虚拟机教程第十三章证书

学习目标标证书服务务的基本本概念安装与配配置证书书服务器器客户端证证书安装装与使用用公钥基础础设施PKI是是目前实实施网络络安全应应用的主主要技术术，其核核心技术术即使用用公钥数数字证书书实现主主体身份份和公钥钥的绑定定，制成成各种安安全机制制的应用用。WindowsServer2003提提供了公公钥证书书管理工工具，使使用该工工具可以以方便产产生、颁颁发、注注销数字字证书，，架构企企业自己己的认证证中心。。本章介介绍证书书服务器器的配置置与管理理，包括括以下主主要内容容：目录录13.1证证书服务务的基本本概念13.2安安装与配配置证书书服务13.3客客户端申申请和安安装证书书13.1证证书服务务的基本本概念公钥数字字证书（（又称为为公钥证证书、数数字证书书、Certificates）简简称证书书，是用用于绑定定实体身身份和公公钥信息息的经过过权威机机构数字字签名的的声明，，以文件件的形式式存在，，证书将将公钥与与保存对对应私钥钥的实体体绑定在在一起。。证书一般般由可信信的权威威第三方方CA中中心（权权威授权权机构））颁发，，CA对其其颁发的的证书进进行数字字签名，，以保证证所颁发发证书的的完整性性和可鉴鉴别性。。CA可以以为用户户、计算算机或服服务等各各类实体体颁发证证书。13.1证证书服务务的基本本概念公钥证书书以公钥钥密码算算法为基基础。公公钥密码码算法基基于复杂杂数学问问题构建建公钥和和私钥的的映射关关系。使用公钥钥加密数数据（数数据加密密），只只能使用用对应的的私钥解解密（数数据解密密）。使用私钥钥加密数数据（称称数字签签名），，只能使使用对应应公钥解解密（签签名验证证）。13.1证证书服务务的基本本概念广泛应用用的证书书格式基基于国际际电信联联盟电信信标准部部门（ITU--T）建建议的X.509v3标准准。X.509证证书包括括公钥和和有关证证书授予予的人员员或实体体的信息息、有关关证书的的有效期期、用途途等信息息，以及及有关颁颁发证书书的CA的信息息。实体的主主题（或或主体，，Subject）标标示证书书的持有有者，证证书的颁颁发者（（Issuer）和签签名者是是CA。。13.1证证书服务务的基本本概念证书只在在证书颁颁发者对对该证书书指定的的时间段段内有效效。每个个证书包包含“有有效期从从”和““有效期期至”日日期，这这两个日日期设置置了证书书有效期期的界限限。一旦旦超过证证书的有有效期，，证书持持有者必必须重新新请求证证书。如果因为为某种原原因，如如证书主主体私钥钥泄密、、证书主主体身份份变更等等，必须须撤销证证书的使使用，颁颁发者可可以吊销销证书。。每个颁颁发者（（CA））维护一一个证书书吊销列列表（CRL））。13.1证证书服务务的基本本概念IE浏览览器，““工具””/“Internet选项项”菜单单，选择择“内容容”选项项卡，单单击“证证书”按按钮。对对话框包包括“个个人”、、“其他他人”、、“中级级证书颁颁发机构构”、““受信任任的根证证书颁发发机构””等不同同证书存存储区域域。目录录13.1证证书服务务的基本本概念13.2安安装与配配置证书书服务13.3客客户端申申请和安安装证书书13.2.1安安装装证书服服务安装WindowsServer2003证书服务务组件证书服务务子组件件详细信信息13.2.1安安装装证书服服务设置CA类型13.2.1安安装装证书服服务选择加密密服务提提供程序序13.2.1安安装装证书服服务设置CA的公用用名称13.2.1安安装装证书服服务证书数据据库设置置13.2.1安安装装证书服服务完成安装装后，系系统重新新启动IIS服服务。在在“管理理工具””应用程程序组中中添加了了“证书书颁发机机构”管管理控制制台，管管理员使使用它可可以进行行证书服服务的管管理与设设置。证书服务务安装完完成后，，在证书书服务器器上将增增加一个个共享文文件夹%%SystemRoot%\\system32\\certsrv\\CertEnroll，下下面存放放CA的的根证书书和证书书撤销列列表（CRL））文件。。同时，在在服务器器的IIS服务务中将增增加证书书服务的的Web服务。。13.2.2管管理理证书服服务器“证书颁颁发机构构”管理理证书服服务器处理挂起起的证书书请求13.2.2管管理理证书服服务器处理颁发发的证书书目录录13.1证证书服务务的基本本概念13.2安安装与配配置证书书服务13.3客客户端申申请和安安装证书书13.3.1安安装装CA证证书安装受信信任的CA根证证书访问证书书服务器器13.3.1安安装装CA证证书下载CA证书页面面13.3.1安安装装CA证证书证书下载载到本地地磁盘后后，可以以安装到到操作系系统中。。在IE浏览器器中选择择“工具具”/““Internet选选项”//“内容容”/““证书””，打开开“证书书”对话话框，选选择“受受信任的的根证书书颁发机机构”选选项卡，，单击““导入””按钮，，进入证证书导入入向导。。选择证书书导入文文件13.3.1安安装装CA证证书选择证书书导入区区域13.3.1安安装装CA证证书“受信任任的根证证书颁发发机构””区域内内将增加加刚下载载的CA证书。。13.3.2申申请请并安装装客户证证书申请用户户证书页页面13.3.2申申请请并安装装客户证证书申请电子子邮件保保护证书书13.3.2申申请请并安装装客户证证书证书申请请页面13.3.2申申请请并安装装客户证证书查询证书书申请的的状态13.3.2申申请请并安装装客户证证书查询证书书申请13.3.3证证书书应用运行OutlookExpress，选选择“工工具”菜菜单中的的“账户户”，弹弹出““Internet账账户”对对话框。。选择““邮件””选项卡卡，选择择邮箱账账户，单单击“属属性”按按钮。邮件账户户设置13.3.3证证书书应用为邮件安安全服务务添加证证书选择证书书13.3.3证证书书应用使用OutlookExpress签名和加加密邮件件小结结本章介绍绍了WindowsServer2003证证书服务务的安装装与配置置，给出出了完整整的用户户申请数数字证书书的过程程