1、使用公共密鑰基礎結構配置網絡安全目錄概述介紹公共密鑰基礎結構部署證書服務使用證書管理證書為證書配置活動目錄排除證書服務的故障附錄1概述組織機構的網絡可能由intranet> internet和extranet組成。在這些網絡屮都 有潛在的危險存在，一些被未經授權且心懷歹意的個別人訪問網絡，金圖篡改和 破壞網上數據信息。一個規劃周密的公共密鑰基礎結構(pki)可以幫助組織機 構保護數據信息，并在機構范圍內分布與管理驗證憑證。windows 2k/03操作系 統包括一個本機的pki,它的設計充分利用了 windows 2k/03安全體系結構優點。公鑰基礎結構(通常縮寫為pki)是指使用公鑰加

2、密檢驗和驗證電子事務中 每一方有效性的數字證書、證書頒發機構(ca)和其他注冊機構(ra)系統。介紹公共密鑰基礎結構(pki)在windows 2003屮，可以將公共密鑰的安全性用于很多領域的加密和身份 驗證，包括智能卡驗證、加密文件系統efs和internet協議安全性ipses。注:windows 2003 中的 pki 支持由 internet engineering task force (ietf)和 rsa data secutity inc 開發的標準。參考頁面：http:/www. microso techno l/windowsserver2003/zh-chs/lib ra

3、r y/serverhelp/8ce4fc9c-b84e-49a4-8447-ea00d6a75aec.mspx?mfr=true1、公共密鑰加密技術公共密鑰加密技術使用兩個密鑰：加密密鑰和解密密鑰。(公共密鑰加密技 術是一種使用兩個密鑰實現加密、解密的方法，這兩個密鑰不同，但在數學上彼 比相關聯)所謂密鑰(key)就是一個隨機字符串與某種算法的聯合應用。采用公共密 鑰加密技術時，每一個用戶有一對數學上相互關聯的密鑰，包括：一個私用密鑰(private key):用戶自已保存一個公共密鑰(public key ):可以完全公開在所有場合注：在啟用了 pki的功能程序中，已經提供了數據加密技術。

4、所以在這樣的 程序屮使用上述密鑰對用戶來說是透明的。加密的口標是以某種方式將數據信息變換成難以理解的代碼，只有預期的用 戶能夠閱讀它。在一種典型的方案中，發送者利用接收者的公共密鑰加密一個消息，只有該 接收者擁有用來解密該消息的私用密鑰才能解密消息。同吋，你的公鑰可供他人 所用，他人就可以用你的共鑰向你發送加密消息，這些消息只能利用你的私鑰才 能被解密。公共密鑰加密技術的基本屬性是：加密密鑰和解密密鑰采用是不同的方法， 而公鑰的功能是單向的。當你用一個公鑰加密文檔時，明文被轉換為密碼文本。 解密密鑰與加密密鑰冇關，但又不等于加密密鑰。利用解密密鑰將密碼文本轉換 回明文。如果竊密者截獲了在傳輸過

5、程屮加密的消息，該消息因為是密碼文本， 又沒冇私鑰，所以是不口j讀的2、公共密鑰身份驗證公共密鑰身份驗證也使用一對密鑰。公共密鑰身份驗證技術是利用公共密鑰密碼系統，來驗證和確認電子數據的 始發者的真實性，這些電子數據可能是電子郵件，電子商務或其它電子事務中。 與公共密鑰加密技術類似，公共密鑰身份驗證也利用一對密鑰。然而，它是利用 發送者的私用密鑰加密消息，利用發送者的公共密鑰解密消息，來驗證和確認該 消息的發送者的有效性。這一私用密鑰被叫做數字簽名。數字簽名將私鑰和公鑰 的角色交換了。注：加密技術可以提供安全性和機密性，而數字簽名可以確認信息的真實性 和來源的可靠性。數字簽名是一種驗證消息、文

6、件，或其它數字化編碼信息的始發者真實性的 手段。它將這些始發者的身份和這些信息約束在一起。數字簽名木身是一個二進 位序列，附著在數字文檔后面。數字簽名可以確保達到下述冃的：只有某個擁有私用密鑰的人才能創建數字簽名。任何一個能夠訪問對應的公共密鑰的人都可以確認該數字簽名。注：數字簽名采用的算法是所謂的散列算法3. 認證中心（ca）認證中心（ca）負責提供和指派加密密鑰、解密密鑰及身份驗證。ca通過發 放證書來分布密鑰。證書中包含公共密鑰和一組屬性。ca可以將證書發送給某 個計算機、用戶帳戶或者服務。證書：證書是被簽署的文檔。證書將公共密鑰與其它的信息相匹配。證書由發放證 書的ca簽署。ca的簽署

7、保證了公共密鑰的確屬于提供這一密鑰的團體外部的ca和內部的ca：ca可以是一個外部的發放機構（如大型的商用ca向數百萬用戶發放證 書）。ca也可以是內部的發放機構（如公司某個部門安裝服務器用于發放和確 認證書）。每一個ca決定它的證書內包含什么屬性，以及它在發放證書之間采 用什么機制確認這些屬性。注：每個機構的ca策略都不一樣，所以為了使用其證書，要求你信任發放 證書的機構的策略此外，每一個ca都有一個用來確認它自已身份的證書。這一證書或者是由 另一個可信任的ca發出的，或者是由其自身發出的。發放證書的過程 ca接受證書請求ca按照它的ca身份證明條件檢驗該請求者的信息 ca利用它的私用密鑰將

8、它的數字簽名應用于該證書 ca發放該證書，將它用做pki內的安全憑證（例：銀行系統實際上也是使用的pki系統進行安全驗證，如中請在線銀行 后，會在你的計算機中安裝由這個銀行發布的證書）收回證書ca也負責宣告證書的無效，并發表“證書撤消清單” crl （通常證書會有 有效期，有效期滿之后會自動撤消證書，有的情況需要在這個有效期滿之前要撤消證書，這種情況出現的理由如下所述)證書主題的私用密鑰受到損害，或者被懷疑受到損害發現證書是騙取的作為信任實體的證卩主題的狀態發生變化4. 證書層資結構證書層次結構是一種信任模型。在這種模型中，通過在ca之間建立父/子 關系，創建了認證路徑。構成證書層次結構的成分

9、包括：根ca,已被根ca驗 證的下層ca,和已經被其它下層ca驗證的下層ca。根ca根ca(rootca),有時也加做根本權威。它是一個機構的pki中最值得信 任的ca類型。通常情況下，根ca的物理安全性和證書發放策略比下層ca 更嚴格。如果根ca受到危害，或者向某個未經授權的實體發放了證書，那么在 你的公司中，所有基于證書的安全性都突然變得易受到攻擊。但是在大多數機構 小，只將根ca用于向其它ca (下層ca)發放證書。下層ca下層ca (subordinate ca)是已經被你的組織機構屮另一個ca驗證過的 cao通常下層ca針對特定的用途發放證書。下層ca也可以向其它的、更下 層的ca發

10、放證書。5、window 2000/2003 pki為了利用公共密鑰加密帶來的好處，組織機構需要有一個支持用于的基礎結 構。windows 2000/2003提供的pki由一組服務組成，這組服務則由一組相互連 接的組件提供。這些組件協同工作，用來給用戶和應用程序提供基于公共密鑰的 安全性服務。windows 2000/2003 pki的主要組件包括：證書服務：它是核心的操作系統服務。它使各項業務作為它們自己的ca, 并發放和管理數字證書。活動目錄：用于pki的發布服務。證書的發布使得證書和證書撤消列表 （crl）能夠在一個機構內公開可用。啟用了 pki功能的應用程序：這些應用程序利用pki進行

11、加密和身份驗證。安全性協議：_windows 2000/2003 pki組件還采用了工業安全性協議，其屮包括： 安全套接字層ssl （用于在internet通信中確保安全性和機密性） internet協議安全ipsec （用于在ip層支持安全的信息包交換） 傳輸層安全tls （提供網絡層之上兩端通信的安全性和機密性的協議）證書的用途：在windows 2000/2003中安全性服務和程序使用證書，提供身份驗證、數據 完整性和跨越非安全網絡（如internet）進行的安全通信。證書提供下述功能。服務器身份驗證：使用證書對照客戶機驗證服務器 客戶機身份驗證：使用證書對照服務器驗證客戶機 程序代碼簽

12、署：使用與密鑰對有關的證書簽署活動內容 安全電子郵件：使用與密鑰對有關的證書簽署電子郵件消息efs：使用與密鑰對有關的證書，加密和解密用于還原恢復加密數據的對稱 密鑰ipsec：使用與密鑰對冇關的證書，加密基于ip的網絡數據流部署證書服務在部署pki解決方案時，首先做出的選擇是采用哪種ca層次結構模型。 通過安裝證書服務，可以創建一個ca,用于發放運行pki所必需的證書。windows server 2003提供兩種級別的ca, 一個是“企業” ca,另一個是“獨 立”ca,選擇哪一種取決于安裝過程中使用的策略模塊。策略模塊決定了 ca收 到證書請求吋所進行的操作。在每一個類型屮，都可以有一根

13、ca和一個或多個 下層cao通常，如果組織為windows server 2003域的一部分，若對此組織內部的用 戶或計算機頒發證書（單個網絡內部為用戶或計算機發放證書），應安裝金業 cao企業ca要求所冇請求證書的用戶和計算機在活動目錄屮冇一個帳戶。如果對此組織外部的用戶或計算機頒發證書（單個網絡外部為為用戶或計算 機發放證書），應安裝獨立cao獨立存在的ca也可以不是某個域的成員，并 且不要求活動目錄。企業ca要求所有請求證書的客戶端在active directory中都冇一個條目， 而獨立ca不需要。此外，在頒發用于登錄windows server 2003域的證卩時， 企業ca比獨立c

14、a更簡便。在企業ca和 獨立ca級別內部，有兩種類型的ca, 一個是“根” ca, 另一個是“從屬” cao根ca是組織信任的根基。在必要的情況下，根ca證書可通過啟用從屈ca來實施策略和向終端用戶頒發證書。1、選擇ca模型yindovstindovs 組件可以添加或刪除windows的組件。彎饗蠶瞬譬蠶疇器嚴示只會安沁件的ca類型選擇您想設置的ca類型。組件:目應用程序服務器24.4 mb 上壽遠程安裝服務1.9 mb，逮遠程存儲3.5 mb| q 證書服務1.4 mbif'"終端服冬器0.0 mb zj描述:安裝證書頒發機構(ca)以便頒發證書用于公鑰安全程序。a筮亞很迖

15、瑟c企並應雇caqr)c獨立根ca(s)獨立從屬ca(t)-ca類型的描述企業中杲夷信任的cao應該在安裝其他ca之前安裝。廠用自定義設置生成密鑰對和ca證書)在實現證書服務吋，做出的第一個選擇就是決定采用哪種ca模型。在安裝 證書服務時，可以從四個不同的ca模型屮選擇一種，每一種都可以使ca冇不 同的特征和性能。企業根ca企業根ca在證書層次結構中是頂級cao企業根ca利用活動目錄確定請 求者的身份，并確定請求者是否具有為請求特定的證書類型所要求的安全性權 限。(通常企業根ca只為下層ca發放證書。)安裝企業根ca,必須具備以下條件：活動目錄威名系統（dns）對dns、活動0錄和ca服務器的

16、管理特權企業從屬（下層）ca企業從屬（下層）ca在機構內發放證書，但是企業企業從屬（下層）ca 不是最值得信任的cao可以利用某個金業從屬（下層）ca針對特定的用途發 放證書。企業從屬（下層）ca必須有一個父ca獨立根ca （獨產存在的根ca）獨產存在的根ca在證書層次結構中是頂級cao獨立存在的ca也可以不 是某個域的成員，并耳不要求活動目錄。通常，根ca只向下層ca發放證書。獨立從屬ca （獨產存在的下層ca）獨立存在的下層ca作為一個孤立的證書服務器運行，位于某個ca信任層 次結構內。安裝一個獨立存在的下層ca必須具備下述條件： 一個父ca在本地服務囂上的管理特權2、安裝證書服務重要說明

17、：ca部署之后哪些內容不能更改：計算機名不能再重新命名。在安裝時需提交的一些基本信息（比如ca名稱），在ca安裝完成之 后不能再更改。在安裝證書頒發機構之后，不能更改計算機的域設置，比如：加入一個域 或將服務器提升為域控制器。如果以企業管理員或委派用戶的身份安裝企業ca,則在卸載企業ca時 必須使用企業管理員或委派用戶的帳戶。安裝和配置：證書服務是windows的服務器產品自帶的一個服務，只是在默認情況下是 不安裝的，我們需要手動進行添加，我們依次點擊“開始一設置一控制面板一添 加/刪除程序”再點''添加/刪除windows組件，并找到''證書服務組件c)n終端

18、服苗器 *了應用程序服務器耆遠程安裝服務夠遠程存儲mb jj24.4 mb 311.9 mb3.5 mb證書服務mb鬱饗霧鑼隸蠶鄴艇灰色框表示只5組件的描述：安裝證書頒發機構(ca)以便頒發證書用于公鑰安全程序。選小“證書服務”復選框。然后會出現一個對話框，通知您在證書服務安裝 之后計算機不能被重新命名以及計算機不能加入域或從域屮刪除。單擊“是” o注意：如果要使用證書服務的web組件，應單擊“應用服務器”(但不要 選中它的復選框)以確保“iis”復選框已選中，然后單擊“詳細信息”，選中"internet 信息服務(iis)”，然后單擊“確定”。單擊“下一步”在“ca類型”頁面上，選

19、擇一個類型，然后單擊“下一步”。lindovs魁件自導ca類型選擇您想設置的ca類型。a淪亞握亙卿c 企亞ks caqr)c獨立根car獨立從屬ca(t)-ca類型的描述:一:企業中攝受信任的cao應該在安裝苴他ca之前安裝。廠用自定義設置生成密鑰對和ca證書)注鼠私鑰總亙存福碌地服夯器匸 除非使用加密硬件設備。在公鑰被 存放在證書上的情況下，私鑰被存儲在設備上。公鑰位于證帖中。在“ca信息標識”頁而捉供適于您的站點和組織的信息標識。1. 、在“此ca的公用名稱”中，輸入證書頒發機構的公用名稱。ca名稱（或公用名稱）很重要，因為要用它來標識在active directory中 創建的ca對象。

20、2. 、其中“冇效期”是ca有效的時間，即安全和管理之間的權衡。請記住, 在每次根證書到期的時候，管理員必須更新所有信任關系，并要采取一些管理性 步驟把ca轉移到新的證書上。在大多數企業壞境中，通常的時間期限是2年 或5年。證書數據庫(c):|c： wind0wssystem32certlogm瀏覽(q). |證書數據庫日志):|c：wind0wssystem32certlog|瀏覽|廠將配置信息存儲在共享文件夾中$) 共享文件夾(m):1瀏覽迅)|廠保留現有的證書數據庫g)tindovs證書數齬庫設置輸入證書數據庫、數據庫日志和配置信息的位置。<上1步(£)|下一步) >

21、;|取消 | 幫助 |在“證書數據庫設置”頁而，單擊“下一步”接受證書數據庫的默認存儲路 徑和證書數據庫f1志，然后確認“將配置信息存儲在共享文件夾內”沒有選中。注意：安裝程序可能會給岀“不能創建共享文件夾”的警告信息，這是預 料中的，因為所冇網絡接口都已禁用。安全的做法是忽略這一警告，繼續進行后 面的操作。此外一定要將證書數據庫和證書數據庫f1志存儲在本地ntfs驅動 器上。單擊“下一步”完成安裝。單擊“完成”關閉向導。創建下層cayindovs組件向導ca證書申詰通過將申諫直援送到父ca,或將申諳存入文件并將該文件送到ca,來為® ca審話證書g將更請直養發送紙網絡上的互動門計算

22、機名c)：2|瀏覽®. 1父 ca(£):zl將申諳保存到一個文件0)。申諳文件尸*2home瀏覽1<上一步)下一步) >取消幫助1注：在安裝下層ca時，需要從相應的父ca處獲取一個證書。如果某個父ca可以聯機在線使用，為了獲取證書，按如下步驟操作：1、在“ca證書請求”中，單擊“直接向已經在網絡上的ca發送請求”2、在“計算機名稱”中，鍵入或者瀏覽安裝冇父ca的計算機的名稱3、在“父ca”列表中，單擊所需父ca的名稱如果不能聯機使用父ca,為了獲取證書，按如下步驟操作：在“ca證書請求”中，單擊“將請求保存到文件”。在“請求文件”中， 鍵入將存儲該請求的文件的

23、文件名和所在路徑。然后從父ca獲取證書。來自父 ca的文件最低限度應該包含卜層ca的證書和完全的認證路徑。從文件安裝證書在安裝下層ca過程中，首先創建證書請求文件，將該文件提交到父ca。 父ca將針對這一文件提供的證書。在接收到證書之后，你必須安裝該證書。從某個文件安裝一個證書，按如下步驟操作：1、從“管理工具”菜單中打開“認證中心”2、在控制臺樹中，單擊該ca的名稱3、在“動作”菜單中，指同“所冇任務”，然后單擊“安裝ca證書”4、找到從父ca接收到的證書文件，單擊這一文件，然后單擊“打開”。備份和還原證書服務s!gue書頒發機構庫地)啟動服務 停止服務(t)提交一個新的申詰)還原 caqe

24、).備份 caqb).注：當不想備份服務器上的全部數據時，則利用“認證中心(ca)”插件來 備份數據執行備份和還原操作的目地是保護ca和它的操作數據，以防止由于硬件或 者存儲介質失敗而造成的意久丟失。為了備份ca建議利用windws backup備份 整個服務器。備份、還原一個ca,如上圖操作使用證書在windows server中，有兩種主要的方式用于明確的請求證卩：利用“證帖 請求”向導，或者利用證書服務web頁。只有在你從某個企業ca請求證書時, “證書請求”向導才是可用的。可以利用“證書服務” web頁，從獨立存在的 ca或者從企業ca請求證書。利用“證書請求”向導只有向某個企業ca請

25、求證書時，“證書請求”向導才是可用的。在請求證 書時，依賴于用戶訪問權力的具體情況，用戶可以從不同的證書類型小進行選擇。 在用戶提交了證書請求之后，該請求或者立即被拒絕，或者立即被批準，用戶即 被提示安裝該證書。利用證書模板說明：為了向計算機發放證書，可以利用域控制器、計算機和web服務器模 板進行。作為企業ca的策略設置的組成部分，企業ca可以發送特定類型的證書。 證e類型根據證卩模板(certificate templates)劃分。證書模板是預定義的配置。 為證書請求提供公共設置值。默認情況下，可用于企業ca的證書模板如表所述。證書模板說明管理員(admifiistmtor)允許將證書用

26、于程序代碼簽署、證書信任列表簽署、efs、安全電子郵件和客戶身份驗證 域控制器(domain controller)允許將證書用于客八機身份驗證和服務器身計算機(computer)基本 efs (basic efs )efs 恢復代理(efs recovery agent) 用戶(user)web 服務器(web server)份驗證允許將證書用于客戶機身份驗證和服務器身份驗證只允許將證書用于efs允許將證書用于文件恢復允許將證書用于efs、安全電子郵件和客戶機身份驗證允許將證書用于服務器身份驗證請求證書利用“證書請求”向導請求證書，按如下步驟操作：1. 打開一個包含certificates

27、（證書）插件的mmc控制臺2. 在“證書插件”對話框屮，選擇“我的用戶帳戶”、“服務帳戶”，或者“計 算機帳戶”然后單擊完成3. 關閉“添加獨立存在的插件”對話框，然后單擊“確定”按鈕4. 在控制臺樹屮，展開“證書的當前用戶”、“證書（本地計算機）”，或者 針對選擇的服務的節點5. 在控制臺樹中，單擊某個邏輯存儲名稱（如，personal個人的）右擊, 然后指向“所有任務”，再單擊“請求新證書”，用以啟動“證書請求” 向導，然后單擊“下一步”按鈕6. 在“證書模板”頁中，選擇一個證書模板7. 如果有必要的話，則單擊“高級選項”按鈕，用于指定下列信息：密碼服務提供者csp是否啟用強私用密鑰保護如

28、果啟用了強私用密鑰保護功能，則可確保每一次使用私用密鑰時，都 要提示輸入密碼。如果想確認該私用密鑰沒有在耒經你允許的情況下被 利用過，則這一選項就很有用。如果有多個ca可用，則指定發放該證書的ca的名稱8. 鍵入該證書的顯示用名稱9. 當完成“證書請求”向導后，單擊“安裝證書”注：利用公共密鑰策略中的自動證書設置，可以將請求，接收和安裝證書的 過程自動化，這樣將為與“組策略”有關的計算機啟用自動證書注冊功能。因此, 管理員將無需明確地注冊各個與計算機有關的證書了。利用證書服務web頁在基于windows的服務器上安裝的每一個ca,所有用戶都可以訪問的web 頁。可以利用這些web頁提交基本的和

29、高級的證書請求。這些web頁是用戶 能夠從獨立存在的ca請求證書的唯一方式。對于那些想從金業ca請求證書的 用戶來說，web頁是可選的。提交證書請求通過web頁提交證書請求，按如下步驟操作：1. 在ie瀏覽器中，連接到httpw/serveivceilstv （其中servername是要訪問 的證書頒發機構（ca）所在的windows 2000 web服務器的名稱。）。主頁microsoft 證書服務 一 jiff歡迎 使用此網站為您的we瀏覽器，電子郵件客戶端或其他程序申請一個證書。通過 使用證書，您可以向通過web通信的人確認您的身份，簽署并加密郵件，并且， 根據您申請的證書的類型，執行

30、其他安全任務。您也可以使用此網站下載證書頒發機構（ca）證書，證書鏈，或證書吊銷列表 （crl）,或查看掛起的申請的狀態。有關證書服務的詳細信息，請參閱證書服務文檔.選擇一個任務：申請一個證書查看掛起的證書申請的狀態下載一個 ca 證書，證書鏈或 crl2. 在“歡迎”頁中，在“選擇一個任務”下，單擊“請求/申請一個證書”, 然后單擊“下一步”按鈕。3. 在“選擇證書類型”頁中，在“用戶證書請求”下，選擇你想請求的證 書類型，然后單擊“下一步”按鈕。選擇一個證書類型：用戶證書或者，提交一個高級證書申請j4. 如果有必耍的話，則鍵入證書請求的標識信息，然后單擊“提交”按鈕。默認情況下在獨立存在的

31、ca上，只有等到該ca已經發出證書后，才有可 供安裝的證書。注：企業ca要求驗證請求者的身份，并根據“活動目錄”中的信息生成證 書。提交高級證書請求很多類型的證卩請求，例如，針對ipsec、客戶機身份驗證和服務器身份驗 證的證書請求，要求提交高級證書請求。通過基于web的注冊方式請求高級證 書，按如下步驟操作：1在ie瀏覽器中，連接到http:seivei7certsrv （其中servername是要訪問 的證書頒發機構（ca）所在的windows 2000 web服務器的名稱2. 在“歡迎”頁中，在“選擇一個任務”下，單擊“請求一個證書”，然后單擊“下一步”按鈕。3. 在“選擇請求類型”頁

32、中，單擊“高級請求”下，然后單擊“下一步” 按鈕。4. 在“高級請求”頁中，單擊“利用窗體向這一 ca提交證書請求”下， 然后單擊“下一步”按鈕。5. 如果有必要的話，則鍵入證書請求的標識信息，然后單擊“提交”按鈕。默認情況下在獨立存在的ca±,只有等到該caq經發出證書后，才有可 供安裝的證書。檢查待處理的請求檢查待處理的證書，按如卜步驟操作：1. 在ie瀏覽器屮，連接到http:/servei7certsrv (其小servername是要訪問 的證書頒發機構(ca)所在的windows 2000 web服務器的名稱。)。2. 在“歡迎”頁屮，在“選擇一個任務”下，單擊“檢查待處

33、理的證書”, 然后單擊“下一步”按鈕。3. 選擇你想檢查的證書請求，然后單擊“下一步”按鈕4. 檢查該待處理的證書請求。待處理的證書請求所處的狀態是下述其中一 種：扔然待處理ca管理員一直沒有發岀該證書。單擊“刪除”，則刪除該證書請求已經放發 單擊“安裝這一證帖”，則安裝該證書被拒絕與該ca的管理員聯系，以獲取進一步的信息微軟官方：使用windows server 2003 ijf書服務網頁 詳解aechnet/prodtechnol/windowsserver2003/zh-chs/library/serverhel p/2830ac 5e-c b 10-49c 0-bba7-7097a2b

34、a 19b& mspx?mfr=true查看證書（略）管理證書啟動或停止證書頒發機構服務使用windows界面1. 以“證書頒發機構管理員”的身份登錄系統。2. 打開證書頒發機構。3. 單擊控制臺樹屮的證書頒發機構（ca）的名稱。位置證書頒發機構（計算機）/ca名稱4. 在“操作”菜單上，指向“所有任務”，然后單擊“啟動服務”以啟動服 務，或者單擊“停止服務”以停止服務。注意豪打開“證書頒發機構”，請依次單擊“開始”和“控制面板”，雙擊“管 理工具”，然后雙擊“證書頒發機構”。通過打開“計算機管理”，雙擊“服務和應用程序”并單擊“服務”，也 可以啟動或停止證書服務。在詳細信息窗格中，單

35、擊“證書服務”。在“操 作”菜單上，單擊“停止”或“啟動”。使用命令行1. 打開“命令捉示符”。2. 鍵入：net start certsvc啟動服務，或鍵入net stop certsvc停止服務。發放證書當用戶向某個獨立存在的ca提交證書請求時，這一請求將被視為待處理 的，直到ca管理員批準或者拒絕該請求時為止。用戶必須訪問“證書服務” web頁，以檢查待處理的證書的狀態。注：下述過程只適用于獨立存在的ca,這一 ca已經被配置為將每一個到來 的證書請求加上待處理標識。復查待處理的證書請求，按如下步驟操作：1、打開“認證中心”2、在控制臺樹屮，單擊“待處理的請求”3、在詳細資料窗格屮，考查

36、證書請求。為此，注意請求者的名稱、電子郵 件地址，以及認為對于發放該證書來說至關重要的任何其它字段的值，然后執行（“拒絕證書請求”或“發出證書”）動作。刷新（£）宣告證書無效申詰id1申諳人姓名i二進制證書1證書模板1序列號fej2h0m 叭盤二二西近二域控制器（do；：6105c4l頒發的證書打開所有任務查看雇性/擴展©）. 導出二進制數據）.吊銷證書®注：為了宣告某個證書無效，你必須發表一個crl。單單宣告某個證書無效, 還不足以使這些信息變得公開可用。為了維護一個機構的pki的完整性，對于某些證書，ca管理員可能需要在 它們失效z前宣告它們無效。（如：某個證

37、書的私有密鑰遭到破壞）在這些情況 下，該證書就可能需要撤消。宣告一個已經發岀的證書無效，按如下步驟操作：使用windows界面1. 以“證書頒發機構管理員”或“證書管理員”的身份登錄系統。2. 打開“證書頒發機構”。3. 在控制臺樹中，單擊“頒發的證書”。位置證書頒發機構（計算機）/ca名稱/頒發的證書4. 在詳細信息窗格中，單擊想要吊銷的證書。5. 在“操作”菜單上，指向“所有任務”，然后單擊“吊銷證書”。6. 選擇吊銷證書的原因并單擊“是”。使用命令行1. 打開“命令提示符”。2. 鍵入：certutil -revoke serialnumberreasoncode值描述revoke指定吊

38、銷現有證書。serialnumber指定要吊銷的證書的序列號。reasoncode文件(£)操作(a)查看辺 幫助q1)q *面廚窗囤鳧虜畫證書頜發機構體地) 自釣my吊銷的證書口頜發的證書 口掛起的申潔 口失敗的申潔 口證書模板申諳idi吊銷日期i有效吊銷日期i吊銷原因囲32007-2-.2007-2-8 0:05密鑰泄漏圈42007-2-.2007-2-8 0:04密鑰泄漏指定吊銷該證書的原因代碼。關于值的信息，請參閱"注意s要查看該命令的完整語法，請在命令提示符下鍵入:certutil revoke ?吊銷證書的有效原因代碼有:原因原因代碼未指定0密鑰泄漏1ca泄漏2

39、附屬關系已改變3被取代4操作停止5證書待定6宣告證書無效后，這個證書就被移動到“吊銷的證書”文件夾中。發布證書撤消清單可以自動或根據要求發布crl (證書撤消列表)要點：如果客戶機有先發表的crl的高速緩存復制件,那么即使新的crl 已經發布，客戶機扔然可以繼續使用高速緩存的復制件,直到它的冇效性到期為 止。ca按照ca管理員指定的時間間隔，口動發布更新后的crlo可采用“crl 發表”向導，按照需要發布crlo如果彩用人工的方式，在預定的發表時間之 前發布了 crl,那么在到達這一預定的發表時間時，crl將自動重新發布。計劃證書吊銷列表的發布(設置自動發布crl)1. 以證書頒發機構管理員身

40、份登錄到系統。2. 打開“證書頒發機構”。f t | lej ie1u | h=j l±j1負證書儉發機構體地)申諳id1吊銷日期1有自韻my囲32007-2-. 2tj3.在控制臺樹屮，單擊“吊銷的證書s吊銷的證二2007-2-. 2c維li所有任務逐)查看辺刷新0)導出列表cl). |屬性®幫助電)d證書模板位置證書頒發機構(計算機)/ca名稱/吊銷的證書4. 在“操作”菜單上，單擊“屬性”。5. 在“crl發布間隔”屮，鍵入自動發布證書吊銷列表(crl)所使用的 時間間隔并單擊時間單位。采用人工方式發表crl,按如下步驟操作: 計劃證書吊銷列表的發布1. 以證書頒發機

41、構管理員身份登錄到系統。2. 打開“證書頒發機構”。3. 在控制臺樹中，單擊“吊銷的證書”。觀證書頤發機構文件0)操作(a)查看(v)幫助(x)3位置證書頒發機構(計算機)/ca名稱/吊銷的證書4. 在“操作”菜單上 右擊“吊銷的證書”，指向“所有任務”，然后單擊 “發布”。5. 單擊“是”，用以覆蓋寫入先前發表的crlo注意 crl 被發布在 systemrootsystem32certsrvcertenro小 中。如果活動目錄向舸囹血尾感申諳id囲3|吊銷日期|有效吊銷日期2007-2-8 0:042007-2-.2007-2-8 0:05所有任務qk) 查看&)刷新d) 導出列表

42、©j1性®幫助 是可用的，則crl還發表在活動目錄中。如果該計算機是域成員并具有對active directory目錄服務的寫權限，則 還向 active directory 發布 crl。 crl的發布期與crl的有效期不同。默認情況下，crl的有效期比 crl的發布期長10% （最多12小吋）以留出目錄復制的時間。crl文件名的格式，是ca的、'凈化名稱，外加括號括起來的ca的''密鑰id"（如果ca 證書己使用新的密鑰續訂），以及.crl擴展名。如果想了解根據ca續訂示例記錄的一些 crl示例文件名，請參閱下衣：方案crl文件的名稱從

43、耒續訂其ca證書、名為、'myca"的證書頒發機構myca .crl曾經使用相同密鑰續訂過一次、名為、'myca"的證書頒發機構myca .crl曾經使用和同密鑰續訂過一次、名為、'myca的證朽頒發機構的增量crlmyca+. crl曾經使用新密鑰續訂過一次、名為、'myca"的證書頒發機構myca(l).crl曾經使用新密鑰續訂過兩次、名為''myca的證書頒發機構myca (2).crl導入和導出證書“證書”管理單元提供了導出和導入證書的管理工具，如果需要，還包折他們的 證書路徑和私鑰。可以將證書導出到pkcs

44、 #12文件、pkcs #7文件和二進制 編碼的x.509證書文件，同時也可以從這些文件中導入證書。標準證書文件格式可以用以下格式導入和導出證書：個人信息交換（pkcs #12）個人信息交換格式（pfx,也稱為pkcs #12）允許證書及相關私鑰從一臺 計算機傳輸到另一臺計算機或可移動媒體。pkcs #12 （公鑰加密標準#12）是業界格式，適用于證書及相關私鑰的傳 輸、備份和還原。該操作可以在相同或不同的供應商的產品之間進行。要使用pkcs #12格式，加密服務捉供程序（csp）必須將證書和密鑰識別 為口j以導出。如果證書是出windows server 2003或windows 2000證

45、書頒發機 構頒發的，則在滿足下列條件之一時該證書的私鑰將僅為可導出的：該證書用于加密文件系統（efs）或efs恢復。通過在“高級證書申請”證書頒發機構的網頁上選中“標記密鑰為口j導出” 復選框,才能申請該證書。因為導出私鑰可能使私鑰暴露給無關一方，所以pkcs #12格式是 windows server 2003中支持的導出證書及相關私鑰的唯一格式。加密消息語法標準（pkcs #7）pkcs #7格式允許將證書及證書路徑中的所有證書從一臺計算機傳輸到另 一臺計算機或可移動媒體o pkcs #7文件通常使用.p7b擴展且與itu-tx.509 標準兼容。pkcs #7允許一些屬性（例如，反簽名）

46、與簽名相關，而一些屬性 （例如，簽名時間）可與消息內容一起驗證。有關pkcs #7的詳細信息，請參 閱rsa實驗室網站上的“pkcs #7”頁面。 der編碼的二進制x.509itu-t recommendation x.509 中定義的 asn.l der （區別編碼規則）與 itu-t recommendation x.209中定義的asn.l ber （基本編碼規則）相比，是 一個限制更嚴格的編碼標準，它構成了 der的基礎。ber和der都提供了 獨立于平臺的編碼對象（如證書和消息）的方法，以便于其在設備和應用程序z 間的傳輸。在證書編碼期間，多數應用程序都使用der,因為證書的一部分

47、 （certificationrequest 的 certificationrequestinfo）必須使用 der 編碼，才能 對其進行簽名。不在運行windows server 2003計算機上的證書頒發機構也可能使用該格 式，因此它支持互操作性。der證書文件使用.cer擴展名。詳細信息，請參閱國際屯信聯盟（itu）網站上的“itut recommendation x.509,信息技術-開放系統互連目錄：身份驗證框架”。 base64 編碼的 x.509這種編碼方式主要是為使用“安全/多用途internet郵件擴展（s/mime）” 而開發的（s/mime是一種通過internet傳輸二

48、進制附件的常用標準方法）。 base64將文件編碼為ascii文本格式，這樣可以減少傳送的文件在通過 internet網關時被損壞的機率，同時，s/mime w以為電子消息發送應用程序提 供一些加密安全服務，包描通過數字簽名來證明原件（非拒絕），通過加密、身 份驗證和消息完整性來保證隱私和數據安全。mime （多用途internet郵件擴展）標準（rfc 1341及其后繼者）定義了 為傳送電了郵件而進行任意二進制信息編碼的一種機制。由于所有符合mime標準的客戶端都可以對base64文件進行解碼，不在 運行windows server 2003計算機上的證書頒發機構也可以使用該格式，所以它 支

49、持互操作性。base64證書文件使用.cer擴展名。導入/導出證書：需先創建包含“證書”的mmc控制臺，步驟如下：依次單擊“開始”、“運行”，鍵入mmc,然后單擊“確定”。單擊“文件” 菜單上的“添加刪除單元”，然后單擊“添加”。在添加獨立管理單元中，選擇“證導入證書：1. 打開“證書當前用戶”。2. 在控制臺樹中，單擊要導入證書的邏輯存儲區。3. 在“操作”菜單上，指向“所有任務”，然后單擊“導入”，以啟動“證 書導入向導”。4. 鍵入包含要導入證書的文件名。（也可以單擊“瀏覽”查找該文件。）5. 如果是pkcs#12文件,則執行以下操作：鍵入用于加密私鑰的密碼。（可選）如果想使用嚴密私鑰保

50、護，請選屮“啟用嚴密私鑰保護”復選框。（可選）如果想在以后備份或傳輸密鑰，請選屮“標記為可導出的”復選 框。6. 執行以下任i操作：如果應當根據證卩類型將證帖自動放置在證書存儲區屮，請單擊“根據證 書類型，自動選擇證帖存儲”。如果要指定存儲證書的位置，請選擇“將所有的證書放入下列存儲區”， 單擊“瀏覽”，然后選擇要使用的證帖存儲區。導出證書1. 打開“證書當前用戶”。2. 執行以下任一操作：如果處于“邏輯證帖存儲”查看模式，請在控制臺樹中單擊“證書”。 位置證書-當前用戶/邏輯存儲/證書如果處于“證書冃的”查看模式，請在控制臺樹中，單擊目的。 位置證書當前用戶/目的3. 在詳細信息窗格中，單擊

51、要導出的證書。4. 在“操作”菜單上，指向“所有任務”，然后單擊“導出”。5. 在“證書導出向導”中，選擇“不，不要導出私鑰”。（該選項僅在私鑰 標記為可導出且您可以訪問它吋才顯示。）6. “證書導出向導”屮提供以下信息：單擊要用于存儲所導出的證書的文件格式：der編碼文件、base64編碼 文件或pkcs #7文件。如果將證書導出到pkcs #7文件屮，則述可選擇將所冇證書包括在證書 路徑中。導出帶私鑰的證書1.打開“證書-當前用戶”。2. 執行下列操作之一：如果處于“邏輯證書存儲”查看模式，請在控制臺樹中，單擊“證書”。 位置證書-當前用戶/邏輯存儲區/證書如果處于“證書目的”查看模式，請

52、在控制臺樹中，單擊“目的”。位置證書-當前用戶/目的3. 在詳細信息窗格中，單擊要導出的證書。4. 在“操作”菜單上，指向“所有任務”，然后單擊“導岀”。5. 在“證書導出向導”屮，單擊“是，導出私鑰”。（只有將私鑰標記為可 導出且可以訪問它時才會顯示該選項o）6. 在“導出文件格式”下，執行以下一種或全部操作，然后單擊“下一步”。要將所有證書包括在證書路徑內，請選屮“如果可能，包含證書路徑屮的 所冇證書”復選框。要啟用嚴密保護，請選中“啟用嚴密保護（耍求ie5.0或nt4.0sp4或 更高版本）”復選框。要在導出成功之后刪除私鑰，請選屮“如果導出成功，刪除私鑰”復選框。7. 在“密碼”中，鍵

53、入相關的密碼，以便對要導出的私鑰進行加密。在“確 認密碼”中，再次鍵入相同的密碼，然后單擊“下一步”。&在“文件名”中，鍵入存儲已導出的證書和私鑰的pkcs #12文件的文 件名和路徑，單擊“下一步”，然后單擊“完成”。針對證書配置活動目錄某些機構可能需要支持某些外部用戶的身份驗證，而這些用戶在活動目錄中 沒冇帳戶。為了驗證外部用戶，需要下述條件：外部用戶必須有證卩外部用戶必須有用戶帳戶外部用戶的證書必須由這樣的ca發放，該ca是某個站點、域或者機構信 任ca,或者出現在它們的證書信任列表中。正是這一站點、域或者機構中創建 了該用戶帳戶。必須在該外部用戶證書和活動目錄帳戶z間創建一個名

54、稱映射。為了驗證的 需要，創建這一活動目錄帳戶。將證書映射到用戶帳戶1. 打開"active directory用戶和計算機"。2. 在“查看”菜單上，選擇“高級功能”。3. 在控制臺樹中，單擊“users”。位置° active directory用戶和計算機域節點users或單擊包含該用戶帳戶的文件夾。4. 在詳細信息窗格中，單擊證書要映射到的用戶帳八。5. 在“操作”菜單上，單擊“名稱映射”。6. 在“安全身份映射”對話框的“x. 509證書”選項卡上，單擊“添加”。7. 鍵入包含要映射到此用戶帳戶的證書的.cer文件名稱和路徑，然后單擊“打開”。&

55、執行以下任一操作：目的將證書映射到一個帳八（一對一映射）執行確認“頒發者作為備用的安全標識”和“主題作為備用的安全標識”復選框都己選中。不管證書的頒發者是誰，都將具有同一 主題的所有證書映射到此用八帳八（多 對一映射）清除“頒發者作為備用的安全標識”復選 框，并確認“主題作為備用的安全標識”復 選框己被選中。不管證書的主題是什么，都將具有同一淸除“主題作為備用的安全標識”復選框,頒發者的所有證書映射到此用戶帳戶并確認“頒發者作為備用的安全標識”復（多對一映射）選框已被選中。將證書映射到用戶帳戶將己頒發給用戶的證書映射到用戶帳戶（或創建與帳戶的關聯）是完全可能 的。服務器應用程序然后可使用公鑰加密技術來驗證使用該證書的用戶身份。如 果用戶的身份通過驗證，則可登錄到該用