国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

簡介

對于當今的任何一個組織來說，在 Internet、Extranet、Intranet 上和在應(yīng)用程序之間交換未保護信息都會產(chǎn)生潛在的安全風(fēng)險。它們所面臨的挑戰(zhàn)是防止未授權(quán)的第三方監(jiān)聽在 Internet 上傳輸?shù)男畔?、偽裝成獲得授權(quán)的人員或干擾組織開展業(yè)務(wù)的能力。

本文提供的分步向?qū)Э芍谶\行 Microsoft® Windows Server™ 2003 操作系統(tǒng)的網(wǎng)絡(luò)上建立一個公共密鑰證書頒發(fā)機構(gòu) (CA)?？梢栽谶\行 Microsoft® Windows Server™ 2003, Standard Edition、Microsoft® Windows Server™ 2003, Enterprise Edition 或者 Microsoft® Windows Server™ 2003, Datacenter Edition 的服務(wù)器上安裝 CA。

CA 是一項在公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 中用于頒發(fā)和管理電子憑據(jù)或證書的服務(wù)。公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 由數(shù)字證書、CA 和其他可通過公鑰加密對電子交易中的各方進行授權(quán)有效性驗證的注冊機構(gòu) (RA) 組成。有關(guān) PKI 的標準目前還在進一步發(fā)展中，但是作為電子商務(wù)中的一個必要元素目前正在被廣泛應(yīng)用。許多政府代理機構(gòu)和私人團體都已經(jīng)公布了他們自己的 PKI 標準。在執(zhí)行一個 PKI 體系之前，應(yīng)向律師咨詢以確保該體系不違反所有相關(guān)的本地、州、聯(lián)邦政府和國際法律法規(guī)。

Windows Server 2003 PKI 可以與 Microsoft® Windows® XP Professional 的客戶端集成在一起，它有助于組織及其雇員、合作伙伴、供應(yīng)商和客戶之間的通信安全。運行 Windows Server 2003 證書服務(wù)的服務(wù)器可將公鑰頒發(fā)給個人、設(shè)備或服務(wù)。證書持有者 PKI 可采用應(yīng)用激活軟件和激活技術(shù)來啟用中心管理的身份驗證，以確保數(shù)據(jù)機密性和數(shù)據(jù)交換的安全性。Windows Server 2003 本身支持 PKI 激活技術(shù)，這提供了下列技術(shù)及與之相關(guān)的商業(yè)利益的基礎(chǔ)：

此外，在有 Windows Server 2003 PKI 的情況下，還可以利用它將證書服務(wù)和 Active Directory® 目錄服務(wù)和組策略集成在一起。在 Active Directory 環(huán)境下，Windows Server 2003 CA 可以使用“證書模板”來控制所頒發(fā)證書的內(nèi)容，其中“證書模板”由 Active Directory 頒發(fā)。證書模板可以定義證書中的信息，并將證書中的技術(shù)細節(jié)更透明地傳遞給用戶，從而達到簡化 CA 使用和管理的目的。根據(jù)組織的需要，可以使用單一用途模板，這種模板可以針對特定應(yīng)用生成證書；也可以使用多用途模板，這種模板可以為多種應(yīng)用生成證書，甚至可以根據(jù)自定義需要生成新的證書模板。

本文檔所提供的指導(dǎo)內(nèi)容包括如何建立企業(yè)根 CA、如何使用證書模板來啟用客戶端自動注冊功能、以及如何為無線用戶創(chuàng)建自動注冊功能。特別地，可以通過它學(xué)習(xí)如何進行如下操作：

要點：本文檔中的屏幕截圖所示為測試環(huán)境，其信息可能與屏幕上顯示的信息有差別。

在完成這些步驟之后，網(wǎng)絡(luò)將會含有企業(yè)根 CA，同時可以通過證書模板管理單元訪問所有可用的證書模板。此外，客戶端自動注冊功能在驗證過程中會要求無線用戶使用數(shù)字證書，這可以加強無線用戶的驗證過程。自動注冊功能可以使用戶幾乎無需理會此要求，原因使此功能使他們能夠自動請求證書，重新檢索頒發(fā)證書和更新到期證書?？梢酝ㄟ^擴展 PKI 的應(yīng)用來放寬 Windows Server 2003 PKI 為網(wǎng)絡(luò)所提供的保護，以支持其他應(yīng)用，比如前面提到過的數(shù)字簽名、IPSec 等。

要點：該文檔中所含的指導(dǎo)步驟都是從安裝操作系統(tǒng)時的默認情況下顯示的“開始”菜單開始的。如果您修改過“開始”菜單，則上述步驟可能稍有不同。

準備工作

本節(jié)講述了一個企業(yè) CA 的安裝要求。在安裝 CA 之前必須滿足所有安裝要求，如果達不到這些要求，會導(dǎo)致安裝失敗或 CA 功能受限。

此文檔中的說明假定有一個還沒有進行配置的 PKI 系統(tǒng)。但該文檔中所講的解決方案并不能為附加 Microsoft CA 服務(wù)與現(xiàn)有 PKI 的集成提供指南。

IT 基礎(chǔ)設(shè)施的先決條件

您的組織必須配有下列 IT 基礎(chǔ)設(shè)施：

每一步操作中所需的 Windows Server 2003 操作系統(tǒng)的版本

企業(yè) CA 要求

要使用 Windows Server 2003 有效安裝企業(yè) CA，必須進行如下操作：

企業(yè)根 CA 只需要一個服務(wù)器就可以創(chuàng)建。

下表在 Windows Server 2003 建議的基礎(chǔ)上給出了企業(yè)根 CA 服務(wù)器的推薦硬件配置。但是如果硬件在有些方面符合 Build Guide 2-Implementing the Public Key Infrastructure（英文）中略述的標準，則不必再購買新的硬件。若要了解 Microsoft Server 2003 企業(yè)根 CA 推薦硬件配置的更多信息，可在 TechNet 網(wǎng)站 http://go.microsoft.com/fwlink/?LinkId=22696 上參考“創(chuàng)建指南 2 － 公鑰基礎(chǔ)結(jié)構(gòu)的實施”。

企業(yè)根 CA 服務(wù)器的推薦硬件配置

選擇要用的 CA 類型

有些組織使用外部商業(yè) CA，而其他組織都使用自己的 CA。由于 CA 是一個組織中最重要的信任點，因此大多數(shù)組織都有自己的 CA。本文檔假定的組織使用自己的 CA。

Windows Server 2003 提供兩種級別的 CA，一個是“企業(yè)”CA，另一個是“獨立”CA，選擇哪一種取決于安裝過程中使用的策略模塊。策略模塊決定了 CA 收到證書請求時所進行的操作。

通常，如果組織為 Windows Server 2003 域的一部分，若對此組織內(nèi)部的用戶或計算機頒發(fā)證書，應(yīng)安裝企業(yè) CA。如果組織為 Windows Server 2003 域的一部分，若對此組織外部的用戶或計算機頒發(fā)證書，應(yīng)安裝獨立 CA。

企業(yè) CA 要求所有請求證書的客戶端在 Active Directory 中都有一個條目，而獨立 CA 不需要。此外，在頒發(fā)用于登錄 Windows Server 2003 域的證書時，企業(yè) CA 比獨立 CA 更簡便。

在企業(yè) CA 和 獨立 CA 級別內(nèi)部，有兩種類型的 CA，一個是“根”CA，另一個是“從屬”CA。根 CA 是組織信任的根基。在必要的情況下，根 CA 證書可通過啟用從屬 CA 來實施策略和向終端用戶頒發(fā)證書。本文檔將向您展示如何安裝和配置沒有從屬 CA 的企業(yè)根 CA。

若要了解企業(yè) CA、獨立 CA、根 CA、從屬 CA 和密鑰 PKI 設(shè)計決策的更多信息，請在 TechNet 網(wǎng)站上參考 MSA Enterprise Design for Certificate Services 的“Determining CA Roles & Types”（英文）主題，其位置是 http://go.microsoft.com/fwlink/?LinkId=22671。

開始之前需了解內(nèi)容

CA 部署之后哪些內(nèi)容不能更改

安裝和配置企業(yè)根 CA

證書服務(wù)根的安裝過程會生成一個根 CA 證書，該證書中含有 CA 的公鑰和由根的私鑰所創(chuàng)建的數(shù)字簽名。本節(jié)提供了有關(guān)建立企業(yè)根 CA、使用證書模板啟用客戶端自動注冊和建立自動注冊的分步指導(dǎo)信息。

安裝和配置企業(yè)根 CA

現(xiàn)在需要以企業(yè)管理員的身份登錄，例如以 Enterprise Admins 組和根域的 Domain Admins 組的成員帳戶登錄。

要求

•

安裝和配置企業(yè)根 CA 1. 作為 Enterprise Admins 組和根域的 Domain Admins 組的成員登錄。 2. 單擊“開始”，再單擊“控制面版”，再單擊“添加和刪除程序”，然后單擊“添加 Windows 組件”。 3. 在“Windows 組件向?qū)?#8221;中，選中“證書服務(wù)”復(fù)選框。然后會出現(xiàn)一個對話框，通知您在證書服務(wù)安裝之后計算機不能被重新命名以及計算機不能加入域或從域中刪除。單擊“是”。 注意： 如果要使用證書服務(wù)的 Web 組件，應(yīng)單擊“應(yīng)用服務(wù)器”（但不要選中它的復(fù)選框）以確保“IIS”復(fù)選框已選中，然后單擊“詳細信息”，選中“Internet 信息服務(wù) (IIS)”，然后單擊“確定”。 單擊“下一步” 4. 在“CA 類型”頁面上，選擇“企業(yè)根 CA”，然后單擊“下一步”。 注意： 私鑰總是存儲在本地服務(wù)器上，除非使用加密硬件設(shè)備。在公鑰被存放在證書上的情況下，私鑰被存儲在設(shè)備上。公鑰位于證書中。 5. 在“CA 信息標識”頁面提供適于您的站點和組織的信息標識。 1. 在“此 CA 的公用名稱”中，輸入證書頒發(fā)機構(gòu)的公用名稱。 CA 名稱（或公用名稱）很重要，因為要用它來標識在 Active Directory 中創(chuàng)建的 CA 對象。 2. 在“有效期”中選擇接受5年的默認選項，然后單擊“下一步”， 其中“有效期”是 CA 有效的時間，即安全和管理之間的權(quán)衡。請記住，在每次根證書到期的時候，管理員必須更新所有信任關(guān)系，并要采取一些管理性步驟把 CA 轉(zhuǎn)移到新的證書上。在大多數(shù)企業(yè)環(huán)境中，通常的時間期限是 5 年或更多，但是要符合正式的 IT 策略和程序。同時向您的律師咨詢，以確保 CA 配置符合所有法律要求。 6. 在“證書數(shù)據(jù)庫設(shè)置”頁面，單擊“下一步”接受證書數(shù)據(jù)庫的默認存儲路徑和證書數(shù)據(jù)庫日志，然后確認“將配置信息存儲在共享文件夾內(nèi)”沒有選中。 注意： 安裝程序可能會給出“不能創(chuàng)建共享文件夾”的警告信息，這是預(yù)料中的，因為所有網(wǎng)絡(luò)接口都已禁用。安全的做法是忽略這一警告，繼續(xù)進行后面的操作。此外一定要將證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志存儲在本地 NTFS 驅(qū)動器上。 7. 如果 IIS 正在運行，將會有信息提示您停止該設(shè)備。單擊“是”停止 IIS。必須在 Web 組件安裝之前停止 IIS。 注意： 如果沒有安裝 IIS，則不會顯示該消息，Web 注冊也不可用，除非已安裝 IIS。 然后，可選組件管理器將安裝證書服務(wù)組件。如果需要 Windows Server 2003 安裝媒體 (CD)，請將 Windows Server 2003 產(chǎn)品 CD 插到 CD 驅(qū)動器中。 8. 單擊“確定”完成安裝。單擊“完成”關(guān)閉向?qū)А?/p>

安裝 CA 后，請將證書模板添加到 CA 中，并對 CA 進行配置以允許主題能夠請求基于模板的證書。

注意：如果自己建議或者計劃采用指南中的建議來加強組織內(nèi)域控制器的安全性，需要修改域的組策略設(shè)置以啟用證書服務(wù)。若要了解完成此項任務(wù)的更多信息，請在 Security Guidance Kit 中參考文檔“Securing Windows Server 2003 Domain Controllers”（英文）。

驗證 CA 安裝

驗證 CA 安裝是否成功的最簡單的方法是輸入 net start ，看 CA 是否運行。

如要進一步驗證或要處理中間出現(xiàn)的故障錯誤，還可以在 systemroot\certocm.log 中查看 CA 安裝日志。

還可以采用以下的步驟

要求

安裝證書模板

該步驟將向您演示如何安裝和查看默認證書模板。若要了解每個默認證書模板的說明，請在 TechNet 網(wǎng)站上參考 Implementing and Administering Certificate Templates in Windows Server 2003 的“Default Templates”（英文）主題，其位置是 http://go.microsoft.com/fwlink/?LinkId=22669。

要求

•	安裝和查看默認證書模板。 1. 單擊“開始”，再單擊“運行”，然后在“運行”對話框中輸入 certtmpl.msc，然后單擊“確定”。 2. 如果是第一次在 CA 上運行證書模板管理單元，將會收到需要安裝證書模板的提示消息，每一個消息都單擊“是”。 3. 在控制臺樹上單擊“證書模板”。所有證書模板都將顯示在詳細信息窗格內(nèi)。 4. 關(guān)閉“證書模板”。

創(chuàng)建自定義證書模板

證書模板允許對證書服務(wù)所頒發(fā)的證書（包括證書的頒發(fā)方式和所含內(nèi)容）進行自定義。證書模板是對傳入的證書請求所應(yīng)用的一組規(guī)則和設(shè)置。

可通過復(fù)制現(xiàn)有模板或使用現(xiàn)有模板屬性作為新模板的默認屬性，來創(chuàng)建新的證書模板。通過復(fù)制與所需要的新模板最接近的現(xiàn)有證書模板，可以大幅減少工作量。

要求

為客戶端自動注冊配置證書模板

在 Windows XP 和 Windows Server 2003, Enterprise Edition 中，自動注冊是一個非常有用的證書服務(wù)功能。有了自動注冊，就可以將客戶端配置為在無需客戶端參與的情況下自動注冊證書、檢索頒發(fā)的證書和更新到期證書?？蛻舳瞬恍枰私庾C書的任何操作，除非您將證書模板配置為需要與客戶端交互。

本節(jié)講述了修改證書模板的一種方法：客戶端自動注冊。若要了解有關(guān)自動注冊的更多信息，請在 TechNet 網(wǎng)站上參考 Certificate Autoenrollment in Windows Server 2003（英文），其位置是 http://go.microsoft.com/fwlink/?LinkId=22668。

要正確配置客戶端自動注冊功能，需對證書模板或要采用的模板進行適當?shù)挠媱潯ＷC書模板中的幾個設(shè)置會直接影響客戶端注冊的行為。

要求

為默認證書模板授予注冊權(quán)

此步驟將配置在“為客戶端自動注冊配置證書模板”步驟中已被自動注冊的客戶端要使用的默認模板。

要求

注意：若要禁止主題請求基于模板的證書，請采用此過程中同樣的步驟清除“讀取”和“注冊”復(fù)選框。

配置 CA 以頒發(fā)基于證書模板的證書

此步驟向 CA 添加將由該 CA 頒發(fā)的新證書模板。

要求

從 CA 刪除證書模板

在定義和配置完計劃采用的證書模板之后，最佳做法是將不用的證書模板全部從 CA 上刪除。刪除證書模板只是斷開與 CA 的連接，而不是將它從證書模板存儲中物理刪除。如果將來需要將證書模板刪除，可重復(fù)“安裝證書模板”中的步驟以執(zhí)行該任務(wù)。

要求

證書服務(wù)實現(xiàn)示例：為無線用戶建立自動注冊功能

要將服務(wù)器配置為提供用戶和計算機證書的自動注冊功能，請執(zhí)行以下操作：

要求

為無線用戶創(chuàng)建證書模板

•	為無線用戶創(chuàng)建證書模板 1. 單擊“開始”，再單擊“運行”，然后在“運行”對話框中輸入 certtmpl.msc ，然后單擊“確定”。 2. 在“證書模板”的詳細信息窗格中，單擊“用戶”模板。 3. 在“操作”菜單中，單擊“復(fù)制模板”。 4. 在“新模板屬性”頁面的“常規(guī)”選項卡上，在“模板顯示名”框中，輸入“無線用戶證書模板”。 5. 單擊“應(yīng)用”繼續(xù)下一步操作。

為客戶端自動注冊配置證書模板

•

為客戶端自動注冊配置證書模板 1. 在“無線用戶證書模板屬性”頁面的“常規(guī)”選項卡上，確保“在 Active Directory 中發(fā)布證書”復(fù)選框被選中。 2. 單擊“安全”選項卡。 3. 在“組或用戶名”列表上單擊“域用戶”。 4. 在“域用戶權(quán)限”列表的“允許”列下方，選中“讀取”、“注冊”和“自動注冊”復(fù)選框。 5. 單擊“主題名稱”選項卡，清除“在接受方名稱中所含電子郵件名”和“電子郵件名稱”，然后單擊“確定”。 要點： 在此示例中，出于實驗?zāi)康模瑳]有在 Active Directory 用戶和計算機管理單元中為 WirelessUser 帳戶輸入電子郵件名稱，所以這兩個選項都被禁用。為了自動注冊要分發(fā)給客戶端的用戶證書，您需要輸入 WirelessUser 帳戶的電子郵件地址，或者不選中這兩個電子郵件框。 6. 單擊“確定”，然后關(guān)閉“證書模板”。

配置 CA 以頒發(fā)基于證書模板的證書

•

配置 CA 以頒發(fā)基于證書模板的證書 1. 單擊“開始”，指向“所有程序”再指向“管理工具”，然后單擊“證書頒發(fā)機構(gòu)”。 2. 在控制臺樹上展開企業(yè)根 CA，然后單擊“證書模板”。 3. 在“操作”菜單上，指向“新建”，然后單擊“要頒發(fā)的證書”。 4. 如果需要，請向下滾動，然后選中“無線用戶證書模板”。 5. 單擊“確定”。 6. 單擊“開始”，指向“所有程序”，再指向“管理工具”，然后單擊“Active Directory 用戶和計算機”。 7. 如果需要，請在控制臺樹上雙擊“Active Directory 用戶和計算機”，然后右鍵單擊 Contoso.com 域，然后單擊“屬性”。 8. 在“組策略”選項卡上，單擊“默認域策略”，然后單擊“編輯”，這將打開組策略對象編輯器管理單元。 9. 在控制臺樹上展開“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“公鑰策略”，然后單擊“證書自動請求設(shè)置”。 10. 右鍵單擊“證書自動請求設(shè)置”，指向“新建”，然后單擊“自動證書請求”。 11. 在“歡迎使用證書自動請求安裝向?qū)?#8221;頁面上，單擊“下一步”。 12. 在“證書模板”頁面上，單擊“計算機”，然后單擊“下一步”。 13. 在“證書自動請求安裝向?qū)瓿?#8221;頁面上，單擊“完成”。然后“計算機”證書類型會在組策略對象編輯器管理單元的詳細信息窗格中顯示。 14. 如果需要，請在控制臺樹中向下滾動，然后展開“用戶配置”、“Windows 設(shè)置”、“安全設(shè)置”和“公鑰策略”。單擊“公鑰策略”。 15. 在詳細信息窗格中，雙擊“自動注冊設(shè)置”。 16. 單擊“自動注冊證書”，選中“續(xù)訂到期證書，更新未決證書和刪除吊銷的證書”復(fù)選框，然后選中“更新使用證書模板的證書”復(fù)選框，然后單擊“確定”。 17. 關(guān)閉組策略對象編輯器和 Active Directory 用戶和計算機。

當已升級的默認域組策略對象有效的時候，客戶端必須重啟計算機，然后通過一個允許使用新組策略設(shè)置的有線連接和一個要頒發(fā)的證書登錄。需通過客戶端計算機的證書管理單元來對證書進行驗證，以查看用戶和計算機的個人證書存儲。

如需了解有關(guān)無線網(wǎng)絡(luò)選項的更多信息，請參考 Microsoft 網(wǎng)站上的 Microsoft Solution for Securing Wireless LANs（英文），位置為 http://go.microsoft.com/fwlink/?LinkId=22676。

相關(guān)信息

有關(guān)創(chuàng)建企業(yè)根 CA 的更多信息，請參考以下內(nèi)容：

有關(guān)公鑰基礎(chǔ)結(jié)構(gòu)以及如何在中小型企業(yè)配置和管理 CA 的更多信息，請參考以下內(nèi)容：