CA:Certificate Authority,證書權(quán)威機(jī)構(gòu),也稱為證書頒發(fā)機(jī)構(gòu)或認(rèn)證中心)是PKI中受信任的第三方實(shí)體.負(fù)責(zé)證書頒發(fā)、吊銷、更新和續(xù)訂等證書管理任務(wù)和CRL發(fā)布和事件日志記錄等幾項(xiàng)重要的任務(wù)。首先，主體發(fā)出證書申請，通常情況下，主體將生成密鑰對，有時(shí)也可能由CA完成這一功能，然后主體將包含其公鑰的證書申請?zhí)峤唤oCA，等待年批準(zhǔn)。CA在收到主體發(fā)來的證書申請后，必須核實(shí)申請者的身份，一旦核實(shí)，CA就可以接受該申請，對申請進(jìn)行簽名，生成一個(gè)有效的證書，最后，CA將分發(fā)證書，以便申請者可使用該證書。CRL：是被CA吊銷的證書的列表。 基于WINDOWS的CA支持4種類型 企業(yè)根CA：它是證書層次結(jié)構(gòu)中的最高級CA，企業(yè)根CA需要AD。企業(yè)根CA自行簽發(fā)自己的CA證書，并使用組策略將該證書發(fā)布到域中的所有服務(wù)器和工作站的受信任的根證書頒發(fā)機(jī)構(gòu)的存儲區(qū)中，通常，企業(yè)CA不直為用戶和計(jì)算機(jī)證書提供資源，但是它是證書層次結(jié)構(gòu)的基礎(chǔ)。 企業(yè)從屬CA：企業(yè)從屬CA必須從另一CA（父CA）獲得它的CA證書，企業(yè)從屬CA需要AD，當(dāng)希望使用AD，證書模板和智能卡登錄到運(yùn)行WINDOWS XP和WIN2003的計(jì)算機(jī)時(shí)，應(yīng)使用企業(yè)從屬CA 獨(dú)立根CA：獨(dú)立根CA是證書層次結(jié)構(gòu)中的最高級CA。獨(dú)立根CA既可以是域的成員也可以不是，因此它不需要AD，但是，如果存在AD用于發(fā)布證書和證書吊銷列表，則會使用AD，由于獨(dú)立根CA不需要AD，因此可以很容易地將它眾網(wǎng)絡(luò)上斷開并置于安全的區(qū)域，這在創(chuàng)建安全的離線根CA時(shí)非常有用。 獨(dú)立從屬CA：獨(dú)立從屬CA必須從另一CA（父CA）獲得它的CA證書，獨(dú)立從屬CA可以是域的成員也可以不是，因此它不需要AD，但是，如果存在AD用于發(fā)布和證書吊銷列表，則會使用AD。 下面來部署CA 一臺是獨(dú)立根CA,一臺是獨(dú)立從屬CA 安裝獨(dú)立根CA 選中應(yīng)用程序服務(wù)器和證書服務(wù). 由于"證書服務(wù)WEB注冊支持"需要依賴于IIS,所以要選中應(yīng)用程序服務(wù). 點(diǎn)詳細(xì)看一看 點(diǎn)確定 這里選獨(dú)立根CA并打上勾. 單擊導(dǎo)入,可以使用現(xiàn)有的密鑰對,就不用生成新的密鑰. 密鑰長度,根CA,默認(rèn)長度為2048位,如果安裝從屬CA,默認(rèn)密鑰長度為1024位. 如果不選"允許此CSP與桌面交互"系統(tǒng)服務(wù)就無法與當(dāng)前用戶的桌面進(jìn)行交互. 輸入CA的公用名稱,安裝后就不能更改了.可修改默認(rèn)的有效期限. 共享文件用于存儲CA的相關(guān)信息以便用戶查找,只有在安裝獨(dú)立的CA但不使用AD時(shí)才有用. 下面便開始安裝了. 安裝到一定的時(shí)候會出現(xiàn)下面對話框 默認(rèn)安裝IIS時(shí)并不啟用ASP支持,因此在安裝時(shí)會出現(xiàn)上面對話框.點(diǎn)擊是. 下面來安裝獨(dú)立從屬CA 同樣選擇應(yīng)用程序服務(wù)器和證書服務(wù) 這里選擇獨(dú)立從屬CA并勾上. 可以看到這里密鑰長度默認(rèn)是1024位 輸入公用名稱 有效期限取決于父CA 這里默認(rèn)建立一個(gè)共享文件夾 如果父CA在線可用,則選中"將申請直接發(fā)送給網(wǎng)絡(luò)上的CA".在文本框中輸入父CA的計(jì)算機(jī)名,和父CA的名稱. 如果父CA不在線可用,則選中"將申請保存到一個(gè)文件",并在申請文件文本框中輸入將存儲申請的文件的路徑和文件名,然后使用此證書申請文件手工向父CA提交申請. 下面便開始安裝了 安裝時(shí)會出現(xiàn)上面對話框,確定便是了. 選是 點(diǎn)完成 下面來驗(yàn)證安裝 可以看到根CA有上面這些文件便安裝成功 也可以看服務(wù) 有圖中的服務(wù)便安裝成功 下面來看申請和頒發(fā)證書 現(xiàn)在來登錄從屬CA,打開"開始"-所有程序-INTERNET EXPLORER.打開IE 在地址欄中輸入父CA的WEB支持頁面的URL.然后單擊申請一個(gè)證書 這里選高級證書申請 選下面那條 點(diǎn)瀏覽要插入的文件 這個(gè)是在建立從屬CA時(shí)所創(chuàng)建的 然后點(diǎn)讀取 最后點(diǎn)提交 這樣便提交了一個(gè)證書申請 然后在根CA上頒發(fā)證書 可以看到掛起剛才申請的證書.這里有兩個(gè),一個(gè)是管理員用戶,一個(gè)是默認(rèn)的計(jì)算機(jī)名. 點(diǎn)證書右鍵,點(diǎn)頒發(fā) 這樣便在頒發(fā)證書下面 又擊證書便可以看到下面 這里可以看到證書的一些信息 下面來看獲取并安裝證書 這里在從屬CA上,同樣打開申請頁面,點(diǎn)查看掛起的證書,便可以看到保存的申請證書.點(diǎn)保存 單擊下載證書鏈,證書鏈中包含了當(dāng)前證書和當(dāng)前證書上級所有的CA證書,包括根CA. 然后單擊開始---管理工具---證書頒發(fā)機(jī)構(gòu). 安裝CA證書.然后啟動(dòng)服務(wù). 下一步 下一步 這里已先安裝好了 安裝成功之后,從屬CA部署完成. 本文出自 “yangming.com” 博客，請務(wù)必保留此出處[url]http://ming228.blog.51cto.com/421298/103538[/url]本文出自 51CTO.COM技術(shù)博客

轉(zhuǎn)載于:https://blog.51cto.com/komichu/105514

總結(jié)

以上是生活随笔為你收集整理的Windows server 2003 CA配置(一)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。