Windows server 2003 CA 配置(一)
CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是 PKI 中受信任
的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和 CRL 发布和事件日志
记录等几项重要的任务。首先,主体发出证书申请,通常情况下,主体将生成密钥对,有
时也可能由 CA 完成这一功能,然后主体将包含其公钥的证书申请提交给 CA,等待年批准。
CA 在收到主体发来的证书申请后,必须核实申请者的身份,一旦核实,CA 就可以接受该
申请,对申请进行签名,生成一个有效的证书,最后,CA 将分发证书,以便申请者可使
用该证书。CRL:是被 CA 吊销的证书的列表。
基于 WINDOWS 的 CA 支持 4 种类型
企业根 CA:它是证书层次结构中的最高级 CA,企业根 CA 需要 AD。企业根 CA 自行
签发自己的 CA 证书,并使用组策略将该证书发布到域中的所有服务器和工作站的受信任
的根证书颁发机构的存储区中,通常,企业 CA 不直为用户和计算机证书提供资源,但是
它是证书层次结构的基础。
企业从属 CA:企业从属 CA 必须从另一 CA(父 CA)获得它的 CA 证书,企业从属
CA 需要 AD,当希望使用 AD,证书模板和智能卡登录到运行 WINDOWS XP 和 WIN2003
的计算机时,应使用企业从属 CA
独立根 CA:独立根 CA 是证书层次结构中的最高级 CA。独立根 CA 既可以是域的成
员也可以不是,因此它不需要 AD,但是,如果存在 AD 用于发布证书和证书吊销列表,则
会使用 AD,由于独立根 CA 不需要 AD,因此可以很容易地将它众网络上断开并置于安全
的区域,这在创建安全的离线根 CA 时非常有用。
独立从属 CA:独立从属 CA 必须从另一 CA(父 CA)获得它的 CA 证书,独立从属
CA 可以是域的成员也可以不是,因此它不需要 AD,但是,如果存在 AD 用于发布和证书
吊销列表,则会使用 AD。
下面来部署 CA