《网络操作系统-Windows Server 2003系统与应用》 电子教案

第13章 证书服务 教学目的 重点、难点 教学方法 教学课时 学习在Windows Server 2003系统中安装与使用证书服务 公共密钥基础架构 证书服务器的安装 证书服务器的管理 客户端如何使用证书 教学方法 讲授法、练习法 教学课时 3节理论课+3节课堂练习 简单说明证书服务器的主要作用：数据加密、身份认证。

13.1 公共密钥基础结构（PKI）简介 对于电子商务系统中的身份识别，以及内部和外部网络上的数据加密来说，公共密钥技术是一项重要的技术。与公共密钥技术相关的两个基本概念分别是公钥加密和公钥认证。公共密钥基础结构是由数字证书（Digital Certificate）、证书颁发机构（Certificate Authority）所组成的系统。此系统可以用于解决信息加密和身份识别等问题。

13.1 公共密钥基础结构（PKI）简介 13.1.1 公钥加密 数据 1．王强使用李红的公钥 (Public Key) 加密数据 3．李红用李红的私钥 (Private Key) 将消息解密 数据 3A78 1．王强使用李红的公钥 (Public Key) 加密数据 2．被加密的消息通过网络进行传输 说明公钥加密的工作原理。在上图中，王强想发送一条私人消息给李红，他获得李红的公钥，并用其来加密消息，然后再通过网络传输给李红。为了读取这条消息，李红必须使用她的私钥来解密。因为除了李红之外没有人拥有该私钥，因此别人都无法读取这条消息。由于公钥不能用来对加密的数据进行解密，因此如果入侵者有李红的公钥，他们除了能够用此公钥来对他们自己的信息进行加密外，是不能用来解密王强用公钥加密的消息的。

13.1.2 公钥认证 数据 3．李红用王强的公钥 (Public Key) 验证来自王强的消息 13.1.2 公钥认证 3．李红用王强的公钥 (Public Key) 验证来自王强的消息 数据 3A78 1．王强用王强的私钥 (Private Key) 对消息进行签名 2．消息通过网络进行传输 如上图所示，王强使用他的私钥对消息进行签名（相当于加密操作），然后将消息发送给李红，李红用已经获得的王强的公钥对消息进行验证（相当于解密操作）。以确保此消息是由王强发来的，而且没有被第三方修改过。

13.1.3 证书颁发机构 证书颁发机构（CA）负责提供和分配密钥，用来加密、解密和认证。CA通过颁发证书来分配密钥，证书中包含公钥和一系列属性。 1．证书 2．外部CA和内部CA 3．颁发证书的过程 4．证书吊销 说明证书颁发机构的基本组织，以及证书颁发的基本步骤。

13.1.4 证书等级 证书等级是一种信任模式，它通过建立CA之间的父/子关系来创建证书路径。 1．根CA 企业根CA 独立根CA 说明几类常用证书等级及区别。

13.1.5 证书模板 默认可以使用的证书模板主要有： ◆ 目录电子邮件复制 ◆ 域控制器身份验证 ◆ EFS故障恢复代理 ◆ 基本EFS 13.1.5 证书模板 默认可以使用的证书模板主要有： ◆ 目录电子邮件复制 ◆ 域控制器身份验证 ◆ EFS故障恢复代理 ◆ 基本EFS ◆ 域控制器 ◆ Web服务器 ◆ 计算机 ◆ 用户 ◆ 从属证书颁发机构 ◆ 系统管理员 Windows Server 2003默认提供了31个模板，证书管理员可以管理这些默认的证书模板，还可以控制用户申请哪些证书，或是控制用户怎样去申请证书。

13.2 安装证书服务 证书服务与其他Windows Server 2003系统组件一样，使用“添加/删除程序”工具进行安装。安装证书服务后，计算机可以作为证书颁发机构，管理和颁发证书，但是安装证书服务的计算机不可以更改计算机名称。对于企业根CA或企业从属CA也不能删除Active Directory。 企业类或独立类。每个类型都可以有一个根CA和一个（或多个）从属CA。 操作安装证书服务的过程。 演示证书服务器安装过程。

13.3 管理证书颁发机构 13.3.1 启动和停止证书服务 1．命令行方式 Net start certsrv 启动证书服务 13.3.1 启动和停止证书服务 1．命令行方式 Net start certsrv 启动证书服务 Net stop certsrv 停止证书服务 Net pause certsvc 暂停证书服务

13.3 管理证书颁发机构 13.3.1 启动和停止证书服务 2．在“服务”控制台 演示操作过程。

13.3 管理证书颁发机构 13.3.1 启动和停止证书服务 3．在“证书颁发机构”控制台窗口 演示说明操作过程。

13.3.2 配置CA 演示说明配置CA的操作过程。并逐项说明证书的属性窗口中的各选项的配置。

13.3.3 备份和还原CA 演示操作备份和还原操作。

13.4 管理证书 13.4.1 管理证书模板 1．新增证书模板 演示新增证书模板的操作近程。

13.4 管理证书 13.4.1 管理证书模板 2．管理证书模板 在“证书颁发机构”控制台窗口中，选择“证书模板”，然后在“操作”菜单中选择“管理”，打开“Certtmpl-[证书模板]”窗口。 演示管理证书模板的操作。

13.4.2 管理颁发证书 1．颁发的证书 在“颁发的证书”右侧窗口中，为已颁发的证书。 简单说明已经颁发的证书。

13.4.2 管理颁发证书 2．挂起的申请 在“挂起的申请”项目中，可以查看用户已经申请，但是还没有经过证书管理员决定颁发或拒绝的证书。 13.4.2 管理颁发证书 2．挂起的申请 在“挂起的申请”项目中，可以查看用户已经申请，但是还没有经过证书管理员决定颁发或拒绝的证书。 演示说明挂起的申请。

13.4.2 管理颁发证书 3．吊销的证书 如果证书被吊销了，CA必须将已吊销的证书颁发，这样才能使其他人知道证书已经无效。所以证书管理员必须在吊销证书后，在“吊销的证书”项目中执行“发布”命令，更新证书吊销列表。 演示说明吊销证书的发布。

13.4.3 客户端证书申请 在虚拟环境下演示客户端证书申请操作过程。

13.5 案例分析 1．某企业需要允许业务伙伴通过Internet访问企业内部的产品说明数据库，同时必须要确保信息的保密性，你应该怎样做？ 分析：要确保Internet上通信计算机之间的网络通信安全，可以使用证书来加密计算机之间的IP通信。Windows Server 2003内置了证书服务功能，可以用来加密数据和认证用户身份 解决方法：使用Windows Server 2003内置的证书服务功能或第三方认证机构的证书，为用户颁发证书，提供数据加密和用户身份认证，以保证数据库的安全访问，以及对网络中传输的数据的加密。

13.5 案例分析 2．客户端希望申请一个“Exchange 用户”证书，用于对电子邮件进行认证。当用户在Web页中进行证书申请时，在证书模板下找不到“Exchange 用户”证书模板，是什么原因？应该怎么办？ 分析：在“证书颁发机构”的“证书模板”中只列出了默认的十个证书模板，“Exchange 用户”证书模板不是默认证书，因此没有列出，客户端也无法找到。 解决方法：在“证书模板”中选择 “新建”—“要颁发的证书模板”。在“启用证书模板”中选择“Exchange 用户”证书模板即可将其添加到“证书模板”中。重新启动“证书颁发机构”，客户端就可以使用该证书模板了。

课后小结 作业： （1）什么是公钥加密？ （2）什么是公钥认证？ （3）什么是证书颁发机构（CA）？ （4）一个证书被吊销后，并没有出现在CRL列表中，应该怎么办？ （5）怎样添加证书模板？ （6）哈希算法指的是什么？ （7）证书颁发机构自身的证书快要到期了，如果还想继续使用，应该怎么办？