數(shù)字證書(shū)服務(wù)器的配置與應(yīng)用
《數(shù)字證書(shū)服務(wù)器的配置與應(yīng)用》由會(huì)員分享,可在線閱讀,更多相關(guān)《數(shù)字證書(shū)服務(wù)器的配置與應(yīng)用(58頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
★ 學(xué)習(xí)目標(biāo) ★ ? 熟悉數(shù)字證書(shū)的概念和功能 ? 熟悉 ? 熟悉基于 003數(shù)字證書(shū)服務(wù)的功能特點(diǎn) ? 掌握基于 003數(shù)字證書(shū)服務(wù)器的安裝和配置方法 ? 掌握數(shù)字證書(shū)的使用方法 ? 掌握數(shù)字證書(shū)的管理方法 第 5講 數(shù)字證書(shū)服務(wù)器的配置與應(yīng)用 重點(diǎn)難點(diǎn) ? 熟悉基于 003數(shù)字證書(shū)服務(wù)的功能特點(diǎn) ? 掌握基于 003數(shù)字證書(shū)服務(wù)器的安裝和配置方法 ? 掌握數(shù)字證書(shū)的使用方法 隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展 , 相應(yīng)的安全問(wèn)題也越來(lái)越明顯 , 形式各樣的安全威脅越來(lái)越突出 。 在隨之產(chǎn)生的各種網(wǎng)絡(luò)安全解決方案中 , 數(shù)字證書(shū)便是其中一種 。 與其他安全技術(shù)和解決方案相比 , 數(shù)字證書(shū)服務(wù)具有高效 、 實(shí)用 、方便使用等特點(diǎn) 。 本講在介紹數(shù)字證書(shū) 、 以 003操作系統(tǒng)為主 , 介紹數(shù)字證書(shū)服務(wù)器的安裝 、 配置和使用方法 。 數(shù)字證書(shū)也稱(chēng)為數(shù)字標(biāo)識(shí)( D)。它提供了一種在 用來(lái)標(biāo)識(shí)和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。數(shù)字證書(shū)由一個(gè)權(quán)威的證書(shū)認(rèn)證機(jī)構(gòu)( 行,在網(wǎng)絡(luò)中可以通過(guò)從 俗地講,數(shù)字證書(shū)就是個(gè)人或單位在 比較專(zhuān)業(yè)的數(shù)字證書(shū)定義是:數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱(chēng)以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下,證書(shū)中還包括密鑰的有效時(shí)間,發(fā)證機(jī)關(guān)(證書(shū)授權(quán)中心)的名稱(chēng),該證書(shū)的序列號(hào)等信息,證書(shū)的格式遵循相關(guān)國(guó)際標(biāo)準(zhǔn)。 通過(guò)數(shù)字證書(shū)就可以使信息傳輸?shù)谋C苄浴?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性交易者身份的確定性這四大網(wǎng)絡(luò)安全要素得到保障。 數(shù)字證書(shū)的概念 目前,計(jì)算機(jī)網(wǎng)絡(luò)中的安全體系分為 中,非 如用戶(hù)大量使用的“用戶(hù)名稱(chēng) +密碼”的形式就屬于非 于非 以近年來(lái) 鑰基礎(chǔ)設(shè)施)為網(wǎng)上信息的傳輸提供了加密( 驗(yàn)證( 能,在信息發(fā)送前對(duì)其進(jìn)行加密處理,當(dāng)對(duì)方接收到信息后,能夠驗(yàn)證該信息是否確實(shí)是由發(fā)送方發(fā)送的信息,同時(shí)還可以確定信息的完整性( 即信息在發(fā)送過(guò)程中未被他人非法篡改。數(shù)字證書(shū)是 有安全操作都主要通過(guò)證書(shū)來(lái)實(shí)現(xiàn)。 包括簽署這些證書(shū)的認(rèn)證、數(shù)字證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)、應(yīng)用程序接口( 基本構(gòu)成部分。 提供前面介紹的加密和驗(yàn)證功能,在此過(guò)程中需要公開(kāi)密鑰和私有密鑰來(lái)支持,其中: ? 公開(kāi)密鑰( 公開(kāi)密鑰也稱(chēng)為公共密鑰(簡(jiǎn)稱(chēng)為“公鑰”),在安全系統(tǒng)中公開(kāi)密鑰不需要進(jìn)行保密,是向網(wǎng)絡(luò)中的所有用戶(hù)公開(kāi)的。對(duì)于一個(gè)安全系統(tǒng)來(lái)說(shuō),公開(kāi)密鑰是唯一的。 ? 私有密鑰( 私有密鑰簡(jiǎn)稱(chēng)為“私鑰”,是用戶(hù)個(gè)人擁有的密碼,它存在于用戶(hù)自己的計(jì)算機(jī)或其他介質(zhì)中,只有該用戶(hù)自己才能使用。私有密鑰需要安全保存和管理。 在信息的安全傳輸中,發(fā)送信息前可以通過(guò)公開(kāi)密鑰對(duì)其進(jìn)行加密,接收方在接收到信息后再利用自己的私有密鑰進(jìn)行解密。 開(kāi)密鑰加密法 公開(kāi)密鑰加密法是使用公開(kāi)密鑰和私有密鑰一組密鑰來(lái)進(jìn)行加密和解密處理,其中公開(kāi)密鑰用來(lái)進(jìn)行加密,而私有密鑰用來(lái)進(jìn)行解密,這種加密和解密的處理方式也稱(chēng)為“非對(duì)稱(chēng)”( 密法。另外,還有一種稱(chēng)為“秘密密鑰加密法”( 該算法也稱(chēng)為“對(duì)稱(chēng)”( 密法,這種方法在進(jìn)行加密和解密的過(guò)程中都使用同一個(gè)密鑰。 圖 1 張三與李四之間利用公開(kāi)密鑰加密法傳輸信息 開(kāi)密鑰驗(yàn)證法 數(shù)字簽名”是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理得到的,用以認(rèn)證信息來(lái)源并核實(shí)信息是否發(fā)生變化的一個(gè)字母數(shù)字串。 用戶(hù)可以利用“公開(kāi)密鑰驗(yàn)證法”來(lái)對(duì)要發(fā)送的信息進(jìn)行數(shù)字簽名,而對(duì)方在收到該信息后,能夠通過(guò)此數(shù)字簽名來(lái)驗(yàn)證信息是否確實(shí)是由發(fā)送方發(fā)送來(lái)的,同時(shí)還可以確認(rèn)信息在發(fā)送過(guò)程中是否被篡改。從實(shí)現(xiàn)原理來(lái)看,數(shù)字簽名其實(shí)就是對(duì)加密、解密的應(yīng)用。簽名的過(guò)程為加密過(guò)程,查看簽名的過(guò)程為解密過(guò)程。 圖 2 數(shù)字簽名的實(shí)現(xiàn)過(guò)程 書(shū)認(rèn)證機(jī)構(gòu)( 在整個(gè)加密解密過(guò)程中,僅擁有密鑰(公開(kāi)密鑰和私有密鑰)是不夠的,還必須申請(qǐng)相應(yīng)的數(shù)字證書(shū)( 數(shù)據(jù)標(biāo)識(shí)( D),這樣才可能利用密鑰執(zhí)行信息加密和身份驗(yàn)證操作。在這里,密鑰相當(dāng)于“汽車(chē)”,而數(shù)字證書(shū)相當(dāng)于“駕駛證”,只有汽車(chē)而沒(méi)有駕駛證是無(wú)法開(kāi)車(chē)上路的,同樣只有駕駛證而沒(méi)有汽車(chē)也無(wú)法使駕駛證發(fā)揮作用。所以,密鑰和數(shù)字證書(shū)應(yīng)該是構(gòu)成該系統(tǒng)的必備條件。為了便于數(shù)字證書(shū)的管理,出現(xiàn)了一些專(zhuān)門(mén)的數(shù)字證書(shū)管理機(jī)構(gòu),負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū),將這一機(jī)構(gòu)稱(chēng)為“證書(shū)認(rèn)證機(jī)構(gòu)”,或“認(rèn)證中心”( 如圖 3所示,當(dāng)用戶(hù)在申請(qǐng)證書(shū)時(shí),必須輸入申請(qǐng)者的詳細(xì)資料:如姓名、地址、電子郵箱等,這些信息將被發(fā)送到一個(gè)稱(chēng)為加密服務(wù)提供者( 程序,由 銷(xiāo)密鑰,以及使用密鑰執(zhí)行各種加、解密操作。 個(gè)公開(kāi)密鑰和一個(gè)私有密鑰。 請(qǐng)者)計(jì)算機(jī)的注冊(cè)表中,然后將證書(shū)申請(qǐng)信息和公開(kāi)密鑰一并發(fā)送到 進(jìn)行加密、解密時(shí),當(dāng)用戶(hù)需要某一用戶(hù)的公開(kāi)密鑰時(shí),就會(huì)向 將得到的數(shù)字證書(shū)保存在自己的計(jì)算機(jī)中 。 圖 3 申請(qǐng)數(shù)字證書(shū)時(shí)提交的用戶(hù)信息 基于 A,即將 A)和“從屬 A)。其中: 1. 根 方面它可以發(fā)放用來(lái)保護(hù)電子郵件安全的證書(shū)、提供網(wǎng)站 密套接字協(xié)議層)安全傳輸?shù)淖C書(shū)、用來(lái)登錄 003域的智能卡證書(shū)、用來(lái)提供基于 一方面,根 A(從屬在大部分環(huán)境中,根 2. 從屬 屬 供網(wǎng)站 來(lái)登錄 003域的智能卡證書(shū)、用來(lái)提供基于可以發(fā)放證書(shū)給其下一層的從屬 屬 A(可能是根 可能是從屬 得證書(shū)后,才可以發(fā)放證書(shū)。 提示:對(duì)于 000、 P、 003來(lái)說(shuō),如果該計(jì)算機(jī)已經(jīng)信任了根 么他們將會(huì)自動(dòng)信任該根 就是 是,當(dāng)用戶(hù)將從屬 從屬 不存在以上的繼承關(guān)系。 000、 P、 003的計(jì)算機(jī)已經(jīng)信任由一些知名的 要時(shí),用戶(hù)可以向上述知名的 這些 時(shí),也有一些不收費(fèi)的 果用戶(hù)只希望在本單位或系統(tǒng)內(nèi)部實(shí)現(xiàn)基于 以利用003提供的“證書(shū)服務(wù)”來(lái)組建自己的 后利用該 戶(hù)、供應(yīng)商等發(fā)放證書(shū),而不需要向其他 樣,當(dāng)本單位或系統(tǒng)中的員工、客戶(hù)、供應(yīng)商的計(jì)算機(jī)設(shè)置為信任該 可以通過(guò)自己的 圖 4 查看計(jì)算機(jī)中已信任的根證書(shū) 003中 003提供的“證書(shū)服務(wù)”可以將 003扮演 A,也可以是獨(dú)立 1. 企業(yè) 業(yè) 本域內(nèi)的用戶(hù)或計(jì)算機(jī)是無(wú)法向該企業(yè) 域內(nèi)的用戶(hù)向企業(yè) 業(yè) 證用戶(hù)是否為本域中的用戶(hù)或計(jì)算機(jī)),并根據(jù)驗(yàn)證結(jié)果決定是否發(fā)放證書(shū)。 企業(yè) A( A)和企業(yè)從屬 A)兩種類(lèi)型。其中,在大多數(shù)情況下,企業(yè)根 企業(yè)從屬 后才可以向其域內(nèi)的用戶(hù)或計(jì)算機(jī)以及其下屬的企業(yè)從屬 業(yè)從屬 供網(wǎng)站 來(lái)登錄 003域的智能卡證書(shū)、進(jìn)行基于 2. 獨(dú)立 立 演獨(dú)立 003的獨(dú)立服務(wù)器,也可以是成員服務(wù)器或域控制器。無(wú)論用戶(hù)和計(jì)算機(jī)是否是 可以向獨(dú)立 于用戶(hù)在向獨(dú)立 像企業(yè) 以用戶(hù)需要自行輸入申請(qǐng)者的詳細(xì)信息和所要申請(qǐng)的證書(shū)類(lèi)型。 獨(dú)立 A( A)和獨(dú)立從屬 A)兩種類(lèi)型。其中,在多數(shù)情況下,獨(dú)立根 A。而獨(dú)立從屬 A(既可以是獨(dú)立根 可以是上層的獨(dú)立從屬 得證書(shū),然后才可以發(fā)放證書(shū)。獨(dú)立從屬 供網(wǎng)站 來(lái)登錄 003域的智能卡證書(shū)、進(jìn)行基于 由于基于 003的數(shù)字證書(shū)服務(wù)器分為企業(yè) 中企業(yè) 時(shí)只能向本企業(yè)內(nèi)部加入活動(dòng)目錄的用戶(hù)提供數(shù)字證書(shū)服務(wù)。而獨(dú)立 且可以向加入活動(dòng)目錄域控制器的用戶(hù)和沒(méi)有加入活動(dòng)目錄域控制器的用戶(hù)提供數(shù)字證書(shū)服務(wù)。兩者相比,獨(dú)立 以本節(jié)將介紹獨(dú)立 字證書(shū)服務(wù)器的安裝和配置 裝 5 選擇要安裝的 件 圖 6 選取 “ 息服務(wù)( ” 圖 7 理器窗口 圖 8 測(cè)試 工作狀態(tài) 裝證書(shū)服務(wù) 獨(dú)立 中獨(dú)立從屬 中,父 A,也可以是其他的獨(dú)立從屬 于絕大多數(shù)中小企業(yè)來(lái)說(shuō),一般只需要配置一臺(tái)數(shù)字證書(shū)服務(wù)器即可。所以,本節(jié)僅介紹獨(dú)立根 圖 10 選取了 “ 證書(shū)服務(wù) ” 后的系統(tǒng)提示信息 圖 11 選擇 型 圖 12 設(shè)置 識(shí)別信息 圖 9 安裝 “ 證書(shū)服務(wù) ” 提示:如果獨(dú)立 且是以域管理員(如 身份來(lái)安裝的,則獨(dú)立 果獨(dú)立 是安裝在沒(méi)有使用 內(nèi)用戶(hù)則需要另外執(zhí)行信任此獨(dú)立 圖 13 選擇證書(shū)的保存位置 圖 14 系統(tǒng)提示在安裝證書(shū)之前需要停止 圖 16 系統(tǒng)提供的證書(shū)模板 圖 15 證書(shū)頒發(fā)機(jī)構(gòu)操作窗口 字證書(shū)的申請(qǐng)方法 不管是否為域用戶(hù),都可以利用 面,以用戶(hù)為其電子郵件 體方法如下: ( 1) 在要安裝證書(shū)的計(jì)算機(jī)上打開(kāi) 地址欄中輸入以下的地址: ,計(jì)算機(jī)名稱(chēng)為 圖 17 . 證書(shū)申請(qǐng)窗口 圖 18 選擇要申請(qǐng)證書(shū)的類(lèi)型 圖 19 輸入用戶(hù)的詳細(xì)信息 圖 21 顯示未被頒發(fā)的證書(shū)名稱(chēng) 圖 20 證書(shū)申請(qǐng)結(jié)束后的顯示 圖 22 顯示已申請(qǐng)的證書(shū) 圖 23 該證書(shū)已頒發(fā) 圖 24 安裝證書(shū)之前的系統(tǒng)提示信息 圖 25 系統(tǒng)顯示證書(shū)已成功安裝 圖 26 顯示已信任的證書(shū)名稱(chēng) 圖 27 顯示證書(shū)的詳細(xì)信息 書(shū)的保存和應(yīng)用 在前面的介紹中,用戶(hù)一般是在要安裝證書(shū)的計(jì)算機(jī)上來(lái)申請(qǐng)并安裝證書(shū)。但是,在實(shí)際應(yīng)用中,有時(shí)需要將申請(qǐng)到的證書(shū)安裝在其他的計(jì)算機(jī)上,或出于安全考慮對(duì)已申請(qǐng)到的證書(shū)進(jìn)行安全備份,當(dāng)原來(lái)的證書(shū)不小心被刪除或計(jì)算機(jī)重新安裝操作系統(tǒng)后,就可以利用備份來(lái)還原。為解決此類(lèi)問(wèn)題,我們需要將申請(qǐng)到的證書(shū)以文件形式進(jìn)行保存和應(yīng)用。具體方法如下: 圖 28 選擇在線安裝或下載已申請(qǐng)的證書(shū) 圖 29 證書(shū)鏈成功 安裝后的顯示信息 在圖 29中出現(xiàn)的“證書(shū)鏈”的概念,“證書(shū)鏈”有時(shí)也叫做“證書(shū)鏈服務(wù)”或“交叉認(rèn)證”,它是一個(gè)書(shū)鏈可以擴(kuò)大企業(yè)內(nèi)部 般企業(yè)內(nèi)部 法被外部的網(wǎng)絡(luò)應(yīng)用所識(shí)別和信任。例如,當(dāng)企業(yè)員工利用企業(yè) 時(shí)可能會(huì)遇到郵件接收者不能識(shí)別郵件的情況,或者出現(xiàn)其他的瀏覽器和服務(wù)器不能識(shí)別或信任該企業(yè) 用證書(shū)鏈服務(wù),可以使企業(yè) 件客戶(hù)端所信任,這樣就無(wú)需為每一種軟件、每一個(gè)郵件客戶(hù)端重新申請(qǐng)證書(shū),來(lái)要求他們信任企業(yè) 而低成本、高效率地實(shí)現(xiàn)了信任度的擴(kuò)展。 在圖 29中,還可以單擊“下載 “下載 將 果該證書(shū)不慎被丟失,則可以在打開(kāi)該證書(shū)文件所在的文件夾后,單擊鼠標(biāo)右鍵,在出現(xiàn)的快捷菜單中選擇“安裝證書(shū)”重新進(jìn)行安裝,如圖 30所示。 圖 30 通過(guò)已保存的證書(shū)文件來(lái)安裝證書(shū) 如果單位內(nèi)部的獨(dú)立根 003的獨(dú)立服務(wù)器上,或是安裝在沒(méi)有使用 以 003提供的“證書(shū)服務(wù)”組件來(lái)實(shí)現(xiàn)證書(shū)管理。此時(shí),可以通過(guò)“受信任的根證書(shū)授權(quán)策略”將此獨(dú)立根 域內(nèi)的所有用戶(hù)能夠自動(dòng)信任該獨(dú)立根 在下面的操作中,我們將已建立的獨(dú)立根 CA“ 證書(shū),自動(dòng)發(fā)送到域 域內(nèi)用戶(hù)自動(dòng)信任獨(dú)立根 下載獨(dú)立根 首先,在域控制器( 算機(jī)上,通過(guò)以下方式從獨(dú)立根 體方法如下 圖 31 獨(dú)立根 書(shū)申請(qǐng)窗口 圖 32 選擇下載證書(shū)的類(lèi)型 提示:對(duì)于根 此,可以選擇圖 33和圖 34中的任一種方式。 圖 33 保存證書(shū)文件 圖 34 保存證書(shū)鏈文件 圖 35 導(dǎo)出計(jì)算機(jī)中已有的證書(shū) 入數(shù)字證書(shū) 下面,可以將前面申請(qǐng)或?qū)С龅?信任的根證書(shū)授權(quán)策略”中,具體方法如下: ( 1) 在域控制器(本例為 ,選擇“開(kāi)始” → “程序” → “管理工具” → “域安全策略” → “安全設(shè)置” → “公鑰策略”,打開(kāi)如圖 36所示的窗口。 圖 36 域安全策略設(shè)置窗口 圖 37 輸入要導(dǎo)入的證書(shū)文件 圖 38 選擇證書(shū)存儲(chǔ)的系統(tǒng)區(qū)域 圖 39 導(dǎo)入的證書(shū)信息 圖 40 顯示所導(dǎo)入的證書(shū) 完成以上的操作之后,凡是加入該域的用戶(hù)都會(huì)自動(dòng)應(yīng)用此策略,都會(huì)自動(dòng)信任上述的獨(dú)立根 內(nèi)的計(jì)算機(jī)并不會(huì)馬上應(yīng)用此策略,如果要應(yīng)用此策略,需要具有以下的條件之一: · 重新啟動(dòng)計(jì)算機(jī)。 · 等待策略自動(dòng)生效。一般域控制器需要大約 5分鐘左右的時(shí)間,如果是隸屬于域內(nèi)的其他計(jì)算機(jī),大約需要 90~120分鐘的時(shí)間。 圖 41 令的執(zhí)行過(guò)程和結(jié)果 圖 42 顯示已信任的證書(shū) 下面,以用戶(hù)郵箱 wq@紹利用 字簽名是利用發(fā)送方的私有密鑰進(jìn)行加密,在接收方利用發(fā)送方的公開(kāi)密鑰進(jìn)行解密。當(dāng)用戶(hù) 戶(hù) 用戶(hù) 利用用戶(hù) 體過(guò)程如下: 字證書(shū)應(yīng)用舉例 圖 43 選取郵件賬戶(hù) 圖 44 選取證書(shū) 圖 47 用戶(hù) 收到一份由用戶(hù) 送過(guò)來(lái)的經(jīng)過(guò)簽名的電子郵件 圖 48 用戶(hù) 通訊地址 圖 49 用戶(hù) 數(shù)字標(biāo)識(shí) 圖 50 安全提示信息 圖 51 系統(tǒng)提示該電子郵件已經(jīng)過(guò)安裝檢查 圖 52 系統(tǒng)安全警告 圖 53 系統(tǒng)提示 “ 簽名數(shù)字標(biāo)識(shí)不可取 ” 子郵件的加密 簽名是利用發(fā)送者的私有密鑰,而加密則是利用接收者的公開(kāi)密鑰。因?yàn)?,?dāng)用戶(hù)戶(hù) 以下面用戶(hù) 體方法如下: 圖 54 對(duì)郵件同時(shí)進(jìn)行加密和簽名處 理 圖 55 用戶(hù) 收到由用戶(hù) 送的同時(shí)經(jīng)過(guò)加密和簽名的電子郵件 如果該郵件在傳輸過(guò)程中出現(xiàn)問(wèn)題(如被他人篡改、證書(shū)已到期等),將會(huì)出現(xiàn)如圖 52所示的警告信息。 圖 56 查看電 子郵件的內(nèi)容 ,可以通過(guò)對(duì)系統(tǒng)狀態(tài)的操作來(lái)實(shí)現(xiàn)對(duì) 1. 對(duì)于數(shù)字證書(shū)系統(tǒng)來(lái)說(shuō), 了防止系統(tǒng)出現(xiàn)故障或重新安裝操作系統(tǒng)后丟失 議網(wǎng)絡(luò)管理員對(duì) 體方法如下: 字證書(shū)的管理 圖 57 選擇 “ 備份 ” 操作 圖 5 8 選擇要備份的內(nèi)容和備份文件夾的存儲(chǔ)位置 2. 恢復(fù)到故障前的狀態(tài)。具體操作方法為 圖 59 設(shè)置備份文件夾的密碼 圖 60 完成備份設(shè)置 圖 61 系統(tǒng)提示要暫停證書(shū)服務(wù) 圖 62 選擇還原的項(xiàng)目及還原文件的位置 練一練:在已配置的數(shù)字證書(shū)服務(wù)器上,首先對(duì) 后利用備份的數(shù)據(jù)來(lái)還原 圖 63 輸入文件的還原密碼 圖 64 結(jié)束設(shè)置 加證書(shū)模板 “證書(shū)模板”是 65中顯示的是 中每一個(gè)模板內(nèi)會(huì)包含多種不同用途的證書(shū),例如“計(jì)算機(jī)”模板就包含了“客戶(hù)端驗(yàn)證”和“服務(wù)器驗(yàn)證”兩種證書(shū),如圖 66所示。 圖 65 企業(yè) 供的證書(shū)模板 圖 66 “ 計(jì)算機(jī) ” 模板所包含的證書(shū)類(lèi)型 另外,企業(yè) 戶(hù)在使用之前可以通過(guò)以下的方法來(lái)啟用:在如圖 65中選取“證書(shū)模板”,單擊鼠標(biāo)右鍵,在出現(xiàn)的快捷菜單中選擇“新建” → “要頒發(fā)的證書(shū)模板”,打開(kāi)如圖 67所示的對(duì)話框。在該對(duì)話框中提供了大量非常實(shí)用的證書(shū)模板,如 戶(hù)可以在該對(duì)話框中選取要使用的證書(shū)模板,然后單擊“確定”按鈕進(jìn)行啟用。 圖 67 啟用新的證書(shū)模板 獨(dú)立 如果獨(dú)立 夠由該獨(dú)立 通過(guò)以下的方法來(lái)進(jìn)行: 提示:在修改了證書(shū)的頒發(fā)方式后,必須重新啟動(dòng)該證書(shū)服務(wù)后,所進(jìn)行的設(shè)置才會(huì)生效。 圖 68 “ 策略模板 ” 設(shè)置對(duì)話框 圖 69 將請(qǐng)求方式設(shè)置為自動(dòng)頒發(fā) 書(shū)的吊銷(xiāo)管理 用戶(hù)申請(qǐng)到的每一類(lèi)證書(shū)都有一定的使用期限,例如“電子郵件保護(hù)證書(shū)”自申請(qǐng)后的使用期限為 1年。當(dāng)證書(shū)的使用期限到期后,系統(tǒng)會(huì)自動(dòng)進(jìn)行吊銷(xiāo)。另外,在證書(shū)還未到期之前,證書(shū)管理員也可以吊銷(xiāo)該證書(shū)。例如,企業(yè)的某一員工離開(kāi)公司后,就可以將其使用的證書(shū)進(jìn)行吊銷(xiāo)處理。 1. 吊銷(xiāo)證書(shū) 證書(shū)管理員可以通過(guò)以下方法來(lái)吊銷(xiāo)尚未到期的證書(shū):在“證書(shū)頒發(fā)機(jī)構(gòu)”窗口中選取“頒發(fā)的證書(shū)”,已申請(qǐng)使用的證書(shū)將會(huì)顯示在列表中,如圖 70所示 圖 70 正在使用中的證書(shū) 書(shū)的吊銷(xiāo)管理 用戶(hù)申請(qǐng)到的每一類(lèi)證書(shū)都有一定的使用期限,例如“電子郵件保護(hù)證書(shū)”自申請(qǐng)后的使用期限為 1年。當(dāng)證書(shū)的使用期限到期后,系統(tǒng)會(huì)自動(dòng)進(jìn)行吊銷(xiāo)。另外,在證書(shū)還未到期之前,證書(shū)管理員也可以吊銷(xiāo)該證書(shū)。例如,企業(yè)的某一員工離開(kāi)公司后,就可以將其使用的證書(shū)進(jìn)行吊銷(xiāo)處理。 1. 吊銷(xiāo)證書(shū) 證書(shū)管理員可以通過(guò)以下方法來(lái)吊銷(xiāo)尚未到期的證書(shū):在“證書(shū)頒發(fā)機(jī)構(gòu)”窗口中選取“頒發(fā)的證書(shū)”,已申請(qǐng)使用的證書(shū)將會(huì)顯示在列表中,如圖 71所示 圖 71 正在使用中的證書(shū) 圖 72 . 顯示已被吊銷(xiāo)的證書(shū) 2. 發(fā)布“證書(shū)吊銷(xiāo)列表( 當(dāng)某些用戶(hù)的證書(shū)被吊銷(xiāo)后,網(wǎng)絡(luò)中的用戶(hù)如何才能知道哪些用戶(hù)的證書(shū)被吊銷(xiāo)了呢?首先, 書(shū)吊銷(xiāo)列表”發(fā)布出去,之后計(jì)算機(jī)在網(wǎng)上下載了這個(gè)“證書(shū)吊銷(xiāo)列表”后,就可以知道有哪些證書(shū)已經(jīng)被吊銷(xiāo)了。 書(shū)吊銷(xiāo)列表”。 圖 73 設(shè)置 發(fā)布時(shí)間參數(shù) 圖 74 選擇要發(fā)布的 類(lèi)型 3. 下載“證書(shū)吊銷(xiāo)列表( 網(wǎng)絡(luò)中的計(jì)算機(jī)如何能夠下載“證書(shū)吊銷(xiāo)列表”呢?在 書(shū)吊銷(xiāo)列表”后,網(wǎng)絡(luò)中的計(jì)算機(jī)可以通過(guò)自動(dòng)下載和手工下載兩種方式來(lái)下載“證書(shū)吊銷(xiāo)列表”。 ( 1) 自動(dòng)下載。 圖 75 選擇自動(dòng)下載 圖 76 選擇自動(dòng)下載 ( 2) 手工下載。 提示:如果不是第一次進(jìn)行如上所述的手工下載操作,并且在如圖 73中設(shè)置了“發(fā)布增量 那么,在打開(kāi)的如圖 78所示的列表中將出多出一項(xiàng)名為“下載最新的增量 項(xiàng),單擊該鏈接,可以下載最新的 圖 77 證書(shū)申請(qǐng)窗口 圖 78 下載最新的基 戶(hù)證書(shū)的導(dǎo)入和導(dǎo)出 作為用戶(hù)在網(wǎng)絡(luò)中身份象征的數(shù)字證書(shū),用戶(hù)一定要妥善保存。一般情況下,當(dāng)安裝了證書(shū)后,為了防止將來(lái)證書(shū)的丟失(如操作系統(tǒng)故障,證書(shū)被誤刪除等),就可以利用備份的證書(shū)文件來(lái)恢復(fù)。用戶(hù)可以利用 圖 79 選取證書(shū) 圖 80 選取導(dǎo)出方式 圖 81 選擇導(dǎo)出文件使用的格式 圖 82 設(shè)置導(dǎo)出文件的密碼 圖 83 選擇導(dǎo)出文件的保存位置 圖 84 證書(shū)文件導(dǎo)出設(shè)置完成 圖 85 高級(jí)證書(shū)申請(qǐng) 圖 86 選擇證書(shū)類(lèi)別 圖 87 設(shè)置用戶(hù)信息和密碼選項(xiàng) 通過(guò)以上方式申請(qǐng)到的證書(shū),私有密鑰是可以導(dǎo)出到文件中的。 書(shū)到期前的更新 每一類(lèi)證書(shū)在申請(qǐng)后都有一定的使用期限,如果證書(shū)在到期后用戶(hù)還要繼續(xù)使用該證書(shū),則可以對(duì)其進(jìn)行更新操作。 提示:根 從屬 以從屬 設(shè)根 年,而從屬 年,那么當(dāng)該根 年時(shí)如果從屬么從屬 年。但是,當(dāng)根 年時(shí),這時(shí)從屬 年。 為此,在多 般建議對(duì)根 其能夠盡可能地為從屬 于大部分只有一個(gè) 需要對(duì)僅有的這一臺(tái)數(shù)字證書(shū)服務(wù)器進(jìn)行操作即可,而不必關(guān)心不同 1. 對(duì)于 以通過(guò)以下的方法來(lái)完成: ( 1) 選擇“開(kāi)始” → “程序” → “管理工具” → “證書(shū)頒發(fā)機(jī)構(gòu)”,打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)”窗口。 圖 88 更新 證書(shū) 2. 用戶(hù)證書(shū)的更新方法 用于用戶(hù)來(lái)說(shuō),則可以通過(guò)以下方式來(lái)更新所申請(qǐng)到的證書(shū)(以 P ( 1) 選擇“開(kāi)始” → “運(yùn)行”,在出現(xiàn)的對(duì)話框中輸入 打開(kāi)的對(duì)話框中選擇“文件 → 添加 /刪除管理員單元”,如圖 89所示 圖 89 選取 “ 添加 / 刪除管理單元 ” 圖 90 添加 “ 證書(shū) ” 圖 91 選取 “ 我的用戶(hù)帳戶(hù) ” 圖 92 顯示新建的證書(shū) 圖 93 用戶(hù)證書(shū)的更新操作 根據(jù)網(wǎng)絡(luò)安全應(yīng)用和管理的需要,許多單位都建立了自己的 為用戶(hù)提供證書(shū)服務(wù)。本章首先介紹了數(shù)字證書(shū)、 著以基于 003操作系統(tǒng)的 “ 獨(dú)立 的安裝和使用為例,詳細(xì)介紹了數(shù)字證書(shū)的申請(qǐng)、使用和管理方法。相信讀者通過(guò)對(duì)本章內(nèi)容的學(xué)習(xí),能夠結(jié)合自己的網(wǎng)絡(luò)安全需求,安裝和使用 能夠根據(jù)應(yīng)用需要使用數(shù)字證書(shū)服務(wù)。- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
7 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 數(shù)字證書(shū) 服務(wù)器 配置 應(yīng)用
鏈接地址:http://m.jqnhouse.com/p-10275.html