《网络服务器配置与管理Windows Server 2012 R2篇—第7章.pptx》由会员分享,可在线阅读,更多相关《网络服务器配置与管理Windows Server 2012 R2篇—第7章.pptx(60页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 第7章 证书服务器与SSL安全应用网络服务器配置与管理Windows Server 2012 R2篇工业和信息化精品系列教材网络技术第7章 证书服务器与SSL安全应用人民邮电出版社2 第7章 证书服务器与SSL安全应用能力CAPACITY要求理解PKI的相关概念和术语,了解PKI的基本组成。掌握证书服务器的安装方法,熟悉证书颁发机构的管理。熟悉客户端和服务器端证书的管理,掌握证书申请注册的方法。了解SSL安全网站解决方案,掌握基于IIS的SSL安全网站部署方法。3 第7章 证书服务器与SSL安全应用内容CONTENTS导航证书颁发机构的部署和管理证书注册和管理公钥基础设施实现SSL安全应用
2、4 第7章 证书服务器与SSL安全应用7.1 公钥基础设施 网络安全需求信息保密信息传输的机密性,防止未授权用户访问,内容不会被未授权的第三方所知。身份验证又称认证,指确认对方的身份。抗否认信息的不可抵赖性,确保发送方不能否认已发送的信息。完整性控制保证信息传输时不被修改、破坏,不能被未授权的第三方篡改或伪造。5 第7章 证书服务器与SSL安全应用7.1 公钥基础设施公钥加密技术对称加密模式非对称加密模式6 第7章 证书服务器与SSL安全应用PKI安全技术基于SSL的网络安全服务基于SET的电子交易系统基于S/MIME的安全电子邮件用于认证的智能卡软件的代码签名认证虚拟专用网的安全认7.1 公
3、钥基础设施公钥基础设施PKI组成公钥技术数字证书证书颁发机构关于公钥的安全策略7 第7章 证书服务器与SSL安全应用7.1 公钥基础设施数字证书数字证书也称为数字ID,是PKI的一种密钥管理媒介。数字证书是一种权威性的电子文档,由密钥对和用户信息等数据共同组成。数字证书的格式一般采用X.509国际标准。数字证书采用公钥密码机制,即利用一对互相匹配的密钥进行加密、解密。数字证书是由权威公正的第三方机构(即认证中心)签发的。8 第7章 证书服务器与SSL安全应用7.1 公钥基础设施数字证书数字证书类型Web服务器证书服务器身份证书计算机证书个人证书安全电子邮件证书企业证书代码签名证书9 第7章 证
4、书服务器与SSL安全应用7.1 公钥基础设施证书颁发机构PKI往往又被称为PKI-CA体系。CA主要用于证书颁发、证书更新、证书吊销、证书和证书吊销列表(CRL)的公布、证书状态的在线查询、证书认证等。CA提供受理证书申请,用户可以从CA获得自己的数字证书。在大型组织或安全网络体系内,CA通常建立多层次的证书颁发机构。10 第7章 证书服务器与SSL安全应用7.1 公钥基础设施证书颁发机构根CA是证书颁发体系中第一个证书颁发机构,是所有信任的起源。根CA以下各层次CA统称为从属CA。从最底层的用户证书到为该用户证书颁发证书的CA的身份证书,再到上级CA的身份证书,最后到根CA自身的证书,构成了
5、一个逐级认证的证书链。11 第7章 证书服务器与SSL安全应用内容CONTENTS导航证书颁发机构的部署和管理证书注册和管理公钥基础设施实现SSL安全应用12 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理概述PKI解决方案向第三方CA租用PKI部署自己的企业级PKI部署混合模式PKI体系13 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器Windows Server 2012 R2的证书服务简介Windows Server 2012 R2的证书服务由Active Directory证书服务角色提
6、供。Active Directory证书服务提供可自定义的服务。应用领域S/MIME安全的无线网络VPNIPSecEFS智能卡登录SSL/TLS数字签名14 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器规划证书颁发机构企业CA特点需要访问Active Directory域服务。使用组策略自动将CA证书传递给域中所有用户和计算机的受信任根CA证书存储区。将用户证书和证书吊销列表发布到Active Directory。可以为智能卡颁发登录到Active Directory域的证书。企业CA功能注册证书时企业CA对用户(
7、申请者)强制执行凭据检查(身份验证)。证书使用者名称可以从Active Directory中的信息自动生成,或者由申请者明确提供。策略模板将一个预定义的证书扩展列表添加到颁发的证书。可以使用自动注册功能颁发证书。15 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器规划证书颁发机构独立CA特点无须使用Active Directory域服务。证书申请者必须在证书申请中明确提供所有关于自己的身份信息以及证书申请所需的证书类型。默认情况下发送到独立CA的所有证书申请都被设置为挂起状态,由管理员手动审查颁发。使用智能卡不能颁发
8、用来登录到域的证书,但可以颁发其他类型的证书并存储在智能卡上。管理员必须向域用户明确分发独立CA的证书,否则用户要自己执行该任务。16 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器了解Active Directory证书服务的角色服务证书颁发机构证书颁发机构Web注册联机响应程序网络设备注册服务(NDES)证书注册策略Web服务证书注册Web服务17 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器安装Active Directory证书服
9、务选择证书服务角色服务证书服务安装完成18 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器安装Active Directory证书服务设置证书服务配置的凭据选择要配置的角色服务19 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器安装Active Directory证书服务指定CA的设置类型指定CA类型20 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器安装Acti
10、ve Directory证书服务指定私钥类型指定CA加密选项21 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理部署Windows Server 2012 R2证书服务器安装Active Directory证书服务配置CA名称设置CA有效期22 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书颁发机构证书颁发机构控制台23 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书颁发机构启动或停止证书服务24 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书颁发机构查看证书颁发机构证书25 第7章 证书服
11、务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书颁发机构设置CA管理和使用安全权限管理CA颁发和管理证书读取请求证书26 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书颁发机构配置策略模块(处理证书申请的方式)策略模块确定证书申请是应该自动颁发、拒绝,还是标记为挂起。27 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书颁发机构设置获取证书吊销列表和证书的位置28 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书颁发机构备份和还原证书颁发机构保护证书颁发机构及其可操作数据,以免因硬件或存储媒体出现故障而
12、导致数据丢失。使用证书颁发机构控制台可以备份和还原公钥、私钥和CA证书,以及证书数据库。证书颁发机构控制台提供了备份向导和还原向导。使用专用的备份程序和还原程序来备份和还原整个证书服务器。续订CA证书由证书颁发机构所颁发的每一份证书都具有有效期限。当CA自身的证书达到其有效期时,它颁发的所有证书也将到期。续订CA证书可以选择为CA的证书产生新的公钥和密钥对。29 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书模板企业CA要涉及证书模板管理。每一种证书模板代表一种用于特定目的的证书类型,证书申请者只能根据其访问权限从企业CA提供的证书模板中进行选择。在证书颁发机构控制
13、台中展开“证书模板”文件夹,右侧详细信息窗格中显示了可颁发的证书模板,如图7-21所示,这些是默认启用的证书模板。右键单击其中的某个证书模板,选择“属性”命令,可以进一步查看其属性。实际上系统预置的证书模板有30多种,需要使用证书模板管理单元进行管理。注意,打开证书模板管理单元需要管理员权限。在证书颁发机构控制台中右键单击“证书模板”节点,选择“管理”命令,可打开图7-22所示的证书模板控制台(也可执行命令certtmpl.msc打开该控制台),其中列出了已有的证书模板,双击其中某一证书模板,打开相应的属性对话框,可以查看和修改该模板的详细设置,如图7-23所示。预置的证书模板如果不能满足需要
14、,可创建新的证书模板,并根据不同用途对其进行定制。必须通过复制现有模板来创建新的证书模板。打开证书模板管理单元,右键单击要复制的模板,选择“复制模板”命令,为该证书模板设置新名称,进行必要的更改,即可生成新的证书模板。当然,要使证书颁发机构能够基于某一证书模板颁发证书,还需要启用该模板,即将该模板添加到证书颁发机构。具体方法是在证书颁发机构控制台中右键单击“证书模板”节点,选择“新建”“要颁发的证书模板”命令,打开图7-24所示的对话框,从列表中选择要启用的证书模板。30 第7章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书模板CA可颁发的证书模板证书模板控制台31 第7
15、章 证书服务器与SSL安全应用7.2 证书颁发机构的部署和管理管理证书模板查看和修改证书模板选择要启用的证书模板32 第7章 证书服务器与SSL安全应用内容CONTENTS导航证书颁发机构的部署和管理证书注册和管理公钥基础设施实现SSL安全应用33 第7章 证书服务器与SSL安全应用7.3 证书注册和管理概述获取证书方式自动注册证书使用证书申请向导获得证书通过Web浏览器获得证书34 第7章 证书服务器与SSL安全应用7.3 证书注册和管理管理客户端的证书证书管理单元3种证书管理账户类型我的用户账户计算机账户服务账户35 第7章 证书服务器与SSL安全应用7.3 证书注册和管理管理客户端的证书
16、证书管理单元添加证书管理单元自定义的证书管理控制台36 第7章 证书服务器与SSL安全应用7.3 证书注册和管理管理客户端的证书查验证书的有效性检查个人证书个人证书可以是用户证书,也可以是计算机证书。一个有效的证书,必须获得与证书上的公钥对应的私钥。检查受信任的根证书颁发机构客户端必须能够信任颁发某证书的CA,才能证明该证书的有效性并接受它。要信任颁发某证书的CA,就需要将该CA自身的证书安装到计算机中。37 第7章 证书服务器与SSL安全应用7.3 证书注册和管理证书自动注册设置用于自动注册的证书模板设置证书模板的常规选项设置自动注册权限38 第7章 证书服务器与SSL安全应用7.3 证书注
17、册和管理证书自动注册设置用于自动注册证书的Active Directory组策略编辑组策略对象设置自动注册组策略39 第7章 证书服务器与SSL安全应用7.3 证书注册和管理证书自动注册应用组策略自动注册证书自动注册证书被拒用户自动注册成功40 第7章 证书服务器与SSL安全应用7.3 证书注册和管理使用证书申请向导申请证书可采用证书申请向导来选择证书模板,以便更有针对性地申请各类证书。不过,只有客户端计算机作为域成员时才能使用这种方式。这种方式需使用证书管理单元,能够直接从企业CA获取证书。下面在Windows 10域成员计算机上进行操作。(1)打开证书管理单元并展开,右键单击“证书-当前用
18、户”“个人”节点,选择“所有任务”“申请新证书”命令,启动证书申请向导并给出有关提示信息。(2)单击“下一步”按钮,出现图7-35所示的窗口,选择证书注册策略。这里保持默认设置,即由管理员配置的Active Directory注册策略。(3)单击“下一步”按钮,出现图7-36所示的窗口,选择要申请的证书类别(证书模板)。这里选择“用户”。图7-35 图7-36 (4)单击“注册”按钮提交注册申请,如果注册成功将出现“证书安装结果”界面,提示证书已安装在计算机上。单击“完成”按钮。如果要申请计算机证书,右键单击“证书(本地计算机)”“个人”节点,选择“所有任务”“申请新证书”命令,启动证书申请向
19、导即可。注意只有管理员才有资格申请计算机证书。41 第7章 证书服务器与SSL安全应用7.3 证书注册和管理使用证书申请向导申请证书选择证书注册策略选择证书类别42 第7章 证书服务器与SSL安全应用7.3 证书注册和管理使用Web浏览器在线申请证书使用Web浏览器申请证书的情形非域成员客户端。需要通过NAT服务器来访问证书颁发机构的客户端计算机。为多个不同的用户申请证书。需要特殊的定制功能。43 第7章 证书服务器与SSL安全应用7.3 证书注册和管理使用Web浏览器在线申请证书启用Windows身份验证绑定HTTPS44 第7章 证书服务器与SSL安全应用7.3 证书注册和管理证书颁发机构
20、的证书管理查看已颁发的证书45 第7章 证书服务器与SSL安全应用7.3 证书注册和管理证书颁发机构的证书管理审查颁发证书CA收到客户端提交的申请后,经审查批准生成证书,最后向客户端颁发证书。企业CA使用证书模板来颁发证书,默认自动颁发证书。吊销证书通过证书吊销功能可将还未过期的证书强制作废。被CA吊销的证书会列入该CA的证书吊销列表中。46 第7章 证书服务器与SSL安全应用内容CONTENTS导航证书颁发机构的部署和管理证书注册和管理公钥基础设施实现SSL安全应用47 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用SSL安全网站解决方案基于SSL的Web网站实现的安全目标用户
21、(浏览器端)确认Web服务器(网站)的身份,防止假冒网站。在Web服务器和用户(浏览器端)之间建立安全的数据通道。让Web服务器(网站)确认用户的身份,防止假冒用户。架设SSL安全网站的条件需要从可信的证书颁发机构(CA)获取Web服务器证书。必须在Web服务器上安装服务器证书。必须在Web服务器上启用SSL功能。要求对客户端(浏览器端)进行身份验证,则客户端需要申请和安装用户证书。不对客户端进行身份验证,客户端与Web服务器信任同一证书认证机构,需要安装CA证书。48 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用利用IIS架设SSL安全网站注册并安装服务器证书配置Web服务器
22、证书的通用流程为:生成服务器证书请求文件向CA提交证书申请文件CA审查并颁发Web服务器获取Web服务器证书安装Web服务器证书。在IIS 8中,获得、配置和更新服务器证书都可以由Web服务器证书向导完成,向导自动检测是否已经安装服务器证书以及证书是否有效。本例直接向企业CA注册证书,步骤更为简单。(1)打开IIS管理器,单击要部署SSL安全网站的服务器节点,在“功能视图”中双击“服务器证书”图标,出现相应的界面,如图7-41所示。中间工作区列出了当前的服务器证书列表,右侧“操作”窗格中列出了相关的操作命令。IIS获得服务器证书的方式有导入服务器证书、创建证书申请、创建域证书、创建自签名证书。
23、这里示范创建域证书。因为网络中部署有企业CA,所以这里选中“立即将证书请求发送到联机证书机构”单选按钮。这种方式仅适合企业CA,其他方式将在后面介绍。(2)单击“操作”区域的“创建域证书”链接,弹出相应的对话框,设置要创建的服务器证书的必要信息,包括通用名称、组织单位和地理信息,如图7-42所示。图7-41 服务器证书信息 图7-42 设置要创建的服务器证书的必要信息通用名称很重要,可选用Web服务器的DNS域名(多用于Internet)、计算机名(用于内网)或IP地址。浏览器与Web服务器建立SSL连接时,要使用该名称来识别Web服务器。例如,通用名称使用域名,在浏览器端使用IP地址来连接S
24、SL安全网站时,将出现安全证书与站点名称不符的警告。一个证书只能与一个通用名称绑定。(3)单击“下一步”按钮,出现“创建证书”对话框,单击“选择”按钮,弹出“选择证书颁发机构”对话框,从列表中选择要使用的证书颁发机构,单击“确定”按钮,然后在“好记名称”文本框中为该证书命名,如图7-43所示。(4)单击“完成”按钮,注册成功的服务器证书将自动安装,并出现在服务器证书列表中,如图7-44所示。可选中它来查看证书的信息。49 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用利用IIS架设SSL安全网站注册并安装服务器证书配置Web服务器证书的通用流程生成服务器证书请求文件向CA提交证书
25、申请文件CA审查并颁发Web服务器获取Web服务器证书安装Web服务器证书50 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用利用IIS架设SSL安全网站注册并安装服务器证书服务器证书信息设置要创建的服务器证书的必要信息51 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用利用IIS架设SSL安全网站注册并安装服务器证书指定联机证书颁发机构查看安装好的服务器证书52 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用利用IIS架设SSL安全网站在Web网站上启用并配置SSL网站绑定HTTPSSSL设置53 第7章 证书服务器与SSL安全应用7.4 实现SSL
26、安全应用利用IIS架设SSL安全网站在客户端安装CA证书客户端必须能够信任颁发服务器证书的CA,只有服务器和浏览器两端都信任同一CA,彼此之间才能协商建立SSL连接。如果不要求对客户端进行证书验证,只需安装根CA证书。自动安装的企业根CA证书54 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用利用IIS架设SSL安全网站在客户端安装CA证书下载CA证书链选择证书存储区域55 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用利用IIS架设SSL安全网站测试基于SSL连接的Web访问56 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用通过创建证书申请注册并配
27、置Web服务器证书生成服务器证书请求文件设置要创建的服务器证书的必要信息,包括通用名称、组织单位和地理信息。完成证书申请文件的创建。申请服务器证书向证书颁发机构提交服务器证书请求文件。57 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用通过创建证书申请注册并配置Web服务器证书申请服务器证书高级证书申请提交证书申请58 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用通过创建证书申请注册并配置Web服务器证书申请服务器证书证书已颁发59 第7章 证书服务器与SSL安全应用7.4 实现SSL安全应用通过创建证书申请注册并配置Web服务器证书安装服务器证书指定联机证书颁发机构查看安装好的服务器证书60 第7章 证书服务器与SSL安全应用THANKS