建立和维护一个简单的PKI系统

8.5 建立和维护一个简单PKI系统

 

本节中，我们将以Windows Server 2003的证书服务为例来创建和维护一个简单的PKI系统。本系统将完成以下功能：

• 创建证书的服务器
• 证书的申请和安装
• 证书的管理和维护

8.5.1 创建证书服务器

 

PKI结构的核心是认证机构，认证机构将向用户颁发和管理证书。这里我们在一台Windows Server 2003的服务器（IP地址为：192.168.11.111）上建立一个认证机构，即在服务器上安装和配置证书服务。步骤如下：

1、以管理员身份登录到服务器上，选择【开始】―【设置】―【控制面板】―【添加/删除程序】。

2、单击【添加/删除Windows组件】，并在组件列表中选择【证书服务】。如图8-7所示。

3、在【CA类型】对话框中，选择【独立根CA】，并选择【用自定义设置生成密钥对和CA证书】。如图8-8所示。

4、在【公钥/私钥对】对话框中的【密钥长度】列表中，选择密钥长度为2048。如图8-9所示。

5、在CA识别信息中输入CA的公用名称。这里我们取名为SKY CA，其余采用默认设置。如图8-10所示。

6、在【数据存储位置】对话框中，将【证书数据库】的位置放到一个NTFS分区中，并接受默认的设置完成证书服务的安装。

7、选择【开始】―【程序】―【管理工具】―【证书颁发机构】，可以看到安装好的认证机构管理控制台。如图8-11所示。

图 8-7 选择证书服务

图 8-8 选择独立根CA

图 8-9 选择密钥长度

图 8-10 输入CA信息

图 8-11 证书颁发机构

 

8.5.2 证书的申请和安装

 

在证书服务器安装好后，一个简单的认证机构就建立完毕。这时，用户就可以向CA申请并安装证书了。步骤如下：

1、在网络中任一台工作站登录，打开IE浏览器，在地址栏中输入[url]http://192.168.11.111/CertSrv/[/url]，然后回车。在Web页面单击【申请一个证书】。如图8-12所示。

2、在证书申请Web页中选择【高级申请】，单击【下一步】按钮，然后在高级申请页中选择【创建并向此CA提交一个申请】。如图8-13所示。

3、在【识别信息】的空格里填入用户个人信息。在【需要的证书类型】列表中选择【客户端身份验证证书】，并选择【将证书保存在本地计算机存储中】，单击【提交】按钮。如图8-14所示。

5、申请提交后，将会出现一个证书挂起Web页，告诉用户证书申请已收到，并等待服务器端验证和颁发。

图 8-12 证书申请Web页

图 8-13 提交一个高级申请

图 8-14 输入识别信息并选择证书类型

6、当服务器颁发了证书后（服务器端颁发的过程详见“8.5.3 证书的管理和维护”），用户重新回到Web申请页，选择查看挂起的证书申请状态】，单击【下一步】按钮，即可在页面中看到的申请的证书列表。如图8-15所示。

图 8-15 挂起的证书

7、双击挂起的证书，即可安装此证书。

8、在桌面上右键单击IE浏览器，在属性对话框中选择【中级证书颁发机构】标签，然后在证书列表中可以看到安装好的证书。如图8-16所示。

图 8-16 查看颁发的证书

9、在上图所示对话框中选择安装后的证书，然后单击【查看】按钮，将会看到证书的由CA颁发并在客户端安装好的电子证书。如图8-17所示。

图 8-16 电子证书

 

8.5.3 证书的管理和维护

 

通过证书服务器可以对申请的证书进行管理，主要内容有颁发、拒绝、吊消颁发的证书以及发布证书撤消列表等。实现方法如下：

 

² 证书的颁发和拒绝

 

在服务器的【证书颁发机构】管理控制台中，选择【挂起的申请】然后在右边的详细窗格中用鼠标右击待颁发的证书，选择【所有任务】。如果需要颁发这个证书，则选择【颁发】，如要拒绝用户的申请则选择【拒绝】。则如图8-17所示。

图 8-17证书的颁发和拒绝

 

² 证书的吊销和发布

 

1、在服务器的【证书颁发机构】管理控制台中，选择【颁发的证书】，在然后在右边的详细窗格中用鼠标右击已颁发的证书，选择【所有任务】―【吊销证书】。如图8-18所示。

图 8-18 吊销证书

2、【证书吊销】对话框中，选择证书吊销的理由，在这里我们选择【CA泄漏】。如图8-19所示。

图 8-19 证书吊销的理由

3、在服务器的【证书颁发机构】管理控制台中，选择【吊销的证书】，在右边的详细窗格可以看到已吊销的证书列表。

4、右击单击【吊销的证书】，选择【所有任务】―【发布】。这样就所吊销的证书列表发布到网上了。客户可以通Web申请页下载证书吊销列表，从页了解到证书被吊销的情况。如图8-20所示。

图 8-20 发布证书吊销列表