《《证书的管理与应用》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《证书的管理与应用》PPT课件.ppt(30页珍藏版)》请在三一办公上搜索。
1、第10章 证书的管理与应用,主讲人:刘晓辉,本章要点:证书服务简介 企业证书服务器的安装 企业证书服务的使用 企业从属证书服务器的安装与使用 独立根证书服务器的安装与使用 证书服务器的备份与还原 证书服务的管理 数字证书的具体应用,10.1 证书服务简介 Windows Server 2003的网络中,可以使用公共密钥基础结构(PKI-Public Key Infrastructure)用于企业内部或外部网络中用户的身份验证、加密传输的信息、对发送电子邮件或者文档进行数字签名等一系列的应用。公共密钥技术用到了两个密钥,一个称为“公钥”,另一个称为“私钥”,对于“公钥”,可以对潜在的响应者进行公
2、开;对于“私钥”,必须要秘密保存。通常是通过“证书”来发布密钥。,图10-1 添加证书服务,10.2 企业证书服务器的安装,10.3.1 使用WEB界面申请与安装证书 企业网络中的每一个用户,都可以使用自己的用户名和密码申请与其用户名(及其信息如E-Mail地址)相对应的个人数字证书,用户可以用申请的证书发送签名的电子邮件用来证明自己的身份;其他人收到此用户签名的电子邮件后,可以使用此用户“公钥”发送给此用户加密的电子邮件,只有此用户使用他自己的证书才能察看接收到的电子邮件。,10.3 企业证书服务的使用,图10-7 单击【申请一个证书】链接,10.3.2 导出与导入证书,图10-18单击【导
3、出】按钮,10.3.3 使用证书向导申请证书,图10-32 申请新证书,10.4 企业从属证书服务器的安装与使用,当企业中的计算机比较多时,或者因为其他情况,需要安装企业从属证书服务器。安装的从属证书服务器需要从企业根证书服务器申请一个证书。,图10-38 选择“企业从属CA”,10.5 独立根证书服务器的安装与使用 如果网络中没有域控制器,或者,要安装为企业外部用户提供服务的证书服务器,必须安装独立的根证书服务器或者独立的子CA服务器。,图10-51 安装独立根CA服务器,10.5.1 独立根证书服务器的安装,10.5.2 使用WEB向导申请证书 从独立的CA服务器申请数字证书,只能使用WE
4、B方式进行申请。从独立的CA服务器申请数字证书时,不需要输入用户名、密码,而从企业CA服务器申请数字证书,必须输入企业中有效的用户名和密码。从企业CA申请证书时,证书申请立刻可以被颁发,而从独立CA申请证书时,还必须经过独立CA服务器的管理员批准。,图10-52 单击【申请一个证书】链接,10.5.3 颁发证书 独立CA服务器管理员,应该在每天运行证书颁发机构,看是否有申请证书的请求,并根据实际情况选择“颁发”或者“拒绝”。,图10-56 颁发证书,图10-59 单击【安装此证书】链接,10.5.4 获取证书,图10-61 安装独立从属证书服务器,10.5.5 独立从属证书服务器的安装,10.
5、6 证书服务器的备份与还原 经过一段时间,都要对证书服务器进行备份,这样,当证书服务器出现不可恢复的故障需要重新安装时,可以使用备份数据恢复证书。否则,假如证书服务器没有备份,一旦服务器出现故障,即使是重新安装证书服务器并且在安装的过程中使用原来的名称安装,安装后的证书服务器与原来的也不一样,这样,原来颁发的证书、以及如果用户丢失了证书,将不能撤消与创建恢复代理等。,图10-62 备份CA,10.6.1 证书的备份,图10-67 还原证书,10.6.2 证书的还原,10.7 证书服务的管理 10.7.1 发放证书 10.7.2 宣告证书无效 为了维护证书的完整性,对于某些证书,CA管理员(独立
6、CA或者企业CA)在必要时可以在某个证书失效之前宣告此证书无效。,图10-74 吊销一个证书,图10-76 解除吊销,10.7.3 解除吊销的证书,图10-77 发布证书撤销清单,10.7.4 发布证书撤销清单,10.8.1 使用证书发送签名的E-Mail 用户可以使用自己的证书的“私钥”对发送的电子邮件进行“签名”以证明电子邮件的发送方。也可以使用证书的“私钥”对文档、驱动程序等进行签名。,10.8 数字证书的具体应用,图10-77 与用户相对应的电子邮件地址,10.8.2 使用证书发送加密的E-Mail 如果您收取过别人签名的电子邮件,或者您有接收者的“公钥”,您可以对发送的电子邮件采用“加密”发送。只有拥有相应“私钥”的接收者才能察看被“加密”的电子邮件。,图10-88 对邮件加密,图10-95 单击【数字签名】按钮,10.8.3 使用证书对WORD文档签名,