微软证书服务(课堂PPT).ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,.,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,.,*,微 软 证 书 服 务,Microsoft Certification Service,谭伟,MCT/ESS Engineer,成都金海洋微软高级技术教育中心,tanwei,1,.,术语,PKI:Public Key Infrastructure,公钥架构,CA:Certificate Authority,证书颁发机构,CRL:Certificate Revocation List,证书吊销列表,CTL:Certificate Trust List,证书信任列表,AIA:Authority Information Access,根证书分发点,Public Key:,公钥,Private Key:,私钥,2,.,证书典型应用,安全的无线网络,EFS,加密文件系统,安全的,web,通讯,(https),IPSEC,智能卡,代码签名,VPN,3,.,公钥架构,PKI,一个工业标准,以严密的数学算法为基础,使用非对称密钥对加密（公钥和私钥）,4,.,证书主体,用户,计算机,服务,(,应用程序,),5,.,非对称密钥,用公钥加密的,只能用相对应的私钥解密,用私钥加密的,只能用相对应的公钥解密,公钥可发送给对方,私钥由自己保存,不会随便发送给第三方,绝大多数情况下私钥和公钥对是申请证书的客户计算机生成的,不是,CA,生成的,不存在私钥在网络中传输的问题,.,私钥是存储在申请证书的那台计算机上的,6,.,证书的功能,加密,签名,身份验证,7,.,证书与公,/,私钥的关系,证书中包含公钥,公钥与私钥相对应,私钥是存储在申请证书的计算机中,可以将私钥导出到证书中，但不是每种证书都可以导出私钥（证书模板可以控制）,8,.,证书的主要特点,包含了证书主体的公钥,证书是有使用期限的,可以续订,描述了使用证书的证书主体,描述了证书是由那个,CA,颁发的,9,.,CA,权威的证书颁发机构,证书主体必须都信任同一个,CA(,需要配置,),只要信任根,CA,就自动信任根,CA,下所有子,CA,有企业,CA,和独立,CA,10,.,企业,CA,企业,CA,需要,Active Directory,企业,CA,可以颁发智能卡证书,企业,CA,通过,web,方式只能申请一部分,域控可自动申请,默认自动颁发证书,结合组策略使用,11,.,独立,CA,独立需要,Active Directory,独立,CA,不能颁发智能卡证书,独立,CA,通过,web,方式能申请全部证书,需要手动申请,默认手动颁发证书,12,.,CA,的层次结构,单层,CA,企业或独立,CA,中小型企业适用,多层,CA,适合大型企业适用,根,CA,长期脱机,严密保护,建议根,CA,为独立,CA.,因为如果是企业,CA,的话，,60,天需要连入网络同步数据。,13,.,证书存储区,用户证书物理位置是存储在用户,profile,计算机或服务证书物理位置是存储在注册表,逻辑位置为个人或受信任的,CA,存储区,14,.,配置,CA,信任方法,证书管理单元中手动导入,CA,的证书,从,web,下载,CA,的证书,再手动导入,从,AIA,分发点手动,copy,通过配置组策略自动信任,CA,15,.,证书模板,可供证书主体申请相对应的证书,企业,CA,所独有,独立,CA,没有,有,v1,和,v2,版本,v1,为灰色,不可改,v2,为绿色,可以修改,16,.,证书申请方法,Web,证书管理单元,命令行,Req,文件,组策略,17,.,管理证书的工具,证书颁发机构,证书管理单元,证书模板,18,.,证书的吊销,通过,CA,管理单元来做,管理员手动来执行,被吊销的证书就无效了,只有吊销原因为,”,证书待定,”,的才能撤销吊销,19,.,证书的备份和恢复,建议备份系统状态数据,备份企业,CA,数据库间隔时间不能超过,60,天,20,.,数据存储安全,(EFS),EFS,加密的文件，只有用户自己才能复制和打开，管理员也无权限复制和打开,建议用户使用,EFS,后，导出自己的证书（包含私钥）,可以配置组策略（域环境建议配置默认域策略）来实现故障恢复代理,可以配置,EFS,共享，实现加密文件共享访问,21,.,终端服务器安全,终端服务器身份验证和加密：,条件：,1.,终端服务器使用,Windows Server 2003 SP1,2.,终端服务器使用“服务器身份验证证书“,3.,客户端使用,RDP 5.2,4.,客户端信任终端服务器的颁发,CA,细节：,1.,客户端和服务器进行,SSL,身份验证时使用,3389,端口。,2.,客户端连接终端服务器可能需要和证书的,common name,对应，不然验证可能会失败。,22,.,Web,服务器安全（,SSL,）,确保,Web,通讯的安全,步骤：,1.,给,Web,服务器颁发“服务器身份验证证书”,2.,启用,SSL,安全通道,23,.,安全的电子邮件,签名邮件：,(,确保邮件来自发件人，不会被篡改,),1.,发件人用私钥签名邮件,2.,收件人用发件人公钥解密签名邮件,加密邮件：,(,确保邮件传递安全,),1.,发件人和收件人都需要申请“用户证书”,2.,发件人检索收件人“公钥”，并随机生成一次性加密密钥（加密邮件内容，称为“内容密钥”），用“公钥”加密“内容密钥”，传递给收件人,3.,收件人用自己“私钥”解密“内容密钥”，用“内容密钥”解密邮件内容,24,.,25,.,