第五章PKI与证书服务应用

第五章PKI 与证书服务应用5.1公钥基础结构5.1.1什么是PKIPKI 是通过使用公钥技术和数字证书来确保数字信息安全, 并负责验证数字证书持有者身份的一种技术.5.1.2公钥加密技术1. 数据

第五章PKI 与证书服务应用

5.1公钥基础结构

5.1.1什么是PKI

PKI 是通过使用公钥技术和数字证书来确保数字信息安全, 并负责验证数字证书持有者身份的一种技术.

5.1.2公钥加密技术

1. 数据加密

2数字签名

5.1.3 X.509

5.1.4使用PKI 的协议

1. SSL(secure socket layer)安全套接字层

2. HTTPS 安全超文本传输协议

3. IPSec(IP security)

5.2证书颁发机构

5.2.1 什么是证书

5.2.2 CA的作用

5.2.3 证书的发放过程

5.2.4 安装证书服务

步骤：

1. 在域控制器上，从“管理工具”中打开“服务器管理器”---角色，单击“添加角色。打

开”添加向导。

2. 单击“下一步”， 进入“选择服务器角色”窗口，选择“active directory”证书服务“，

单击”下一步“

3. 在“服务简介“窗口单击”下一步“，在”选择角色服务“窗口中选择”证书颁发机构

“和证书颁发机构web 注册”，添加必须的角色服务，单击“下一步”

4. 在“指定安装类型”窗口中选择“企业”，单击“下一步”

5. 在“指定CA 类型”窗口i 选择“根CA ，单击”下一步“

6. 在“设置私钥“窗口选择”新建私钥“，单击”下一步“

7. 在“为CA 配置加密“窗口，使用默认的加密服务提供程序、哈希算法和密钥长度，单

击”下一步

8. 在“配置CA 名称“页中，使用默认的名称，单击“下一步”

9. 在“设置有效期”页中，使用默认五年有效期，单击“下一步”

10. 在“配置证书数据库”页中，使用默认的保存位置，单击“下一步”

11. 在“web 服务器简介”页中，单击“下一步”

12. 在“选择角色服务”页中，使用默认为web 服务器添加的角色服务，单击“下一步”

13. 单击“安装---关闭”，完成添加角色。

14. 安装完成后可以从“管理工具”中选择“certification authority“，打开证书颁发机构管

理器，管理证书的颁发

15. 用户可以使用web 浏览器访问，申请证书,

注意：http://IP/certsrv中的IP 是证书服务器的IP 地址，也可使用证书服务器的机器名称。访问该目录是需要提供用户名和密码，默认情况下certsrv 使用集成windows 身份验证

5.3 证书服务的应用

5.3.1证书的申请与颁发

1. 生成证书申请

步骤：

1) 在web 服务器上，打开“管理工具”中的“internet 信息服务管理器”，在左侧窗格

选择服务器名称，双击中间窗格的“服务器证书”

2) 单击右侧窗格的“创建证书申请”

3) 在“可分辨名称属性”窗口输入证书的必须信息，单击“下一步’

注意; 这里输入的“通用名称”应该是站点的域名或IP 地址，如果通用名称和站点的实际域名或IP 地址不同，则在使用中会提示访问该站点的用户“此网站的安全证书有问题

4) 在“加密服务提供的程序属性“窗口，使用默认的加密程序和密钥长度，单击”下

一步

5) 在’“文件名”窗口，为该证书申请指定一个文件名和保存位置，单击“完成，完

成证书申请的创建

6) 打开证书申请文件“c:�rtificate.txt”, 可见证书申请文件是base-64编码，

2. 提交证书申请

可以通过浏览器访问certsrv 虚拟目录，提交申请，操作步骤：

1) 复制证书申请文件内全部内容

2) 使用web 浏览器链接到单击“申请证书“

3) 在“申请一个证书“页面中，单击”高级证书申请“

4) 在“高及证书申请“页面中，选择第二项，使用base-64编码的证书申请，

5) 在“提交一个证书申请或续订申请“页面，将第一步复制的证书申请内容黏贴到”保存

的申请：“文本框中，在”证书模版“下拉列表中选择”web 服务器“，单击”提交“

3. 颁发证书

如果使用的使企业CA ，在提交申请后CA 会自动颁发证书。

如果是独立CA ，则还需要人工操作颁发证书。打开独立CA ，在左侧窗格 选择“挂起的申请“，在右侧窗格右击申请，选择”所有任务---颁发“，为该申请颁发证书，

证书颁发完成后，在“证书已颁发“页面，选择”base-64编码“，单击”下载证书“，将证书保存到本地，

注意：本例使用的是企业CA, 提交申请后会直接进入“证书已颁发“页面。

如果使用的是独立CA, 则在证书颁发后需要重新单击申请证书中的“下载CA 证书、证书链或CRL ”超链接，进入“下载CA 证书”页面

5.3.2证书的安装与使用

1. 在web 服务器上安装证书

将证书下载到本地后，就可以为指定的web 站点应用该证书。具体步骤:

1) 单击创建证书申请右侧窗格的“完成证书申请”

2) 在“指定证书颁发机构响应”窗口，输入CA 响应文件（已下载的数字证书文件）

的路径和文件名，并给该文件起一个别名，单击“确定”。完成证书的申请

2. 配置安全通道（SSL ）

当web 服务器安装了证书后，就可以在指定的站点启用HTTPS 链接。具体步骤：

1) 展开“internet 信息服务管理器”左侧窗格的节点数，选择需要使用该证书的站点，单

击右侧操作窗格中的“绑定”

2) 在“网站绑定”窗口单击“添加”

3) 在“添加网站绑定”窗口，选择类型为“https ”, 选择SSL 证书为先前安装的证书”web ”,

使用默认“443”端口，单击“确定”

注意：选择绑定类型为https 时不能指定主机头，用户访问该站点是需要写全URL 地址，如：https://www.benet.com或(也可简写，省略掉冒号后的双杠) 。否则将链接失败，或链接到其他站点

当为站点设置https 类型的绑定后，还需要修改该站点的SSL 设置。展开“internet 信息服务管理器”左侧窗格的节点数，选择需要配置SSL 的站点，双击中间功能窗格中的“SSL 设置”，进入“SSL 设置”页面

如果需要强制用户都是用SSL 方式链接站点，则选择“要求SSL ”. 选择此项后不管站点是否有https 类型的绑定，用户都只能以https 方式链接站点。选择”要求SSL ”后可以进一步选择“需要128位SSL ”, 使用128位密钥加密SSL 通讯

在SSL 设置“页面还可以设置是否需要客户端证书

1. 忽略：无论用户是否拥有证书，都将被授予访问的权限。客户端不需要申请和安

装客户端证书

2. 接受“用户可以使用客户端访问资源，但证书并不是必须的。客户端不需要申请

和安装客户端证书

3. 必须：服务器在将用户与资源连接之前要验证客户端证书。客户端必须申请和安

装客户端证书，例如“用户证书“

3. 使用HTTPS 协议访问网站

当安装了证书并为站点添加了https 类型的绑定后，用户就可以使用https 方式（https://）和站点建立连接。当用户以https 访问时，系统会弹出两个安全警报窗口

注意：如果没有在“SSL 设置”页选择“要求SSL ”, 并且站点还有https 类型的绑定，那么用户还可以使用https 方式访问该站点。如果选择了”要求SSL ”当用户使用https 方式访问时将会弹出错误提示

注意：当证书由internet 上具有公信的CA 颁发或同一个域内的企业CA 颁发时，不会出现“证书由非可信CA 颁发”的安全警报。另外，由于浏览器版本不同，安全警告的显示方式可能会有所不同

确认这两个安全警告后即可访问该网站

5.3.3证书的导入与导出

1. 导出证书

步骤：

1) 在web 服务器上从“管理工具“中打开”internet 信息服务管理器“，在左侧

窗格选择服务器名称，双击中间窗格的”服务器证书“

2) 在中间窗格选择目标证书，单击右侧窗格的“导出“按钮

3) 在“导出证书“窗口中，指定导出路径、文件名及密码，单击”确定，完成证

书导出

注意：证书导出后小心保管，以避免因为服务器故障造成的损坏、丢失、或被他人

窃取

2. 导入证书

步骤：

1. 在重建的web 服务器上从“管理工具”中打开“internet 信息服务管理器”在左侧

窗格选择服务器名称，双击中间窗格的“服务器证书”

2. 单击“选择目标证书”的右侧操作窗格的“导入”

3. 在“导入证书”窗口中，输入证书路径、文件名和密码，单击“确定”，完成证书

的导入，

导入完成后就可以继续正常使用该证书，如为目标站点添加https 类型的绑定等 上机实验部分

实验案例一：为web 站点启用HTTPS

本章作业