CA〔证书颁发机构〕配置概述图解过程
一.CA〔证书颁发机构〕配置概述
由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份确实定性
等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下 PKI 体系中
的“证书”,也就是如何来构建一个 CA 的环境来保证安全性。
CA〔证书颁发机构〕主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为
是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的、地址、电子邮件帐号、公
钥、证书有效期、发放证书的 CA、CA 的数字签名等信息。证书主要有三大功能:加密、
签名、身份验证。这里不在具体阐述加密相关知识,这里主要讨论如何来实现 CA 的环境。
CA 的架构是一种层次结构的部署模式,分为“根 CA”和“从属 CA”:“根 CA”位于此架构中
的最上层,一般它是被用来发放证书给其他的 CA〔从属 CA〕。在 windows 系统中,我们
可以构建 4 种 CA:企业根 CA 和企业从属 CA〔这两种 CA 只能在域环境中〕;独立根 CA
和独立从属 CA。
安装 CA:通过控制面板--添加删除程序--添加删除 windows 组件--证书服务,在安装过
程中选择安装的 CA 类型,再这里我们选择独立根 CA,输入 CA 名称以及设置有效期限,
完成向导即可。〔在这里注意:安装证书服务前先安装 IIS〕 申请证书:CA 服务装好以后
就可以直接申请证书了,申请证书有两种方法:通过 MMC 控制台〔此方法只适用于企业
根 CA 和企业从属 CA〕和通过 WEB 浏览器。在这里我们只能选择 WEB 浏览器的方式,
找到一台客户端电脑,在 IE 浏览器中输入[url] ://ca[/url] 服务器的 IP 地址或者电脑
名/certsrv 即可。然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。
使用证书:我们可以自己架设一个最简单的 POP3 服务器,来实现邮件服务。现在假设
lily 要向 lucy 发送一封加密和签名电子邮件,在 lily 这边的 outlook 中选择工具--帐户--邮件,
选择 lily 的帐户,再单击属性--安全,选择证书就可以了。在 lucy 处做同样的操作。
二.证书服务器图解过程 试验拓扑: