《[信息与通信]2823A3.ppt》由会员分享,可在线阅读,更多相关《[信息与通信]2823A3.ppt(38页珍藏版)》请在三一办公上搜索。
1、第 3 章配置、部署和管理证书,网络安全的实现和管理-以Windows Server 2003和ISA Server 2004为例,第1章规划和配置授权和身份验证策略第2章安装、配置和管理证书颁发机构第3章配置、部署和管理证书第4章规划、实现和故障诊断智能卡证书第5章加密文件系统的规划、实现和故障排除第6章规划、配置和部署安全的成员服务器基线第7章为服务器角色规划、配置和部署安全基线第8章规划、配置、实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章 数据传输安全性的规划、部署和故障排除第11章 部署配置和管理SSL第12章 规划和实施无线网络的安全措施第13章 保护远程访问安
2、全,网络安全的实现和管理-以Windows Server 2003和ISA Server 2004为例,第14章 MICROSOFT ISA SERVER 概述第15章 安装和维护 ISA Server第16章 允许对 Internet 资源的访问第17章 配置 ISA Server 作为防火墙第18章 配置对内部资源的访问第19章 集成 ISA Server 2004和Microsoft Exchange Server第20章 高级应用程序和Web筛选第21章 为远程客户端和网络配置虚拟专用网络访问第22章 实现缓存第23章 监视ISA Server2004,第 3 章:配置、部署和管理证书
3、,配置证书模板 部署与吊销用户和计算机证书 管理证书,配置证书模板,数字证书数字证书的生命周期证书模板证书模板的类型证书模板分类证书模板权限更新证书模板的方法修改和取代现有证书模板的指导方针修改和取代证书模板的方法,3.1 配置证书模板,数字证书,数字签名,用来验证用户、计算机或程序 包含颁发者和主体的信息通过 CA 签名,数字签名内容,来自证书所有者的密钥对的公用加密密钥有关申请该证书的所有者的信息有关颁发该证书的 CA 的信息,3.1.1 数字证书,数字证书的生命周期,3.1.2 数字证书的生命周期,证书模板,证书模板定义:证书模板颁发,根据证书预定用途设置的证书格式和内容创建和提交有效的
4、证书申请的过程允许读取、注册或自动注册证书的安全主体通过使用 DACL 读取、注册、自动注册或修改证书模板的权限,只有企业 CA 才能基于证书模板颁发证书,3.1.3 证书模板,证书模板的类型,3.1.4 证书模板的类型,证书模板分类,3.1.5 证书模板分类,证书模板权限,3.1.6 证书模板权限,更新证书模板的方法,版本 2.1,版本 2.2,3.1.7 更新证书模板的方法,符合下列情况时,应考虑修改现有证书模板:符合下列情况时,应考虑取代现有证书模板,修改只影响一个证书模板现有证书模板是版本 2 证书模板对证书模板的改变相对较小,将多个现有证书模板合并为一个证书模板修改版本 1 证书模板
5、修改证书有效期限修改证书的密钥大小添加和删除应用程序或颁发策略,3.1.8 修改和取代现有证书模板的指导方针,修改和取代现有证书模板的指导方针,修改和取代证书模板的方法,演示:演示如何修改和取代证书模板的方法,3.1.9 修改和取代证书模板的方法,实验3-1:取代证书模板,目的:掌握如何取消证书模板,3.1.10 实验3-1:取代证书模板,第 3 章:配置、部署和管理证书,配置证书模板 部署与吊销用户和计算机证书 管理证书,部署与吊销用户和计算机证书,证书注册方法使用基于 Web 的界面注册证书的方法使用证书申请向导申请证书的方法使用 Certreq.exe 执行的任务启用自动证书注册的方法吊
6、销证书的方法,3.2 部署与吊销用户和计算机证书,多媒体演示:证书注册,证书注册方法,3.2.1 证书注册方法,演示:演示如何使用基于 Web的界面手动注册证书,3.2.2 使用基于 Web 的界面注册证书的方法,使用基于 Web 的界面注册证书的方法,演示:演示如何使用证书申请向导申请证书,3.2.3 使用证书申请向导申请证书的方法,使用证书申请向导申请证书的方法,使用 Certreq.exe 执行的任务,Certreq.exe:脚本支持证书申请过程Certreq.exe 命令参数:,3.2.4 使用 Certreq.exe 执行的任务,启用自动证书注册的方法,3.2.5 启用自动证书注册的
7、方法,吊销证书的方法,演示:演示如何吊销证书,3.2.6 吊销证书的方法,实验3-2:吊销证书,目的:吊销一个证书并发布证书吊销列表,3.2.7 实验3-2:吊销证书,第 3 章:配置、部署和管理证书,配置证书模板 部署与吊销用户和计算机证书 管理证书,管理证书,密钥恢复概述导出密钥和证书使用的文件格式导出密钥的工具导出密钥的方法密钥存档和恢复的要求配置 CA 进行密钥存档的方法密钥恢复过程减轻密钥恢复相关安全风险的指导方针,3.3 管理证书,密钥恢复概述,使用密钥恢复场景:,用户配置文件被删除重新安装操作系统磁盘损坏计算机失窃,恢复数据方法:,使用数据恢复代理(DRA,Data Recove
8、ry Agent)使用密钥恢复代理(KRA),3.3.1 密钥恢复概述,导出密钥和证书使用的文件格式,3.3.2 导出密钥和证书使用的文件格式,导出密钥的工具,导出证书工具:导出证书应该使用的工具由产生证书所基于的证书模板决定,MMC 管理单元证书颁发机构 MMC 管理单元Certutil.exeOutlookInternet Explorer,3.3.3导出密钥的工具,导出密钥的方法,演示:演示导出密钥的方法,3.3.4 导出密钥的方法,实验3-3:导出私钥,3.3.5 实验3-3:导出私钥,密钥存档和恢复的要求,需求包含:,版本 2 证书模板运行在 Windows Server 2003
9、的 CA 支持 CMC 协议具有 Windows Server 2003 架构扩展的 Active Directory,3.3.6 密钥存档和恢复的要求,演示:演示如何配置 CA 和进行密钥存档的方法,3.3.7 配置 CA 进行密钥存档的方法,配置 CA 进行密钥存档的方法,密钥恢复过程,3.3.8 密钥恢复过程,规划密钥恢复:,实行证书管理者与 KRA 角色的分离如果私钥可能已泄密,在恢复私钥后,立即吊销与该私钥关联的证书从相关用户配置文件删除 KRA 证书和私钥为向原所有者传输私钥设计安全的方法,3.3.9 减轻密钥恢复相关安全风险的指导方针,减轻密钥恢复相关安全风险的指导方针,实验 3-3:部署和管理证书,练习 1配置多目的证书模板练习 2 配置证书自动注册练习 3 配置单用途证书的自动注册练习 4 更新证书模板练习 5吊销证书,3.4 实验 3-3:部署和管理证书,回顾,学习完本章后,将能够:理解证书模板概念掌握配置证书模板的方法理解部署和废除证书模板能够管理和配置证书模板,
