《數(shù)字證書(shū)服務(wù)器的配置與應(yīng)用》由會(huì)員分享，可在線閱讀，更多相關(guān)《數(shù)字證書(shū)服務(wù)器的配置與應(yīng)用（58頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

★ 學(xué)習(xí)目標(biāo) ★ ? 熟悉數(shù)字證書(shū)的概念和功能 ? 熟悉 ? 熟悉基于 003數(shù)字證書(shū)服務(wù)的功能特點(diǎn) ? 掌握基于 003數(shù)字證書(shū)服務(wù)器的安裝和配置方法 ? 掌握數(shù)字證書(shū)的使用方法 ? 掌握數(shù)字證書(shū)的管理方法 第 5講 數(shù)字證書(shū)服務(wù)器的配置與應(yīng)用 重點(diǎn)難點(diǎn) ? 熟悉基于 003數(shù)字證書(shū)服務(wù)的功能特點(diǎn) ? 掌握基于 003數(shù)字證書(shū)服務(wù)器的安裝和配置方法 ? 掌握數(shù)字證書(shū)的使用方法 隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展 ， 相應(yīng)的安全問(wèn)題也越來(lái)越明顯 ， 形式各樣的安全威脅越來(lái)越突出 。 在隨之產(chǎn)生的各種網(wǎng)絡(luò)安全解決方案中 ， 數(shù)字證書(shū)便是其中一種 。 與其他安全技術(shù)和解決方案相比 ， 數(shù)字證書(shū)服務(wù)具有高效 、 實(shí)用 、方便使用等特點(diǎn) 。 本講在介紹數(shù)字證書(shū) 、 以 003操作系統(tǒng)為主 ， 介紹數(shù)字證書(shū)服務(wù)器的安裝 、 配置和使用方法 。 數(shù)字證書(shū)也稱為數(shù)字標(biāo)識(shí)（ D）。它提供了一種在 用來(lái)標(biāo)識(shí)和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。數(shù)字證書(shū)由一個(gè)權(quán)威的證書(shū)認(rèn)證機(jī)構(gòu)（ 行，在網(wǎng)絡(luò)中可以通過(guò)從 俗地講，數(shù)字證書(shū)就是個(gè)人或單位在 比較專(zhuān)業(yè)的數(shù)字證書(shū)定義是：數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下，證書(shū)中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)（證書(shū)授權(quán)中心）的名稱，該證書(shū)的序列號(hào)等信息，證書(shū)的格式遵循相關(guān)國(guó)際標(biāo)準(zhǔn)。 通過(guò)數(shù)字證書(shū)就可以使信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性交易者身份的確定性這四大網(wǎng)絡(luò)安全要素得到保障。 數(shù)字證書(shū)的概念 目前，計(jì)算機(jī)網(wǎng)絡(luò)中的安全體系分為 中，非 如用戶大量使用的“用戶名稱 +密碼”的形式就屬于非 于非 以近年來(lái) 鑰基礎(chǔ)設(shè)施）為網(wǎng)上信息的傳輸提供了加密（ 驗(yàn)證（ 能，在信息發(fā)送前對(duì)其進(jìn)行加密處理，當(dāng)對(duì)方接收到信息后，能夠驗(yàn)證該信息是否確實(shí)是由發(fā)送方發(fā)送的信息，同時(shí)還可以確定信息的完整性（ 即信息在發(fā)送過(guò)程中未被他人非法篡改。數(shù)字證書(shū)是 有安全操作都主要通過(guò)證書(shū)來(lái)實(shí)現(xiàn)。 包括簽署這些證書(shū)的認(rèn)證、數(shù)字證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)、應(yīng)用程序接口（ 基本構(gòu)成部分。 提供前面介紹的加密和驗(yàn)證功能，在此過(guò)程中需要公開(kāi)密鑰和私有密鑰來(lái)支持，其中： ? 公開(kāi)密鑰（ 公開(kāi)密鑰也稱為公共密鑰（簡(jiǎn)稱為“公鑰”），在安全系統(tǒng)中公開(kāi)密鑰不需要進(jìn)行保密，是向網(wǎng)絡(luò)中的所有用戶公開(kāi)的。對(duì)于一個(gè)安全系統(tǒng)來(lái)說(shuō)，公開(kāi)密鑰是唯一的。 ? 私有密鑰（ 私有密鑰簡(jiǎn)稱為“私鑰”，是用戶個(gè)人擁有的密碼，它存在于用戶自己的計(jì)算機(jī)或其他介質(zhì)中，只有該用戶自己才能使用。私有密鑰需要安全保存和管理。 在信息的安全傳輸中，發(fā)送信息前可以通過(guò)公開(kāi)密鑰對(duì)其進(jìn)行加密，接收方在接收到信息后再利用自己的私有密鑰進(jìn)行解密。 開(kāi)密鑰加密法 公開(kāi)密鑰加密法是使用公開(kāi)密鑰和私有密鑰一組密鑰來(lái)進(jìn)行加密和解密處理，其中公開(kāi)密鑰用來(lái)進(jìn)行加密，而私有密鑰用來(lái)進(jìn)行解密，這種加密和解密的處理方式也稱為“非對(duì)稱”（ 密法。另外，還有一種稱為“秘密密鑰加密法”（ 該算法也稱為“對(duì)稱”（ 密法，這種方法在進(jìn)行加密和解密的過(guò)程中都使用同一個(gè)密鑰。 圖 1 張三與李四之間利用公開(kāi)密鑰加密法傳輸信息 開(kāi)密鑰驗(yàn)證法 數(shù)字簽名”是通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理得到的，用以認(rèn)證信息來(lái)源并核實(shí)信息是否發(fā)生變化的一個(gè)字母數(shù)字串。 用戶可以利用“公開(kāi)密鑰驗(yàn)證法”來(lái)對(duì)要發(fā)送的信息進(jìn)行數(shù)字簽名，而對(duì)方在收到該信息后，能夠通過(guò)此數(shù)字簽名來(lái)驗(yàn)證信息是否確實(shí)是由發(fā)送方發(fā)送來(lái)的，同時(shí)還可以確認(rèn)信息在發(fā)送過(guò)程中是否被篡改。從實(shí)現(xiàn)原理來(lái)看，數(shù)字簽名其實(shí)就是對(duì)加密、解密的應(yīng)用。簽名的過(guò)程為加密過(guò)程，查看簽名的過(guò)程為解密過(guò)程。 圖 2 數(shù)字簽名的實(shí)現(xiàn)過(guò)程 書(shū)認(rèn)證機(jī)構(gòu)（ 在整個(gè)加密解密過(guò)程中，僅擁有密鑰（公開(kāi)密鑰和私有密鑰）是不夠的，還必須申請(qǐng)相應(yīng)的數(shù)字證書(shū)（ 數(shù)據(jù)標(biāo)識(shí)（ D），這樣才可能利用密鑰執(zhí)行信息加密和身份驗(yàn)證操作。在這里，密鑰相當(dāng)于“汽車(chē)”，而數(shù)字證書(shū)相當(dāng)于“駕駛證”，只有汽車(chē)而沒(méi)有駕駛證是無(wú)法開(kāi)車(chē)上路的，同樣只有駕駛證而沒(méi)有汽車(chē)也無(wú)法使駕駛證發(fā)揮作用。所以，密鑰和數(shù)字證書(shū)應(yīng)該是構(gòu)成該系統(tǒng)的必備條件。為了便于數(shù)字證書(shū)的管理，出現(xiàn)了一些專(zhuān)門(mén)的數(shù)字證書(shū)管理機(jī)構(gòu)，負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)，將這一機(jī)構(gòu)稱為“證書(shū)認(rèn)證機(jī)構(gòu)”，或“認(rèn)證中心”（ 如圖 3所示，當(dāng)用戶在申請(qǐng)證書(shū)時(shí)，必須輸入申請(qǐng)者的詳細(xì)資料：如姓名、地址、電子郵箱等，這些信息將被發(fā)送到一個(gè)稱為加密服務(wù)提供者（ 程序，由 銷(xiāo)密鑰，以及使用密鑰執(zhí)行各種加、解密操作。 個(gè)公開(kāi)密鑰和一個(gè)私有密鑰。 請(qǐng)者）計(jì)算機(jī)的注冊(cè)表中，然后將證書(shū)申請(qǐng)信息和公開(kāi)密鑰一并發(fā)送到 進(jìn)行加密、解密時(shí)，當(dāng)用戶需要某一用戶的公開(kāi)密鑰時(shí)，就會(huì)向 將得到的數(shù)字證書(shū)保存在自己的計(jì)算機(jī)中 。 圖 3 申請(qǐng)數(shù)字證書(shū)時(shí)提交的用戶信息 基于 A，即將 A）和“從屬 A）。其中： 1. 根 方面它可以發(fā)放用來(lái)保護(hù)電子郵件安全的證書(shū)、提供網(wǎng)站 密套接字協(xié)議層）安全傳輸?shù)淖C書(shū)、用來(lái)登錄 003域的智能卡證書(shū)、用來(lái)提供基于 一方面，根 A（從屬在大部分環(huán)境中，根 2． 從屬 屬 供網(wǎng)站 來(lái)登錄 003域的智能卡證書(shū)、用來(lái)提供基于可以發(fā)放證書(shū)給其下一層的從屬 屬 A（可能是根 可能是從屬 得證書(shū)后，才可以發(fā)放證書(shū)。 提示：對(duì)于 000、 P、 003來(lái)說(shuō)，如果該計(jì)算機(jī)已經(jīng)信任了根 么他們將會(huì)自動(dòng)信任該根 就是 是，當(dāng)用戶將從屬 從屬 不存在以上的繼承關(guān)系。 000、 P、 003的計(jì)算機(jī)已經(jīng)信任由一些知名的 要時(shí)，用戶可以向上述知名的 這些 時(shí)，也有一些不收費(fèi)的 果用戶只希望在本單位或系統(tǒng)內(nèi)部實(shí)現(xiàn)基于 以利用003提供的“證書(shū)服務(wù)”來(lái)組建自己的 后利用該 戶、供應(yīng)商等發(fā)放證書(shū)，而不需要向其他 樣，當(dāng)本單位或系統(tǒng)中的員工、客戶、供應(yīng)商的計(jì)算機(jī)設(shè)置為信任該 可以通過(guò)自己的 圖 4 查看計(jì)算機(jī)中已信任的根證書(shū) 003中 003提供的“證書(shū)服務(wù)”可以將 003扮演 A，也可以是獨(dú)立 1． 企業(yè) 業(yè) 本域內(nèi)的用戶或計(jì)算機(jī)是無(wú)法向該企業(yè) 域內(nèi)的用戶向企業(yè) 業(yè) 證用戶是否為本域中的用戶或計(jì)算機(jī)），并根據(jù)驗(yàn)證結(jié)果決定是否發(fā)放證書(shū)。 企業(yè) A（ A）和企業(yè)從屬 A）兩種類(lèi)型。其中，在大多數(shù)情況下，企業(yè)根 企業(yè)從屬 后才可以向其域內(nèi)的用戶或計(jì)算機(jī)以及其下屬的企業(yè)從屬 業(yè)從屬 供網(wǎng)站 來(lái)登錄 003域的智能卡證書(shū)、進(jìn)行基于 2． 獨(dú)立 立 演獨(dú)立 003的獨(dú)立服務(wù)器，也可以是成員服務(wù)器或域控制器。無(wú)論用戶和計(jì)算機(jī)是否是 可以向獨(dú)立 于用戶在向獨(dú)立 像企業(yè) 以用戶需要自行輸入申請(qǐng)者的詳細(xì)信息和所要申請(qǐng)的證書(shū)類(lèi)型。 獨(dú)立 A（ A）和獨(dú)立從屬 A）兩種類(lèi)型。其中，在多數(shù)情況下，獨(dú)立根 A。而獨(dú)立從屬 A（既可以是獨(dú)立根 可以是上層的獨(dú)立從屬 得證書(shū)，然后才可以發(fā)放證書(shū)。獨(dú)立從屬 供網(wǎng)站 來(lái)登錄 003域的智能卡證書(shū)、進(jìn)行基于 由于基于 003的數(shù)字證書(shū)服務(wù)器分為企業(yè) 中企業(yè) 時(shí)只能向本企業(yè)內(nèi)部加入活動(dòng)目錄的用戶提供數(shù)字證書(shū)服務(wù)。而獨(dú)立 且可以向加入活動(dòng)目錄域控制器的用戶和沒(méi)有加入活動(dòng)目錄域控制器的用戶提供數(shù)字證書(shū)服務(wù)。兩者相比，獨(dú)立 以本節(jié)將介紹獨(dú)立 字證書(shū)服務(wù)器的安裝和配置 裝 5 選擇要安裝的 件 圖 6 選取 “ 息服務(wù)（ ” 圖 7 理器窗口 圖 8 測(cè)試 工作狀態(tài) 裝證書(shū)服務(wù) 獨(dú)立 中獨(dú)立從屬 中，父 A，也可以是其他的獨(dú)立從屬 于絕大多數(shù)中小企業(yè)來(lái)說(shuō)，一般只需要配置一臺(tái)數(shù)字證書(shū)服務(wù)器即可。所以，本節(jié)僅介紹獨(dú)立根 圖 10 選取了 “ 證書(shū)服務(wù) ” 后的系統(tǒng)提示信息 圖 11 選擇 型 圖 12 設(shè)置 識(shí)別信息 圖 9 安裝 “ 證書(shū)服務(wù) ” 提示：如果獨(dú)立 且是以域管理員（如 身份來(lái)安裝的，則獨(dú)立 果獨(dú)立 是安裝在沒(méi)有使用 內(nèi)用戶則需要另外執(zhí)行信任此獨(dú)立 圖 13 選擇證書(shū)的保存位置 圖 14 系統(tǒng)提示在安裝證書(shū)之前需要停止 圖 16 系統(tǒng)提供的證書(shū)模板 圖 15 證書(shū)頒發(fā)機(jī)構(gòu)操作窗口 字證書(shū)的申請(qǐng)方法 不管是否為域用戶，都可以利用 面，以用戶為其電子郵件 體方法如下： （ 1） 在要安裝證書(shū)的計(jì)算機(jī)上打開(kāi) 地址欄中輸入以下的地址： ，計(jì)算機(jī)名稱為 圖 17 . 證書(shū)申請(qǐng)窗口 圖 18 選擇要申請(qǐng)證書(shū)的類(lèi)型 圖 19 輸入用戶的詳細(xì)信息 圖 21 顯示未被頒發(fā)的證書(shū)名稱 圖 20 證書(shū)申請(qǐng)結(jié)束后的顯示 圖 22 顯示已申請(qǐng)的證書(shū) 圖 23 該證書(shū)已頒發(fā) 圖 24 安裝證書(shū)之前的系統(tǒng)提示信息 圖 25 系統(tǒng)顯示證書(shū)已成功安裝 圖 26 顯示已信任的證書(shū)名稱 圖 27 顯示證書(shū)的詳細(xì)信息 書(shū)的保存和應(yīng)用 在前面的介紹中，用戶一般是在要安裝證書(shū)的計(jì)算機(jī)上來(lái)申請(qǐng)并安裝證書(shū)。但是，在實(shí)際應(yīng)用中，有時(shí)需要將申請(qǐng)到的證書(shū)安裝在其他的計(jì)算機(jī)上，或出于安全考慮對(duì)已申請(qǐng)到的證書(shū)進(jìn)行安全備份，當(dāng)原來(lái)的證書(shū)不小心被刪除或計(jì)算機(jī)重新安裝操作系統(tǒng)后，就可以利用備份來(lái)還原。為解決此類(lèi)問(wèn)題，我們需要將申請(qǐng)到的證書(shū)以文件形式進(jìn)行保存和應(yīng)用。具體方法如下： 圖 28 選擇在線安裝或下載已申請(qǐng)的證書(shū) 圖 29 證書(shū)鏈成功 安裝后的顯示信息 在圖 29中出現(xiàn)的“證書(shū)鏈”的概念，“證書(shū)鏈”有時(shí)也叫做“證書(shū)鏈服務(wù)”或“交叉認(rèn)證”，它是一個(gè)書(shū)鏈可以擴(kuò)大企業(yè)內(nèi)部 般企業(yè)內(nèi)部 法被外部的網(wǎng)絡(luò)應(yīng)用所識(shí)別和信任。例如，當(dāng)企業(yè)員工利用企業(yè) 時(shí)可能會(huì)遇到郵件接收者不能識(shí)別郵件的情況，或者出現(xiàn)其他的瀏覽器和服務(wù)器不能識(shí)別或信任該企業(yè) 用證書(shū)鏈服務(wù)，可以使企業(yè) 件客戶端所信任，這樣就無(wú)需為每一種軟件、每一個(gè)郵件客戶端重新申請(qǐng)證書(shū)，來(lái)要求他們信任企業(yè) 而低成本、高效率地實(shí)現(xiàn)了信任度的擴(kuò)展。 在圖 29中，還可以單擊“下載 “下載 將 果該證書(shū)不慎被丟失，則可以在打開(kāi)該證書(shū)文件所在的文件夾后，單擊鼠標(biāo)右鍵，在出現(xiàn)的快捷菜單中選擇“安裝證書(shū)”重新進(jìn)行安裝，如圖 30所示。 圖 30 通過(guò)已保存的證書(shū)文件來(lái)安裝證書(shū) 如果單位內(nèi)部的獨(dú)立根 003的獨(dú)立服務(wù)器上，或是安裝在沒(méi)有使用 以 003提供的“證書(shū)服務(wù)”組件來(lái)實(shí)現(xiàn)證書(shū)管理。此時(shí)，可以通過(guò)“受信任的根證書(shū)授權(quán)策略”將此獨(dú)立根 域內(nèi)的所有用戶能夠自動(dòng)信任該獨(dú)立根 在下面的操作中，我們將已建立的獨(dú)立根 CA“ 證書(shū)，自動(dòng)發(fā)送到域 域內(nèi)用戶自動(dòng)信任獨(dú)立根 下載獨(dú)立根 首先，在域控制器（ 算機(jī)上，通過(guò)以下方式從獨(dú)立根 體方法如下 圖 31 獨(dú)立根 書(shū)申請(qǐng)窗口 圖 32 選擇下載證書(shū)的類(lèi)型 提示：對(duì)于根 此，可以選擇圖 33和圖 34中的任一種方式。 圖 33 保存證書(shū)文件 圖 34 保存證書(shū)鏈文件 圖 35 導(dǎo)出計(jì)算機(jī)中已有的證書(shū) 入數(shù)字證書(shū) 下面，可以將前面申請(qǐng)或?qū)С龅?信任的根證書(shū)授權(quán)策略”中，具體方法如下： （ 1） 在域控制器（本例為 ，選擇“開(kāi)始” → “程序” → “管理工具” → “域安全策略” → “安全設(shè)置” → “公鑰策略”，打開(kāi)如圖 36所示的窗口。 圖 36 域安全策略設(shè)置窗口 圖 37 輸入要導(dǎo)入的證書(shū)文件 圖 38 選擇證書(shū)存儲(chǔ)的系統(tǒng)區(qū)域 圖 39 導(dǎo)入的證書(shū)信息 圖 40 顯示所導(dǎo)入的證書(shū) 完成以上的操作之后，凡是加入該域的用戶都會(huì)自動(dòng)應(yīng)用此策略，都會(huì)自動(dòng)信任上述的獨(dú)立根 內(nèi)的計(jì)算機(jī)并不會(huì)馬上應(yīng)用此策略，如果要應(yīng)用此策略，需要具有以下的條件之一： · 重新啟動(dòng)計(jì)算機(jī)。 · 等待策略自動(dòng)生效。一般域控制器需要大約 5分鐘左右的時(shí)間，如果是隸屬于域內(nèi)的其他計(jì)算機(jī)，大約需要 90~120分鐘的時(shí)間。 圖 41 令的執(zhí)行過(guò)程和結(jié)果 圖 42 顯示已信任的證書(shū) 下面，以用戶郵箱 wq@紹利用 字簽名是利用發(fā)送方的私有密鑰進(jìn)行加密，在接收方利用發(fā)送方的公開(kāi)密鑰進(jìn)行解密。當(dāng)用戶 戶 用戶 利用用戶 體過(guò)程如下： 字證書(shū)應(yīng)用舉例 圖 43 選取郵件賬戶 圖 44 選取證書(shū) 圖 47 用戶 收到一份由用戶 送過(guò)來(lái)的經(jīng)過(guò)簽名的電子郵件 圖 48 用戶 通訊地址 圖 49 用戶 數(shù)字標(biāo)識(shí) 圖 50 安全提示信息 圖 51 系統(tǒng)提示該電子郵件已經(jīng)過(guò)安裝檢查 圖 52 系統(tǒng)安全警告 圖 53 系統(tǒng)提示 “ 簽名數(shù)字標(biāo)識(shí)不可取 ” 子郵件的加密 簽名是利用發(fā)送者的私有密鑰，而加密則是利用接收者的公開(kāi)密鑰。因?yàn)椋?dāng)用戶戶 以下面用戶 體方法如下： 圖 54 對(duì)郵件同時(shí)進(jìn)行加密和簽名處 理 圖 55 用戶 收到由用戶 送的同時(shí)經(jīng)過(guò)加密和簽名的電子郵件 如果該郵件在傳輸過(guò)程中出現(xiàn)問(wèn)題（如被他人篡改、證書(shū)已到期等），將會(huì)出現(xiàn)如圖 52所示的警告信息。 圖 56 查看電 子郵件的內(nèi)容 ，可以通過(guò)對(duì)系統(tǒng)狀態(tài)的操作來(lái)實(shí)現(xiàn)對(duì) 1． 對(duì)于數(shù)字證書(shū)系統(tǒng)來(lái)說(shuō)， 了防止系統(tǒng)出現(xiàn)故障或重新安裝操作系統(tǒng)后丟失 議網(wǎng)絡(luò)管理員對(duì) 體方法如下： 字證書(shū)的管理 圖 57 選擇 “ 備份 ” 操作 圖 5 8 選擇要備份的內(nèi)容和備份文件夾的存儲(chǔ)位置 2． 恢復(fù)到故障前的狀態(tài)。具體操作方法為 圖 59 設(shè)置備份文件夾的密碼 圖 60 完成備份設(shè)置 圖 61 系統(tǒng)提示要暫停證書(shū)服務(wù) 圖 62 選擇還原的項(xiàng)目及還原文件的位置 練一練：在已配置的數(shù)字證書(shū)服務(wù)器上，首先對(duì) 后利用備份的數(shù)據(jù)來(lái)還原 圖 63 輸入文件的還原密碼 圖 64 結(jié)束設(shè)置 加證書(shū)模板 “證書(shū)模板”是 65中顯示的是 中每一個(gè)模板內(nèi)會(huì)包含多種不同用途的證書(shū)，例如“計(jì)算機(jī)”模板就包含了“客戶端驗(yàn)證”和“服務(wù)器驗(yàn)證”兩種證書(shū)，如圖 66所示。 圖 65 企業(yè) 供的證書(shū)模板 圖 66 “ 計(jì)算機(jī) ” 模板所包含的證書(shū)類(lèi)型 另外，企業(yè) 戶在使用之前可以通過(guò)以下的方法來(lái)啟用：在如圖 65中選取“證書(shū)模板”，單擊鼠標(biāo)右鍵，在出現(xiàn)的快捷菜單中選擇“新建” → “要頒發(fā)的證書(shū)模板”，打開(kāi)如圖 67所示的對(duì)話框。在該對(duì)話框中提供了大量非常實(shí)用的證書(shū)模板，如 戶可以在該對(duì)話框中選取要使用的證書(shū)模板，然后單擊“確定”按鈕進(jìn)行啟用。 圖 67 啟用新的證書(shū)模板 獨(dú)立 如果獨(dú)立 夠由該獨(dú)立 通過(guò)以下的方法來(lái)進(jìn)行： 提示：在修改了證書(shū)的頒發(fā)方式后，必須重新啟動(dòng)該證書(shū)服務(wù)后，所進(jìn)行的設(shè)置才會(huì)生效。 圖 68 “ 策略模板 ” 設(shè)置對(duì)話框 圖 69 將請(qǐng)求方式設(shè)置為自動(dòng)頒發(fā) 書(shū)的吊銷(xiāo)管理 用戶申請(qǐng)到的每一類(lèi)證書(shū)都有一定的使用期限，例如“電子郵件保護(hù)證書(shū)”自申請(qǐng)后的使用期限為 1年。當(dāng)證書(shū)的使用期限到期后，系統(tǒng)會(huì)自動(dòng)進(jìn)行吊銷(xiāo)。另外，在證書(shū)還未到期之前，證書(shū)管理員也可以吊銷(xiāo)該證書(shū)。例如，企業(yè)的某一員工離開(kāi)公司后，就可以將其使用的證書(shū)進(jìn)行吊銷(xiāo)處理。 1． 吊銷(xiāo)證書(shū) 證書(shū)管理員可以通過(guò)以下方法來(lái)吊銷(xiāo)尚未到期的證書(shū)：在“證書(shū)頒發(fā)機(jī)構(gòu)”窗口中選取“頒發(fā)的證書(shū)”，已申請(qǐng)使用的證書(shū)將會(huì)顯示在列表中，如圖 70所示 圖 70 正在使用中的證書(shū) 書(shū)的吊銷(xiāo)管理 用戶申請(qǐng)到的每一類(lèi)證書(shū)都有一定的使用期限，例如“電子郵件保護(hù)證書(shū)”自申請(qǐng)后的使用期限為 1年。當(dāng)證書(shū)的使用期限到期后，系統(tǒng)會(huì)自動(dòng)進(jìn)行吊銷(xiāo)。另外，在證書(shū)還未到期之前，證書(shū)管理員也可以吊銷(xiāo)該證書(shū)。例如，企業(yè)的某一員工離開(kāi)公司后，就可以將其使用的證書(shū)進(jìn)行吊銷(xiāo)處理。 1． 吊銷(xiāo)證書(shū) 證書(shū)管理員可以通過(guò)以下方法來(lái)吊銷(xiāo)尚未到期的證書(shū)：在“證書(shū)頒發(fā)機(jī)構(gòu)”窗口中選取“頒發(fā)的證書(shū)”，已申請(qǐng)使用的證書(shū)將會(huì)顯示在列表中，如圖 71所示 圖 71 正在使用中的證書(shū) 圖 72 . 顯示已被吊銷(xiāo)的證書(shū) 2． 發(fā)布“證書(shū)吊銷(xiāo)列表（ 當(dāng)某些用戶的證書(shū)被吊銷(xiāo)后，網(wǎng)絡(luò)中的用戶如何才能知道哪些用戶的證書(shū)被吊銷(xiāo)了呢？首先， 書(shū)吊銷(xiāo)列表”發(fā)布出去，之后計(jì)算機(jī)在網(wǎng)上下載了這個(gè)“證書(shū)吊銷(xiāo)列表”后，就可以知道有哪些證書(shū)已經(jīng)被吊銷(xiāo)了。 書(shū)吊銷(xiāo)列表”。 圖 73 設(shè)置 發(fā)布時(shí)間參數(shù) 圖 74 選擇要發(fā)布的 類(lèi)型 3． 下載“證書(shū)吊銷(xiāo)列表（ 網(wǎng)絡(luò)中的計(jì)算機(jī)如何能夠下載“證書(shū)吊銷(xiāo)列表”呢？在 書(shū)吊銷(xiāo)列表”后，網(wǎng)絡(luò)中的計(jì)算機(jī)可以通過(guò)自動(dòng)下載和手工下載兩種方式來(lái)下載“證書(shū)吊銷(xiāo)列表”。 （ 1） 自動(dòng)下載。 圖 75 選擇自動(dòng)下載 圖 76 選擇自動(dòng)下載 （ 2） 手工下載。 提示：如果不是第一次進(jìn)行如上所述的手工下載操作，并且在如圖 73中設(shè)置了“發(fā)布增量 那么，在打開(kāi)的如圖 78所示的列表中將出多出一項(xiàng)名為“下載最新的增量 項(xiàng)，單擊該鏈接，可以下載最新的 圖 77 證書(shū)申請(qǐng)窗口 圖 78 下載最新的基 戶證書(shū)的導(dǎo)入和導(dǎo)出 作為用戶在網(wǎng)絡(luò)中身份象征的數(shù)字證書(shū)，用戶一定要妥善保存。一般情況下，當(dāng)安裝了證書(shū)后，為了防止將來(lái)證書(shū)的丟失（如操作系統(tǒng)故障，證書(shū)被誤刪除等），就可以利用備份的證書(shū)文件來(lái)恢復(fù)。用戶可以利用 圖 79 選取證書(shū) 圖 80 選取導(dǎo)出方式 圖 81 選擇導(dǎo)出文件使用的格式 圖 82 設(shè)置導(dǎo)出文件的密碼 圖 83 選擇導(dǎo)出文件的保存位置 圖 84 證書(shū)文件導(dǎo)出設(shè)置完成 圖 85 高級(jí)證書(shū)申請(qǐng) 圖 86 選擇證書(shū)類(lèi)別 圖 87 設(shè)置用戶信息和密碼選項(xiàng) 通過(guò)以上方式申請(qǐng)到的證書(shū)，私有密鑰是可以導(dǎo)出到文件中的。 書(shū)到期前的更新 每一類(lèi)證書(shū)在申請(qǐng)后都有一定的使用期限，如果證書(shū)在到期后用戶還要繼續(xù)使用該證書(shū)，則可以對(duì)其進(jìn)行更新操作。 提示：根 從屬 以從屬 設(shè)根 年，而從屬 年，那么當(dāng)該根 年時(shí)如果從屬么從屬 年。但是，當(dāng)根 年時(shí)，這時(shí)從屬 年。 為此，在多 般建議對(duì)根 其能夠盡可能地為從屬 于大部分只有一個(gè) 需要對(duì)僅有的這一臺(tái)數(shù)字證書(shū)服務(wù)器進(jìn)行操作即可，而不必關(guān)心不同 1． 對(duì)于 以通過(guò)以下的方法來(lái)完成： （ 1） 選擇“開(kāi)始” → “程序” → “管理工具” → “證書(shū)頒發(fā)機(jī)構(gòu)”，打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)”窗口。 圖 88 更新 證書(shū) 2． 用戶證書(shū)的更新方法 用于用戶來(lái)說(shuō)，則可以通過(guò)以下方式來(lái)更新所申請(qǐng)到的證書(shū)（以 P （ 1） 選擇“開(kāi)始” → “運(yùn)行”，在出現(xiàn)的對(duì)話框中輸入 打開(kāi)的對(duì)話框中選擇“文件 → 添加 /刪除管理員單元”，如圖 89所示 圖 89 選取 “ 添加 / 刪除管理單元 ” 圖 90 添加 “ 證書(shū) ” 圖 91 選取 “ 我的用戶帳戶 ” 圖 92 顯示新建的證書(shū) 圖 93 用戶證書(shū)的更新操作 根據(jù)網(wǎng)絡(luò)安全應(yīng)用和管理的需要，許多單位都建立了自己的 為用戶提供證書(shū)服務(wù)。本章首先介紹了數(shù)字證書(shū)、 著以基于 003操作系統(tǒng)的 “ 獨(dú)立 的安裝和使用為例，詳細(xì)介紹了數(shù)字證書(shū)的申請(qǐng)、使用和管理方法。相信讀者通過(guò)對(duì)本章內(nèi)容的學(xué)習(xí)，能夠結(jié)合自己的網(wǎng)絡(luò)安全需求，安裝和使用 能夠根據(jù)應(yīng)用需要使用數(shù)字證書(shū)服務(wù)。