SSL应用系列之一:CA证书颁发机构(中心)安装图文详解

最新推荐文章于 2024-04-23 18:50:28 发布
最新推荐文章于 2024-04-23 18:50:28 发布
阅读量1.2k 收藏 2
点赞数 1
文章标签: iis IIS ssl SSL
如果你需要在组织里发布exchange,或者需要给IIS配置SSL的访问方式,则需要部署CA,关于CA的应用,后续会有几篇文章来专门叙述,本文仅仅介绍CA证书颁发机构的安装,这也是SSL应用的基础工作。
 
阅读本文,你将了解到以下内容
 
◆什么是CA及CA的作用
◆安装CA的准备条件
◆如何CA安装
◆何为根证书
 
       在安装CA前,我们需要了解什么是CA。字面上理解,CA即Certificate Authority ,也就是证书授权中心,对于这6个字,如何理解?来帮大家逐字分析一下:
中心:可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台
授权:可以理解为,如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证,获得许可以后才可以继续操作。
证书:证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。
 
       总结一下,为了实现证明及安全的目的,我们建立了一套系统或者平台,它可以用来证明某些事物的合法性和真实存在性,并且为此提供足够强的保护,从而来抵御外界的攻击。这就是证书认证系统或者证书授权中心。概念似乎很抽象,不过后面会讲到更多的应用,当你理解这些应用后,再回过头来看这段话就会觉得很好理解。
我们开始吧,首先介绍一下CA安装的基础环境。
 
基础环境:
1、服务器版本操作系统,2000ser或2003 ser ,2008 ser等
2、安装CA前,请先安装好IIS。
 
一、安装CA
1、首先打开添加与删除程序,找到添加与删除组件,找到证书服务
当我们选中证书服务的时候,系统会弹出一个提示
大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中,所以装完CA后无法修改计算机名称,我们这里点击YES,
这里有4种CA类型可供选择。
有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个,并点击【Next】
在这个界面中,我们需要注意两个地方,
1、common name for this ca 
这里的名称其实和之后要申请的公共名称没有太大关联,我们可以自己命名,因为这个只是给我们要安装的CA起的一个可识别的名称而已,没有实际含义。所以这里
我写的是ca01,请大家不要和申请SSL或者发布OWA时所输入的公共名称相混淆。
2、Validity period
这个是安装的CA机构可正常运行的期限,即自安装日起5年内可以正常处理各种类型的证书的申请请求。当然你也可以手动更改,在右侧会出现相应的过期日期。
输入根CA的名称后,点击【Next】,经过一个很简短的过程之后,出现以下图示:
 
我们可以设置CA证书的数据库以及日志的存放路径,一般默认即可,点击【Next】继续,此时会弹出一个提示窗口,如下图示:
意思是,要完成CA的安装,需要临时停止IIS服务器,由于我这里IIS上没有运行web,所以可以直接点YES,这点请留意。
确定后,就开始自动安装CA组件了。
安装过程中,如果你没有事先启用IIS6里的ASP的话,就会出现下面的提示,此时只需确定即可。
经过大概1、2分钟的安装过程后,CA组件顺序安装完毕。
点击Finish完成整个过程。
二、查看CA
CA已安装,但在哪里查看呢?别急,我们可以通过2个办法来实现
1、可以依次点击 开始/程序/管理工具/Certification Authority
2、也可以在命令窗口内输入certsrv.msc,确定后直接打开CA
2种方法效果都是一样的,我们选用第二种方法。
下面是打开的主界面
这里我们可以看到ca01这个名称,熟悉吗? 对了,这就是我们在申请CA的时候输入的CA机构的名称,请记住,这仅仅是一个名称,对以后申请各类应用型的证书没有任何影响。
下面5个文件夹分别是【吊销的证书】、【已颁发的证书】、【挂起的请求】、【失败的请求】、【证书模板】,这里不做细述,以后用到的时候再讲,其实很简单。
    
     在这里我想和大家讨论的一个概念,就是“根证书”。其实当我们把CA机构创建完毕后,它的基本功能就是它将为其他应用程序或者服务器等颁发及管理证书,在安装完毕后,它会给自己颁发一个证书,也就是root certificate 根证书,而且是自己信任自己的,那在哪里查看呢???
右键ca01,选择【属性】,如下图:
我们可以很清晰的看到有一个certificate #0的证书,这就是ca01这个CA颁发机构的根证书。点击右下角的View Certificate ,可以查看根证书的详细属性。
 
【常规】选项卡,这里可以看到很简要的信息,比如颁发者ca01,颁发给ca01,也就是自己给自己颁发,很简单,它是根CA,也是该网络里的第一台CA证书服务器,只能自己给自己颁发一个根证书,为什么要这么做呢?原因有两点,1、它是最高级别的CA  2、为后面申请的CA证书提供认证。
【详细信息】选项卡,这里不但可以查看证书的一些基本信息,包括证书版本,生效日期,以及失效日期,还有算法及加密信息等。
右下角有一个 copy to file,我们可以利用这个选项将根证书导出为3种不同的格式,我会在后面的教程中说到。
【证书路径】选项卡,这里显示的是证书体系的逻辑结构,因为我现在只有根证书,所以也只能看到自己了。
hellotjc
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fiddler HTTPS抓包
qq_42829320的博客
06-09 783
HTTPS https: http + ssl + Tls 加密 对称加密,非对称加密 密钥 公钥 谷歌浏览器安装证书 第一种方法安装证书 点击Tools>Fiddler Optons >HTTPS 勾选Decrypt HTTPS Traffic 如果抓不到,将所有与fiddler相关的证书重置 点击Tools>Fiddler Optons >HTTPS&g...
【南工程开源计划】南京工程学院 信息与通信工程学院 课程设计说明书(论文) 宽带接入技术--WLAN接入设计
青墟的CSDN博客
12-16 1292
经过了5天的课程设计锻炼,我在磨练中学到了很多知识。 虽然谭老师已经为我们准备好了课程设计指导书,但是实践起来依然很有难度,非常有挑战。 在下载证书时,服务器证书的地址是192.168.88.2/certsrv,属于Radius服务器地址192.168.88.2,和H3C路由器192.168.88.1在同一网段,无线路由器原始IP地址为192.168.1.1,登陆后我们修改为192.168.88.3,因此,Radius服务器、路由器、无线路由器,三者都在同一网段内(因为192.168.88.0网段的子网掩码
实验五 CA安装和使用
君莫hacker的博客
11-09 6051
利用Windows server提供的“证书服务”组件为用户颁发证书。 通过用户申请数字证书及服务器端签发证书,加深对PKI理论(重点是CA功能)的理解。 利用Windows server提供的“证书服务”组件,建立“独立根CA”或“企业根CA”并为用户颁发浏览器数字证书 等待。 完成后立即重启。 注:可能由于win2008版本的问题,这里会出现让更改密码 查看计算机属性 服务器管理器—角色—添加角色 添加AD证书服务 选择Web页注册,添加所需角色
loadrunner录制脚本的小问题.zip_录制LoadRunner
09-15
小技巧loadrunner录制脚本的小问题loadrunner录制脚本的小问题
windows服务器ssl证书创建、安装及配置方法
01-11
IIS发布https网站,SSL的安全服务配置步骤: 生成申请证书请求获取及安装中级CA证书安装服务器证书及配置绑定一、生成证书请求 进入IIS控制台 在“开始”菜单上,依次单击“所有程序”、“附件”和“运行”。 在“打开”框中,键入 inetmgr,然后单击“确定”。点击对应机器主页,然后选择“服务器证书”。 创建证书请求 进入服务器证书配置页面,并选择“创建证书申请”,填写相关信息,点击“下一步”。 选择加密服务提供程序,并设置证书密钥长度,EV证书需选择位长2048,点击“下一步”。 保存证书请求文件到.txt文件(如申请证书,如将此文件提交给相关机构)。二、安装服务器证书获取
ssl-local-development:使用CA证书生成用于本地开发的SSL证书的工作流
05-15
用于本地开发的SSL 使用CA证书生成用于本地开发的SSL证书的工作流 工作流程 在此工作流程中,我们将为以下开发域生成示例证书: https://www.symfony/ https:/symfony/ https://mysql.symfony/ 就像一个标准的symfony应用程序(前面带有和不带有www)以及一个phpMyAdmin实例,用于在数据库层中进行快速查看( ) 1)将此存储库克隆到新文件夹中(在此示例中为“ ssl”) git clone https://github.com/thobaier/ssl-local-development ssl 2)生成根证书。 在这里,我们生成了自己的CA! 该根证书用于生成SSL证书。 我们会将这些根证书作为证书颁发机构导入我们的浏览器中,之后,浏览器以后将信任我们所有的证书(使用此CA生成)。 将目录更改为存储库文件夹
sslhash:没有证书颁发机构SSL
04-26
sslhash 没有证书颁发机构SSL。 为什么? 您是否曾经想在非HTTP TCP流上使用TLS? 如果是,您将意识到设置证书非常复杂。 并非所有IP都具有域! sslhash基本上跳过了主机名检查,而是将其与用户提供的公用密钥哈希进行比较。 这将利用SSL的优点(安全性,已审核等),并消除SSL的缺点(证书颁发机构)。 用法 服务器: // Create a builder. // Default values: // - RSA bits: 3072 // - Cache directory: The same directory as the executable let (acceptor, hash) = AcceptorBuilder :: default (). build (). unwrap (); // Replace "localhost:1234" wi
loadrunner12录制脚本时网络连接错误以及无法弹出浏览器(出现安全警告,下载证书)
LX__dream的博客
03-26 3433
弹出来下面这个框, 点击yes之后 又弹出来这个框, 作为超级小白的我害怕同意了什么了不得东西, 对我电脑上的文件有害什么的, 就一直点否 与此同时尝试了CSDN里几乎所有的方法, 什么去掉勾选禁止脚本, 什么去掉勾选第三方扩展, 什么将IE11设置为默认浏览器, 什么局域网设置等等, 总之方法试了个遍, 这些方法CSDN遍地是在此就不再赘述, 但是对我的loadrunner脚本录制没有用 也没见别的博主有出现下面证书这个东西, 在我反复将loadrunner下载了五六遍之后, 我勇敢的点了是 别犹豫,
“您的连接不是私密连接“的解决
yzx99的专栏
10-05 4856
今天我们家神兽发现他玩的网站进不去,提示“您的连接不是私密连接 攻击者可能会试图从 box3.codemao.cn 窃取您的信息(例如:密码、通讯内容或信用卡信息)。了解详情 NET::ERR_CERT_DATE_INVALID” 我看一下是证书问题,根证书居然到期了(打开过程很慢,估计1分钟,要有足够的耐心)。 网上搜索,发现很多都在讨论这个问题,说是Let’s Encrypt的DST Root CA X3根证书换为ISRG Root X1了。对方网站本身是没问题,问题是我的WIN7电脑上..
安装企业从属证书颁发机构
weixin_34050389的博客
10-05 1019
安装企业从属证书颁发机构 1. 以 Enterprise Admins 组和根域的 Domain Admins 组成员的身份登录。 2. 如果您的企业中当前存在或曾经存在任何 Windows2000 企业证书颁发机构 (CA),请打开“证书模板”,并在提示安装新的证书模板时,单击...
SSL应用系列之二:CA证书颁发机构中心安装图文详解
chen88358323的专栏
05-02 3364
tag: windows server 2003 ca ssl 原文传送门  上一节中,我们讨论过有关CA作用及安装,本节我会通过给一个web站点设置SSL加密访问,来加深对CA的理解。   通过阅读本文,你将了解到以下内容 ◆如何通俗化理解SSL ◆演示2种为web网页申请安全证书的方法 ◆通过实例理解Common  Name名称的作用 ◆
mkcert证书创建自签名工具SSL证书CA证书颁发
05-05
可省去choco下载安装的步骤,直接使用mkcert创建和签名证书,通过mkcert -install命令创建ca证书,傻瓜式零配置签发证书
HTTPS证书颁发机构Startssl SSL申请图文详解
10-29
HTTPS证书颁发机构Startssl SSL申请图文详解
Windows API GetLastError错误代码解释大全(最完整的一篇)
szx0427的博客
04-11 7449
这个也很好获取,循环FormatMessage即可。 0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足,无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不...
使用JPush(极光推送)实现远程通知
a359798678的博客
07-26 177
使用JPush(极光推送)实现远程通知 远程推送是APP 必备的功能, 现在第三方的 SDK 已经做的非常完备了, 在 iOS10.0出来之后, 极光推送也及时更新了他的 SDK, 今天小试了一下效果, 发现坑还是很多的 大致的思路总结一下是这样的 使用JPush(极光推送)实现远程通知大致思路 下面就来一步步梳理一下: 一 , ...
Active Direcyory之证书颁发机构CA服务器)
weixin_33943836的博客
05-30 639
今天给大家带来的是CA服务器,全称是证书颁发机构,那么,哪里需要用到AC服务器呢?这里就要说一下https了,https(全称:Hyper Text Transfer Protocol over Secure Socket Layer)简单讲是HTTP的安全版。今天的示例有两个:示例一: 部署企业内部CA服务器示例二: 实现安全的WEB站点先给大家说一下今天的实验环境,两台服...
什么是证书颁发机构
cumudi0723的博客
07-27 3765
CA证书颁发机构 (CA: Certificate Authority) CA is an abbreviation of the "Certificate Authority". CA是“证书颁发机构”的缩写 。 It is also known as a "certification authority", is a trusted corporation or organizatio...
AD--SSL卸载--单向认证和双向认证
最新发布
qq_61759561的博客
04-23 190
AD--SSL卸载--单向认证和双向认证
局域网怎么配置公共颁发机构颁发SSL证书
07-14
在局域网中配置公共颁发机构颁发SSL...请注意,在局域网中配置 SSL 证书时,您需要确保局域网中的所有客户端信任您使用的公共颁发机构,并且已正确安装证书。否则,客户端可能会发出安全警告或无法建立 SSL 连接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值