CA证书服务器(5) 架设企业根CA

简介:

在上篇博文中提到,安全技术主要是通过证书来实现的,比如我们可以为Web服务器申请证书,以实现安全通信。证书可以向一些知名的商业CA申请,但这要缴纳不菲的费用,如果我们的网站只是在企业内部或一些合作单位之间使用,那么就可以自己架设CA来颁发证书。下面我们就来搭建这样一台CA证书服务器。

在复杂的认证体系中,CA分为不同的层次,其中根CA是CA信任体系结构的最高级,它一般负责整个CA体系的管理,为下属的子级CA签发并管理证书,而不直接为用户签发证书。根以下的各级CA都称为子级CA,负责本辖区的安全,并直接为用户颁发和管理证书。

在Windows Server 2008 R2系统中搭建CA服务器时,可以将服务器配置成企业根CA、企业子级CA、独立根CA、独立子级CA四种类型,其中企业CA要求AD服务,即CA服务器必须处于域环境,而独立CA则没有要求。企业CA和独立CA的主要区别见下图:

184608648.jpg

在我们的实验环境中只架设一台企业根CA,直接用它来为用户发放证书。

由于CA服务的负载并不大,因而没有必要单独占用一台服务器,我们这里将它部署在之前已经搭建好的额外域控制器(IP:192.168.1.2)上。

以域管理员的身份登录额外域控制器,在【服务器管理器】中选择添加“Active Directory证书服务”角色。

184721327.jpg

除了默认的证书颁发机构外,还需要安装“证书颁发机构Web注册”组件,并在跳出的界面中单击“添加所需的角色服务”按钮来安装IIS角色,以便让用户可以利用浏览器来申请证书。

184804165.jpg

CA安装类型选择“企业”。企业根CA发放证书的对象仅限于域用户。

184845645.jpg

CA类型选择“根CA”。

184932640.jpg

在“设置私钥”中选择“新建私钥”,此为CA的私钥,CA必须拥有私钥后才可以发放证书。

185018982.jpg

采用默认的私钥创建方法,加密算法使用的是RSA,密钥长度2048位,哈希算法(消息摘要算法)采用的是SHA1。

185056526.jpg

CA名称采用默认值。

185129814.jpg

CA有效期默认为5年。

185200319.jpg

证书数据库存放位置采用默认值,Web服务器选择角色服务中采用默认值,最终确认无误后开始安装。

完成安装后,可通过【管理工具】中的【证书颁发机构】来管理CA。

185250569.jpg

Active Directory域会通过组策略来让域内的所有计算机来自动信任根CA,也就是自动将企业根CA的证书安装到客户端计算机。由于这条组策略是在“计算机配置”中设置的,因而客户端计算机需要重启才能应用。

将客户端计算机重启之后,以普通域用户的身份登录,打开IE浏览器的“Internet选项”,可以看到我们刚才安装的企业根CA已经自动被加入到了“受信任的根证书颁发机构”中去。

185406544.jpg

此时在客户端打开浏览器,输入CA服务器的URL“http://192.168.1.2/certsrv/”,即可以打开证书申请页面,如图所示。(在访问时需要输入用户名和密码,输入任意一个域用户账户即可。)

185448466.jpg

注意,如果客户端无法正常打开CA的证书申请页面,那么可以通过以下两项操作来解决问题:一是将客户端的IE ESC功能关闭;二是推进用域名的形式访问CA,如http://ca.coolpen.net/certsrv,在2008的域环境中使用UNC路径或URL时,好像对IP支持的不够好,而使用域名则很少出问题。


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1191801

相关文章
|
14天前
|
XML 网络安全 开发工具
如何下载并安装 SAP ABAPGit,并完成 ABAP 服务器上 SSL 证书的配置试读版
如何下载并安装 SAP ABAPGit,并完成 ABAP 服务器上 SSL 证书的配置试读版
19 0
|
14天前
|
存储 监控 安全
云服务器如何最好安全,企业如何保障云机主的安全使用
云服务器作为数据存储和处理的中心,承载着大量敏感信息。一旦云服务器受到攻击或数据泄露,将可能导致严重的经济损失、声誉损害甚至法律纠纷。因此,加强云服务器安全防护至关重要。
|
14天前
|
存储 监控 安全
如何利用服务器为个人和企业提供定制服务?
【5月更文挑战第4天】如何利用服务器为个人和企业提供定制服务?
26 11
|
14天前
|
Java 应用服务中间件 PHP
企业Java应用服务器之JBoss7.1与Apahce整合
企业Java应用服务器之JBoss7.1与Apahce整合
|
14天前
|
安全 数据安全/隐私保护 数据中心
服务器中毒怎么办?企业数据安全需重视
互联网企业包括基础层、服务层和终端层,后者涉及网络服务、内容提供、应用服务等。随着业务发展,企业积累了大量数据,数据安全成为关注焦点,尤其是防范服务器中毒导致的数据泄露。中毒迹象包括文件消失、程序异常、启动项可疑、运行缓慢、杀毒软件失效、系统语言改变、蓝屏或黑屏、主页篡改、广告弹窗、程序图标篡改等。中毒原因可能源自源程序漏洞、FTP漏洞、不安全的上网行为和弱后台口令。处理中毒需断网、备份重要文件、运行杀毒软件、在DOS下杀毒、恢复系统并更改网络密码。预防措施包括打补丁、安装杀毒软件、定期扫描、谨慎点击链接和下载、不随意执行附件程序等。
|
14天前
|
弹性计算 固态存储 调度
2024年阿里云服务器配置选择指南_个人和企业如何选择ECS实例规格?
2024年阿里云服务器配置选择指南_个人和企业如何选择ECS实例规格?CPU内存、公网带宽和系统盘怎么选择?个人用户选择轻量应用服务器或ECS通用算力型u1云服务器,企业用户选择ECS计算型c7、通用型g7云服务器,阿里云百科分享阿里云服务器配置选择方法
|
14天前
|
存储 监控 安全
服务器防护:保障企业数据安全的坚固堡垒
在数字化时代,服务器作为存储、处理和传输企业关键数据的核心设备,其安全性显得尤为重要。服务器防护不仅是技术层面的挑战,更是企业安全战略的重要组成部分。本文将探讨服务器防护的重要性、常见威胁以及应对策略。
|
14天前
|
弹性计算 大数据 测试技术
2024年企业云服务器价格多少钱,1000-3000元预算阿里云服务器配置说明
2024年企业云服务器价格多少钱?租用阿里云服务器怎么收费?阿里云服务器配置不同一年价格也不同,来看看1000-3000元预算阿里云服务器配置说明。云服务器ECS经济型e实例2核2G、3M固定带宽99元一年、ECS u1实例2核4G、5M固定带宽、80G ESSD Entry盘优惠价格199元一年,轻量应用服务器2核2G3M带宽轻量服务器一年61元、2核4G4M带宽轻量服务器一年165元12个月、2核4G服务器30元3个月,幻兽帕鲁4核16G和8核32G服务器配置,云服务器ECS可以选择经济型e实例、通用算力u1实例、ECS计算型c7、通用型g7、c8i、g8i等企业级实例规格。
|
14天前
|
存储 固态存储 数据可视化
|
14天前
|
弹性计算 数据安全/隐私保护
2024年阿里云雾锁王国/Enshrouded服务器搭建架设教程(保姆级)
随着游戏行业的日新月异,玩家们对游戏体验的期待也不断攀升。阿里云针对这一需求,推出了快速、便捷的游戏联机服务器一键部署方案。在本篇教程中,我们将向大家展示如何在短短的10秒钟内,利用阿里云服务器轻松搭建雾锁王国游戏服务器,为您的游戏体验增添更多流畅与顺畅。跟随我们的步骤,让您的游戏世界更加精彩!

热门文章

最新文章