企业中CA服务器的架设和应用.docx
《企业中CA服务器的架设和应用.docx》由会员分享,可在线阅读,更多相关《企业中CA服务器的架设和应用.docx(19页珍藏版)》请在冰豆网上搜索。
企业中CA服务器的架设和应用
企业中CA服务器的架设和应用
1CA的基础知识
1.1什么是CA
CA(CertificationAuthority)即认证中心。
它负责为用户颁发证书,且具有权威性;证书中核心技术是非对称式加密技术。
用户在申请证书时,需要输入姓名、地址与电子邮件地址等数据,这些数据会被发送到一个称为CSP(密码学服务提供者)的程序,此程序默认已经被安装到申请者的计算机内。
CSP会自动创建一对密钥:
一个公钥和一个私钥,CSP会将私钥存储到申请者计算机的注册表中,然后将证书申请数据与公钥一起发送到CA。
CA检查这些数据无误后,会利用自己的私钥将要发放的证书加以签名,然后发放证书。
申请者收到证书后,将证书安装到自己的计算机里。
目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准,符合该标准的证书主要包含以下内容:
1.2CA的分类
若通过WindowsServer2008R2的ActiveDirectory 证书服务(ACCS)来提供CA服务的话,则你可以选择将CA设置为以下角色之一:
1:
企业根CA(enterpriserootCA)
企业根CA需要ActiveDirectory域,你可以将企业根CA安装到域控制站或成员服务器。
企业根CA发放证书的对象仅限域用户,当域用户来申请证书时,企业根CA可以从ActiveDirectory来得知该用户的相关信息,并据以确定该用户是否用权利来申请所需证书。
大部分新款夏,企业根CA主要应该用来发放证书给与子级CA,虽然企业根CA还是可以发放保护电子邮件安全、网站SSL安全连接等证书,不过应该将发放这些证书的工作交给子级CA来负责。
2:
企业子级CA(enterprisesubordinateCA)
企业子级CA也需要ActiveDirectory域,企业子级CA适合于用来发放保护电子邮件安全、网站SSL安全连接等证书,企业子级CA必须向其父级CA(例如企业根CA)取得证书之后,才会正常运行。
企业子级CA也可以发放证书给再下一层的子级CA。
3:
独立根CA(standalonerootCA)
独立根CA的角色与功能类似于企业根CA,但不需要ActiveDirectory域,扮演独立根CA角色的计算机可以是独立服务器、成员服务器或域控制器。
无论是否域用户,都可以向独立根CA申请证书。
4:
独立子级CA(standalonesubordinateCA)
独立子级CA的角色与功能类似于企业子级CA,但不需要ActiveDirectory域,扮演独立子级CA角色的计算机可以是独立服务器、成员服务器或域控制器。
无论是否域用户,都可以向独立子级CA申请证书。
1.3CA服务器在企业内的应用
Web用户身份验证、web服务器身份验证、安全电子邮件等
2CA服务器的架设
3CA服务器在企业里的具体应用
3.1基于CA证书的web服务器高安全性架构
3.1.1实验拓扑图
3.1.2Web服务器(IIS)安装和配置
3.1.2.1Web服务器的安装
(略)
3.1.2.2Web服务器从CA申请“web服务器证书”
3.1.2.3客户端通过基于SSL协议访问https站点