开发者社区> 科技小能手> 正文

CA证书服务器(5) 架设企业根CA

简介:
+关注继续查看

在上篇博文中提到,安全技术主要是通过证书来实现的,比如我们可以为Web服务器申请证书,以实现安全通信。证书可以向一些知名的商业CA申请,但这要缴纳不菲的费用,如果我们的网站只是在企业内部或一些合作单位之间使用,那么就可以自己架设CA来颁发证书。下面我们就来搭建这样一台CA证书服务器。

在复杂的认证体系中,CA分为不同的层次,其中根CA是CA信任体系结构的最高级,它一般负责整个CA体系的管理,为下属的子级CA签发并管理证书,而不直接为用户签发证书。根以下的各级CA都称为子级CA,负责本辖区的安全,并直接为用户颁发和管理证书。

在Windows Server 2008 R2系统中搭建CA服务器时,可以将服务器配置成企业根CA、企业子级CA、独立根CA、独立子级CA四种类型,其中企业CA要求AD服务,即CA服务器必须处于域环境,而独立CA则没有要求。企业CA和独立CA的主要区别见下图:

184608648.jpg

在我们的实验环境中只架设一台企业根CA,直接用它来为用户发放证书。

由于CA服务的负载并不大,因而没有必要单独占用一台服务器,我们这里将它部署在之前已经搭建好的额外域控制器(IP:192.168.1.2)上。

以域管理员的身份登录额外域控制器,在【服务器管理器】中选择添加“Active Directory证书服务”角色。

184721327.jpg

除了默认的证书颁发机构外,还需要安装“证书颁发机构Web注册”组件,并在跳出的界面中单击“添加所需的角色服务”按钮来安装IIS角色,以便让用户可以利用浏览器来申请证书。

184804165.jpg

CA安装类型选择“企业”。企业根CA发放证书的对象仅限于域用户。

184845645.jpg

CA类型选择“根CA”。

184932640.jpg

在“设置私钥”中选择“新建私钥”,此为CA的私钥,CA必须拥有私钥后才可以发放证书。

185018982.jpg

采用默认的私钥创建方法,加密算法使用的是RSA,密钥长度2048位,哈希算法(消息摘要算法)采用的是SHA1。

185056526.jpg

CA名称采用默认值。

185129814.jpg

CA有效期默认为5年。

185200319.jpg

证书数据库存放位置采用默认值,Web服务器选择角色服务中采用默认值,最终确认无误后开始安装。

完成安装后,可通过【管理工具】中的【证书颁发机构】来管理CA。

185250569.jpg

Active Directory域会通过组策略来让域内的所有计算机来自动信任根CA,也就是自动将企业根CA的证书安装到客户端计算机。由于这条组策略是在“计算机配置”中设置的,因而客户端计算机需要重启才能应用。

将客户端计算机重启之后,以普通域用户的身份登录,打开IE浏览器的“Internet选项”,可以看到我们刚才安装的企业根CA已经自动被加入到了“受信任的根证书颁发机构”中去。

185406544.jpg

此时在客户端打开浏览器,输入CA服务器的URL“http://192.168.1.2/certsrv/”,即可以打开证书申请页面,如图所示。(在访问时需要输入用户名和密码,输入任意一个域用户账户即可。)

185448466.jpg

注意,如果客户端无法正常打开CA的证书申请页面,那么可以通过以下两项操作来解决问题:一是将客户端的IE ESC功能关闭;二是推进用域名的形式访问CA,如http://ca.coolpen.net/certsrv,在2008的域环境中使用UNC路径或URL时,好像对IP支持的不够好,而使用域名则很少出问题。


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1191801

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
宝塔面板部署DV免费证书(web服务器nginx)
宝塔面板部署DV免费证书(web服务器nginx)
94 0
关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
106 0
[Apache,安装包,Openssl,服务器证书,安装目录]Linux Apache SSL证书安装
  一、安装准备 1.安装Openssl要使Apache支持SSL,需要首先安装Openssl支持。(现在的服务器一般都已经预装了,可以直接直接跳到下一步。)安装Openssl有两种方式:1)下载源码编译安装:推荐下载安装openssl-0.9.8k.tar.gz
219 0
将Fiddler的服务器证书导入到Java的cacerts证书库里
将Fiddler的服务器证书导入到Java的cacerts证书库里
85 0
蚂蚁金服网站服务器证书升级公告
尊敬的开放平台合作伙伴们:     为确保用户可以获得最佳的使用体验,蚂蚁金服网站计划于2018年7月10日升级服务器证书。 请通知贵司技术开发人员尽快完成相关验证和进行必要的修正,以免影响交易正常进行,详细信息可查看《蚂蚁金服网站新服务器证书兼容性验证指引文档》。
397 0
Confluence 6 导入 Active Directory 服务器证书 - Mac OS X
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
998 0
+关注
科技小能手
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
网站/服务器取证 实践与挑战
立即下载
固守服务器的第一道防线——美联集团堡垒机的前世今生
立即下载
机器学习在大规模服务器治理复杂场景的实践
立即下载