CA服務(wù)器配置原理與圖解過程11

第頁CA〔證書頒發(fā)機構(gòu)〕配置概述圖解過程一．CA〔證書頒發(fā)機構(gòu)〕配置概述由于現(xiàn)在平安問題日益嚴(yán)重，為了保證數(shù)據(jù)傳輸?shù)臋C密性，交易者雙方身份確實定性等問題，我們需要采用一種平安機制來實現(xiàn)這些功能，在這里我們來探討以下PKI體系中的“證書〞，也就是如何來構(gòu)建一個CA的環(huán)境來保證平安性。

CA〔證書頒發(fā)機構(gòu)〕主要負(fù)責(zé)證書的頒發(fā)、管理以及歸檔和撤消，我們可以把證書認(rèn)為是我們開車需要使用的駕駛執(zhí)照。證書內(nèi)包含了擁有證書者的姓名、地址、電子郵件帳號、公鑰、證書有效期、發(fā)放證書的CA、CA的數(shù)字簽名等信息。證書主要有三大功能：加密、簽名、身份驗證。這里不在具體闡述加密相關(guān)知識，這里主要討論如何來實現(xiàn)CA的環(huán)境。

CA的架構(gòu)是一種層次構(gòu)造的部署模式，分為“根CA〞和“附屬CA〞：“根CA〞位于此架構(gòu)中的最上層，一般它是被用來發(fā)放證書給其他的CA〔附屬CA〕。在windows系統(tǒng)中，我們可以構(gòu)建4種CA：企業(yè)根CA和企業(yè)附屬CA〔這兩種CA只能在域環(huán)境中〕；獨立根CA和獨立附屬CA。

安裝CA：通過控制面板--添加刪除程序--添加刪除windows組件--證書效勞，在安裝過程中選擇安裝的CA類型，再這里我們選擇獨立根CA，輸入CA名稱以及設(shè)置有效期限，完成向?qū)Ъ纯?。〔在這里注意：安裝證書效勞前先安裝IIS〕申請證書：CA效勞裝好以后就可以直接申請證書了，申請證書有兩種方法：通過MMC控制臺〔此方法只適用于企業(yè)根CA和企業(yè)附屬CA〕和通過WEB瀏覽器。在這里我們只能選擇WEB瀏覽器的方式，找到一臺客戶端計算機，在IE瀏覽器中輸入[url][/url]效勞器的IP地址或者計算機名/certsrv即可。然后選擇申請新證書，選擇證書的類型，輸入正確的信息，即可獲得證書。

使用證書：我們可以自己架設(shè)一個最簡單的POP3效勞器，來實現(xiàn)郵件效勞。現(xiàn)在假設(shè)lily要向lucy發(fā)送一封加密和簽名電子郵件，在lily這邊的outlook中選擇工具--帳戶--郵件，選擇lily的帳戶，再單擊屬性--平安，選擇證書就可以了。在lucy處做同樣的操作。二．證書效勞器圖解過程試驗拓?fù)洌涸囼瀮?nèi)容以及拓?fù)湔f明：試驗內(nèi)容：獨立根CA效勞器與獨立附屬CA效勞器搭建以及客戶端證書申請試驗拓?fù)湔f明：圖中server1擔(dān)任獨立根CA效勞器，server2擔(dān)任獨立附屬CA效勞器，另外三臺客戶機，分別為client1、client2和client3.試驗配置過程：第一步：構(gòu)建獨立根CA效勞器，我需要先安裝IIS〔證書效勞安裝過程中會在IIS的默認(rèn)網(wǎng)站中寫入虛擬目錄，如果沒有IIS的話，無法通過web瀏覽器的方式申請證書〕，然后再安裝證書效勞，配置過程如下：安裝完成后，如圖：證書效勞的安裝過程：安裝完成后，客戶端即可申請證書，由于是獨立根CA，而且我們不是域環(huán)境，所以我們只能通過web瀏覽器申請證書：效勞器的ip地址或者計算機名/certsrv，如圖：再由CA效勞器的管理員手工頒發(fā)證書，翻開證