CA的分类:
域:是window服务的整体基础。
在Windows环境下,CA被分为企业CA和独立CA:
企业CA:要求域环境(主要用于内网),负责为域中的用户和计算机颁发证书;证书自动颁发,无需管理员操作。
独立CA:不要求域环境,既可以为企业内网中的用户也可以为互联网上的用户颁发证书;证书颁发必须要由管理员操作。
CA的层次
根CA,CA信任体系结构的最高层,负责整个CA体系的管理,并为下属的子CA签发并管理证书,而不直接为用户签发证书。
根CA以下的各级CA都称为子CA,负责为本辖区的用户颁发和管理证书。
在WinSrv系统中搭建CA服务器时,可以将服务器配置成企业根CA、企业子级CA、独立根CA(不能直接给网站办法证书)、独立子级CA四种类型。
在企业内网架设CA服务器的意义
证书只需要在企业内部或一些合作单位之间使用。
用户在使用时会弹出警告提示。
企业网络中对证书的需求量比较多。
比如企业下设了很多分公司,每个分公司都有自己独立的网站,每个分公司的网站都需要使用证书。这时,如果为每个网站都向商业CA申请证书,那花费会比较大。我们可以在企业内网中架设内网CA,然后从商业CA那里为内网CA申请一张证书,使内网CA成为商业CA的子CA,最后再由内网CA负责为所有的网站颁发证书。由于所有的用户都信任商业CA,因而也会信任内网CA以及由它所颁发的证书,这样用户在使用时不会出现警告提示。
我们在内网搭建服务器,证书只在我们企业内部使用或者是跟合作伙伴使用,我们在访问网站的时候不会出现警告。
架设独立根CA
由于独立根CA需要自己给自己签发CA证书,而CA证书包含一些计算机的配置信息,因此在安装证书服务前必须要配置好计算机的主机名和IP地址。
由于用户只能通过浏览器向独立根CA申请证书,因此独立根CA还要提供Web服务器功能,需要在CA服务器中先安装IIS,并且需要ASP脚本语言支持。
在“控制面板/添加或删除程序/Window组件”中勾选“证书服务”,并点击“详细信息”,在“证书服务的子组件”窗口中勾选“证书服务”和“证书服务Web注册支持”。
由于用户只能通过浏览器向独立根CA申请证书,因此独立根CA还要提供Web服务器功能,需要在CA服务器中先安装IIS。
在客户端浏览器中输入URL“ http://CA服务器IP/certsrv/”,可打开证书申请页面。
windows server 系统安全加固(架设证书服务器与颁发证书)
最新推荐文章于 2024-01-02 09:38:05 发布