上一節(jié)我們說到，在驗(yàn)證公鑰安全性時(shí)，是在CA機(jī)構(gòu)頒發(fā)的包含用戶的公鑰及其身份信息的數(shù)字證書,數(shù)字證書由權(quán)威機(jī)構(gòu)——CA簽發(fā)。這個(gè)CA權(quán)威機(jī)構(gòu)可以是自己的服務(wù)器也可以是國際公認(rèn)的CA權(quán)威機(jī)構(gòu)。下面我就來講一下CA證書頒發(fā)機(jī)構(gòu)

???? 如果你需要在組織里發(fā)布exchange，或者需要給IIS配置SSL的訪問方式，則需要部署CA，關(guān)于CA的應(yīng)用，后續(xù)會有幾篇文章來專門敘述，本文僅僅介紹CA證書頒發(fā)機(jī)構(gòu)的安裝，這也是SSL應(yīng)用的基礎(chǔ)工作。

閱讀本文，你將了解到以下內(nèi)容 ◆什么是CA及CA的作用 ◆安裝CA的準(zhǔn)備條件 ◆如何CA安裝 ◆何為根證書 在安裝CA前，我們需要了解什么是CA。字面上理解，CA即Certificate Authority ，也就是證書授權(quán)中心，對于這6個(gè)字，如何理解？來幫大家逐字分析一下： 中心：可以得知首先它是一個(gè)集中化的管理某種東西的一個(gè)系統(tǒng)或者說是一個(gè)平臺 授權(quán)：可以理解為，如果需要得到某種東西、或者實(shí)現(xiàn)某些目的需要通過這個(gè)中心進(jìn)行認(rèn)證，獲得許可以后才可以繼續(xù)操作。 證書：證書的最大作用就是通過某種東西來證明某種東西的合法性和存在性。 總結(jié)一下，為了實(shí)現(xiàn)證明及安全的目的，我們建立了一套系統(tǒng)或者平臺，它可以用來證明某些事物的合法性和真實(shí)存在性，并且為此提供足夠強(qiáng)的保護(hù)，從而來抵御外界的攻擊。這就是證書認(rèn)證系統(tǒng)或者證書授權(quán)中心。概念似乎很抽象，不過后面會講到更多的應(yīng)用，當(dāng)你理解這些應(yīng)用后，再回過頭來看這段話就會覺得很好理解。 我們開始吧，首先介紹一下CA安裝的基礎(chǔ)環(huán)境。 基礎(chǔ)環(huán)境： 1、服務(wù)器版本操作系統(tǒng)，2000ser或2003 ser ,2008 ser等 2、安裝CA前，請先安裝好IIS。 一、安裝CA 1、首先打開添加與刪除程序，找到添加與刪除組件，找到證書服務(wù) 當(dāng)我們選中證書服務(wù)的時(shí)候，系統(tǒng)會彈出一個(gè)提示 大致意思是由于安裝CA后會將計(jì)算機(jī)名綁定到CA是并會存儲在活動目錄中，所以裝完CA后無法修改計(jì)算機(jī)名稱，我們這里點(diǎn)擊YES， 這里有4種CA類型可供選擇。 有2大類，企業(yè)根CA和獨(dú)立根CA，各自又有一個(gè)從屬的CA。從屬CA是為上級CA授權(quán)給下級CA機(jī)構(gòu)來頒發(fā)證書準(zhǔn)備的，就范圍和功能性而言，企業(yè)CA較獨(dú)立CA更廣，更強(qiáng)大。比如獨(dú)立CA無法使用證書模板，而企業(yè)CA可以。還有一點(diǎn)就是一個(gè)網(wǎng)絡(luò)上首個(gè)安裝的CA必須為根CA，若是企業(yè)根CA則必須有域環(huán)境，這里我們就選擇第一個(gè)，并點(diǎn)擊【Next】 在這個(gè)界面中，我們需要注意兩個(gè)地方， 1、common name for this ca? 這里的名稱其實(shí)和之后要申請的公共名稱沒有太大關(guān)聯(lián)，我們可以自己命名，因?yàn)檫@個(gè)只是給我們要安裝的CA起的一個(gè)可識別的名稱而已，沒有實(shí)際含義。所以這里 我寫的是ca01，請大家不要和申請SSL或者發(fā)布OWA時(shí)所輸入的公共名稱相混淆。 2、Validity period 這個(gè)是安裝的CA機(jī)構(gòu)可正常運(yùn)行的期限，即自安裝日起5年內(nèi)可以正常處理各種類型的證書的申請請求。當(dāng)然你也可以手動更改，在右側(cè)會出現(xiàn)相應(yīng)的過期日期。 輸入根CA的名稱后，點(diǎn)擊【Next】，經(jīng)過一個(gè)很簡短的過程之后，出現(xiàn)以下圖示： 我們可以設(shè)置CA證書的數(shù)據(jù)庫以及日志的存放路徑，一般默認(rèn)即可，點(diǎn)擊【Next】繼續(xù)，此時(shí)會彈出一個(gè)提示窗口，如下圖示： 意思是，要完成CA的安裝，需要臨時(shí)停止IIS服務(wù)器，由于我這里IIS上沒有運(yùn)行web，所以可以直接點(diǎn)YES，這點(diǎn)請留意。 確定后，就開始自動安裝CA組件了。 安裝過程中，如果你沒有事先啟用IIS6里的ASP的話，就會出現(xiàn)下面的提示，此時(shí)只需確定即可。 經(jīng)過大概1、2分鐘的安裝過程后，CA組件順序安裝完畢。 點(diǎn)擊Finish完成整個(gè)過程。 二、查看CA CA已安裝，但在哪里查看呢？別急，我們可以通過2個(gè)辦法來實(shí)現(xiàn) 1、可以依次點(diǎn)擊 開始/程序/管理工具/Certification Authority 2、也可以在命令窗口內(nèi)輸入certsrv.msc,確定后直接打開CA 2種方法效果都是一樣的，我們選用第二種方法。 下面是打開的主界面 這里我們可以看到ca01這個(gè)名稱，熟悉嗎？ 對了，這就是我們在申請CA的時(shí)候輸入的CA機(jī)構(gòu)的名稱，請記住，這僅僅是一個(gè)名稱，對以后申請各類應(yīng)用型的證書沒有任何影響。 下面5個(gè)文件夾分別是【吊銷的證書】、【已頒發(fā)的證書】、【掛起的請求】、【失敗的請求】、【證書模板】，這里不做細(xì)述，以后用到的時(shí)候再講，其實(shí)很簡單。 在這里我想和大家討論的一個(gè)概念，就是“根證書”。其實(shí)當(dāng)我們把CA機(jī)構(gòu)創(chuàng)建完畢后，它的基本功能就是它將為其他應(yīng)用程序或者服務(wù)器等頒發(fā)及管理證書，在安裝完畢后，它會給自己頒發(fā)一個(gè)證書，也就是root certificate 根證書，而且是自己信任自己的，那在哪里查看呢？？？ 右鍵ca01，選擇【屬性】，如下圖： 我們可以很清晰的看到有一個(gè)certificate #0的證書，這就是ca01這個(gè)CA頒發(fā)機(jī)構(gòu)的根證書。點(diǎn)擊右下角的View Certificate ，可以查看根證書的詳細(xì)屬性。 【常規(guī)】選項(xiàng)卡，這里可以看到很簡要的信息，比如頒發(fā)者ca01，頒發(fā)給ca01，也就是自己給自己頒發(fā)，很簡單，它是根CA，也是該網(wǎng)絡(luò)里的第一臺CA證書服務(wù)器，只能自己給自己頒發(fā)一個(gè)根證書，為什么要這么做呢？原因有兩點(diǎn)，1、它是最高級別的CA? 2、為后面申請的CA證書提供認(rèn)證。 【詳細(xì)信息】選項(xiàng)卡，這里不但可以查看證書的一些基本信息，包括證書版本，生效日期，以及失效日期，還有算法及加密信息等。 右下角有一個(gè) copy to file，我們可以利用這個(gè)選項(xiàng)將根證書導(dǎo)出為3種不同的格式，我會在后面的教程中說到。 【證書路徑】選項(xiàng)卡，這里顯示的是證書體系的邏輯結(jié)構(gòu)，因?yàn)槲椰F(xiàn)在只有根證書，所以也只能看到自己了。 OK，關(guān)于CA安裝的圖文詳解先寫到這里，后面還會有相關(guān)的文章，盡請期待！ 來源于：http://jeffyyko.blog.51cto.com/28563/140518

轉(zhuǎn)載于:https://www.cnblogs.com/yxhblog/archive/2012/08/10/2628674.html

總結(jié)

以上是生活随笔為你收集整理的SSL之CA证书颁发机构安装图文详解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。