实验 Windows R中的证书服务.docVIP

实验7 Windows Server 2008 R2中的证书服务 1 实验目的 通过实验掌握Windows Server 2008 R2中证书服务的安装与使用。 2 实验环境 VMware中两台Windows Server 2008 R2计算机：Win2008R2与CWin2008R2，一台XP/Win7客户机，它们之间均可以互相访问。 服务器Win2008R2的IP地址假定为，CWin2008R2的IP地址为。 3 实验原理 3.1 Windows Server 2008 R2中证书服务的特点 证书与生活中的“证书”功能相似，都是由信任的证书颁发机构或第三方机构颁发的，并且不同的证书只能应用于特定的领域。数字证书是一段由证书颁发机构（CA）数字签名、包含用户身份信息和用户公钥信息以及身份验证机构数字签名的数据，用于代表用户的身份。其中，身份验证机构的数字签名可以确定证书信息的真实性，而用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。 Windows Server 2008 R2中集成的PKI（Public Key Infrastructure，公共密钥基础结构）系统提供了证书服务功能，可以让用户通过Internet/Extranet/Intranet安全地交互敏感信息，以确保电子邮件、电子商务交易、文件发送等各类数据的安全性。 Windows Server 2008 R2通过创建一个证书机构CA（Certification Authority认证中心）来管理其公钥基础设施PKI，以提供证书服务。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系，以提供对用户身份的证明。Windows Server 2008 R2证书服务创建的CA可以接收证书请求、验证请求信息和请求者身份、颁发和撤销证书，以及发布证书废除列表CRL（Certificate Revocation List）。证书服务是通过内置的证书管理单元来实现的。 Windows Server 2008 R2的证书服务具有如下特点： 1、使用内置的管理单元。根据CA的策略，用户可以通过Web或内置的证书管理单元来申请和管理证书。 2、使用模板。使用证书模板，可以在Windows Server 2008 R2中根据证书用途预先指定证书格式和内容。当从Windows Server 2008 R2证书颁发机构CA申请证书时，证书申请将视其权限而定，可以从多种基于证书模板（如“用户”或“代码签名”）的证书类型中进行选择。 3、活动目录发布。Windows Server 2008 R2在其活动目录中发布信任的根证书、已发布的证书和CRLs等；支持智能卡，支持使用智能卡提供的安全性来登录基于Windows的域。 Windows Server 2008 R2支持两种证书服务，分别用于企业内部的企业证书服务器（企业CA）和用于企业或Internet网络中的独立证书服务器（独立CA）。企业CA需要Windows Server 2008 R2活动目录的支持，而独立CA可以安装在任何独立的安装了Windows Server 2008 R2的计算机中。 3.2 Windows Server 2008 R2中部署证书服务 通过安装证书服务，可以创建一个CA，用于发行运行PKI所必需的证书。证书服务包括两种类型CA：企业CA和独立存在的CA。在每一个类型中，都可以有一个根CA和一个或者多个下层CA。 1、企业根CA（Enterprise root CA） 企业根CA在证书层次结构中是顶级CA。企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为请求特定的证书类型所要求的安全性权限。通常，企业根CA只为下层CA发放证书。 要安装企业根CA，必须具备下列条件： （1）活动目录 （2）DNS服务 （3）安装者必须是Enterprise Admins组的成员。 2、企业子级CA（Enterprise subordinate CA） 企业子级CA在机构内发放证书，但是企业子级CA不是最可信任的CA。常用于针对特定用途（如安全电子邮件、基于Web的身份验证，或者智能卡身份验证）发放证书。 3、独立根CA（Standalone root CA） 独立根CA在证书层次结构中是顶级CA。独立存在的根CA可以不是某个域的成员，并且不要求活动目录。独立根CA可以断开与网络的连接，并被放置在某个安全区域中。 如果你将为你的公司之外的实体发放证书，你就应该安装一个独立根CA。 4、子级CA（Standalone subordinate CA） 子级CA作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。 4 实验任务 某公司的业务跨越Internet。为了确保数据通