ca服务器配置原理和图解过程

《ca服务器配置原理和图解过程》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、WORD格式可编辑CA（证书颁发机构）配置概述图解过程一．CA（证书颁发机构）配置概述由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关

2、知识，这里主要讨论如何来实现CA的环境。CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA和独立从属CA。安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申

3、请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入[url]http://ca[/url]服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。使用证书：我们可以自己架设一个最简单的POP3服务器，来实现邮件服务。现在假设lily要向lucy发送一封加密和签名电子邮件，在lily这边的outlook中选择工具--帐户--邮件，选择lily的帐户，再单击属性--安全，选择证书就

4、可以了。在lucy处做同样的操作。二．证书服务器图解过程　　试验拓扑：专业技术资料整理分享WORD格式可编辑　　试验内容以及拓扑说明：　　试验内容：独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请　　试验拓扑说明：图中server1担任独立根CA服务器，server2担任独立从属CA服务器，另外三台客户机，分别为client1、client2和client3.　　试验配置过程：　　第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，

5、配置过程如下：专业技术资料整理分享WORD格式可编辑　　安装完成后，如图：　　证书服务的安装过程：专业技术资料整理分享WORD格式可编辑专业技术资料整理分享WORD格式可编辑专业技术资料整理分享WORD格式可编辑　　安装完成后，客户端即可申请证书，由于是独立根CA，而且我们不是域环境，所以我们只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：专业技术资料整理分享WORD格式可编辑专业技术资料整理分享WORD格式可编辑专业技术资料整理分享WORD格式可编辑　　再由CA服务器的管理员手工颁发证书，打开证书服务器server1

6、，选择管理工具---证书颁发机构，颁发证书：专业技术资料整理分享WORD格式可编辑　　可以通过Internet选项的“内容”或者MMC证书管理单元进行查看专业技术资料整理分享