搭建CA服务器
CA服务器即我们平时所说的证书颁发机构,由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。
CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书主要有三大功能:加密、签名、身份验证。这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。
OK、下面我们开始安装和部署CA证书服务器:
安装证书服务
打开服务器管理器:
点击添加角色或功能:
这里我们勾选证书服务:
点击添加功能:
确认已经成功勾选证书服务后点击下一步:
这里我们直接点击下一步:
这里系统给我们解释了一下 CA服务器的注意事项,我们直接点击下一步:
这里我们勾选证书颁发机构和证书颁发季候Web注册:
点击添加功能:
确认所要勾选的内容没有错误后,点击下一步:
这里可以看到我们安装证书服务器系统会自动给我们安装WEB服务器(IIS),我们直接点击下一步:
这里保持默认,点击下一步:
确认所要安装内容没有问题后,点击安装:
安装开始,我们稍等片刻:
OK安装完成!
部署CA证书服务器
点击配置目标服务器上的Active Directory 证书服务:
系统给我们弹出了AD CS配置向导,我们在凭据位置保持默认,点击下一步:
这里我们勾选我们所安装的两个功能:证书颁发机构和证书颁发机构Web注册,点击下一步:
在CA类型处我们选择企业CA,点击下一步:
因为这是我们安装的第一个CA服务器,所以我们选择跟CA,点击下一步:
在私钥类型处我们选择创建新的私钥,点击下一步:
加密类型出我们可以根据实际需求进行选择,在此我保持默认,直接点击下一步:
CA名称我们保持默认,点击下一步:
证书有效期我们可根据实际需求进行选择,在此我保持默认,选择5年,点击下一步:
证书数据库位置我保持默认,点击下一步:
系统给我们弹出了配置摘要,我们确定没有问题,点击配置:
配置开始,我们稍等其完成:
OK、配置成功,我们点击关闭。
验证CA证书服务器
1、 IIS
通过浏览器访问:http://IP地址或域名/certsrv
在此我们输入域用户名和密码,点击确定:
访问成功!
2、 证书颁发机构的管理工具:
打开服务器管理器,点击工具:
点击证书颁发机构:
成功进入证书服务器的管理工具!
OK到这里两项检测均没有问题,证明我们的证书服务器搭建成功!