返回
HOWTO部署层次性的公钥基础结构

HOWTO部署层次性的公钥基础结构

ID:39550429

大小:1.74 MB

页数:26页

时间:2019-07-06

HOWTO部署层次性的公钥基础结构_第1页
HOWTO部署层次性的公钥基础结构_第2页
HOWTO部署层次性的公钥基础结构_第3页
HOWTO部署层次性的公钥基础结构_第4页
HOWTO部署层次性的公钥基础结构_第5页
资源描述:

《HOWTO部署层次性的公钥基础结构》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、原创----HOWTO部署层次性的公钥基础结构(PKI)第一部分Byweihuang(MSN:huangwei20#msn.com)I.简介作为MS产品的爱好者,我一直想写篇关于证书服务的帖子(来论坛很久了,大部分时间处在潜水状态,论发帖量只能算是“新兵”,呵呵)。网上关于证书服务的资料虽多,但我发现,关于如何部署层次性的公钥基础结构(PKI)的文章却很少。考虑到安全原因,我推荐大家在企业里部署层次性的公钥基础结构,即部署根CA和颁发CA两层结构。根CA平时脱机,保证物理安全。颁发证书的任务由颁发CA负责。如果颁发CA私钥泄漏,不会从根本上影响我们的公

2、钥基础结构。总之,该方案兼顾安全性和颁发的灵活性。当然,部署这种方案也会给我们ITpro的技术能力带来一点挑战。呵呵,相信大家都喜欢做有挑战性的事情吧:)在去年,我们公司结合“MS安全无线局域网解决方案”部署了WPA+802.1x的无线网络。该方案的核心之一是使用了windows2003(以下简称win2k3)的证书服务构建层次性的公钥基础结构。在“MS安全无线局域网解决方案”一文中,详细介绍了如何部署、管理该结构。但里面很多环节涉及到使用脚本,对初学者多有不便,同事们也为此苦恼过。该方案确实也够长的,通读一遍恐怕需要不少功夫:)因此,结合我的工作实践

3、,这篇文章以图文结合方式指导大家如何利用证书服务快速部署该结构。II.安装要求1.在我们的试验环境里面,根CA安装为独立根CA。颁发CA安装为企业从属CA。颁发CA将AD用作注册颁发机构,且可以自动将已颁发的证书发布到该目录。并且,利用AD的GPO,我们可以自动颁发客户端的计算机证书和客户证书。2.这种部署方式需要AD的支持。推荐使用windows2003的域。如果你的环境是windows2000域,必须使用win2k3安装光盘中的ADprep扩展域架构,否则证书部分功能会不正常。因为win2k3的证书服务需要使用AD里新的schema属性。如何使用该

4、命令,请参考MS网站相关文章。3.相关机器准备信息见下表机器名Ip地址备注DC.contoso.msft192.168.0.1使用dcpromo把该机提升为DC。AD域为contoso.msftRootCA192.168.0.2卸载“更新根目录证书”。不需要加入域。配置、管理CA均以本地管理员身份进行。IssueCA.contoso.msft192.168.0.3安装IIS,仅需web服务。卸载“更新根目录证书”。加入contoso域。配置、管理CA均以域管理员身份进行。注:以上机器的操作系统均为windows2003企业版(集成了SP1)。虚拟机使用

5、的是VMWARE5.5。如何使用虚拟机请参考网上其他文章。考虑到试验的流畅性,各虚拟机内存至少应为256MB。各虚拟机均使用相同类型的网络连接,在我的环境里面,使用的是Vmnet6。III安装顺序1.创建AD域。2.安装根CA。配置它的参数。关闭根CA的网络连接,将根CA服务器脱机。3.将根CA的CRL和AIA信息发布到AD的相关区域和颁发CA的web目录中。此步骤是整个安装计划的关键。4.安装颁发CA。向根CA申请证书。5.将根CA批准的证书导回到颁发CA。启动颁发CA的服务。6.配置颁发CA上的相关参数。7.使用工具检查层次性的PKI。IV实战部分

6、1.按前面的内容准备试验环境。因为内部CA不需要从外网更新根证书,因此MS推荐在windows组件里把该功能卸载。2.登陆到RootCA服务器上,为根证书安装准备CApolicy.inf文件。该文件提供了即将安装的CA相关参数。Version栏表明这是windows提供的证书服务。Certsrv_server栏各参数依次表示CA的私钥长度(该数字越大,表明越不容易被破解。但是,长度太长,会有兼容性问题)、有效期(以年计算,在我的测试环境里面指定的是16年)。Crldistributionpoint和AuthorityInforationAccess栏为

7、空,是因为根CA本身不需要CRL和AIA信息。该文件用记事本编辑好之后,放在C:WINDOWS目录中。关于这些概念的详细说明请参见windows的帮助文件。1.在组件向导中选择安装“证书服务”。在出现的提示画面中如下选择:1.点击“下一步”。2.点击“下一步”,配置根证书名(CONTOSO-RootCA)和有限期(16年)。3.点击“下一步”,其他参数接受默认即可,使得安装全部完成。当这个步骤结束后,我们便可以检查、配置根CA的参数了。根CA启动后,界面如下。我们可以通过点击证书选项卡从而检查各基本参数是否正确。比如,在这里我们可以确认它的有效期确实

8、是16年。1.根CA的大部分配置信息在注册表HKLMSYSTEMCurrentContro

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。