學習目標 熟悉數(shù)字證書的概念和功能 熟悉 PKI與數(shù)字證書之間的關系 熟悉基于 Windows Server 2003數(shù)字證書服務的功能特點 掌握基于 Windows Server 2003數(shù)字證書服務器的安裝和配置方法 掌握數(shù)字證書的使用方法 掌握數(shù)字證書的管理方法 第 5講 數(shù)字證書服務器的配置與應用 重點難點 熟悉基于 Windows Server 2003數(shù)字證書服務的功能特點 掌握基于 Windows Server 2003數(shù)字證書服務器的安裝和配置方法 掌握數(shù)字證書的使用方法 隨著網(wǎng)絡應用的快速發(fā)展 ， 相應的安全問題也越來越明顯 ， 形式各樣的安全威脅越來越突出 。 在隨之產(chǎn)生的各種網(wǎng)絡安全解決方案中 ， 數(shù)字證書便是其中一種 。 與其他安全技術和解決方案相比 ， 數(shù)字證書服務具有高效 、 實用 、方便使用等特點 。 本講在介紹數(shù)字證書 、 PKI等網(wǎng)絡安全設施的基本概念后 ， 以 Windows Server 2003操作系統(tǒng)為主 ， 介紹數(shù)字證書服務器的安裝 、 配置和使用方法 。 數(shù)字證書也稱為數(shù)字標識（ Digital Certificate，或 Digital ID）。它提供了一種在 Internet等公共網(wǎng)絡中進行身份驗證的方式，是用來標識和證明網(wǎng)絡通信雙方身份的數(shù)字信息文件。數(shù)字證書由一個權威的證書認證機構（ Certificate Authority， CA）發(fā)行，在網(wǎng)絡中可以通過從 CA中獲得的數(shù)字證書來識別對方的身份。通俗地講，數(shù)字證書就是個人或單位在 Internet等公共網(wǎng)絡上的身份證。 比較專業(yè)的數(shù)字證書定義是：數(shù)字證書是一個經(jīng)證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數(shù)字簽名。一般情況下，證書中還包括密鑰的有效時間，發(fā)證機關（證書授權中心）的名稱，該證書的序列號等信息，證書的格式遵循相關國際標準。 通過數(shù)字證書就可以使信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性交易者身份的確定性這四大網(wǎng)絡安全要素得到保障。 5.1 數(shù)字證書的概念 目前，計算機網(wǎng)絡中的安全體系分為 PKI體系和非 PKI安全體系兩大類。其中，非 PKI安全體系的應用最為廣泛，例如用戶大量使用的“用戶名稱 +密碼”的形式就屬于非 PKI體系。由于非 PKI體系的安全性相對較弱，所以近年來 PKI安全體系得到了越來越廣泛的關注和應用 5.2 PKI的概念和組成 5.2.1 PKI的概念 PKI（ Public Key Infrastructure，公鑰基礎設施）為網(wǎng)上信息的傳輸提供了加密（ Encryption）和驗證（ Authentication）功能，在信息發(fā)送前對其進行加密處理，當對方接收到信息后，能夠驗證該信息是否確實是由發(fā)送方發(fā)送的信息，同時還可以確定信息的完整性（ Integrity），即信息在發(fā)送過程中未被他人非法篡改。數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書來實現(xiàn)。 PKI的組成除數(shù)字證書之外，還包括簽署這些證書的認證、數(shù)字證書庫、密鑰備份及恢復系統(tǒng)、證書作廢系統(tǒng)、應用程序接口（ API）等基本構成部分。 PKI根據(jù)公開密鑰學（ Public Key Cryptography）來提供前面介紹的加密和驗證功能，在此過程中需要公開密鑰和私有密鑰來支持，其中： 公開密鑰（ Public Key）。公開密鑰也稱為公共密鑰（簡稱為“公鑰”），在安全系統(tǒng)中公開密鑰不需要進行保密，是向網(wǎng)絡中的所有用戶公開的。對于一個安全系統(tǒng)來說，公開密鑰是唯一的。 私有密鑰（ Private Key）。私有密鑰簡稱為“私鑰”，是用戶個人擁有的密碼，它存在于用戶自己的計算機或其他介質中，只有該用戶自己才能使用。私有密鑰需要安全保存和管理。 在信息的安全傳輸中，發(fā)送信息前可以通過公開密鑰對其進行加密，接收方在接收到信息后再利用自己的私有密鑰進行解密。 5.2.2 公開密鑰加密法 公開密鑰加密法是使用公開密鑰和私有密鑰一組密鑰來進行加密和解密處理，其中公開密鑰用來進行加密，而私有密鑰用來進行解密，這種加密和解密的處理方式也稱為“非對稱”（ asymmetric）加密法。另外，還有一種稱為“秘密密鑰加密法”（ secret key encryption），該算法也稱為“對稱”（ symmetric）加密法，這種方法在進行加密和解密的過程中都使用同一個密鑰。 圖 1 張三與李四之間利用公開密鑰加密法傳輸信息 5.2.3 公開密鑰驗證法 數(shù)字簽名”是通過一個單向函數(shù)對要傳送的報文進行處理得到的，用以認證信息來源并核實信息是否發(fā)生變化的一個字母數(shù)字串。 用戶可以利用“公開密鑰驗證法”來對要發(fā)送的信息進行數(shù)字簽名，而對方在收到該信息后，能夠通過此數(shù)字簽名來驗證信息是否確實是由發(fā)送方發(fā)送來的，同時還可以確認信息在發(fā)送過程中是否被篡改。從實現(xiàn)原理來看，數(shù)字簽名其實就是對加密、解密的應用。簽名的過程為加密過程，查看簽名的過程為解密過程。 圖 2 數(shù)字簽名的實現(xiàn)過程 5.2.4 證書認證機構（ CA） 在整個加密解密過程中，僅擁有密鑰（公開密鑰和私有密鑰）是不夠的，還必須申請相應的數(shù)字證書（ digital certification）或數(shù)據(jù)標識（ digital ID），這樣才可能利用密鑰執(zhí)行信息加密和身份驗證操作。在這里，密鑰相當于“汽車”，而數(shù)字證書相當于“駕駛證”，只有汽車而沒有駕駛證是無法開車上路的，同樣只有駕駛證而沒有汽車也無法使駕駛證發(fā)揮作用。所以，密鑰和數(shù)字證書應該是構成該系統(tǒng)的必備條件。為了便于數(shù)字證書的管理，出現(xiàn)了一些專門的數(shù)字證書管理機構，負責發(fā)放和管理數(shù)字證書，將這一機構稱為“證書認證機構”，或“認證中心”（ Certificate Authority， CA）。 如圖 3所示，當用戶在申請證書時，必須輸入申請者的詳細資料：如姓名、地址、電子郵箱等，這些信息將被發(fā)送到一個稱為加密服務提供者（ Cryptographic Service Provider， CSP）的程序，由 CSP負責創(chuàng)建密鑰、吊銷密鑰，以及使用密鑰執(zhí)行各種加、解密操作。 CPS會自動建立一對密鑰：一個公開密鑰和一個私有密鑰。 CSP會將私有密鑰存儲到用戶（申請者）計算機的注冊表中，然后將證書申請信息和公開密鑰一并發(fā)送到 CA進行管理。在進行加密、解密時，當用戶需要某一用戶的公開密鑰時，就會向 CA進行查詢，并將得到的數(shù)字證書保存在自己的計算機中 。 圖 3 申請數(shù)字證書時提交的用戶信息 5.2.5 CA的結構及信任關系 基于 Windows操作系統(tǒng)的 PKI支持結構化的 CA，即將 CA分為“根 CA”（ root CA）和“從屬 CA”（ subordinate CA）。其中： 1. 根 CA 根 CA位于系統(tǒng)的最上層，一方面它可以發(fā)放用來保護電子郵件安全的證書、提供網(wǎng)站 SSL（ Security Socket Layer，加密套接字協(xié)議層）安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、用來提供基于 L2TP的VPN認證的證書等。另一方面，根 CA可用來發(fā)放證書給其他的 CA（從屬CA）。在大部分環(huán)境中，根 CA的主要作用是為從屬 CA發(fā)放證書。 2 從屬 CA 從屬 CA主要用來發(fā)放用于保護電子郵件安全的證書、提供網(wǎng)站 SSL安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、用來提供基于L2TP的 VPN認證的證書等。也可以發(fā)放證書給其下一層的從屬 CA。從屬 CA必須先向其父 CA（可能是根 CA，也可能是從屬 CA）取得證書后，才可以發(fā)放證書。 提示：對于 Windows 2000、 Windows XP、 Windows Server 2003來說，如果該計算機已經(jīng)信任了根 CA，那么他們將會自動信任該根 CA下的所有從屬CA，這就是 CA信任的繼承性。但是，當用戶將從屬 CA的信任關系刪除，或從屬 CA的證書已經(jīng)過期后，就不存在以上的繼承關系。 Windows 2000、 Windows XP、 Windows Server 2003的計算機已經(jīng)信任由一些知名的 CA發(fā)放的證書，需要時，用戶可以向上述知名的 CA申請證書，但這些 CA發(fā)放的證書一般是要收費的。同時，也有一些不收費的 CA另外，如果用戶只希望在本單位或系統(tǒng)內部實現(xiàn)基于 Internet信息傳輸?shù)陌踩?，可以利用Windows Server 2003提供的“證書服務”來組建自己的 CA，然后利用該 CA向本單位或系統(tǒng)中的員工、客戶、供應商等發(fā)放證書，而不需要向其他 CA申請。這樣，當本單位或系統(tǒng)中的員工、客戶、供應商的計算機設置為信任該 CA所發(fā)放的證書時，就可以通過自己的 CA加強信息傳輸?shù)陌踩浴?圖 4 查看計算機中已信任的根證書 5.2.6 Windows Server 2003中 CA的分類 Windows Server 2003提供的“證書服務”可以將 Windows Server 2003扮演 CA的角色，該 CA可以是企業(yè) CA，也可以是獨立 CA。 1 企業(yè) CA 企業(yè) CA發(fā)放證書的對象是域內的所有用戶和計算機，非本域內的用戶或計算機是無法向該企業(yè) CA申請證書的。當域內的用戶向企業(yè) CA申請證書時，企業(yè) CA將通過 Active Directory進行身份驗證（驗證用戶是否為本域中的用戶或計算機），并根據(jù)驗證結果決定是否發(fā)放證書。 企業(yè) CA可以分為企業(yè)根 CA（ enterprise root CA）和企業(yè)從屬 CA（ enterprise subordinate CA）兩種類型。其中，在大多數(shù)情況下，企業(yè)根 CA主要用來為企業(yè)從屬 CA發(fā)放證書。而企業(yè)從屬 CA必須先向企業(yè)根 CA取得證書，然后才可以向其域內的用戶或計算機以及其下屬的企業(yè)從屬 CA發(fā)放證書。企業(yè)從屬 CA主要用來發(fā)放保護電子郵件安全的證書、提供網(wǎng)站 SSL安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、進行基于L2TP的 VPN驗證的證書等。 2 獨立 CA 獨立 CA不需要 Active Directory，扮演獨立 CA的計算機既可以是運行 Windows Server 2003的獨立服務器，也可以是成員服務器或域控制器。無論用戶和計算機是否是 Active Directory域內的用戶，都可以向獨立 CA申請證書。由于用戶在向獨立 CA申請證書時，不像企業(yè) CA首先通過 Active Directory來驗證其身份，所以用戶需要自行輸入申請者的詳細信息和所要申請的證書類型。 獨立 CA也分為獨立根 CA（ standard-alone CA）和獨立從屬 CA（ standard-alone subordinate CA）兩種類型。其中，在多數(shù)情況下，獨立根 CA主要用來發(fā)放證書給從屬 CA。而獨立從屬 CA必須先向其父 CA（既可以是獨立根 CA，也可以是上層的獨立從屬 CA）取得證書，然后才可以發(fā)放證書。獨立從屬 CA主要用來發(fā)放保護電子郵件安全的證書、提供網(wǎng)站 SSL安全傳輸?shù)淖C書、用來登錄 Windows Server 2003域的智能卡證書、進行基于 L2TP的 VPN驗證的證書等 。 由于基于 Windows Server 2003的數(shù)字證書服務器分為企業(yè) CA和獨立 CA兩種類型，其中企業(yè) CA需要建立在活動目錄的基礎上，同時只能向本企業(yè)內部加入活動目錄的用戶提供數(shù)字證書服務。而獨立 CA不需要活動目錄的支持，而且可以向加入活動目錄域控制器的用戶和沒有加入活動目錄域控制器的用戶提供數(shù)字證書服務。兩者相比，獨立 CA的配置和使用要比企業(yè) CA方便，所以本節(jié)將介紹獨立 CA的安裝和配置方法。 5.3 數(shù)字證書服務器的安裝和配置 5.3.1 安裝 IIS 圖 5 選擇要安裝的 Windows 組件 圖 6 選取 “ Internet 信息服務（ IIS ） ” 圖 7 IIS 管理器窗口 圖 8 測試 IIS 的工作狀態(tài) 5.3.2 安裝證書服務 獨立 CA可分為獨立根 CA和獨立從屬 CA兩種，其中獨立從屬 CA必須建立在其父CA的基礎上。其中，父 CA既可以是獨立根 CA，也可以是其他的獨立從屬 CA。對于絕大多數(shù)中小企業(yè)來說，一般只需要配置一臺數(shù)字證書服務器即可。所以，本節(jié)僅介紹獨立根 CA的安裝方法。 圖 10 選取了 “ 證書服務 ” 后的系統(tǒng)提示信息 圖 11 選擇 CA 類型 圖 12 設置 CA 的識別信息 圖 9 安裝 “ 證書服務 ” 提示：如果獨立 CA安裝在域控制器或成員服務器內，而且是以域管理員（如 Administrator）的身份來安裝的，則獨立 CA會自動通過 Active Directory來讓域內的所有用戶與計算機應用由獨立根 CA發(fā)放的證書；如果獨立 CA安裝在獨立服務器上，或是安裝在沒有使用 Active Directory的成員服務器或域控制器上，域內用戶則需要另外執(zhí)行信任此獨立 CA的操作。 圖 13 選擇證書的保存位置 圖 14 系統(tǒng)提示在安裝證書之前需要停止 IIS 圖 16 系統(tǒng)提供的證書模板 圖 15 證書頒發(fā)機構操作窗口 5.3.3 數(shù)字證書的申請方法 不管是否為域用戶，都可以利用 Web方式向獨立 CA申請數(shù)字證書。下面，以用戶為其電子郵件 申請用于電子郵件安全的證書為例進行介紹。具體方法如下： （ 1） 在要安裝證書的計算機上打開 IE瀏覽器，在地址欄中輸入以下的地址： http:/CA的計算機名稱或 IP地址 /certsrv/ 本例中所使用的獨立根 CA計算機的 IP地址為 5，計算機名稱為wldhj。 圖 17 . 證書申請窗口 圖 18 選擇要申請證書的類型 圖 19 輸入用戶的詳細信息 圖 21 顯示未被頒發(fā)的證書名稱 圖 20 證書申請結束后的顯示 圖 22 顯示已申請的證書 圖 23 該證書已頒發(fā) 圖 24 安裝證書之前的系統(tǒng)提示信息 圖 25 系統(tǒng)顯示證書已成功安裝 圖 26 顯示已信任的證書名稱 圖 27 顯示證書的詳細信息 5.3.4 證書的保存和應用 在前面的介紹中，用戶一般是在要安裝證書的計算機上來申請并安裝證書。但是，在實際應用中，有時需要將申請到的證書安裝在其他的計算機上，或出于安全考慮對已申請到的證書進行安全備份，當原來的證書不小心被刪除或計算機重新安裝操作系統(tǒng)后，就可以利用備份來還原。為解決此類問題，我們需要將申請到的證書以文件形式進行保存和應用。具體方法如下： 圖 28 選擇在線安裝或下載已申請的證書 圖 29 證書鏈成功 安裝后的顯示信息 在圖 29中出現(xiàn)的“證書鏈”的概念，“證書鏈”有時也叫做“證書鏈服務”或“交叉認證”，它是一個CA擴展其信任范圍或被認可范圍的一種實現(xiàn)機制。證書鏈可以擴大企業(yè)內部 CA被信任的范圍。一般企業(yè)內部 CA發(fā)放的證書只能在企業(yè)內部使用，無法被外部的網(wǎng)絡應用所識別和信任。例如，當企業(yè)員工利用企業(yè) CA發(fā)放的證書進行郵件加密和簽名后發(fā)送給外部人員，這時可能會遇到郵件接收者不能識別郵件的情況，或者出現(xiàn)其他的瀏覽器和服務器不能識別或信任該企業(yè) CA發(fā)放的證書的情形。利用證書鏈服務，可以使企業(yè) CA發(fā)放的證書自動被所有信任本企業(yè) CA的瀏覽器、郵件客戶端所信任，這樣就無需為每一種軟件、每一個郵件客戶端重新申請證書，來要求他們信任企業(yè) CA發(fā)放的證書，從而低成本、高效率地實現(xiàn)了信任度的擴展。 在圖 29中，還可以單擊“下載 CA證書”或“下載 CA證書鏈”，將 CA的證書以文件形式保存起來。如果該證書不慎被丟失，則可以在打開該證書文件所在的文件夾后，單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“安裝證書”重新進行安裝，如圖 30所示。 圖 30 通過已保存的證書文件來安裝證書 如果單位內部的獨立根 CA架設在一臺運行 Windows Server 2003的獨立服務器上，或是安裝在沒有使用 Active Directory進行數(shù)據(jù)庫管理的成員服務器上，并以 Windows Server 2003提供的“證書服務”組件來實現(xiàn)證書管理。此時，可以通過“受信任的根證書授權策略”將此獨立根 CA的證書自動發(fā)送到域內的所有計算機上，使域內的所有用戶能夠自動信任該獨立根 CA。 在下面的操作中，我們將已建立的獨立根 CA“alone-CA”（ IP地址為 5）的證書，自動發(fā)送到域 中的所有計算機中。 5.4 讓域內用戶自動信任獨立根 CA 5.4.1 下載獨立根 CA的證書 首先，在域控制器（ ）計算機上，通過以下方式從獨立根 CA服務器下載所需要的數(shù)字證書。具體方法如下 圖 31 獨立根 CA 證書申請窗口 圖 32 選擇下載證書的類型 提示：對于根 CA來說， CA證書和 CA證書鏈所起的作用是相同的。為此，可以選擇圖 33和圖 34中的任一種方式。 圖 33 保存證書文件 圖 34 保存證書鏈文件 圖 35 導出計算機中已有的證書 5.4.2 導入數(shù)字證書 下面，可以將前面申請或導出的 CA證書或 CA證書鏈文件導入到域控制器的“受信任的根證書授權策略”中，具體方法如下： （ 1） 在域控制器（本例為 ）上，選擇“開始” “程序” “管理工具” “域安全策略” “安全設置” “公鑰策略”，打開如圖 36所示的窗口。 圖 36 域安全策略設置窗口 圖 37 輸入要導入的證書文件 圖 38 選擇證書存儲的系統(tǒng)區(qū)域 圖 39 導入的證書信息 圖 40 顯示所導入的證書 完成以上的操作之后，凡是加入該域的用戶都會自動應用此策略，都會自動信任上述的獨立根 CA。域內的計算機并不會馬上應用此策略，如果要應用此策略，需要具有以下的條件之一： 重新啟動計算機。 等待策略自動生效。一般域控制器需要大約 5分鐘左右的時間，如果是隸屬于域內的其他計算機，大約需要 90120分鐘的時間。 圖 41 gpupdate /target:computer /force 命令的執(zhí)行過程和結果 圖 42 顯示已信任的證書 5.5.1電子郵件的數(shù)字簽名 下面，以用戶郵箱 和 之間收發(fā)電子郵件為例，介紹利用 CA進行電子郵件簽名和加密的方法。數(shù)字簽名是利用發(fā)送方的私有密鑰進行加密，在接收方利用發(fā)送方的公開密鑰進行解密。當用戶 wq要向用戶 lfj發(fā)送經(jīng)過簽名的電子郵件時，用戶 wq需要利用自己的私有密鑰進行加密，當用戶 lfj接收到該加密的電子郵件時，再利用用戶 wq的公開密鑰進行解密。具體過程如下： 5.5 數(shù)字證書應用舉例 圖 43 選取郵件賬戶 圖 44 選取證書 圖 47 用戶 lfj 接收到一份由用戶 wq 發(fā)送過來的經(jīng)過簽名的電子郵件 圖 48 用戶 wq 的通訊地址 圖 49 用戶 wq 的數(shù)字標識 圖 50 安全提示信息 圖 51 系統(tǒng)提示該電子郵件已經(jīng)過安裝檢查 圖 52 系統(tǒng)安全警告 圖 53 系統(tǒng)提示 “ 簽名數(shù)字標識不可取 ” 5.5.2 電子郵件的加密 簽名是利用發(fā)送者的私有密鑰，而加密則是利用接收者的公開密鑰。因為，當用戶lfj閱讀了由用戶 wq發(fā)送的經(jīng)過數(shù)字簽名的電子郵件后，用戶 wq的公開密鑰和證書信息就會自動安裝在用戶 lfj的計算機中，所以下面用戶 lfj就可以直接給用戶 wq發(fā)送加密的電子郵件了。具體方法如下： 圖 54 對郵件同時進行加密和簽名處 理 圖 55 用戶 wq 接收到由用戶 lfj 發(fā)送的同時經(jīng)過加密和簽名的電子郵件 如果該郵件在傳輸過程中出現(xiàn)問題（如被他人篡改、證書已到期等），將會出現(xiàn)如圖 52所示的警告信息。 圖 56 查看電 子郵件的內容 5.6.1 CA的備份與還原 CA數(shù)據(jù)庫及相應信息保存在系統(tǒng)狀態(tài)（ System State）中，可以通過對系統(tǒng)狀態(tài)的操作來實現(xiàn)對 CA的備份和還原。 1 CA的備份 對于數(shù)字證書系統(tǒng)來說， CA中用戶數(shù)據(jù)的安全性是非常重要的。為了防止系統(tǒng)出現(xiàn)故障或重新安裝操作系統(tǒng)后丟失 CA中的數(shù)據(jù)，建議網(wǎng)絡管理員對 CA進行定期的備份。具體方法如下： 5.6 數(shù)字證書的管理 圖 57 選擇 “ 備份 ” 操作 圖 5 8 選擇要備份的內容和備份文件夾的存儲位置 2 CA的還原 CA的還原是指當 CA出現(xiàn)故障或運行 CA的計算機重新安裝操作系統(tǒng)后，對 CA數(shù)據(jù)庫及相關信息進行還原，以恢復到故障前的狀態(tài)。具體操作方法為 圖 59 設置備份文件夾的密碼 圖 60 完成備份設置 圖 61 系統(tǒng)提示要暫停證書服務 圖 62 選擇還原的項目及還原文件的位置 練一練：在已配置的數(shù)字證書服務器上，首先對 CA進行備份，然后利用備份的數(shù)據(jù)來還原 CA。 圖 63 輸入文件的還原密碼 圖 64 結束設置 5.6.2 增加證書模板 “證書模板”是 CA發(fā)放證書的依據(jù)，圖 65中顯示的是 CA為用戶提供的可供選擇的證書模板，其中每一個模板內會包含多種不同用途的證書，例如“計算機”模板就包含了“客戶端驗證”和“服務器驗證”兩種證書，如圖 66所示。 圖 65 企業(yè) CA 提供的證書模板 圖 66 “ 計算機 ” 模板所包含的證書類型 另外，企業(yè) CA還提供其他一些實有的模板，用戶在使用之前可以通過以下的方法來啟用：在如圖 65中選取“證書模板”，單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建” “要頒發(fā)的證書模板”，打開如圖 67所示的對話框。在該對話框中提供了大量非常實用的證書模板，如 IPSec、 RAS和 IAS服務器等。用戶可以在該對話框中選取要使用的證書模板，然后單擊“確定”按鈕進行啟用。 圖 67 啟用新的證書模板 5.6.3 讓獨立 CA自動發(fā)放用戶申請的證書 如果獨立 CA的管理員希望用戶在向該獨立 CA申請了證書后，能夠由該獨立 CA自動進行發(fā)放，可通過以下的方法來進行： 提示：在修改了證書的頒發(fā)方式后，必須重新啟動該證書服務后，所進行的設置才會生效。 圖 68 “ 策略模板 ” 設置對話框 圖 69 將請求方式設置為自動頒發(fā) 5.6.4 證書的吊銷管理 用戶申請到的每一類證書都有一定的使用期限，例如“電子郵件保護證書”自申請后的使用期限為 1年。當證書的使用期限到期后，系統(tǒng)會自動進行吊銷。另外，在證書還未到期之前，證書管理員也可以吊銷該證書。例如，企業(yè)