12Windows.证书服务部署安全基础框架

数字安全证书概述

公钥加密是用于电子商务、Intranet、Extranet和其它网络应用程序的核心技术，带来了巨大的军事、商业安全利益。但是，要想充分利用公钥加密带来的好处，需要基础结构的支持。MicrosoftWindows2000/2003操作系统本身包括了一个基础结构（PKI），它从底层开始就是为充分利用Windows2000/2003安全结构的优势而设计的。内容安排PKI简介证书用途部署Windows证书服务管理证书应用证书公钥加密数字签名公钥基础结构（PKI）公钥基础结构（PKI）既不是物理对象，也不是软件进程，而是由一套相互关联的组件提供的一组有用服务。这些组件一起为应用和用户提供了基于公钥的安全服务。WindowsServer2003PKI证书颁发机构（CA）PKI简介证书用途部署Windows证书服务管理证书应用证书CA层次结构证书用途服务器验证客户端验证代码签名安全电子邮件时间戳EFSIPSec……证书图例PKI简介证书用途部署Windows证书服务管理证书应用证书部署Windows证书服务证书服务CA设置一个颁发并管理数字证书的CA证书服务Web注册支持允许在服务器上发布网页以提交请求并从CA检索证书CA类型安装证书服务创建从属CA备份/还原CA部署Windows证书服务安装证书服务 企业根CA备份CADemoPKI简介证书用途部署Windows证书服务管理证书应用证书管理证书颁发证书拒绝证书签名请求（CSR）吊销证书发布证书撤销列表（CRL）DemoPKI简介证书用途部署Windows证书服务管理证书应用证书应用证书申请证书利用证书请求向导申请证书（仅适用于企业CA）利用证书服务Web页面申请证书（http://CAServername/certsrv）检查证书申请状态下载证书安装证书查看证书导入导出证书Demo实验1、安装证书服务2、管理证书 颁发证书（申请证书）拒绝证书签名请求（CSR）吊销证书发布证书撤销列表（CRL）3、应用证书检查证书申请状态下载证书查看证书导入/导出证书二、使用SSL确保Web服务器通信安全概述安全套接字层（SSL）是一套提供身份验证、保密性和数据完整性的加密技术。SSL最常用来在Web浏览器与Web服务器之间建立安全通信通道。它也可以在客户端应用程序和Web服务之间使用。

为支持SSL通信，必须为Web服务器配置SSL证书。议程SSL技术概览Web服务器上SSL的设置验证通信是否已加密SSL技术概览保密性确保数据处于私有和保密状态，并且不会被可能使用网络监控软件的窃听者查看到；通常借助加密来达到保密目的。完整性防止数据在传输过程中遭到意外或恶意的修改；完整性通常是通过使用消息身份验证码MAC实现的。（在典型的Web应用部署中）SSL技术概览结合使用SSL、IPSec和RPC加密来保护每一个通道的安全SSL常用于确保浏览器与Web服务器之间的通道安全；还可以用于保护从运行MicrosoftSQLServer的数据库服务器进出的Web服务消息和通信的安全。能够安全通信的典型Web应用部署模型SSL技术概览SSL协议允许应用程序在公网上秘密的交换数据，因此防止了窃听，破坏和信息伪造。SSL允许两个应用程序通过使用数字证书认证后在网络中进行通信。它还使用加密及信息摘要来保证数据的可靠性。SSL是粘附在传输层协议之上的。SSL3.0是由互联网工程任务（IETF）于1996年定义的，是当前的标准，所有浏览器都支持它，所以应用程序在使用它时不需要特殊的代码。什么是SSL？SSL握手说明议程SSL技术概览Web服务器上SSL的设置验证通信是否已加密Web服务器上SSL的设置步骤生成证书申请（CSR）提交证书申请企业CA商用CA，如：；；颁发证书在Web服务器上安装证书将资源配置为要求SSL访问Web服务器上SSL的设置注释SSL要求将服务器身份验证证书安装在Web服务器上（或数据库服务器上）应用SSL时，客户端使用HTTPS协议，而且服务器在TCP端口443进行侦听Web服务器上SSL的设置性能考虑启用SSL时，应该监控应用程序的性能。SSL使用复杂的加密功能对数据进行加密和解密，因此

对应用程序的性能有所影响应该在使用SSL的页面中使用较少的文字和简单的图形，

从而对页面进行优化。由于在建立会话期间，SSL对性能影响最大，因此请确保连接不超时。（可通过增大ServerCacheTime注册表项的值来做相应调整。详细信息，可参考Microsoft知识库文