《Windows Server 2003组网教程(管理篇)》第10章：证书

《《Windows Server 2003组网教程(管理篇)》第10章：证书》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、第10章证书的管理与应用本章要点:★证书服务简介★企业证书服务器的安装★企业证书服务的使用★企业从属证书服务器的安装与使用★独立根证书服务器的安装与使用★证书服务器的备份与还原★证书服务的管理★数字证书的具体应用10.1证书服务简介WindowsServer2003的网络中，可以使用公共密钥基础结构（PKI-PublicKeyInfrastructure）用于企业内部或外部网络中用户的身份验证、加密传输的信息、对发送电子邮件或者文档进行数字签名等一系列的应用。公共密钥技术用到了两个密钥，一个称为“公钥”，另一个称为“私钥”，对于“公钥”，可以对潜在

2、的响应者进行公开；对于“私钥”，必须要秘密保存。通常是通过“证书”来发布密钥。图10-1添加证书服务10.2企业证书服务器的安装10.3.1使用WEB界面申请与安装证书企业网络中的每一个用户，都可以使用自己的用户名和密码申请与其用户名（及其信息如E-Mail地址）相对应的个人数字证书，用户可以用申请的证书发送签名的电子邮件用来证明自己的身份；其他人收到此用户签名的电子邮件后，可以使用此用户“公钥”发送给此用户加密的电子邮件，只有此用户使用他自己的证书才能察看接收到的电子邮件。10.3企业证书服务的使用图10-7单击【申请一个证书】链接10.3.2导

3、出与导入证书图10-18单击【导出】按钮10.3.3使用证书向导申请证书图10-32申请新证书10.4企业从属证书服务器的安装与使用当企业中的计算机比较多时，或者因为其他情况，需要安装企业从属证书服务器。安装的从属证书服务器需要从企业根证书服务器申请一个证书。图10-38选择“企业从属CA”10.5独立根证书服务器的安装与使用如果网络中没有域控制器，或者，要安装为企业外部用户提供服务的证书服务器，必须安装独立的根证书服务器或者独立的子CA服务器。图10-51安装独立根CA服务器10.5.1独立根证书服务器的安装10.5.2使用WEB向导申请证书从独

4、立的CA服务器申请数字证书，只能使用WEB方式进行申请。从独立的CA服务器申请数字证书时，不需要输入用户名、密码，而从企业CA服务器申请数字证书，必须输入企业中有效的用户名和密码。从企业CA申请证书时，证书申请立刻可以被颁发，而从独立CA申请证书时，还必须经过独立CA服务器的管理员批准。图10-52单击【申请一个证书】链接10.5.3颁发证书独立CA服务器管理员，应该在每天运行证书颁发机构，看是否有申请证书的请求，并根据实际情况选择“颁发”或者“拒绝”。图10-56颁发证书图10-59单击【安装此证书】链接10.5.4获取证书图10-61安装独立从

5、属证书服务器10.5.5独立从属证书服务器的安装10.6证书服务器的备份与还原经过一段时间，都要对证书服务器进行备份，这样，当证书服务器出现不可恢复的故障需要重新安装时，可以使用备份数据恢复证书。否则，假如证书服务器没有备份，一旦服务器出现故障，即使是重新安装证书服务器并且在安装的过程中使用原来的名称安装，安装后的证书服务器与原来的也不一样，这样，原来颁发的证书、以及如果用户丢失了证书，将不能撤消与创建恢复代理等。图10-62备份CA10.6.1证书的备份图10-67还原证书10.6.2证书的还原10.7证书服务的管理10.7.1发放证书10.7.

6、2宣告证书无效为了维护证书的完整性，对于某些证书，CA管理员（独立CA或者企业CA）在必要时可以在某个证书失效之前宣告此证书无效。图10-74吊销一个证书图10-76解除吊销10.7.3解除吊销的证书图10-77发布证书撤销清单10.7.4发布证书撤销清单10.8.1使用证书发送签名的E-Mail用户可以使用自己的证书的“私钥”对发送的电子邮件进行“签名”以证明电子邮件的发送方。也可以使用证书的“私钥”对文档、驱动程序等进行签名。10.8数字证书的具体应用图10-77与用户相对应的电子邮件地址10.8.2使用证书发送加密的E-Mail如果您收取过别

7、人签名的电子邮件，或者您有接收者的“公钥”，您可以对发送的电子邮件采用“加密”发送。只有拥有相应“私钥”的接收者才能察看被“加密”的电子邮件。图10-88对邮件加密图10-95单击【数字签名】按钮10.8.3使用证书对WORD文档签名