企业中CA服务器的架设和应用.docx

企业中CA服务器的架设和应用.docx

《企业中CA服务器的架设和应用.docx》由会员分享，可在线阅读，更多相关《企业中CA服务器的架设和应用.docx（19页珍藏版）》请在冰豆网上搜索。

企业中CA服务器的架设和应用

企业中CA服务器的架设和应用

1CA的基础知识

1.1什么是CA

CA（CertificationAuthority）即认证中心。

它负责为用户颁发证书，且具有权威性；证书中核心技术是非对称式加密技术。

用户在申请证书时，需要输入姓名、地址与电子邮件地址等数据，这些数据会被发送到一个称为CSP（密码学服务提供者）的程序，此程序默认已经被安装到申请者的计算机内。

CSP会自动创建一对密钥：

一个公钥和一个私钥，CSP会将私钥存储到申请者计算机的注册表中，然后将证书申请数据与公钥一起发送到CA。

CA检查这些数据无误后，会利用自己的私钥将要发放的证书加以签名，然后发放证书。

申请者收到证书后，将证书安装到自己的计算机里。

目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准，符合该标准的证书主要包含以下内容：

1.2CA的分类

        若通过WindowsServer2008R2的ActiveDirectory 证书服务（ACCS）来提供CA服务的话，则你可以选择将CA设置为以下角色之一：

        1：

企业根CA（enterpriserootCA）

        企业根CA需要ActiveDirectory域，你可以将企业根CA安装到域控制站或成员服务器。

企业根CA发放证书的对象仅限域用户，当域用户来申请证书时，企业根CA可以从ActiveDirectory来得知该用户的相关信息，并据以确定该用户是否用权利来申请所需证书。

大部分新款夏，企业根CA主要应该用来发放证书给与子级CA，虽然企业根CA还是可以发放保护电子邮件安全、网站SSL安全连接等证书，不过应该将发放这些证书的工作交给子级CA来负责。

        2：

企业子级CA（enterprisesubordinateCA）

        企业子级CA也需要ActiveDirectory域，企业子级CA适合于用来发放保护电子邮件安全、网站SSL安全连接等证书，企业子级CA必须向其父级CA（例如企业根CA）取得证书之后，才会正常运行。

企业子级CA也可以发放证书给再下一层的子级CA。

        3：

独立根CA（standalonerootCA）

        独立根CA的角色与功能类似于企业根CA，但不需要ActiveDirectory域，扮演独立根CA角色的计算机可以是独立服务器、成员服务器或域控制器。

无论是否域用户，都可以向独立根CA申请证书。

        4：

独立子级CA（standalonesubordinateCA）

        独立子级CA的角色与功能类似于企业子级CA，但不需要ActiveDirectory域，扮演独立子级CA角色的计算机可以是独立服务器、成员服务器或域控制器。

无论是否域用户，都可以向独立子级CA申请证书。

1.3CA服务器在企业内的应用

Web用户身份验证、web服务器身份验证、安全电子邮件等

2CA服务器的架设

3CA服务器在企业里的具体应用

3.1基于CA证书的web服务器高安全性架构

3.1.1实验拓扑图

3.1.2Web服务器（IIS）安装和配置

3.1.2.1Web服务器的安装

（略）

3.1.2.2Web服务器从CA申请“web服务器证书”

3.1.2.3客户端通过基于SSL协议访问https站点