网络工程师讲义张智勇
ST04 分布办公网络构建
CEAC国家信息化计算机教育认证项目
www.ceac.org.cn
网络工程师讲义张智勇使用PKI(公共钥基础结构)配置网络安全网络工程师讲义张智勇概述
�z初步介绍公共密钥基础结构(PKI)
�z配置证书服务
�z使用证书
�z管理证书
�z针对证书配置活动目录
�z证书服务排错网络工程师讲义张智勇
初步介绍公共密钥基础结构(PKI)
�z公共密钥加密技术
�z公共密钥身份验证
�z认证中心
�z认证层次结构
�zWindows 2000 PKI
网络工程师讲义张智勇公共密钥加密技术通过网络传送加密的信息通过网络传送加密的信息
2
2
3A78
3A78
Alice 使用Bob 的共钥加密信息
Alice 使用Bob 的共钥加密信息
1
1
数据数据
3A78
3A78
Bob 使用Alice 的私钥解密信息
Bob 使用Alice 的私钥解密信息
3
3
数据网络工程师讲义张智勇公共密钥身份验证通过网络传送消息通过网络传送消息
2
2
~*~*~*~
~*~*~*~
Alice 使用私钥签署一条消息
Alice 使用私钥签署一条消息
1
1
~*~*~*~
~*~*~*~
~*~*~*~
Bob 使用共钥确认消息发自
Alice
Bob 使用共钥确认消息发自
Alice
3
3
网络工程师讲义张智勇颁发证书作为安全凭证颁发证书作为安全凭证
4
计算机,用户,或服务计算机,用户,或服务计算机,用户,或服务
CA
~*~*~*~
CA 接受认证请求
CA 接受认证请求
1
确认信息确认信息
2
使用私钥对证书实施数字签名使用私钥对证书实施数字签名
3
认证中心网络工程师讲义张智勇认证层次结构根CA
根根子CA
子子子CA
子子子CA
子子信任信任信任信任信任信任信任信任信任网络工程师讲义张智勇
Windows 2000 PKI
域控制器域控制器域控制器
SSL 和IPSec
证书服务证书服务证书服务证书的颁发和吊销证书的颁发和吊销活动目录活动目录活动目录证书的发布证书的发布启用PKI功能的应用程序启用功能的应用程序域内客户机域内客户机域内客户机网络工程师讲义张智勇
配置证书服务
�z选择CA 的模型
�z安装证书服务
�z建立子CA
�z备份和恢复证书服务网络工程师讲义张智勇选择CA 的模型
�?企业根CA
认证系统中的顶级CA,需要活动目录,可给自己颁发证书
�?企业根CA
认证系统中的顶级CA,需要活动目录,可给自己颁发证书
�?独立根CA
认证系统中的顶级CA,不需要活动目录
�?独立根CA
认证系统中的顶级CA,不需要活动目录
�?企业子CA
从其它CA 处获得证书的子CA,需要活动目录
�?企业子CA
从其它CA 处获得证书的子CA,需要活动目录
�?独立子CA
从其它CA 处获得证书的子CA,不需要活动目录
�?独立子CA
从其它CA 处获得证书的子CA,不需要活动目录网络工程师讲义张智勇安装证书服务安装证书服务安装证书服务选择CA 类型选择CA 类型设置高级选项设置高级选项键入标识信息键入标识信息指定数据库和日志文件的位置指定数据库和日志文件的位置安装证书服务网络工程师讲义张智勇
Windows Components Wizard
CA Certificate Request
Request the certificate for this CA by sending the request directly to a
parent CA or saving the request to the file and sending this file to the CA.
Send the request directly to a CA already on the network.
Computer name:
Parent CA:
Save the request to a file:
Request file:
C:\CAConfig\PHOENIX_User1
Browse…
Browse…
< Back Next > Cancel
建立子CA
如果父CA
在线,使用如果父CA
在线,使用如果父CA
不在线,使用如果父CA
不在线,使用网络工程师讲义张智勇备份和恢复证书服务
Certificate Authority
Action View
Tree
Name
Certification Authority (Local)
Revoked Certificates
Save CA certificates and configuration
Win2153A CA
All Tasks
View
Refresh
Export List….
Properties
Help
Backup CA…
Start Service
Restore CA…
Renew CA Certificate…
Stop Service
用来启动证书备份向导或证书恢复向导用来启动证书备份向导或证书恢复向导网络工程师讲义张智勇
使用证书
�z使用证书请求向导
�z使用证书服务Web 页
�z查看证书网络工程师讲义张智勇使用证书请求向导
�z使用证书模板
�z请求证书网络工程师讲义张智勇使用证书服务Web 页
�z提交证书请求
�z提交高级证书请求
�z检查待处理的请求网络工程师讲义张智勇查看证书
Console Root\Certificates – Current Uesr\Trusted Root Certification Author…
Console Window Help
Action View Favorites
Tree
Favorites
Console Root
Certificates – Current User
Personal
Trusted Root Certificates
Certificates
Enterprise Trust
Intermediate Certification Authori
Active Directory User Object
Issued To Issued By
Equifax Secure eBusines… Equifax Secure eBusiness CA-2
Equifax Secure Global eB… Equifax Secure Global eBusiness
EUnet International Root … EUnet International Root CA
FESTE,Public Notary Certs FESTE,Public Notary Certs
FESTE,Verified Certs FESTE,Verified Certs
First Data Digital Certific… First Data Digital Certificates Inc.
FNMT Class 2 CA FNMT Class 2 CA
GlobalSign Root CA GlobalSign Root CA
GTE Cyber Trust Global … GTE Cyber Trust Global Root
GTE Cyber Trust Root GTE Cyber Trust Root
GTE Cyber Trust Root GTE Cyber Trust Root
http://www.valicert.com/ http://www.valicert.com/
http://www.valicert.com/ http://www.valicert.com/
http://www.valicert.com/ http://www.valicert.com/
IPS SERVIDORES IPS SERVIDORES
Microsoft Authenticode(… Microsoft Authenticode(tm) Roo
Microsoft Root Authority Microsoft Root Authority
NetLock Expressz (Class … NetLock Expressz (Class C) Tan
NetLock Kozjegyzoi (Clas… NetLock Kozjegyzoi (Class A) T
Trusted Root Certifications Certification Authorities store contains 107 certificates
Certificate
General
DetailsCertification Path
Certification Information
This certificate is intended to:
Ensures the identity of a remote computer
Proves your identity to a remote computer
Ensures software came from software publisher
Protects software from alteration after publication
Protects e-mail messages
Allows data to be signed with the current line
Issued to,Microsoft Root Authority
Issued by,Microsoft Root Authority
Valid from 1/10/1997 to 12/31/2020
Issuer Statement
OK
网络工程师讲义张智勇
管理证书
�z发放证书
�z吊销证书
�z发布证书吊销清单
�z导入和导出证书网络工程师讲义张智勇发放证书
�z拒绝证书请求
�z接受证书请求,发放证书网络工程师讲义张智勇吊销证书
Revoke this Certificate
Request ID Requester Name Binary Certificate Serial Num
Certificate Authority
Action View
Tree
Certification Authority (Local)
Revoked Certificates
Issued Certificates
Pending Requests
Failed Requests
Policy Settings
Win2153A CA
All Tasks
Refresh
Help
Revoke Certificate
Open
2 NWTRADERS… ----BEGIN CERT 24dbf9e0…
24e925f1…
24ef12b2…
24f6d615…
2553d5b7…
2558fb82…
2ffd8774 …
吊销的证书被发布后将出现在CRL中吊销的证书被发布后将出现在中网络工程师讲义张智勇发布证书吊销清单
Certification Authority
Console Window Help
Action View
Certification Authority
Certificate Services (Local)
Manually publish current CRL
Revoked Certi
Issued Certifi
MSTest
Pending Req
Failed Reque
All Tasks
View
New window from here
Refresh
Properties
Help
Publish
Request ID Binary Certificate Serial Number
18 ----BEGIN CERTIFICATE---.,1aaaf7000000012
20 ----BEGIN CERTIFICATE---.,1c7d7400000014
21 E---.,1e41b500000016
Certificate Revocation List
General
Revocation List
Certification Revocation List Information
OK
Field Value
Version V2
Issuer MSTest,user1@microsoft.com…
Effective Date Thursday,December 10,1999 …
Next Update Monday December 14,1999 6:…
Signature Algorithm sha1RSA
Value:
网络工程师讲义张智勇导入和导出证书
�z检测证书文件格式
�z导入证书
�z导出证书网络工程师讲义张智勇针对证书配置活动目录活动目录活动活动目录目录名字映射名字映射名字映射
�z外部用户必须持有证书
�z外部用户必须拥有用户账号
�z外部用户的证书必须是由信任的CA 所颁发的
�z外部用户证书与活动目录账号间必须存在一个名字映射外部用户外部用户外部用户网络工程师讲义张智勇证书服务排错复查事件日志复查事件日志
Error
使用诊断模式使用诊断模式
Error
排除CA 中的故障排除CA 中的故障
Error
缺认证书的有效性缺认证书的有效性
Error
网络工程师讲义张智勇
Lab A,Installing and Configuring Certificate Services
网络工程师讲义张智勇复习
�z初步介绍公共密钥基础结构(PKI)
�z配置证书服务
�z使用证书
�z管理证书
�z针对证书配置活动目录
�z证书服务排错
ST04 分布办公网络构建
CEAC国家信息化计算机教育认证项目
www.ceac.org.cn
网络工程师讲义张智勇使用PKI(公共钥基础结构)配置网络安全网络工程师讲义张智勇概述
�z初步介绍公共密钥基础结构(PKI)
�z配置证书服务
�z使用证书
�z管理证书
�z针对证书配置活动目录
�z证书服务排错网络工程师讲义张智勇
初步介绍公共密钥基础结构(PKI)
�z公共密钥加密技术
�z公共密钥身份验证
�z认证中心
�z认证层次结构
�zWindows 2000 PKI
网络工程师讲义张智勇公共密钥加密技术通过网络传送加密的信息通过网络传送加密的信息
2
2
3A78
3A78
Alice 使用Bob 的共钥加密信息
Alice 使用Bob 的共钥加密信息
1
1
数据数据
3A78
3A78
Bob 使用Alice 的私钥解密信息
Bob 使用Alice 的私钥解密信息
3
3
数据网络工程师讲义张智勇公共密钥身份验证通过网络传送消息通过网络传送消息
2
2
~*~*~*~
~*~*~*~
Alice 使用私钥签署一条消息
Alice 使用私钥签署一条消息
1
1
~*~*~*~
~*~*~*~
~*~*~*~
Bob 使用共钥确认消息发自
Alice
Bob 使用共钥确认消息发自
Alice
3
3
网络工程师讲义张智勇颁发证书作为安全凭证颁发证书作为安全凭证
4
计算机,用户,或服务计算机,用户,或服务计算机,用户,或服务
CA
~*~*~*~
CA 接受认证请求
CA 接受认证请求
1
确认信息确认信息
2
使用私钥对证书实施数字签名使用私钥对证书实施数字签名
3
认证中心网络工程师讲义张智勇认证层次结构根CA
根根子CA
子子子CA
子子子CA
子子信任信任信任信任信任信任信任信任信任网络工程师讲义张智勇
Windows 2000 PKI
域控制器域控制器域控制器
SSL 和IPSec
证书服务证书服务证书服务证书的颁发和吊销证书的颁发和吊销活动目录活动目录活动目录证书的发布证书的发布启用PKI功能的应用程序启用功能的应用程序域内客户机域内客户机域内客户机网络工程师讲义张智勇
配置证书服务
�z选择CA 的模型
�z安装证书服务
�z建立子CA
�z备份和恢复证书服务网络工程师讲义张智勇选择CA 的模型
�?企业根CA
认证系统中的顶级CA,需要活动目录,可给自己颁发证书
�?企业根CA
认证系统中的顶级CA,需要活动目录,可给自己颁发证书
�?独立根CA
认证系统中的顶级CA,不需要活动目录
�?独立根CA
认证系统中的顶级CA,不需要活动目录
�?企业子CA
从其它CA 处获得证书的子CA,需要活动目录
�?企业子CA
从其它CA 处获得证书的子CA,需要活动目录
�?独立子CA
从其它CA 处获得证书的子CA,不需要活动目录
�?独立子CA
从其它CA 处获得证书的子CA,不需要活动目录网络工程师讲义张智勇安装证书服务安装证书服务安装证书服务选择CA 类型选择CA 类型设置高级选项设置高级选项键入标识信息键入标识信息指定数据库和日志文件的位置指定数据库和日志文件的位置安装证书服务网络工程师讲义张智勇
Windows Components Wizard
CA Certificate Request
Request the certificate for this CA by sending the request directly to a
parent CA or saving the request to the file and sending this file to the CA.
Send the request directly to a CA already on the network.
Computer name:
Parent CA:
Save the request to a file:
Request file:
C:\CAConfig\PHOENIX_User1
Browse…
Browse…
< Back Next > Cancel
建立子CA
如果父CA
在线,使用如果父CA
在线,使用如果父CA
不在线,使用如果父CA
不在线,使用网络工程师讲义张智勇备份和恢复证书服务
Certificate Authority
Action View
Tree
Name
Certification Authority (Local)
Revoked Certificates
Save CA certificates and configuration
Win2153A CA
All Tasks
View
Refresh
Export List….
Properties
Help
Backup CA…
Start Service
Restore CA…
Renew CA Certificate…
Stop Service
用来启动证书备份向导或证书恢复向导用来启动证书备份向导或证书恢复向导网络工程师讲义张智勇
使用证书
�z使用证书请求向导
�z使用证书服务Web 页
�z查看证书网络工程师讲义张智勇使用证书请求向导
�z使用证书模板
�z请求证书网络工程师讲义张智勇使用证书服务Web 页
�z提交证书请求
�z提交高级证书请求
�z检查待处理的请求网络工程师讲义张智勇查看证书
Console Root\Certificates – Current Uesr\Trusted Root Certification Author…
Console Window Help
Action View Favorites
Tree
Favorites
Console Root
Certificates – Current User
Personal
Trusted Root Certificates
Certificates
Enterprise Trust
Intermediate Certification Authori
Active Directory User Object
Issued To Issued By
Equifax Secure eBusines… Equifax Secure eBusiness CA-2
Equifax Secure Global eB… Equifax Secure Global eBusiness
EUnet International Root … EUnet International Root CA
FESTE,Public Notary Certs FESTE,Public Notary Certs
FESTE,Verified Certs FESTE,Verified Certs
First Data Digital Certific… First Data Digital Certificates Inc.
FNMT Class 2 CA FNMT Class 2 CA
GlobalSign Root CA GlobalSign Root CA
GTE Cyber Trust Global … GTE Cyber Trust Global Root
GTE Cyber Trust Root GTE Cyber Trust Root
GTE Cyber Trust Root GTE Cyber Trust Root
http://www.valicert.com/ http://www.valicert.com/
http://www.valicert.com/ http://www.valicert.com/
http://www.valicert.com/ http://www.valicert.com/
IPS SERVIDORES IPS SERVIDORES
Microsoft Authenticode(… Microsoft Authenticode(tm) Roo
Microsoft Root Authority Microsoft Root Authority
NetLock Expressz (Class … NetLock Expressz (Class C) Tan
NetLock Kozjegyzoi (Clas… NetLock Kozjegyzoi (Class A) T
Trusted Root Certifications Certification Authorities store contains 107 certificates
Certificate
General
DetailsCertification Path
Certification Information
This certificate is intended to:
Ensures the identity of a remote computer
Proves your identity to a remote computer
Ensures software came from software publisher
Protects software from alteration after publication
Protects e-mail messages
Allows data to be signed with the current line
Issued to,Microsoft Root Authority
Issued by,Microsoft Root Authority
Valid from 1/10/1997 to 12/31/2020
Issuer Statement
OK
网络工程师讲义张智勇
管理证书
�z发放证书
�z吊销证书
�z发布证书吊销清单
�z导入和导出证书网络工程师讲义张智勇发放证书
�z拒绝证书请求
�z接受证书请求,发放证书网络工程师讲义张智勇吊销证书
Revoke this Certificate
Request ID Requester Name Binary Certificate Serial Num
Certificate Authority
Action View
Tree
Certification Authority (Local)
Revoked Certificates
Issued Certificates
Pending Requests
Failed Requests
Policy Settings
Win2153A CA
All Tasks
Refresh
Help
Revoke Certificate
Open
2 NWTRADERS… ----BEGIN CERT 24dbf9e0…
24e925f1…
24ef12b2…
24f6d615…
2553d5b7…
2558fb82…
2ffd8774 …
吊销的证书被发布后将出现在CRL中吊销的证书被发布后将出现在中网络工程师讲义张智勇发布证书吊销清单
Certification Authority
Console Window Help
Action View
Certification Authority
Certificate Services (Local)
Manually publish current CRL
Revoked Certi
Issued Certifi
MSTest
Pending Req
Failed Reque
All Tasks
View
New window from here
Refresh
Properties
Help
Publish
Request ID Binary Certificate Serial Number
18 ----BEGIN CERTIFICATE---.,1aaaf7000000012
20 ----BEGIN CERTIFICATE---.,1c7d7400000014
21 E---.,1e41b500000016
Certificate Revocation List
General
Revocation List
Certification Revocation List Information
OK
Field Value
Version V2
Issuer MSTest,user1@microsoft.com…
Effective Date Thursday,December 10,1999 …
Next Update Monday December 14,1999 6:…
Signature Algorithm sha1RSA
Value:
网络工程师讲义张智勇导入和导出证书
�z检测证书文件格式
�z导入证书
�z导出证书网络工程师讲义张智勇针对证书配置活动目录活动目录活动活动目录目录名字映射名字映射名字映射
�z外部用户必须持有证书
�z外部用户必须拥有用户账号
�z外部用户的证书必须是由信任的CA 所颁发的
�z外部用户证书与活动目录账号间必须存在一个名字映射外部用户外部用户外部用户网络工程师讲义张智勇证书服务排错复查事件日志复查事件日志
Error
使用诊断模式使用诊断模式
Error
排除CA 中的故障排除CA 中的故障
Error
缺认证书的有效性缺认证书的有效性
Error
网络工程师讲义张智勇
Lab A,Installing and Configuring Certificate Services
网络工程师讲义张智勇复习
�z初步介绍公共密钥基础结构(PKI)
�z配置证书服务
�z使用证书
�z管理证书
�z针对证书配置活动目录
�z证书服务排错
