Windows Server 2003组网技术与实训 第2版 第二届山东省高等学校优秀教材一等奖 教学课件 作者 杨云 平寒 薛立强 第10章 电子证书服务.pptVIP

10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 在IIS 6.0中获得、配置和更新服务器证书都可由Web服务器证书向导完成 配置Web服务器证书的通用流程为：生成服务器证书请求文件→向CA提交证书申请文件→CA审查并颁发Web服务器→获取Web服务器证书→安装Web服务器证书 例中直接向企业CA注册证书 10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 启动Web服务器证书向导 10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 运行Web服务器证书向导 10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 设置SSL端口 选择证书颁发机构 10.5.3 在IIS 6.0中建立SSL安全网站 注册并安装服务器证书 成功安装Web服务器证书 10.5.3 在IIS 6.0中建立SSL安全网站 在Web网站上启用SSL 设置SSL端口 设置SSL安全通信选项 10.5.3 在IIS 6.0中建立SSL安全网站 在客户端安装CA证书 服务器和浏览器两端要信任同一CA 在客户端根证书存储区安装该证书颁发机构的CA证书链 10.5.3 在IIS 6.0中建立SSL安全网站 在客户端安装CA证书 10.5.3 在IIS 6.0中建立SSL安全网站 测试基于SSL连接的Web访问 本章小结（1） 认证中心CA颁发证书涉及如下4个步骤: CA收到证书请求信息（包括个人资料和公钥等）。 CA对请求用户所提供的信息进行核实。 CA用自己的私钥将它的数字签名应用于该证书。 CA将证书发给用户，将它用作PKL内的安全性凭证。 本章小结（2） 本章还讲述了以下重要内容: 证书服务 CA的层次结构 企业CA的安装与证书申请 数字证书的管理公共密钥基础结构 部署认证服务 加密文件系统恢复代理 基于SSL的网络安全应用 实训1 认证服务 实训2 Web站点的SSL安全连接 实训3 EFS加密文件恢复 实训4 签名电子邮件 (实训内容详见人民邮电出版社《Windwos Server 2003组网技术与实训》（第2版）) ? * * * 证书层次结构 Root CA Subordinate CA Subordinate CA Subordinate CA Trust Trust Trust CA的层次结构 Windows Server 2003 PKI采用了分层CA模型。 CA的层次结构 证书层次结构是一种信任模式。 在这种模式中，通过在CA之间建立父/子关系，创建了认证路径。 1、根CA（根本权威）是一个机构的PKL中最可信任的CA类型。 通常情况下，根CA的物理安全性和证书发放策略比下层CA更严格。 在大多数机构中，只将根CA用于向其他CA，即下层CA发放证书。 2、下层CA已经被机构中的另一个CA鉴定过的CA。 CA的层次结构 通常，下层CA针对特定的用途发放证书（例如安全电子邮件、基于web的身份验证，或者智能卡身份验证）。此外，下层CA也可以向其他的、更下层的CA发放证书。 提示:父CA和子CA彼此没有从属关系，不需要使所有的CA共享一个公共的顶级父CA(或根CA)。 10.3 企业CA的安装与证书申请 若要使用证书服务，必须在服务器上安装并部署企业CA，然后由用户向该企业CA申请证书，使用公开密钥和私有密钥来对要传送的信息进行加密和身份验证。 CA模式 Windows 2003支持两类认证中心(CA)：企业CA和独立存在的CA。每类CA中都包含根CA和下层CA。 安装认证服务时可选择4种CA模式： 1. 企业根CA 2. 企业从属CA 3. 独立根CA 4. 独立从属CA CA模式 企业根CA 是顶级根，企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为特定的的证书类型所要求的安全性权限。 独立存在的根CA 是顶级根，它可以是，也可不是某个域的成员并不要求有活动目录。还可以断开与网络的连接 企业下层CA 在机构内发放证书，但企业下层CA不是最可信的CA。你可以利用某个企业下层CA针对特定用途发放证书。它必须有一个父CA 独立存在的下层CA 它作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。你为公司以外的实体发放证书，你应该建立独立存在的下层CA 安装证书服务 To install Certificate Services 选择证书类型 高级设置选项 输入识别信息 指定本地数据库，日志文件和共享文件夹 架设企业根CA（1） （1）准备工作。在企业网络中创建活动目录，将要架设为企业根CA的服务器加入至活