windows server 证书服务CA的部署.docx
- 文档编号:18240286
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:21
- 大小:534.68KB
windows server 证书服务CA的部署.docx
《windows server 证书服务CA的部署.docx》由会员分享,可在线阅读,更多相关《windows server 证书服务CA的部署.docx(21页珍藏版)》请在冰点文库上搜索。
windowsserver证书服务CA的部署
独立CA可向Windows2003网络外部的用户颁发证书,并且不需要活动目录的支持。
选择CA模式
在建立认证服务之前,选择一种适应需要的认证模式是非常关键的,安装认证服务时可选择4种CA模式,每种模式都有各自的性能和特性。
企业根CA
企业根CA是认证体系中最高级别的证书颁发机构。
它通过活动目录来识别申请者,并确定该申请者是否对特定证书有访问权限,。
如果只对组织中的用户和计算机颁发证书,则需建立一个企业的根CA。
一般来讲,企业的根CA只对其下级的CA颁发证书,而下级CA再颁发证书给组织中的用户和计算机。
安装企业根CA需要如下支持:
1.活动目录证书服务的企业策略信息存放在活动目录中。
2.DNS名称解析服务在Windows2003中活动目录与DNS紧密集成。
3.对DNS活动目录和CA服务器的管理权限。
企业下级CA
企业下级CA是组织直接向用户和计算机颁发证书的CA。
企业下级CA在组织中不是最受信任的CA,它还要有上一级CA来确定自己的身份。
独立根CA
独立根CA是认证体系中最高级别的证书颁发机构,独立CA不需活动目录,因此即使是域中的成员也可不加入到域中。
独立根CA可从网络中断开放置到安全的地方。
独立根CA可用于向组织外部的实体颁发证书,同企业根CA一样,独立根CA通常只向其下一级的独立CA颁发证书。
独立CA
独立CA将直接组织外部的实体颁发证书。
建立独立CA需要以下支持:
1.上一级CA:
比如组织外部的第三方商业性的认证机构。
2.因为独立CA不需要加入到域中,因此要有对本机操作的管理员权限。
安装证书服务
认证服务不是Windows2003的默认服务,需要在Windows2003安装完毕后手工添加。
要在一台服务器上安装企业根CA,需要以下操作步骤。
1.从“控制面板”,双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证书服务”,单击“下一步”。
如图5-3所示。
图6-3添加证书服务
2.选中“企业根CA”,并选中“高级选项”,单击“下一步”。
如图6-4所示。
图6-4选中企业根CA
3.设定高级选项,单击“下一步”。
如果6-5所示。
图6-5设置CA的高级选项
4.输入CA的标识信息和有效期限,单击“下一步”。
如图6-6所示。
图6-6输入CA的标识信息
5.选择证书数据库文件和日志文件的目录,单击“下一步”。
如图6-7所示。
图6-7选择证书数据库文件和日志文件的目录
6.证书服务会配置Internet信息服务,因此会暂停这项服务并弹出如图6-8所示的提示框,单击“确定”按钮。
图6-8确定暂停IIS服务
7.安装证书服务。
安装成功后,在“管理工具”中会添加“证书颁发机构”服务。
安装下级CA
在根CA建立以后,我们就可以在另外一台服务器上安装属于该根CA下级的中间CA或发布CA了。
他们会在安装的过程中产生一个认证请求,并递交给某个根CA或中间CA。
认证请求可以被自动发送给通过活动目录定位的在线CA,或者可以在离线的情况下进行手动发送。
在任何一种情况下,下级CA在开始运作之前必须得到正确认证并安装好它的认证书。
定位到“控制面板”,双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证书服务”,单击“下一步”,填写下级CA的标识信息。
申请和使用证书
颁发证书的机构创建好了,我们接下来介绍用户如何申请和使用证书。
使用证书申请向导申请证书
通过证书申请向导从企业CA处获得证书,当用户向CA提交证书申请后,CA会根据用户的权限立即授权或拒绝证书的申请。
1.选择“开始”->“运行”,输入“MMC”,选择“添加/删除管理单元”,单击“添加”,选择“证书”,选择“我的用户帐户”来管理用户的证书,单击“完成”。
如图6-9所示。
图6-9证书管理单元
2.展开“证书-当前用户”,展开“个人”,选择“证书”,单击鼠标右键,选择“所有任务”->“申请新证书”。
如图6-10所示。
图6-10选择证书模板
3.选择证书模板,选择“高级选项。
如图6-11所示。
图6-11选择证书模板
Windows2003证书服务包含如表4-3所示的证书模板。
关于证书模板的相关项目请参考表6-2所示。
1.选择加密服务提供程序
某类证书所使用的CSP具有专门的限制,该列表用于验证系统所登记的证书是否符合这些限制,例如,EFS要求MicrosoftRSACSP。
2.选择证书颁发机构,输入证书名称,单击“下一步”,单击“完成”。
如图6-12所示。
图6-12确定证书名称
3.系统提示证书申请成功,可查看或安装证书,单击“查看证书”。
如图6-13所示。
图6-13证书申请成功
4.查看证书后单击“确定”。
如图6-14所示,然后选择“安装证书”。
图6-14申请的证书
证书存储区
Windows2003将计算机的申请证书存储在本地,如果申请证书的是一位用户,则证书将存放在该用户所使用的计算机上。
存储位置称为证书存储区。
证书存储区将经常会存储可能从许多不同的证书颁发机构颁发的大量证书。
使用“证书”管理单元,可以根据证书颁发的目的或使用其逻辑存储编目,显示用户、计算机或服务的证书存储区。
如果有相应的权限,可以从证书存储区中的任何文件夹导入或导出证书。
Windows也可以将证书发布到活动目录中。
在活动目录中发布证书允许有足够权限的所有用户或计算机在需要时获取证书。
表6-3显示按逻辑存储区显示的证书。
管理证书
可在含有证书的MMC管理单元里打开证书。
通过证书管理单元,管理员可以管理用户、计算机、服务和他自己的证书。
检查挂起的证书
当用户通过Web页向独立CA提交证书申请后,证书一直处于“挂起”状态,直到CA的管理员确认或拒绝申请的证书。
用户可通过WEB页检查被挂起的证书。
如图6-15所示。
图6-15检查刮起的证书
吊销证书
为了维护组织的公钥基础设施(PKI)完整性,当证书的受领人离开单位,或者证书受领人的私钥遭泄漏,或者其他一些与安全相关的事件发生时规定它不再将证书视为“有效”,则CA的管理员必须吊销证书。
当证书被CA吊销时,它将被添加到该CA的证书吊销列表CRL(CertificateRevocationList)中。
1.选择“开始”->“程序”->“管理工具”->“认证颁发机构”,选择“颁发的证书”,选中要撤销的证书,单击鼠标右键,选择“所有任务”->“吊销证书”。
如图6-16所示。
图6-16吊销证书
2.选择要吊销证书的原因,单击“确定”证书将被吊销。
如图6-17所示。
图6-17吊销证书的原因
在下一个预定的发布期发布证书吊销列表
证书服务的其中一项功能是在CA管理员指定的时间间隔后每个CA都自动发布更新的CRL。
这个时间间隔称为CRL“发布期”。
在初次安装CA之后,CRL发布期被设置为一周,可以使用安排证书吊销列表的发布日程过程来更改证书颁发机构的CRL发布间隔。
页可通过使用CRL发布向导根据需要发布CRL。
通过使用CRL发布向导选择的发布参数不会修改预定的发布期。
即使是已经发布了新的CRL,具有以前发布的CRL缓存副本的客户仍可以继续使用到其有效期满,这一点非常重要。
手动发布CRL不影响仍然有效CRL的缓存副本,它只为没有有效CRL缓存副本的系统提供新的CRL。
在默认情况下,CRL文件存放在CA的%Systemroot%\System32\certsrv\certenroll\目录下。
选择“开始”->“程序”—>“管理工具”->“认证颁发机构”,选择“吊销的证书”,单击鼠标右键,选择“所有任务”->“发行”。
如图6-18所示。
图6-18发布证书吊销列表
备份和恢复认证服务
对安装了认证服务的计算机进行备份可减少由于硬件损坏造成对CA的影响。
对CA有两种备份方法,微软建议使用Windows2003的备份工具Ntbackup对CA服务器进行整体的备份;另外还可使用CA自带的备份工具“备份CA”。
对CA的备份频率取决于CA所颁发的证书数量,CA颁发的证书越多,备份次数就越多。
备份CA
1.一次选择“开始”->“程序”->“管理工具”->“认证颁发机构”,选择要备份的CA,单击鼠标右键,选择“所有任务”,选择“备份CA”。
如图6-19所示。
图6-19备份CA
2.选择要备份的项目,并单击“浏览”选择备份文件存放的路径。
如图6-20所示。
图6-20选择要备份的项目和路径
3.输入访问私钥和证书密码,单击“下一步”完成备份。
如图6-21所示。
图6-21输入访问私钥和证书的密码
使用Nsbackup备份工具备份CA所在的服务器
1.选择“开始”->“运行”,输入“Nsbackup”,选择“备份向导”,选择“备份整个系统”,单击“下一步”。
如图6-22所示。
图6-22备份整个文件系统
2.单击“浏览”,确定备份的路径和文件名,单击“下一步”,单击“开始备份”。
还原CA
对CA的恢复与备份的过程基本相同,但需要暂时停止证书服务。
1。
选择“开始”->“程序”->“管理工具”->“认证颁发机构”,选择要备份的CA,单击鼠标右键,选择“所有任务”,选择“还原CA”,单击“确定”暂停证书服务。
如图6-23所示。
图6-23确定暂停证书服务
2.确定要恢复的项目和数据的路径,单击“下一步”,输入备份时设置的密码。
如图6-24所示。
图6-24选择恢复的项目
3.项目恢复后将重新启动证书服务。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- windows server 证书服务CA的部署 证书 服务 CA 部署