1、CA(证书颁发机构)配置概述图解过程一CA(证书颁发机构)配置概述由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下 PKI 体系中的“证书”,也就是如何来构建一个 CA 的环境来保证安全性。CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的 CA、CA 的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。这里不在具体阐述加密相关知识,这里主要讨论如何来实现 C
2、A的环境。CA 的架构是一种层次结构的部署模式,分为“根 CA”和“从属 CA”:“根 CA”位于此架构中的最上层,一般它是被用来发放证书给其他的 CA(从属 CA) 。在 windows 系统中,我们可以构建4 种 CA:企业根 CA 和企业从属 CA(这两种 CA 只能在域环境中) ;独立根CA 和独立从属 CA。安装 CA:通过控制面板-添加删除程序- 添加删除 windows 组件-证书服务,在安装过程中选择安装的 CA 类型,再这里我们选择独立根 CA,输入 CA 名称以及设置有效期限,完成向导即可。 (在这里注意:安装证书服务前先安装 IIS) 申请证书:CA 服务装好以后就可以直
3、接申请证书了,申请证书有两种方法:通过 MMC 控制台(此方法只适用于企业根 CA 和企业从属 CA)和通过 WEB 浏览器。在这里我们只能选择 WEB 浏览器的方式,找到一台客户端计算机,在 IE 浏览器中输入urlhttp:/ca/url服务器的 IP 地址或者计算机名/certsrv 即可。然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。使用证书:我们可以自己架设一个最简单的 POP3服务器,来实现邮件服务。现在假设 lily 要向 lucy 发送一封加密和签名电子邮件,在 lily 这边的 outlook 中选择工具-帐户-邮件,选择 lily 的帐户,再单击属性-安
4、全,选择证书就可以了。在 lucy 处做同样的操作。二证书服务器图解过程 试验拓扑:试验内容以及拓扑说明:试验内容:独立根 CA 服务器与独立从属 CA 服务器搭建以及客户端证书申请试验拓扑说明:图中 server1担任独立根 CA 服务器, server2担任独立从属 CA 服务器,另外三台客户机,分别为 client1、client2 和 client3.试验配置过程:第一步:构建独立根 CA 服务器,我需要先安装 IIS(证书服务安装过程中会在 IIS 的默认网站中写入虚拟目录,如果没有 IIS 的话,无法通过 web 浏览器的方式申请证书) ,然后再安装证书服务,配置过程如下:安装完成后,如图:证书服务的安装过程:安装完成后,客户端即可申请证书,由于是独立根 CA,而且我们不是域环境,所以我们只能通过 web 浏览器申请证书:http:/CA 服务器的 ip 地址或者计算机名/certsrv,如图:再由 CA 服务器的管理员手工颁发证书,打开证书服务器 server1,选择管理工具- 证书颁发机构,颁发证书:可以通过 Internet 选项的“内容”或者 MMC 证书管理单元进行查看
