要说证书先要说说加密的形式 就分两种对称加密,非对称加密 还有一种形式也经常被人提及就是所谓的混合加密的概念其实
就是利用对称加密的速度优势与非对称加密的安全优势的一种结合,(一般工作也不会遇到)
一。ca信任问题
1.如果CA与AD为同一台服务器,会自动应用策略与域成员建立信任关系。
2.如果CA与AD不为同一台服务器,需要在AD中使用组策略把CA中的公钥推下去 添加信任。
3.没有加域的客户端只能通过手动申请的方式。或者拷贝公钥手动添加进去。
二。用户身份验证问题
对于需要使用iis申请用户证书时候 在部署caWeb注册的时候要勾选基本身份验证(为iis申请证书时提供验证方式)在tmg对外发布 证书的时候 没有用户的身份验证,是无法完成跳转的。
三。crl问题
关于crl地址的问题,对于要在外网使用https 证书加密的问题,证书也是要发布出去的,确切的说是证书crl 吊销列列表也是要发布出去的。
三。多域名证书问题。
默认一个证书只能绑定一个域名,但是对于需要多域名的,例如(exchange多域名证书可以在申请exchange证书时候写进去,网站多域名证书,rds部署不同角色部署不同机器,需要多域名证书)。这些都是可以在复制计算机模板以后申请证书时候写进去的。
最后说下重点就是证书的吊销列表的发布:
第一种
1证书服务器右键属性-拓展。选择crl分发点cdp 发布
2 需要把证书也分发出去做验证
,
说明第一种方法,会把ca证书的服务器名称作为域名分发出去,如果要想自定义访问ca的域名就需要第二种方法。
第二种:
1 打开iis查看默认证书的吊销列表的存储情况。在ca拓展中添加http的新的吊销地址。http://域名/吊销列表文件名\吊销列表文件名称
3.填写好以后发布一下
4.添加有权信息访问AIA http://域名/吊销列表文件夹\吊销证书全名 然后 发布出去。
重启证书服务,重新发布吊销列表机器新增的更改,对于以前的证书 不会生效,如果需要可以把以前的证书删除然后再重新申请。