没有合适的资源?快使用搜索试试~ 我知道了~
Windows Server 2003 PKI 操作指南.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 9 浏览量
2022-07-06
19:10:11
上传
评论
收藏 847KB DOC 举报
温馨提示
试读
57页
Windows Server 2003 PKI 操作指南
资源推荐
资源详情
资源评论
Windows Server 2003 PKI 操作指南
发布者 David B. Cross 和 Ayman AlRashed Microsoft Corporation
摘要
本文档为管理员提供了有关如何配置和使用 Windows 证书颁发机构的指南。同时还提供了各种操作方案、
自定义配置信息、示例命令以及最佳方法。
本页内容
简介
基本管理任务
从独立 CA 移植到企业 CA
Windows Server 2003 PKI 和基于角色的管理
角色分离
CA 审核
设置 CA 审核
审核和事件管理
CA 维护
自定义 CA 配置
注册处理
性能调整
查看扩展信息
管理证书接受方中的接受方 RDN
启用 Netscape 吊销方法
配置 SMTP 退出模块
使用 SSL 与 Exchange Server 通讯
相关链接
附录 A
简介
Windows Server 2003 针对部署公钥基础结构提供了一种灵活且低 TCO 的解决方案。由于客户环境的
复杂性以及组织要求的不同,Windows Server 2003 证书颁发机构 (CA) 可能需要更改配置。本白皮书
针对某些较常用的方案提供了最佳操作方法以及配置过程,但是不可能涵盖 Windows Server 2003 CA
中所有可能的操作方案以及配置参数。
基本管理任务
对于日复一日的任务,通常较好的做法是建立一个标准过程。过程通常依赖于组织,因为不同的组织会有
不同的过程和人员。当执行常见的日复一日的管理任务时,大多数组织通常会采用常用的做法。
将证书模板添加到 CA 中
证书模板会根据使用证书的目的配置证书。当从 Microsoft 证书颁发机构 (CA) 请求证书时,证书请求者
可根据其访问权限从各种基于证书模板的证书类型中进行选择,例如 User 和 Basic EFS。使用证书模板
之后,用户便无需再作出有关所需证书类型的低级技术决策。相反,他们可以依赖管理员的判断并使用表
明证书用途的模板名称。如果预设的证书模板均不能满足您的需求,您可以创建新的证书模板并进行自定
义以实现各种不同的用途。
注意:除了指定适当的权限以便在 Active Directory 中注册证书模板之外;如果您希望用户开始注册此模
板,还需要将此模板添加到 CA 可以发行的证书模板的列表中。
注意:只有 Windows Server 2003 CA 和 Windows 2000 Enterprise CA 才能颁发基于证书模板的
证书;独立 CA 无法使用证书模板。
注意:您必须是 Enterprise Admins 或 Domain Admins 的成员,否则您必须具有足够的权限才能向
Active Directory 中的 Certificate Templates 容器写入。
在证书模板上更改权限以便用户注册
1.
在 Certification Authority 管理单元中,右键单击 Certificate Templates 节点,然后选择 Manage。
2.
双击某个证书模板。
3.
在 Security 选项卡上,针对 Read 和 Enroll 权限选中 Allow 框。
将证书模板添加到 CA 中
1.
在 Certification Authority 管理单元中,右键单击 Certificate Templates 节点,然后在 New 子
菜单上选择 Certificate Template to Issue。
2.
选择适当的模板并单击 OK。
注意:您必须是 CA Administrator 才能将模板添加到 CA 中。
委托证书模板管理
虽然大多数与 CA 相关的任务可以通过管理 CA 本身来完成,但是某些任务却通过 Active Directory 进
行控制,例如证书模板管理。
委托证书模板管理
1.
在 Certification Authority 管理单元中,右键单击 Certificate Templates 节点,然后选择
Manage。
2.
双击某个证书模板。
3.
在 Security 选项卡上,针对 Read 和 Enroll 权限选中 Allow 框。
颁发证书
在颁发某一证书之前,您需要回答一些问题并进行存档。这些问题更多地与如何从操作端(而非技术端)
颁发证书相关。
1.
我的组织当前是否针对此 CA 使用证书实施细则 (CPS)?如果是,则请求者是否满足所有的注册要求?
2.
作为管理员,我必须满足哪些针对证书颁发人员(例如 Officer)的特殊要求?
3.
当颁发证书时,我必须遵循组织中的哪些书面操作过程(例如备份)?
4.
证书中必须包括哪些未在请求中包括的特殊属性(例如 Certificate Policy)?
当回答完这些问题并且满足所有要求之后,作为具有 Certificate Manager (CA Officer) 权限的用户登录
来颁发证书:
1.
左键单击 Certification Authority 管理单元中的 Pending Requests 节点。
2.
右键单击请求,然后在 All Tasks 子菜单上选择 Issue。
如果其中一个要求没有满足,您既可以确保满足这些要求(例如使用户提供更多的身份验证信息)然后颁
发证书,也可以拒绝此请求。
拒绝请求
1.
左键单击 Certification Authority 管理单元中的 Pending Requests 节点。
2.
右键单击请求,然后在 All Tasks 子菜单上选择 Deny。
在任何一种情况下,请确保对您的操作以及四个问题的所有回答均已进行存档。
重要信息:策略模块始终会重新处理挂起的请求,并且如果在最初提交请求之后模板、配置或用户组信息
已发生更改,则策略模块将会仅根据新的信息重新分析请求。
注意:要重新提交失败的请求并发出此请求,用户对于 CA 必须同时具有 CA Officer 和 CA Admin 权
限。显然,如果在 CA 上启用角色分离时,此功能是不可能实现的。
吊销证书
虽然证书通常用于在组织中增强信任,但有时却需要从某一证书中删除信任。在您吊销证书之前,请确保
您已回答以下问题并进行存档:
1.
为何吊销此证书?
2.
何人请求吊销此证书?
3.
我是否还会再次需要此证书(例如验证签名或解密消息)?如果是,那么何时需要(即,验证签名、
解密消息、一般使用)?
4.
作为管理员,我必须满足哪些针对吊销证书的人员(例如 Officer)的特殊要求?
5.
当吊销证书时,我必须遵循组织中的哪些书面操作过程(例如备份)?
当回答完所有这些问题并且满足所有要求之后,便可吊销证书。
吊销证书
1.
在 Certification Authority 管理单元中,左键单击 Issued Certificates 节点。
2.
右键单击证书,然后在 All Tasks 子菜单上选择 Revoke Certificate。
3.
选择适当的吊销原因并单击 Yes。
请确保对您的操作以及五个问题的所有回答均已进行存档。
注意:如果您对于问题 3 的回答为是,并且在任何时候或一般使用时需要此证书,请确保选择 Certificate
Hold 作为原因。这是可允许解除吊销已吊销证书的唯一原因。
如果您吊销某个证书且原因是 Certificate Hold,而后您又决定要解除吊销此证书,则需要回答以下问题
并进行存档:
1.
我为何要吊销此证书?
2.
何人请求此任务?
3.
作为管理员,我必须满足哪些针对解除吊销证书的人员(例如 Officer)的特殊要求?
4.
当吊销证书时,我必须遵循组织中的哪些书面操作过程(例如备份)?
5.
我的组织当前是否针对此 CA 使用证书实施细则 (CPS),如果是,则请求者是否满足解除吊销证书的
所有要求?
当回答完所有这些问题并且满足所有要求之后,便可解除吊销证书。
解除吊销证书
1.
在 Certification Authority 管理单元中,左键单击 Revoked Certificates 节点。
2.
右键单击已吊销的证书,然后在 All Tasks 子菜单上选择 Unrevoke Certificate。
请确保对您的操作以及四个问题的所有回答均已进行存档。
注意:如果误用,解除吊销证书被认为是很危险的。当您解除吊销证书时,请确保操作和文档均正确。
从独立 CA 移植到企业 CA
即使是最佳的规划意图,也可能需要将基于 Windows 的证书颁发机构的配置从独立模式更改为企业模式。
还可能需要更改最初作为 NT 4.0 证书颁发机构(包括在 NT 4.0 Option Pack 中)安装的 CA 的配置。
例如,可以将 NT 4.0 CA 适当升级到独立 CA 然后再转换为企业 CA 以便与 Exchange 2000 配合使
用。对于 NT 4.0 升级过程,请参阅 Windows 2000 或 Windows Server 2003 中的帮助文件。本节提
供了将 Windows Server 2003 独立 CA 转换为企业 CA 所需的全部步骤。
注意:不能将根 CA 转换为从属 CA,反之亦然。
移植 CA 的第一步是备份 CA 使用的现有密钥对及其数据库。要备份 CA 密钥和数据库,请在 MMC 中
右键单击 CA 节点,然后在 All Tasks 下选择 Back up CA。
查看全尺寸图片。
然后,您必须备份证书数据库、CA 证书以及 CA 私钥。选择 Private key and CA certificate 和
Certificate database and certificate database log,然后选择适当的备份文件路径。
注意:备份路径不应包含旧的备份文件。如果您要覆盖旧的备份文件,请使用命令行工具 Certutil.exe。
剩余56页未读,继续阅读
资源评论
老帽爬新坡
- 粉丝: 79
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功