CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。首先,主体发出证书申请,通常情况下,主体将生成密钥对,有时也可能由CA完成这一功能,然后主体将包含其公钥的证书申请提交给CA,等待年批准。CA在收到主体发来的证书申请后,必须核实申请者的身份,一旦核实,CA就可以接受该申请,对申请进行签名,生成一个有效的证书,最后,CA将分发证书,以便申请者可使用该证书。CRL:是被CA吊销的证书的列表。
基于WINDOWS的CA支持4种类型
企业根CA:它是证书层次结构中的最高级CA,企业根CA需要AD。企业根CA自行签发自己的CA证书,并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中,通常,企业CA不直为用户和计算机证书提供资源,但是它是证书层次结构的基础。
企业从属CA:企业从属CA必须从另一CA(父CA)获得它的CA证书,企业从属CA需要AD,当希望使用AD,证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时,应使用企业从属CA
独立根CA:独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是,因此它不需要AD,但是,如果存在AD用于发布证书和证书吊销列表,则会使用AD,由于独立根CA不需要AD,因此可以很容易地将它众网络上断开并置于安全的区域,这在创建安全的离线根CA时非常有用。
独立从属CA:独立从属CA必须从另一CA(父CA)获得它的CA证书,独立从属CA可以是域的成员也可以不是,因此它不需要AD,但是,如果存在AD用于发布和证书吊销列表,则会使用AD。
下面来部署CA
一台是独立根CA,一台是独立从属CA
安装独立根CA
选中应用程序服务器和证书服务.
由于"证书服务WEB注册支持"需要依赖于IIS,所以要选中应用程序服务.
点详细看一看
点确定
这里选独立根CA并打上勾.
单击导入,可以使用现有的密钥对,就不用生成新的密钥.
密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位.
如果不选"允许此CSP与桌面交互"系统服务就无法与当前用户的桌面进行交互.
输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限.
共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA但不使用AD时才有用.
下面便开始安装了.
安装到一定的时候会出现下面对话框
默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是.
下面来安装独立从属CA
同样选择应用程序服务器和证书服务
这里选择独立从属CA并勾上.
可以看到这里密钥长度默认是1024位
输入公用名称
有效期限取决于父CA
这里默认建立一个共享文件夹
如果父CA在线可用,则选中"将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和父CA的名称.
如果父CA不在线可用,则选中"将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.
下面便开始安装了
安装时会出现上面对话框,确定便是了.
选是
点完成
下面来验证安装
可以看到根CA有上面这些文件便安装成功
也可以看服务
有图中的服务便安装成功
下面来看申请和颁发证书
现在来登录从属CA,打开"开始"-所有程序-INTERNET EXPLORER.打开IE
在地址栏中输入父CA的WEB支持页面的URL.然后单击申请一个证书
这里选高级证书申请
选下面那条
点浏览要插入的文件
这个是在建立从属CA时所创建的
然后点读取
最后点提交
这样便提交了一个证书申请
然后在根CA上颁发证书
可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名.
点证书右键,点颁发
这样便在颁发证书下面
又击证书便可以看到下面
这里可以看到证书的一些信息
下面来看获取并安装证书
这里在从属CA上,同样打开申请页面,点查看挂起的证书,便可以看到保存的申请证书.点保存
单击下载证书链,证书链中包含了当前证书和当前证书上级所有的CA证书,包括根CA.
然后单击开始---管理工具---证书颁发机构.
安装CA证书.然后启动服务.
下一步
下一步
这里已先安装好了
安装成功之后,从属CA部署完成.
本文出自 “yangming.com” 博客,请务必保留此出处[url]http://ming228.blog.51cto.com/421298/103538[/url]
本文出自 51CTO.COM技术博客转载于:https://blog.51cto.com/komichu/105514