windows server 系统安全加固（架设证书服务器与颁发证书）

CA的分类：
域：是window服务的整体基础。
在Windows环境下，CA被分为企业CA和独立CA：
企业CA：要求域环境（主要用于内网），负责为域中的用户和计算机颁发证书；证书自动颁发，无需管理员操作。
独立CA：不要求域环境，既可以为企业内网中的用户也可以为互联网上的用户颁发证书；证书颁发必须要由管理员操作。
CA的层次
根CA，CA信任体系结构的最高层，负责整个CA体系的管理，并为下属的子CA签发并管理证书，而不直接为用户签发证书。
根CA以下的各级CA都称为子CA，负责为本辖区的用户颁发和管理证书。
在WinSrv系统中搭建CA服务器时，可以将服务器配置成企业根CA、企业子级CA、独立根CA（不能直接给网站办法证书）、独立子级CA四种类型。
在企业内网架设CA服务器的意义
证书只需要在企业内部或一些合作单位之间使用。
用户在使用时会弹出警告提示。
企业网络中对证书的需求量比较多。
比如企业下设了很多分公司，每个分公司都有自己独立的网站，每个分公司的网站都需要使用证书。这时，如果为每个网站都向商业CA申请证书，那花费会比较大。我们可以在企业内网中架设内网CA，然后从商业CA那里为内网CA申请一张证书，使内网CA成为商业CA的子CA，最后再由内网CA负责为所有的网站颁发证书。由于所有的用户都信任商业CA，因而也会信任内网CA以及由它所颁发的证书，这样用户在使用时不会出现警告提示。
我们在内网搭建服务器，证书只在我们企业内部使用或者是跟合作伙伴使用，我们在访问网站的时候不会出现警告。
架设独立根CA
由于独立根CA需要自己给自己签发CA证书，而CA证书包含一些计算机的配置信息，因此在安装证书服务前必须要配置好计算机的主机名和IP地址。
由于用户只能通过浏览器向独立根CA申请证书，因此独立根CA还要提供Web服务器功能，需要在CA服务器中先安装IIS，并且需要ASP脚本语言支持。
在“控制面板/添加或删除程序/Window组件”中勾选“证书服务”，并点击“详细信息”，在“证书服务的子组件”窗口中勾选“证书服务”和“证书服务Web注册支持”。
由于用户只能通过浏览器向独立根CA申请证书，因此独立根CA还要提供Web服务器功能，需要在CA服务器中先安装IIS。
在客户端浏览器中输入URL“ http://CA服务器IP/certsrv/”，可打开证书申请页面。