CA服务器配置原理与图解过程.docx
《CA服务器配置原理与图解过程.docx》由会员分享,可在线阅读,更多相关《CA服务器配置原理与图解过程.docx(9页珍藏版)》请在冰点文库上搜索。
CA服务器配置原理与图解过程
CA(证书颁发机构)配置概述图解过程
一.CA(证书颁发机构)配置概述
由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。
CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。
证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。
证书主要有三大功能:
加密、签名、身份验证。
这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。
CA的架构是一种层次结构的部署模式,分为“根CA”和“从属CA”:
“根CA”位于此架构中的最上层,一般它是被用来发放证书给其他的CA(从属CA)。
在windows系统中,我们可以构建4种CA:
企业根CA和企业从属CA(这两种CA只能在域环境中);独立根CA和独立从属CA。
安装CA:
通过控制面板--添加删除程序--添加删除windows组件--证书服务,在安装过程中选择安装的CA类型,再这里我们选择独立根CA,输入CA名称以及设置有效期限,完成向导即可。
(在这里注意:
安装证书服务前先安装IIS)申请证书:
CA服务装好以后就可以直接申请证书了,申请证书有两种方法:
通过MMC控制台(此方法只适用于企业根CA和企业从属CA)和通过WEB浏览器。
在这里我们只能选择WEB浏览器的方式,找到一台客户端计算机,在IE浏览器中输入[url]http:
//ca[/url]服务器的IP地址或者计算机名/certsrv即可。
然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。
使用证书:
我们可以自己架设一个最简单的POP3服务器,来实现邮件服务。
现在假设lily要向lucy发送一封加密和签名电子邮件,在lily这边的outlook中选择工具--帐户--邮件,选择lily的帐户,再单击属性--安全,选择证书就可以了。
在lucy处做同样的操作。
二.证书服务器图解过程 试验拓扑:
试验内容以及拓扑说明:
试验内容:
独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请
试验拓扑说明:
图中server1担任独立根CA服务器,server2担任独立从属CA服务器,另外三台客户机,分别为client1、client2和client3.
试验配置过程:
第一步:
构建独立根CA服务器,我需要先安装IIS(证书服务安装过程中会在IIS的默认网站中写入虚拟目录,如果没有IIS的话,无法通过web浏览器的方式申请证书),然后再安装证书服务,配置过程如下:
安装完成后,如图:
证书服务的安装过程:
安装完成后,客户端即可申请证书,由于是独立根CA,而且我们不是域环境,所以我们只能通过web浏览器申请证书:
,如图:
再由CA服务器的管理员手工颁发证书,打开证书服务器server1,选择管理工具---证书颁发机构,颁发证书:
可以通过Internet选项的“内容”或者MMC证书管理单元进行查看