CA服务器配置原理与图解过程.docx

1、CA服务器配置原理与图解过程CA（证书颁发机构）配置概述图解过程一CA（证书颁发机构）配置概述由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。 CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要

2、讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA和独立从属CA。 安装CA：通过控制面板-添加删除程序-添加删除windows组件-证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS） 申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MM

3、C控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入urlhttp:/ca/url服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。 使用证书：我们可以自己架设一个最简单的POP3服务器，来实现邮件服务。现在假设lily要向lucy发送一封加密和签名电子邮件，在lily这边的outlook中选择工具-帐户-邮件，选择lily的帐户，再单击属性-安全，选择证书就可以了。在lucy处做同样的操作。二证书服务器图解过程试验拓扑：试验内容以及

4、拓扑说明：试验内容：独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请试验拓扑说明：图中server1担任独立根CA服务器，server2担任独立从属CA服务器，另外三台客户机，分别为client1、client2和client3.试验配置过程：第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：安装完成后，如图：证书服务的安装过程：安装完成后，客户端即可申请证书，由于是独立根CA，而且我们不是域环境，所以我们只能通过web浏览器申请证书：http:/CA服务器的ip地址或者计算机名/certsrv，如图：再由CA服务器的管理员手工颁发证书，打开证书服务器server1，选择管理工具-证书颁发机构，颁发证书：可以通过Internet选项的“内容”或者MMC证书管理单元进行查看如有侵权请联系告知删除，感谢你们的配合！