企业中CA服务器的架设和应用.docx

企业中CA服务器的架设和应用 目录1CA的基础知识11.1什么是CA11.2CA的分类21.3CA服务器在企业内的应用22CA服务器的架设33CA服务器在企业里的具体应用103.1基于CA证书的web服务器高安全性架构103.1.1实验拓扑图103.1.2Web服务器（IIS）安装和配置Web服务器的安装Web服务器从CA申请“web服务器证书”客户端通过基于SSL协议访问https站点19Page ii1 CA的基础知识1.1 什么是CACA（Certification Authority）即认证中心。它负责为用户颁发证书，且具有权威性；证书中核心技术是非对称式加密技术。用户在申请证书时，需要输入姓名、地址与电子邮件地址等数据，这些数据会被发送到一个称为CSP（密码学服务提供者）的程序，此程序默认已经被安装到申请者的计算机内。CSP会自动创建一对密钥：一个公钥和一个私钥，CSP会将私钥存储到申请者计算机的注册表中，然后将证书申请数据与公钥一起发送到CA。CA检查这些数据无误后，会利用自己的私钥将要发放的证书加以签名，然后发放证书。申请者收到证书后，将证书安装到自己的计算机里。目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准，符合该标准的证书主要包含以下内容：1.2 CA的分类 若通过Windows Server 2008 R2的Active Directory证书服务（AC CS）来提供CA服务的话，则你可以选择将CA设置为以下角色之一： 1：企业根CA（enterprise root CA） 企业根CA需要Active Directory域，你可以将企业根CA安装到域控制站或成员服务器。企业根CA发放证书的对象仅限域用户，当域用户来申请证书时，企业根CA可以从Active Directory来得知该用户的相关信息，并据以确定该用户是否用权利来申请所需证书。大部分新款夏，企业根CA主要应该用来发放证书给与子级CA，虽然企业根CA还是可以发放保护电子邮件安全、网站SSL安全连接等证书，不过应该将发放这些证书的工作交给子级CA来负责。 2：企业子级CA（enterprise subordinate CA） 企业子级CA也需要Active Directory域，企业子级CA适合于用来发放保护电子邮件安全、网站SSL安全连接等证书，企业子级CA必须向其父级CA（例如企业根CA）取得证书之后，才会正常运行。企业子级CA也可以发放证书给再下一层的子级CA。 3：独立根CA（standalone root CA） 独立根CA的角色与功能类似于企业根CA，但不需要Active Directory域，扮演独立根CA角色的计算机可以是独立服务器、成员服务器或域控制器。无论是否域用户，都可以向独立根CA申请证书。 4：独立子级CA（standalone subordinate CA） 独立子级CA的角色与功能类似于企业子级CA，但不需要Active Directory域，扮演独立子级CA角色的计算机可以是独立服务器、成员服务器或域控制器。无论是否域用户，都可以向独立子级CA申请证书。1.3 CA服务器在企业内的应用Web用户身份验证、web服务器身份验证、安全电子邮件等2 CA服务器的架设3 CA服务器在企业里的具体应用3.1 基于CA证书的web服务器高安全性架构3.1.1 实验拓扑图3.1.2 Web服务器（IIS）安装和配置