CA服务器配置原理与图解过程

CA 证书颁发机构 配置概述图解过程 证书颁发机构 配置概述图解过程 一 CA 证书颁发机构 配置概述 证书颁发机构 配置概述 由于现在安全问题日益严重 为了保证数据传输的机密性 交易者双方身份的确定性 等问题 我们需要采用一种安全机制来实现这些功能 在这里我们来探讨以下 PKI 体系中 的 证书 也就是如何来构建一个 CA 的环境来保证安全性 CA 证书颁发机构 主要负责证书的颁发 管理以及归档和吊销 我们可以把证书认 为是我们开车需要使用的驾驶执照 证书内包含了拥有证书者的姓名 地址 电子邮件帐 号 公钥 证书有效期 发放证书的 CA CA 的数字签名等信息 证书主要有三大功能 加密 签名 身份验证 这里不在具体阐述加密相关知识 这里主要讨论如何来实现 CA 的环境 CA 的架构是一种层次结构的部署模式 分为 根 CA 和 从属 CA 根 CA 位于此架 构中的最上层 一般它是被用来发放证书给其他的 CA 从属 CA 在 windows 系统中 我们可以构建4种 CA 企业根 CA 和企业从属 CA 这两种 CA 只能在域环境中 独立根 CA 和独立从属 CA 安装 CA 通过控制面板 添加删除程序 添加删除 windows 组件 证书服务 在安装 过程中选择安装的 CA 类型 再这里我们选择独立根 CA 输入 CA 名称以及设置有效期限 完成向导即可 在这里注意 安装证书服务前先安装 IIS 申请证书 CA 服务装好以后 就可以直接申请证书了 申请证书有两种方法 通过 MMC 控制台 此方法只适用于企业 根 CA 和企业从属 CA 和通过 WEB 浏览器 在这里我们只能选择 WEB 浏览器的方式 找到一台客户端计算机 在 IE 浏览器中输入 url http ca url 服务器的 IP 地址或者计算机 名 certsrv 即可 然后选择申请新证书 选择证书的类型 输入正确的信息 即可获得证书 使用证书 我们可以自己架设一个最简单的 POP3服务器 来实现邮件服务 现在假 设 lily 要向 lucy 发送一封加密和签名电子邮件 在 lily 这边的 outlook 中选择工具 帐户 邮件 选择 lily 的帐户 再单击属性 安全 选择证书就可以了 在 lucy 处做同样的操作 二 证书服务器图解过程二 证书服务器图解过程 试验拓扑 试验拓扑 试验内容以及拓扑说明 试验内容 独立根 CA 服务器与独立从属 CA 服务器搭建以及客户端证书申请 试验拓扑说明 图中 server1担任独立根 CA 服务器 server2担任独立从属 CA 服务 器 另外三台客户机 分别为 client1 client2和 client3 试验配置过程 第一步 构建独立根 CA 服务器 我需要先安装 IIS 证书服务安装过程中会在 IIS 的 默认网站中写入虚拟目录 如果没有 IIS 的话 无法通过 web 浏览器的方式申请证书 然后再安装证书服务 配置过程如下 安装完成后 如图 证书服务的安装过程 安装完成后 客户端即可申请证书 由于是独立根 CA 而且我们不是域环境 所以 我们只能通过 web 浏览器申请证书 http CA 服务器的 ip 地址或者计算机名 certsrv 如 图 再由 CA 服务器的管理员手工颁发证书 打开