第 14章 证书服务配置与管理
本章学习目标
本章主要讲解证书服务器的配置与管理。
通过本章学习,读者应该掌握以下知识:
– 证书服务的基本概念;
– 安装与配置证书服务器;
– 客户端证书安装与使用;
14.1 证书服务的基本概念
? 公钥数字证书(又称为公钥证书、数字证
书,certificates)简称证书,是用于身份验
证的经过(权威机构)数字签名的声明
(以文件的形式存在)。证书将公钥与保
存对应私钥的实体绑定在一起,证书一般
由可信的权威第三方 CA中心(权威授权机
构)颁发,CA 对其颁发证书进行数字签名,
以保证所颁发证书的完整性和可鉴别性。
CA可以为用户、计算机或服务等各类实体
颁发证书。
版 本 号
序 列 号
颁 发 者 X, 5 0 0 唯 一 识 别 名
有 效 期
主 体 X, 5 0 0 唯 一 识 别 名
主 体 公 钥 信 息
颁 发 者 惟 一 标 识 符 ( 可 选 )
主 体 惟 一 标 识 符 ( 可 选 )
扩 展 项
C A 签 名
散
列
签 名 生 成
C A
私 钥
签 名 和 哈 希 算 法
图 14-1 证书数据结构
图 14-2 证书对话框
图 14-3 查看证书详细信息
14.2 安装与配置 Windows Server
2003证书服务
? 14.2.1 安装证书服务
? 14.2.2 证书服务管理
14.2.1 安装证书服务
? 安装证书服务器的步骤如下:
? 步骤一,选择“开始” /“设置” /“控制面
板” /“添加或删除程序”,选择“添加 /删除
Windows组件”,在出现的如图 14-4所示
对话框中,选择“证书服务”复选框,并
单击“详细信息”按钮,出现如图 14-5所
示“证书服务”子组件详细对话框。
图 14-4 安装 Windows 2003证书服务组件
图 14-5 证书服务子组件对话框
? 步骤二,在如图 14-5所示证书服务详细内容对话
框中,选择“证书服务 CA”和“证书服务 Web注
册支持”,“证书 Web注册支持”服务选项,允
许用户以浏览器模式访问 Windows Server 2003
证书服务器,申请证书。单击“确定”按钮,返
回图 14-4所示对话框界面,单击“下一步”按钮
继续。
? 步骤三,在出现如图 14-6所示,CA类型”对话框
中,选择“独立根”和“用自定义设置生成密匙
对和 CA证书”选项,这里我们构建企业自己独立
的 CA服务器。单击“下一步”按钮继续。
图 14-6 设置 CA类型对话框
? 步骤四,在出现的如图 14-7所示对话框中进行加
密服务提供程序的设置,选择散列算法(建议选
用 SHA-1)和密匙长度。根据安全应用的需要可
以选择 512,1024或 2048位密钥长度。单击“下
一步”按钮。
? 步骤五,在出现的如图 14-8所示对话框中输入 CA
的识别信息,本例中设置为 Henan University of
Technology,即 CA的公共名称( CN,Common
Name)为 Henan University of Technology。用
户可以任意设置为本企业的标识名称。单击“下
一步”继续。
图 14-7 选择加密服务提供程序对话框
图 14-8 设置 CA标识名称对话框
? 步骤六,在出现如图 14-9所示对话框中进
行证书数据库、证书日志存储路径的设置。
单击“下一步”弹出一询问停止 IIS服务的
对话框,选择“是”停止 IIS服务,接下来
系统开始组件安装。
图 14-9 证书数据库设置对话框
图 14-10 证书服务器证书入口共享文件夹
图 14-11 证书 Web服务入口
14.2.2 证书服务管理
? 证书服务安装好后,可以使用管理工具中
“证书颁发机构”工具对证书服务器进行
管理。通过“开始” /“程序” /“管理工
具” /“证书颁发机构”,打开“证书颁发机
构”管理控制台窗口,如图 14-12所示,显
示此计算机上已经安装好证书服务,而且
已经自动启动运行。
图 14-12 证书颁发机构管理控制台窗口
图 14-13 处理挂起的证书请求
图 14-14 处理颁发的证书
14.3 客户端申请和安装证书
? 14.3.1 安装 CA证书
? 14.3.2 申请并安装客户证书
? 14.3.3 证书应用
14.3.1 安装 CA证书
图 14-15 访问证书服务器
图 14-16 下载 CA证书页面
图 14-17 证书导入文件选择
图 14-18 选择证书导入区域
图 14-19 安全警告对话框
图 14-20 证书浏览对话框
14.3.2 申请并安装客户证书
图 14-21 申请用户证书页面
图 14-22 申请电子邮件保护证书
图 14-23 证书申请页面
图 14-24 查询证书申请
图 14-25 查询证书申请
14.3.3 证书应用
图 14-26 邮件帐户设置
图 14-27为邮件安全服务添加证书
图 14-28 为邮件安全服务添加证书
图 14-29 使用 Outlook Express签名加密邮件
本章小结
? 本章介绍了 Windows Server 2003证书服务
的概念、服务的安装与配置,给出了完整
的用户申请数字证书的过程,并以安全电
子邮件为例,介绍了使用 Outlook电子邮件
程序实现邮件的签名与加密的安全服务。
使用 Windows Server 2003证书服务可以架
构企业内部自己的 CA中心,依靠数字证书
应用拓展网络安全服务与应用。
本章学习目标
本章主要讲解证书服务器的配置与管理。
通过本章学习,读者应该掌握以下知识:
– 证书服务的基本概念;
– 安装与配置证书服务器;
– 客户端证书安装与使用;
14.1 证书服务的基本概念
? 公钥数字证书(又称为公钥证书、数字证
书,certificates)简称证书,是用于身份验
证的经过(权威机构)数字签名的声明
(以文件的形式存在)。证书将公钥与保
存对应私钥的实体绑定在一起,证书一般
由可信的权威第三方 CA中心(权威授权机
构)颁发,CA 对其颁发证书进行数字签名,
以保证所颁发证书的完整性和可鉴别性。
CA可以为用户、计算机或服务等各类实体
颁发证书。
版 本 号
序 列 号
颁 发 者 X, 5 0 0 唯 一 识 别 名
有 效 期
主 体 X, 5 0 0 唯 一 识 别 名
主 体 公 钥 信 息
颁 发 者 惟 一 标 识 符 ( 可 选 )
主 体 惟 一 标 识 符 ( 可 选 )
扩 展 项
C A 签 名
散
列
签 名 生 成
C A
私 钥
签 名 和 哈 希 算 法
图 14-1 证书数据结构
图 14-2 证书对话框
图 14-3 查看证书详细信息
14.2 安装与配置 Windows Server
2003证书服务
? 14.2.1 安装证书服务
? 14.2.2 证书服务管理
14.2.1 安装证书服务
? 安装证书服务器的步骤如下:
? 步骤一,选择“开始” /“设置” /“控制面
板” /“添加或删除程序”,选择“添加 /删除
Windows组件”,在出现的如图 14-4所示
对话框中,选择“证书服务”复选框,并
单击“详细信息”按钮,出现如图 14-5所
示“证书服务”子组件详细对话框。
图 14-4 安装 Windows 2003证书服务组件
图 14-5 证书服务子组件对话框
? 步骤二,在如图 14-5所示证书服务详细内容对话
框中,选择“证书服务 CA”和“证书服务 Web注
册支持”,“证书 Web注册支持”服务选项,允
许用户以浏览器模式访问 Windows Server 2003
证书服务器,申请证书。单击“确定”按钮,返
回图 14-4所示对话框界面,单击“下一步”按钮
继续。
? 步骤三,在出现如图 14-6所示,CA类型”对话框
中,选择“独立根”和“用自定义设置生成密匙
对和 CA证书”选项,这里我们构建企业自己独立
的 CA服务器。单击“下一步”按钮继续。
图 14-6 设置 CA类型对话框
? 步骤四,在出现的如图 14-7所示对话框中进行加
密服务提供程序的设置,选择散列算法(建议选
用 SHA-1)和密匙长度。根据安全应用的需要可
以选择 512,1024或 2048位密钥长度。单击“下
一步”按钮。
? 步骤五,在出现的如图 14-8所示对话框中输入 CA
的识别信息,本例中设置为 Henan University of
Technology,即 CA的公共名称( CN,Common
Name)为 Henan University of Technology。用
户可以任意设置为本企业的标识名称。单击“下
一步”继续。
图 14-7 选择加密服务提供程序对话框
图 14-8 设置 CA标识名称对话框
? 步骤六,在出现如图 14-9所示对话框中进
行证书数据库、证书日志存储路径的设置。
单击“下一步”弹出一询问停止 IIS服务的
对话框,选择“是”停止 IIS服务,接下来
系统开始组件安装。
图 14-9 证书数据库设置对话框
图 14-10 证书服务器证书入口共享文件夹
图 14-11 证书 Web服务入口
14.2.2 证书服务管理
? 证书服务安装好后,可以使用管理工具中
“证书颁发机构”工具对证书服务器进行
管理。通过“开始” /“程序” /“管理工
具” /“证书颁发机构”,打开“证书颁发机
构”管理控制台窗口,如图 14-12所示,显
示此计算机上已经安装好证书服务,而且
已经自动启动运行。
图 14-12 证书颁发机构管理控制台窗口
图 14-13 处理挂起的证书请求
图 14-14 处理颁发的证书
14.3 客户端申请和安装证书
? 14.3.1 安装 CA证书
? 14.3.2 申请并安装客户证书
? 14.3.3 证书应用
14.3.1 安装 CA证书
图 14-15 访问证书服务器
图 14-16 下载 CA证书页面
图 14-17 证书导入文件选择
图 14-18 选择证书导入区域
图 14-19 安全警告对话框
图 14-20 证书浏览对话框
14.3.2 申请并安装客户证书
图 14-21 申请用户证书页面
图 14-22 申请电子邮件保护证书
图 14-23 证书申请页面
图 14-24 查询证书申请
图 14-25 查询证书申请
14.3.3 证书应用
图 14-26 邮件帐户设置
图 14-27为邮件安全服务添加证书
图 14-28 为邮件安全服务添加证书
图 14-29 使用 Outlook Express签名加密邮件
本章小结
? 本章介绍了 Windows Server 2003证书服务
的概念、服务的安装与配置,给出了完整
的用户申请数字证书的过程,并以安全电
子邮件为例,介绍了使用 Outlook电子邮件
程序实现邮件的签名与加密的安全服务。
使用 Windows Server 2003证书服务可以架
构企业内部自己的 CA中心,依靠数字证书
应用拓展网络安全服务与应用。