项，打开备份向导对话框，单击击“下一步下一步”按钮，

33、在按钮，在“要备份的项目要备份的项目”对话框中，对话框中，选择要备份的项目和备份存放的位置。选择要备份的项目和备份存放的位置。 图9-27 设置备份项目对话框 服务器配置与管理服务器配置与管理2.2.备份与还原备份与还原CACA证书证书在出现在出现“选择密码选择密码”设置对话框中输入和确认密码，设置对话框中输入和确认密码，如图如图9-289-28所示。所示。 完成证书备份向导对话框，单击完成证书备份向导对话框，单击“完成完成”按钮，完成按钮，完成CACA证书备份。证书备份。图9-28 选择密码设置对话框 服务器配置与管理服务器配置与管理2.2.备份与还原备份与还原CACA证书证书（2 2）还原

34、证书）还原证书 如果证书颁发机构如果证书颁发机构CACA出现问题，可以通过上面备出现问题，可以通过上面备份的文件还原证书。在还原份的文件还原证书。在还原CACA之前，需要停止证之前，需要停止证书服务。书服务。 打开打开“证书颁发机构证书颁发机构”管理器控制台窗口，右击要还管理器控制台窗口，右击要还原的原的CACA证书，在弹出的快捷菜单中选择证书，在弹出的快捷菜单中选择“所有任所有任务务”“”“还原还原”选项，在选项，在“要还原项目要还原项目”对话框，选对话框，选择还原项目及所在位置。择还原项目及所在位置。 图9-29 还原项目设置对话框 服务器配置与管理服务器配置与管理2.2.备份与还原备份与

35、还原CACA证书证书 在提供密码对话框，输入访问还原文件的密码。在证在提供密码对话框，输入访问还原文件的密码。在证书还原完成窗口中单击书还原完成窗口中单击“完成完成”按钮，开始按钮，开始CACA证书还证书还原，还原结束后，重新启动证书服务。原，还原结束后，重新启动证书服务。服务器配置与管理服务器配置与管理3.3.吊销证书吊销证书v当公司或部门有员工离任，为了确保信息安全，当公司或部门有员工离任，为了确保信息安全，应及时吊销所颁发的证书。应及时吊销所颁发的证书。 打开打开“证书颁发机构证书颁发机构”窗口，单击窗口，单击“颁发的证书颁发的证书”文文件夹，在右侧窗口中右击要吊销的证书，在弹出的快件夹

36、，在右侧窗口中右击要吊销的证书，在弹出的快捷菜单中选择捷菜单中选择“所有任务所有任务”“”“吊销证书吊销证书”选项，打选项，打开开“证书吊销证书吊销”对话框，在对话框，在“理由码理由码”下拉列表中选下拉列表中选择证书吊销原因，如图择证书吊销原因，如图9-329-32所示。所示。 在证书颁发机构管理控制台窗口中，单击在证书颁发机构管理控制台窗口中，单击“吊销的证吊销的证书书”文件夹，在右侧窗口中可以查看被吊销的证书。文件夹，在右侧窗口中可以查看被吊销的证书。图9-32 证书吊销对话框服务器配置与管理服务器配置与管理4.4.导入和导出证书导入和导出证书v当用户更换计算机或用户系统因故障重新安装操当

37、用户更换计算机或用户系统因故障重新安装操作系统时，用户需要将其所申请的证书导出并备作系统时，用户需要将其所申请的证书导出并备份，然后将备份的证书导入到新的系统或新的计份，然后将备份的证书导入到新的系统或新的计算机内。算机内。（1 1）导入证书）导入证书 打开打开MMCMMC控制台窗口，添加证书管理单元，然后在控制台窗口，添加证书管理单元，然后在MMCMMC控制台窗口中，右击控制台窗口中，右击“证书（本地计算机）证书（本地计算机）”下下“个个人人”文件夹，在弹出的快捷菜单中选择文件夹，在弹出的快捷菜单中选择“所有任所有任务务”“”“导入导入”选项。选项。服务器配置与管理服务器配置与管理4.4.导

38、入和导出证书导入和导出证书 在证书文件导入对话框中，输入要导入的证书文件，在证书文件导入对话框中，输入要导入的证书文件，也可单击也可单击“浏览浏览”按钮查找证书文件，如图按钮查找证书文件，如图9-339-33所示。所示。 图9-33 导入证书文件对话框服务器配置与管理服务器配置与管理4.4.导入和导出证书导入和导出证书 出现证书存储区设置对话框，设置证书存储区位置，出现证书存储区设置对话框，设置证书存储区位置，在证书导入向导完成对话框，单击在证书导入向导完成对话框，单击“完成完成”按钮，出按钮，出现证书导入成功信息消息框，单击现证书导入成功信息消息框，单击“确定确定”按钮，证按钮，证书导入完成

39、。书导入完成。 返回控制台窗口，选择个人文件夹下证书子文件夹，返回控制台窗口，选择个人文件夹下证书子文件夹，在右侧窗口可以看到刚刚导入的证书在右侧窗口可以看到刚刚导入的证书。 服务器配置与管理服务器配置与管理4.4.导入和导出证书导入和导出证书（2 2）导出证书导出证书 当用户更换计算机或用户系统因故障重新安装操作系统，当用户更换计算机或用户系统因故障重新安装操作系统，用户需要将其所申请的证书导出。用户需要将其所申请的证书导出。 打开打开MMCMMC控制台窗口，添加证书管理单元，然后在控制台窗口，添加证书管理单元，然后在MMCMMC控控制台窗口中，选择制台窗口中，选择“证书（本地计算机）证书（

40、本地计算机）”下下“个人个人”文件夹下的文件夹下的“证书证书”子文件夹，在右侧窗口中右击要导子文件夹，在右侧窗口中右击要导出的证书，在弹出的快捷菜单中选择出的证书，在弹出的快捷菜单中选择“所有任所有任务务”“”“导出导出”选项。选项。服务器配置与管理服务器配置与管理4.4.导入和导出证书导入和导出证书 在出现的证书导出向导对话框中，单击在出现的证书导出向导对话框中，单击“下一步下一步”按按钮。在导出文件格式设置对话框中，设置证书导出文钮。在导出文件格式设置对话框中，设置证书导出文件格式，如图件格式，如图9-369-36所示。所示。图9-36 证书导出文件格式设置对话框服务器配置与管理服务器配置

41、与管理4.4.导入和导出证书导入和导出证书 在在“指定导出文件名指定导出文件名”对话框中指定导出证书的文件名称。对话框中指定导出证书的文件名称。 在出现证书导出完成对话框，单击在出现证书导出完成对话框，单击“完成完成”按钮，出现证书导出按钮，出现证书导出成功提示消息框，单击成功提示消息框，单击“确定确定”按钮完成证书导出。按钮完成证书导出。服务器配置与管理服务器配置与管理课堂练习课堂练习1.1.导入导入CACA证书证书 ；2.2.导出导出CACA证书证书 ；3.3.吊销吊销CACA证书证书 。服务器配置与管理服务器配置与管理拓展与提高拓展与提高v创建证书吊销列表创建证书吊销列表 如果网络中其它

42、用户需要知道哪些证书已经被吊销了，如果网络中其它用户需要知道哪些证书已经被吊销了，那么可以创建那么可以创建CACA吊销证书列表并发布出去，然后让用吊销证书列表并发布出去，然后让用户下载证书吊销列表就可以了。户下载证书吊销列表就可以了。 “证书颁发机构证书颁发机构”控制台窗口，右击控制台窗口，右击“吊销的证书吊销的证书”文件夹，在弹出的快捷菜单中选择文件夹，在弹出的快捷菜单中选择“属性属性”选项，在选项，在“吊销的证书属性吊销的证书属性”对话框中，选择对话框中，选择“CRLCRL发布参数发布参数”选项卡，在这里可设置选项卡，在这里可设置CRLCRL发布间隔、是否发布增量发布间隔、是否发布增量CRLCRL及其发布间隔，选择及其发布间隔，选择“查看查看CRL”CRL”选项卡可以查看选项卡可以查看CACA生成的生成的CRLCRL和增量和增量CRLCRL。服务器配置与管理服务器配置与管理拓展与提高拓展与提高v发布证书吊销列表发布证书吊销列表 在在“证书颁发机构证书颁发机构”控制台窗口中，右击控制台窗口中，右击“吊销的证吊销的证书书”文件夹，在弹出的快捷菜单中选择文件夹，在弹出的快捷菜单中选择“所有任所有任务务”“”“发布发布”选项，在选项，在“发布发布CRL”CRL”对话框中，选择对话框中，选择“新的新的CRL”CRL”单选按