介绍 |
返回页首 |
认证服务在基于Windows 2000的操作系统中提供注册Web 网页。 这些网页允许用户利用Web浏览器链接到服务,并且执行公共任务,如请求权威认证(CA)证书,处理请求证书的文件,或处理智能卡注册文件。
任何需要向微软认证机构(Microsoft CA)请求认证的用户都可以使用这些Web 网页。用户连接的权威认证类型不同,这些Web 网页的工作也就不同。
企业认证机构(enterprise CA)要求用户使用自己的标识(ID)和口令登录到Web 网页。然后,用户通过选择一个证书模板"(certificate template),请求一个证书基板。接着,认证机构在活动目录服务(Active DirectoryTM service)中寻找用户的帐号,根据活动目录中的信息和用户选择的模板产生一个证书。这样当用户向企业认证机构请求一个证书时,用户只需提供少量的信息。
然而,一个独立的认证机构(CA)不会询问用户登录标识(ID)。该认证机构将简略的浏览用户提供的认证请求信息,并且发放根据这些信息产生的证书。 缺省情况下,独立的认证(CA)机构并不会立即发放证书。管理员必须首先利用管理工具证实用户请求。这意味着用户必须两次访问 Web 网页:第一次发送请求,第二次接收证书。但是也有可能管理员设置认证机构能立即发放证书。在这种情况下,用户在发出请求后将立即收到证书。
请求和前提
用户必须在自己所在网络服务器上安装Windows 2000 Server操作系统,包括活动目录(Active Directory)。用户能从服务器上或者是从运行Windows 2000 Professional操作系统的工作站上运行管理工具。
本循序渐进指南假设用户已经运行了Windows 2000 Server配置的公共基础结构指南第1和第2部分的过程。
公共基础结构文档详细地指定了特定的硬件和软件配置。如果用户不使用公共基础结构,那么用户需要对该文档进行适当的改动。关于硬件要求和与服务器、客户机以及外围设备的兼容性的最新版信息可以在微软产品兼容性Web站点得到。
本文档还假设用户已经完成了循序渐进设置权威认证指南中的步骤。
用户需要访问微软认证服务(Microsoft Certificate Services)。如果用户没有访问过微软认证服务(Microsoft Certificate Services),那么可以按照循序渐进设置权威认证指南中描述的那样安装认证服务。
Web网页位于http://服务器名/CertSrv,服务器名(ServerName)是发放权威认证(CA)的计算机名。
如果用户连接到认证服务(Certificate Services)Web网页并且遇到了错误,那么应检查确保这些网页已经安装。 错误原因可能是微软Internet信息服务器"(Microsoft Internet Information Server简称为IIS)没有安装,或者是在认证服务(Certificate Services)后安装的。在后一种种情况下,将不会安装Web 网页。
注意:Windows 2000 Server的安装过程中,缺省状态下安装IIS。
确认Web网页的设置
如果用户使用企业认证机构(CA),用户必须首先确保Web网页上的安全性已经正确的设置。企业认证机构(CA)要求认证的请求者得到网页的确认。然后,认证机构(CA)才能制定填入证书的正确的信息。如果用户在企业认证机构(CA)的Web网页上没有得到确认,那么这些网页不会产生证书,或者产生无用的证书。
注意:只有当用户连接到一个企业认证机构时,用户需要执行上述操作,如果用户连接的是一个独立的认证机构(CA),用户可以跳过上述过程。
确认安全设置:
- 在发放权威认证(CA)证书的服务器上或域控制器上,点击"开始"(Start)按钮,选则"程序(Program)",选择"管理工具"(Administrative Tools),并且点击"Internet服务管理器"(Internet Service Manager)。
- 打开"缺省的Web站点"(Default Web Site)节点,浏览到CertSrv 虚拟目录。如果用户不能定位CertSrv,检查确保认证服务已经安装。用户可能需要卸载并且重新安装认证服务,使得虚拟目录出现。
- 右击 CertSrv,并且点击上下文菜单中的"属性"(Properties)选项。
- 选择"目录安全(Directory Security)"选项卡。
- 在"匿名访问和认证控制"(Anonymous access and authentication control)下,点击"编辑"(Edit)。
- 清除除"集成窗口认证"(Integrated Windows authentication)复选框以外的所有复选框。
- 点击"确定"(OK),然后,点击"CertSrv 属性"(CertSrv Properties)对话框中的"应用"(Apply),并且点击"确定"(OK)。
连接到Web 网页 |
返回页首 |
打开用户网络上另一台计算机的浏览器,并且连接http://服务器名(ServerName)/CertSrv,这儿的服务器名(SeverName)指的是放置这些Web网页的服务器的名字。这些网页支持Netscape Navigator 3.0 及以上版本,Microsoft Internet Explorer 4.0 及以上版本。
如果用户正与一个企业认证(CA)机构相连,用户应登录Web网页。用户可能看见一个对话框,询问拥护的标识(ID)和口令,是否看见该对话框取决于认证系统在浏览器和Web服务器之间的验证模式。如果用户遇到询问标识和口令的对话框,则请输入信息。
完成连接后,用户将看见带有三个选项的网页:
- 检索权威认证证书或者证书撤消列表。
- 请求证书。
- 检查挂起证书。
如果用户连接的权威认证(CA)机构是一个企业认证机构,并且该用户的计算机是该企业内部的一个成员,那么用户可以跳过第一个选项。
然而,如果用户连接的是一个独立的权威认证(CA)机构,用户必须检索根证书并且详细说明用户利用公共密钥基础架构(PKI)之前信任它。
以下的章节对每一个活动进行详细说明。
安装权威认证(CA)证书 |
返回页首 |
用户必须首先在客户机和发放权威认证(CA)的计算机之间建立信任关系。这项工作可以通过向发放权威认证(CA)的计算机请求一个权威认证(CA)来完成。
安装权威认证(CA)证书:
- 连接到Web 网页(http://服务器(ServerName)/CertSrv)后,用户将会看到如下图1所示的窗口。
- 点击"检索权威认证或认证撤消列表"(Retrieve the CA certificate or certificate revocation list) ,并且点击"下一步"(Next)。
- 点击"安装CA证书路径"(Install this CA certification path)的链接。点击消息框中的"是"(Yes)。出现如下图2所示的窗口。
- 选择DER编码(DER encoded)或Base64编码"(Base 64 encoded)。点击"下载权威认证证书"(Download CA certificate)链接,执行这一步骤。
- 点击"下载权威认证证书"(Download CA certificate)超链接。在"文件下载"(File Download)对话框中选择"文件从当前位置打开"(Open this file from its current location),然后点击"确定"(OK)。这项操作将启动"认证"(Certificates)对话框。
- 阅读认证的详细信息并且决定是否信任该权威认证(CA)。如果用户根据所有计划列表决定信任权威认证(CA)机构,点击"安装证书"(Install Certificate)按钮。
- 这将开始"证书导入向导"(Certificate Import Wizard)。点击"下一步"(Next)。
- 该向导将询问用户为证书选择的新存储。选择"根据证书的类型自动选择证书的存储"(Automatically select the certificate store based on the type of certificate),然后点击"下一步"(Next)。
- 向导将说明证书存储的位置。权威认证(CA)根证书应该存储在根存储中并且下级权威认证(CA)证书存储在中间级的权威认证(CA)存储中。点击"完成"(Finish)。
- 如果导入操作成功的完成,信息框将显示信息"导入已经成功完成"(The Import was successful)。点击"确定"(OK)。现在用户可以开始着手请求认证。
注意:用户可以通过认证MMC插件确认认证的细节。但是,用户必须首先为插件创建MMC控制台。
创建认证插件控制台,并且确认认证详细信息:
- 点击"开始"(Start),点击"运行"(Run),然后在文本框中输入:" mmc /a"。点击"确定"(OK)。
- 第一步操作将打开一个空的MMC 控制台窗口。在"控制台"(Console)菜单中,点击"加入/删除插件"(Add/Remove snap-in)。在弹出的对话框中打开"独立的"(Standalone)选项卡,并且点击"加入"(Add)按钮。
注意: 想要知道关于MMC的详细信息,参看微软管理控制台的循序渐进指南。
- 弹出"增加独立插件"( Add Standalone Snap-in)对话框。点击"插件"(Snap-in)列表中的"证书"(Certificates),并且点击"加入"(Add)。
- 在"证书插件"( Certificates snap-in)对话框中,选择用户想要管理证书的帐户类型,然后点击"完成"(Finish )按钮。
- 关闭"增加独立插件"(Add Standalone snap-in)对话框 ,然后关闭"增加/删除插件"(Add/Remove snap-in)对话框。
- 在用户创建的控制台上,点击"控制台"(Console)菜单中的"另存为"(Save As)。在弹出"另存为"(Save As)对话框中,向"文件名"(File name)对话框中输入"证书"(Certificates),然后点击"保存"(Save)按钮。
- 关闭"证书"( Certificates)控制台,在提示保存时进行保存。
- 现在用户创建了一个"证书"( Certificates)管理控制台。点击"开始"(Start)菜单中的"程序"(Program),选择"管理工具"(Administrative Tools),然后点击"证书"( Certificates),访问该控制台。
请求一个证书 |
返回页首 |
请求证书:
- 连接到Web网页(http://ServerName/CertSrv),选择认证服务主页上的"请求证书"(Request a Certificate),点击"下一步"(Next)。
- 选择"用户证书请求"(User certificate request)选项。
- 在列表框中点击"用户证书"(User Certificate),然后点击"下一步"(Next)。
列表框中的内容依赖于用户连接的是哪种类型的权威认证(CA)以及该权威认证能发放的证书类型。
如果用户连接到一个企业权威认证机构(CA),用户将看到用户证书(User Certificate)和可能的其他选项。一般的,用户证书是获得客户端认证、Web浏览器和电子邮件(e-mail)的正确选择。在某些情况下,用户可能看到不同的选项,能看到哪种选项取决于管理员允许该企业权威认证机构使用哪种类型的证书。
如果用户连接到一个独立的权威认证机构(CA),列表框将包含Web浏览器和电子邮件(e-mail)保护选项。
- 显示用户标识证书信息页。如果用户连接到一个独立的权威认证机构(CA),这将要求用户填写带标志信息的Web表格。如果用户连接的是企业权威认证机构(CA),所需信息将从活动目录(Active Directory)中检索得到,并且该页不再询问进一步的细节。
- 如果用户点击此页上的"更多的选项"(More Options)按钮,用户就可以设置加密的服务提供商(Cryptographic Service Provider 缩写为CSP)。一般的,用户不需要选择一个CSP。用户只有在配置附加选择时才需要一个CSP,附加的选择诸如注册一个智能卡或使用不同的公开的密钥算法。不要改变CSP 设置,除非知道自己需要选择不同的CSP。点击 "提交"(Submit)按钮。
现在这些网页将产生一个私有密钥对和带有用户提供信息的认证请求。然后发送请求给权威认证(CA)等待处理,返回一条信息告诉用户认证请求是否得到承认。
- 如果权威认证(CA)设置为自动核实请求,则用户将获得新证书。点击"安装证书"(Install this certificate)的链接。
- 如果权威认证(CA)被设置为发放证书前请求管理核实,用户会得到通知。参考本部分"完成挂起的请求"。
否则,用户将看到下面信息:"你的新证书已经成功的安装"。
完成挂起请求 |
返回页首 |
要求管理核实来完成一个新认证:
- 当用户发出认证请求后,如果没有马上收到证书,用户可以返回位于 http://服务器名(ServerName)/CertSrv (参看图4) Web网页检查请求的状态。选择"检查挂起证书"( Check on a pending certificate)选项,然后点击"下一步"(Next)。
- 列表框中将出现用户以核实的认证请求,选择一个,并且点击"下一步"(Next)。
- 点击"安装证书"( Install this certificate)的链接。
- 现在安装好了用户的证书,点击"确认"(OK)。
检验发放的证书 |
返回页首 |
完成以下适当的过程,浏览和检验下载的证书。
用户使用4.0版Internet Explorer(简称IE)检验证书:
- 选择"视图"(View)菜单中的"Internet选项"(Internet Options)。
- 选择"内容"(Content)选项卡。
- 点击"个人"(Personal)按钮。
- 找到下载的证书。双击该证书查看详细内容。如果证书没有列出来,则说明下载失败。
用户使用第5版Internet Explorer(简称IE)检验证书:
- 选择"工具"(Tool)菜单中的"Internet选项"(Internet Options)。
- 选择"内容"(Content)标签。
- 点击"证书"(Certificate)按钮,将打开"证书"(Certificates)管理控制台。
- 点击想要查看的证书类型的相应选项卡。双击可以查看详细内容。如果证书没有列出来,则说明下载失败。
另一种选择,用户可以在Windows 2000桌面打开"证书"(Certificates)管理控制台
- 打开"开始"(Start),选择"程序"(Programs)。
- 选择"管理工具"(Administrative Tools),然后点击"证书"(Certificates)。
- 使用"证书"( Certificates)管理插件找到下载的证书。双击该证书查看详细内容。如果证书没有列出来,则说明下载失败。
请求高级证书 |
返回页首 |
如果用户想要向权威认证机构(CA)请求专用证书,则需要使用高级证书选项。例如:用户需要为自己基于Windows 2000的系统请求一个用于IP安全(IP Security 简称IPSec)的证书,或者是用户需要一个带有特殊密钥长度的证书。
注意:关于使用IP安全的详细信息,参看“端到端安全指南:介绍IP安全”。.
请求高级证书:
- 访问位于http://服务器(ServerName)/CertSrv 的Web主页。选择“请求证书”(Request a Certificate)选项,然后点击“下一步”(Next)。
- 选择“高级请求”(Advanced request)选项,然后点击“下一步”(Next)。
- 选择“使用表格形式提交认证请求”( Submit a certificate request to this CA using a form),然后点击“下一步”(Next), (本文档将在后面讨论该屏幕中的其他两个选项)。
- 完成请求信息,并点击“下一步”(Next)。
如果用户当前连接的是企业权威认证机构(CA),将看到如下面图3所示的下拉式“证书模板”( Certificate Template)列表框。用户只能看到那些自己能够申请的证书的模板。如果列表中没有包含用户需要的模板,则需要请求管理员授予申请该种证书的权利。大多数情况下,只需要选择用户模板。所有其他的域是可选的;权威认证机构(CA)提供与所选模板有关的其他信息。Web服务器(WebServer)和IP安全(IPSec)脱机(Offline)模板情况特殊。这些模板要求用户填写所有其他的文本区域。
实际上IP安全(IPSec)有两个模板。在活动目录中具有登记项的Windows 2000使用IP安全在线模板(IPSec Online template)。IP安全脱机模板”( IPSec Offline template)和来自非基于Windows 2000的系统的PKCS#10 证书请求文件一起使用。
如果用户与独立的权威认证机构相连,用户将看到一个扩展的密钥(Extended Key)用法域,而不是模板域。这个域说明了证书的使用意图。选择最合适自己的扩展的密钥用法域。当连接的是一个独立的权威认证机构时,用户必须填写所有的区域。例如,如果用户想要一个IP安全(IPSec)证书,就要使用IP安全(IPSec)扩展密钥用法。
用户不需要改变“密钥选项”( Key Options)下的CSP(加密服务提供商Cryptographic Service Provider)域 ,除非需要不同的公共密钥算法或使用特殊的硬件设备,如智能卡。
注意:关于智能卡的安装和使用的详细信息,请参阅循序渐进安装和使用智能卡指南。
- 密钥大小: 密钥大小取决于用户使用的应用程序和正在运行的Window版本。一般地,最好选择至少1024大小,但是Windows 2000中的磁盘包括能够支持更为强大的密钥功能。安装这种磁盘允许Windows 2000产生大于1024的密钥。用户可以选择更大的密钥,但是超过2048的密钥,产生时间更长而且影响网络执行及与老版本的程序交互的效果。
- 哈希算法(Hash Algorithm): 如果用户不需要改变它的话,一般让该算法保持缺省设置。
- 密钥用法: 这一项决定了证书是否用来加密或是只用于签名操作。
- 使用本地计算机的存储: 如果用户请求一个IP安全(IPSec)证书,则还应该选择“使用本地计算机的存储”( Use local machine store)。在本地计算机存储中存放密钥和证书,以供诸如IP安全(IPSec)等的系统处理使用。
- 在PKCS #10 文件中保存请求: 这个选项在“附加选项”(Additional Options)部分。该选项创建一个发送给其他权威认证机构(CA)的请求文件。在向VeriSign或者是非微软认证服务发送请求时一般使用该选项。
当用户完成表格后,点击“提交”(Submit)。
- 这些网页将产生一个密钥对和带有用户填写信息的认证请求。然后,发送请求给权威认证机构(CA)等待处理。
- 如果该权威认证(CA)设置为自动确认请求,用户将获得一个新的证书。点击“安装证书”(Install this certificate)链接。否则,用户需要回到本文档前面所讲述的标题为“完成一个挂起请求”部分。 现在证书已经安装好了。
使用PKCS#10请求文件注册 |
返回页首 |
很多设备和服务产生证书请求文件。例如,IIS、次级权威认证(CA)和Internet协议安全(IPSec)设备可以产生这些文件。这些文件中包括发放证书的所需要的所有信息和指示。根据以下步骤处理文件并产生证书。
处理一个PKCS#10证书请求文件:
- 访问Web主页(http://ServerName/CertSrv)。
- 选择“请求证书”( Request a Certificate)选项,然后点击“下一步”(Next)。
- 选择“高级请求”( Advanced request)选项,然后点击“下一步”(Next)。
- 选择“使用base64编码的PKCS#10 文件提交认证请求”( Submit a certificate request using a base64 encoded PKCS#10 file),然后点击“下一步”(Next)。
- 按照提交已保存的请求的指示在文本框中粘贴“base64编码的认证请求PKCS #10”(Base64 Encoded Certificate Request PKCS #10),然后点击“提交”(Submit)。
- 现在Web网页产生一个带有用户提供的信息的私有密钥和证书。然后发送请求给权威认证机构(CA)等待处理。此时弹出一个信息框,提示用户请求的证书是否已经发放。如果已经发放了,则点击“安装证书”( Install this certificate)的链接,至此证书安装完毕。
要点
循序渐进指南中这些例子中描写的公司、组织、产品、个人和事件均为虚构,并非有意隐射真实存在的任意公司、组织、产品、个人和事件。
设计的公共基础结构在私有网上使用。公共基础结构中虚构的公司名称和DNS名没有在互连网(Internet)上注册使用。请不要在公共网上或互连网(Internet)上使用这些名字。
设计用于该通用基础结构的微软活动目录结构目的是在于体现微软Windows 2000怎样利用活动目录更新和配置管理工作和功能,而不是作为替其他公司配置活动目录的一个模型,这类信息参见活动目录文档。