数字证书服务器的配置与应用

学习目标 熟悉数字证书的概念和功能 熟悉 熟悉基于 003数字证书服务的功能特点 掌握基于 003数字证书服务器的安装和配置方法 掌握数字证书的使用方法 掌握数字证书的管理方法 第 5讲 数字证书服务器的配置与应用 重点难点 熟悉基于 003数字证书服务的功能特点 掌握基于 003数字证书服务器的安装和配置方法 掌握数字证书的使用方法 随着网络应用的快速发展 ， 相应的安全问题也越来越明显 ， 形式各样的安全威胁越来越突出 。 在随之产生的各种网络安全解决方案中 ， 数字证书便是其中一种 。 与其他安全技术和解决方案相比 ， 数字证书服务具有高效 、 实用 、方便使用等特点 。 本讲在介绍数字证书 、 以 003操作系统为主 ， 介绍数字证书服务器的安装 、 配置和使用方法 。 数字证书也称为数字标识（ D）。它提供了一种在 用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权威的证书认证机构（ 行，在网络中可以通过从 俗地讲，数字证书就是个人或单位在 比较专业的数字证书定义是：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下，证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循相关国际标准。 通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不可否认性交易者身份的确定性这四大网络安全要素得到保障。 数字证书的概念 目前，计算机网络中的安全体系分为 中，非 如用户大量使用的“用户名称 +密码”的形式就属于非 于非 以近年来 钥基础设施）为网上信息的传输提供了加密（ 验证（ 能，在信息发送前对其进行加密处理，当对方接收到信息后，能够验证该信息是否确实是由发送方发送的信息，同时还可以确定信息的完整性（ 即信息在发送过程中未被他人非法篡改。数字证书是 有安全操作都主要通过证书来实现。 包括签署这些证书的认证、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口（ 基本构成部分。 提供前面介绍的加密和验证功能，在此过程中需要公开密钥和私有密钥来支持，其中： 公开密钥（ 公开密钥也称为公共密钥（简称为“公钥”），在安全系统中公开密钥不需要进行保密，是向网络中的所有用户公开的。对于一个安全系统来说，公开密钥是唯一的。 私有密钥（ 私有密钥简称为“私钥”，是用户个人拥有的密码，它存在于用户自己的计算机或其他介质中，只有该用户自己才能使用。私有密钥需要安全保存和管理。 在信息的安全传输中，发送信息前可以通过公开密钥对其进行加密，接收方在接收到信息后再利用自己的私有密钥进行解密。 开密钥加密法 公开密钥加密法是使用公开密钥和私有密钥一组密钥来进行加密和解密处理，其中公开密钥用来进行加密，而私有密钥用来进行解密，这种加密和解密的处理方式也称为“非对称”（ 密法。另外，还有一种称为“秘密密钥加密法”（ 该算法也称为“对称”（ 密法，这种方法在进行加密和解密的过程中都使用同一个密钥。 图 1 张三与李四之间利用公开密钥加密法传输信息 开密钥验证法 数字签名”是通过一个单向函数对要传送的报文进行处理得到的，用以认证信息来源并核实信息是否发生变化的一个字母数字串。 用户可以利用“公开密钥验证法”来对要发送的信息进行数字签名，而对方在收到该信息后，能够通过此数字签名来验证信息是否确实是由发送方发送来的，同时还可以确认信息在发送过程中是否被篡改。从实现原理来看，数字签名其实就是对加密、解密的应用。签名的过程为加密过程，查看签名的过程为解密过程。 图 2 数字签名的实现过程 书认证机构（ 在整个加密解密过程中，仅拥有密钥（公开密钥和私有密钥）是不够的，还必须申请相应的数字证书（ 数据标识（ D），这样才可能利用密钥执行信息加密和身份验证操作。在这里，密钥相当于“汽车”，而数字证书相当于“驾驶证”，只有汽车而没有驾驶证是无法开车上路的，同样只有驾驶证而没有汽车也无法使驾驶证发挥作用。所以，密钥和数字证书应该是构成该系统的必备条件。为了便于数字证书的管理，出现了一些专门的数字证书管理机构，负责发放和管理数字证书，将这一机构称为“证书认证机构”，或“认证中心”（ 如图 3所示，当用户在申请证书时，必须输入申请者的详细资料：如姓名、地址、电子邮箱等，这些信息将被发送到一个称为加密服务提供者（ 程序，由 销密钥，以及使用密钥执行各种加、解密操作。 个公开密钥和一个私有密钥。 请者）计算机的注册表中，然后将证书申请信息和公开密钥一并发送到 进行加密、解密时，当用户需要某一用户的公开密钥时，就会向 将得到的数字证书保存在自己的计算机中 。 图 3 申请数字证书时提交的用户信息 基于 A，即将 A）和“从属 A）。其中： 1. 根 方面它可以发放用来保护电子邮件安全的证书、提供网站 密套接字协议层）安全传输的证书、用来登录 003域的智能卡证书、用来提供基于 一方面，根 A（从属在大部分环境中，根 2 从属 属 供网站 来登录 003域的智能卡证书、用来提供基于可以发放证书给其下一层的从属 属 A（可能是根 可能是从属 得证书后，才可以发放证书。 提示：对于 000、 P、 003来说，如果该计算机已经信任了根 么他们将会自动信任该根 就是 是，当用户将从属 从属 不存在以上的继承关系。 000、 P、 003的计算机已经信任由一些知名的 要时，用户可以向上述知名的 这些 时，也有一些不收费的 果用户只希望在本单位或系统内部实现基于 以利用003提供的“证书服务”来组建自己的 后利用该 户、供应商等发放证书，而不需要向其他 样，当本单位或系统中的员工、客户、供应商的计算机设置为信任该 可以通过自己的 图 4 查看计算机中已信任的根证书 003中 003提供的“证书服务”可以将 003扮演 A，也可以是独立 1 企业 业 本域内的用户或计算机是无法向该企业 域内的用户向企业 业 证用户是否为本域中的用户或计算机），并根据验证结果决定是否发放证书。 企业 A（ A）和企业从属 A）两种类型。其中，在大多数情况下，企业根 企业从属 后才可以向其域内的用户或计算机以及其下属的企业从属 业从属 供网站 来登录 003域的智能卡证书、进行基于 2 独立 立 演独立 003的独立服务器，也可以是成员服务器或域控制器。无论用户和计算机是否是 可以向独立 于用户在向独立 像企业 以用户需要自行输入申请者的详细信息和所要申请的证书类型。 独立 A（ A）和独立从属 A）两种类型。其中，在多数情况下，独立根 A。而独立从属 A（既可以是独立根 可以是上层的独立从属 得证书，然后才可以发放证书。独立从属 供网站 来登录 003域的智能卡证书、进行基于 由于基于 003的数字证书服务器分为企业 中企业 时只能向本企业内部加入活动目录的用户提供数字证书服务。而独立 且可以向加入活动目录域控制器的用户和没有加入活动目录域控制器的用户提供数字证书服务。两者相比，独立 以本节将介绍独立 字证书服务器的安装和配置 装 5 选择要安装的 件 图 6 选取 “ 息服务（ ” 图 7 理器窗口 图 8 测试 工作状态 装证书服务 独立 中独立从属 中，父 A，也可以是其他的独立从属 于绝大多数中小企业来说，一般只需要配置一台数字证书服务器即可。所以，本节仅介绍独立根 图 10 选取了 “ 证书服务 ” 后的系统提示信息 图 11 选择 型 图 12 设置 识别信息 图 9 安装 “ 证书服务 ” 提示：如果独立 且是以域管理员（如 身份来安装的，则独立 果独立 是安装在没有使用 内用户则需要另外执行信任此独立 图 13 选择证书的保存位置 图 14 系统提示在安装证书之前需要停止 图 16 系统提供的证书模板 图 15 证书颁发机构操作窗口 字证书的申请方法 不管是否为域用户，都可以利用 面，以用户为其电子邮件 体方法如下： （ 1） 在要安装证书的计算机上打开 地址栏中输入以下的地址： ，计算机名称为 图 17 . 证书申请窗口 图 18 选择要申请证书的类型 图 19 输入用户的详细信息 图 21 显示未被颁发的证书名称 图 20 证书申请结束后的显示 图 22 显示已申请的证书 图 23 该证书已颁发 图 24 安装证书之前的系统提示信息 图 25 系统显示证书已成功安装 图 26 显示已信任的证书名称 图 27 显示证书的详细信息 书的保存和应用 在前面的介绍中，用户一般是在要安装证书的计算机上来申请并安装证书。但是，在实际应用中，有时需要将申请到的证书安装在其他的计算机上，或出于安全考虑对已申请到的证书进行安全备份，当原来的证书不小心被删除或计算机重新安装操作系统后，就可以利用备份来还原。为解决此类问题，我们需要将申请到的证书以文件形式进行保存和应用。具体方法如下： 图 28 选择在线安装或下载已申请的证书 图 29 证书链成功 安装后的显示信息 在图 29中出现的“证书链”的概念，“证书链”有时也叫做“证书链服务”或“交叉认证”，它是一个书链可以扩大企业内部 般企业内部 法被外部的网络应用所识别和信任。例如，当企业员工利用企业 时可能会遇到邮件接收者不能识别邮件的情况，或者出现其他的浏览器和服务器不能识别或信任该企业 用证书链服务，可以使企业 件客户端所信任，这样就无需为每一种软件、每一个邮件客户端重新申请证书，来要求他们信任企业 而低成本、高效率地实现了信任度的扩展。 在图 29中，还可以单击“下载 “下载 将 果该证书不慎被丢失，则可以在打开该证书文件所在的文件夹后，单击鼠标右键，在出现的快捷菜单中选择“安装证书”重新进行安装，如图 30所示。 图 30 通过已保存的证书文件来安装证书 如果单位内部的独立根 003的独立服务器上，或是安装在没有使用 以 003提供的“证书服务”组件来实现证书管理。此时，可以通过“受信任的根证书授权策略”将此独立根 域内的所有用户能够自动信任该独立根 在下面的操作中，我们将已建立的独立根 CA“ 证书，自动发送到域 域内用户自动信任独立根 下载独立根 首先，在域控制器（ 算机上，通过以下方式从独立根 体方法如下 图 31 独立根 书申请窗口 图 32 选择下载证书的类型 提示：对于根 此，可以选择图 33和图 34中的任一种方式。 图 33 保存证书文件 图 34 保存证书链文件 图 35 导出计算机中已有的证书 入数字证书 下面，可以将前面申请或导出的 信任的根证书授权策略”中，具体方法如下： （ 1） 在域控制器（本例为 ，选择“开始” “程序” “管理工具” “域安全策略” “安全设置” “公钥策略”，打开如图 36所示的窗口。 图 36 域安全策略设置窗口 图 37 输入要导入的证书文件 图 38 选择证书存储的系统区域 图 39 导入的证书信息 图 40 显示所导入的证书 完成以上的操作之后，凡是加入该域的用户都会自动应用此策略，都会自动信任上述的独立根 内的计算机并不会马上应用此策略，如果要应用此策略，需要具有以下的条件之一： · 重新启动计算机。 · 等待策略自动生效。一般域控制器需要大约 5分钟左右的时间，如果是隶属于域内的其他计算机，大约需要 90120分钟的时间。 图 41 令的执行过程和结果 图 42 显示已信任的证书 下面，以用户邮箱 wq绍利用 字签名是利用发送方的私有密钥进行加密，在接收方利用发送方的公开密钥进行解密。当用户 户 用户 利用用户 体过程如下： 字证书应用举例 图 43 选取邮件账户 图 44 选取证书 图 47 用户 收到一份由用户 送过来的经过签名的电子邮件 图 48 用户 通讯地址 图 49 用户 数字标识 图 50 安全提示信息 图 51 系统提示该电子邮件已经过安装检查 图 52 系统安全警告 图 53 系统提示 “ 签名数字标识不可取 ” 子邮件的加密 签名是利用发送者的私有密钥，而加密则是利用接收者的公开密钥。因为，当用户户 以下面用户 体方法如下： 图 54 对邮件同时进行加密和签名处 理 图 55 用户 收到由用户 送的同时经过加密和签名的电子邮件 如果该邮件在传输过程中出现问题（如被他人篡改、证书已到期等），将会出现如图 52所示的警告信息。 图 56 查看电 子邮件的内容 ，可以通过对系统状态的操作来实现对 1 对于数字证书系统来说， 了防止系统出现故障或重新安装操作系统后丢失 议网络管理员对 体方法如下： 字证书的管理 图 57 选择 “ 备份 ” 操作 图 5 8 选择要备份的内容和备份文件夹的存储位置 2 恢复到故障前的状态。具体操作方法为 图 59 设置备份文件夹的密码 图 60 完成备份设置 图 61 系统提示要暂停证书服务 图 62 选择还原的项目及还原文件的位置 练一练：在已配置的数字证书服务器上，首先对 后利用备份的数据来还原 图 63 输入文件的还原密码 图 64 结束设置 加证书模板 “证书模板”是 65中显示的是 中每一个模板内会包含多种不同用途的证书，例如“计算机”模板就包含了“客户端验证”和“服务器验证”两种证书，如图 66所示。 图 65 企业 供的证书模板 图 66 “ 计算机 ” 模板所包含的证书类型 另外，企业 户在使用之前可以通过以下的方法来启用：在如图 65中选取“证书模板”，单击鼠标右键，在出现的快捷菜单中选择“新建” “要颁发的证书模板”，打开如图 67所示的对话框。在该对话框中提供了大量非常实用的证书模板，如 户可以在该对话框中选取要使用的证书模板，然后单击“确定”按钮进行启用。 图 67 启用新的证书模板 独立 如果独立 够由该独立 通过以下的方法来进行： 提示：在修改了证书的颁发方式后，必须重新启动该证书服务后，所进行的设置才会生效。 图 68 “ 策略模板 ” 设置对话框 图 69 将请求方式设置为自动颁发 书的吊销管理 用户申请到的每一类证书都有一定的使用期限，例如“电子邮件保护证书”自申请后的使用期限为 1年。当证书的使用期限到期后，系统会自动进行吊销。另外，在证书还未到期之前，证书管理员也可以吊销该证书。例如，企业的某一员工离开公司后，就可以将其使用的证书进行吊销处理。 1 吊销证书 证书管理员可以通过以下方法来吊销尚未到期的证书：在“证书颁发机构”窗口中选取“颁发的证书”，已申请使用的证书将会显示在列表中，如图 70所示 图 70 正在使用中的证书 书的吊销管理 用户申请到的每一类证书都有一定的使用期限，例如“电子邮件保护证书”自申请后的使用期限为 1年。当证书的使用期限到期后，系统会自动进行吊销。另外，在证书还未到期之前，证书管理员也可以吊销该证书。例如，企业的某一员工离开公司后，就可以将其使用的证书进行吊销处理。 1 吊销证书 证书管理员可以通过以下方法来吊销尚未到期的证书：在“证书颁发机构”窗口中选取“颁发的证书”，已申请使用的证书将会显示在列表中，如图 71所示 图 71 正在使用中的证书 图 72 . 显示已被吊销的证书 2 发布“证书吊销列表（ 当某些用户的证书被吊销后，网络中的用户如何才能知道哪些用户的证书被吊销了呢？首先， 书吊销列表”发布出去，之后计算机在网上下载了这个“证书吊销列表”后，就可以知道有哪些证书已经被吊销了。 书吊销列表”。 图 73 设置 发布时间参数 图 74 选择要发布的 类型 3 下载“证书吊销列表（ 网络中的计算机如何能够下载“证书吊销列表”呢？在 书吊销列表”后，网络中的计算机可以通过自动下载和手工下载两种方式来下载“证书吊销列表”。 （ 1） 自动下载。 图 75 选择自动下载 图 76 选择自动下载 （ 2） 手工下载。 提示：如果不是第一次进行如上所述的手工下载操作，并且在如图 73中设置了“发布增量 那么，在打开的如图 78所示的列表中将出多出一项名为“下载最新的增量 项，单击该链接，可以下载最新的 图 77 证书申请窗口 图 78 下载最新的基 户证书的导入和导出 作为用户在网络中身份象征的数字证书，用户一定要妥善保存。一般情况下，当安装了证书后，为了防止将来证书的丢失（如操作系统故障，证书被误删除等），就可以利用备份的证书文件来恢复。用户可以利用 图 79 选取证书 图 80 选取导出方式 图 81 选择导出文件使用的格式 图 82 设置导出文件的密码 图 83 选择导出文件的保存位置 图 84 证书文件导出设置完成 图 85 高级证书申请 图 86 选择证书类别 图 87 设置用户信息和密码选项 通过以上方式申请到的证书，私有密钥是可以导出到文件中的。 书到期前的更新 每一类证书在申请后都有一定的使用期限，如果证书在到期后用户还要继续使用该证书，则可以对其进行更新操作。 提示：根 从属 以从属 设根 年，而从属 年，那么当该根 年时如果从属么从属 年。但是，当根 年时，这时从属 年。 为此，在多 般建议对根 其能够尽可能地为从属 于大部分只有一个 需要对仅有的这一台数字证书服务器进行操作即可，而不必关心不同 1 对于 以通过以下的方法来完成： （ 1） 选择“开始” “程序” “管理工具” “证书颁发机构”，打开“证书颁发机构”窗口。 图 88 更新 证书 2 用户证书的更新方法 用于用户来说，则可以通过以下方式来更新所申请到的证书（以 P （ 1） 选择“开始” “运行”，在出现的对话框中输入 打开的对话框中选择“文件 添加 /删除管理员单元”，如图 89所示 图 89 选取 “ 添加 / 删除管理单元 ” 图 90 添加 “ 证书 ” 图 91 选取 “ 我的用户帐户 ” 图 92 显示新建的证书 图 93 用户证书的更新操作 根据网络安全应用和管理的需要，许多单位都建立了自己的 为用户提供证书服务。本章首先介绍了数字证书、 着以基于 003操作系统的 “ 独立 的安装和使用为例，详细介绍了数字证书的申请、使用和管理方法。相信读者通过对本章内容的学习，能够结合自己的网络安全需求，安装和使用 能够根据应用需要使用数字证书服务。