SSL应用系列之一:CA证书颁发机构(中心)安装图文详解

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://jeffyyko.blog.51cto.com/28563/140518

       如果你需要在组织里发布exchange,或者需要给IIS配置SSL的访问方式,则需要部署CA,关于CA的应用,后续会有几篇文章来专门叙述,本文仅仅介绍CA证书颁发机构的安装,这也是SSL应用的基础工作。

 

阅读本文,你将了解到以下内容

 

◆什么是CA及CA的作用

◆安装CA的准备条件

◆如何CA安装

◆何为根证书

 

       在安装CA前,我们需要了解什么是CA。字面上理解,CA即Certificate Authority ,也就是证书授权中心,对于这6个字,如何理解?来帮大家逐字分析一下:

中心:可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台

授权:可以理解为,如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证,获得许可以后才可以继续操作。

证书:证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。

 

       总结一下,为了实现证明及安全的目的,我们建立了一套系统或者平台,它可以用来证明某些事物的合法性和真实存在性,并且为此提供足够强的保护,从而来抵御外界的攻击。这就是证书认证系统或者证书授权中心。概念似乎很抽象,不过后面会讲到更多的应用,当你理解这些应用后,再回过头来看这段话就会觉得很好理解。

我们开始吧,首先介绍一下CA安装的基础环境。

 

基础环境:

1、服务器版本操作系统,2000ser或2003 ser ,2008 ser等

2、安装CA前,请先安装好IIS。

 

一、安装CA

1、首先打开添加与删除程序,找到添加与删除组件,找到证书服务

1.jpg

当我们选中证书服务的时候,系统会弹出一个提示

2.jpg

大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中,所以装完CA后无法修改计算机名称,我们这里点击YES,

3.jpg

这里有4种CA类型可供选择。

有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个,并点击【Next】

4.jpg

在这个界面中,我们需要注意两个地方,

1、common name for this ca 

这里的名称其实和之后要申请的公共名称没有太大关联,我们可以自己命名,因为这个只是给我们要安装的CA起的一个可识别的名称而已,没有实际含义。所以这里

我写的是ca01,请大家不要和申请SSL或者发布OWA时所输入的公共名称相混淆。

2、Validity period

这个是安装的CA机构可正常运行的期限,即自安装日起5年内可以正常处理各种类型的证书的申请请求。当然你也可以手动更改,在右侧会出现相应的过期日期。

输入根CA的名称后,点击【Next】,经过一个很简短的过程之后,出现以下图示:

5.jpg

 

我们可以设置CA证书的数据库以及日志的存放路径,一般默认即可,点击【Next】继续,此时会弹出一个提示窗口,如下图示:

6.jpg

意思是,要完成CA的安装,需要临时停止IIS服务器,由于我这里IIS上没有运行web,所以可以直接点YES,这点请留意。

确定后,就开始自动安装CA组件了。

安装过程中,如果你没有事先启用IIS6里的ASP的话,就会出现下面的提示,此时只需确定即可。

7.jpg

经过大概1、2分钟的安装过程后,CA组件顺序安装完毕。

8.jpg

点击Finish完成整个过程。

二、查看CA

CA已安装,但在哪里查看呢?别急,我们可以通过2个办法来实现

1、可以依次点击 开始/程序/管理工具/Certification Authority

2、也可以在命令窗口内输入certsrv.msc,确定后直接打开CA

2种方法效果都是一样的,我们选用第二种方法。

下面是打开的主界面

9.jpg

这里我们可以看到ca01这个名称,熟悉吗? 对了,这就是我们在申请CA的时候输入的CA机构的名称,请记住,这仅仅是一个名称,对以后申请各类应用型的证书没有任何影响。

下面5个文件夹分别是【吊销的证书】、【已颁发的证书】、【挂起的请求】、【失败的请求】、【证书模板】,这里不做细述,以后用到的时候再讲,其实很简单。

    

     在这里我想和大家讨论的一个概念,就是“根证书”。其实当我们把CA机构创建完毕后,它的基本功能就是它将为其他应用程序或者服务器等颁发及管理证书,在安装完毕后,它会给自己颁发一个证书,也就是root certificate 根证书,而且是自己信任自己的,那在哪里查看呢???

右键ca01,选择【属性】,如下图:

10.jpg

我们可以很清晰的看到有一个certificate #0的证书,这就是ca01这个CA颁发机构的根证书。点击右下角的View Certificate ,可以查看根证书的详细属性。

 

【常规】选项卡,这里可以看到很简要的信息,比如颁发者ca01,颁发给ca01,也就是自己给自己颁发,很简单,它是根CA,也是该网络里的第一台CA证书服务器,只能自己给自己颁发一个根证书,为什么要这么做呢?原因有两点,1、它是最高级别的CA  2、为后面申请的CA证书提供认证。

11.jpg

【详细信息】选项卡,这里不但可以查看证书的一些基本信息,包括证书版本,生效日期,以及失效日期,还有算法及加密信息等。

右下角有一个 copy to file,我们可以利用这个选项将根证书导出为3种不同的格式,我会在后面的教程中说到。

12.jpg

【证书路径】选项卡,这里显示的是证书体系的逻辑结构,因为我现在只有根证书,所以也只能看到自己了。

13.jpg

 

OK,关于CA安装的图文详解先写到这里,后面还会有相关的文章,尽请期待!

 

To be continued ..

转自:http://jeffyyko.blog.51cto.com/28563/140518

原创文章,作者:s19930811,如若转载,请注明出处:http://www.178linux.com/1653

(0)
s19930811s19930811
上一篇 2015-03-26
下一篇 2015-03-26

相关推荐

  • chmod 没有执行权限的解决办法 [转载http://www.fblinux.com/?p=30]

    chmod没有权限,貌似就算是root用户也无法授权,这可咋办?chmod是设置权限的命令,但是自身没有了执行权限,那么就表示没有办法更改其他命令的权限,也没有办法改变自己的权限。 1 2 3 4 [root@localhost ~]# ll /bin/chmod ———-. 1 root root 48712 Oct 15 2014 …

    Linux干货 2017-01-01
  • 如何解决生产机上php代码连接mysql报错的故障

    大家好: 今天分享一则当生产机上的网站php代码不能连接Mysql服务器时怎么办? 当LNMP的网站建立好后,我们需要测试网站中的php代码。但发现如下报错怎么办? 解决方法如下:  mysql> show databases; +——————–+ | Dat…

    Linux干货 2016-12-18
  • Tomcat公猫

    官方站点:http://tomcat.apache.org/ Tomcat是一个能够运行java页面(jsp)的java’web服务器程序;安装使用之前需要先安装jdk包 jdk是JAVA的开发工具包,已随base收录进来,安装jdk1.8版本:yum -y install java-1.8.0-openjdk-devel (其中jvm虚拟机的运行程序就叫j…

    2017-05-23
  • 以后的运维是linux系统的天下

       搞IT行业差不多10年了,也接触过网络设备的配置,比如防火墙和交换机的管理,也管理过虚拟化平台,比如vmware的虚拟化,还懂一些简单的oracle数据库的安装,存储、光钎交换机的配置等,因为曾经在传统企业做过8年多的网管,当时的企业规模也是比较大,也接触了很多设备,但就是linux接触的不是很多,后来去一家公司做系统集成,也是什么…

    Linux干货 2016-10-19
  • 软件包管理rpm和yum基本使用

    RPM是RedHat Package Manager(RedHat软件包管理工具)类似Windows里面的“添加/删除程序”因而广受欢迎。逐渐受到其他发行版的采用。RPM套件管理方式的出现,让Linux易于安装,升级,间接提升了Linux的适用度。 rpm 执行安装包 二进制包(Binary)以及源代码包(Source)两种。二进制包可以直接安装在计算机中,…

    Linux干货 2016-08-29
  • Linux Basics-重定向与管道:第一部分

    Linux Basics-重定向与管道:第一部分 概述 本教程将介绍 Linux 中重定向标准 IO 流的基本技术。学习: 什么是重定向与标准 IO 流:标准输入、标准输出和标准错误 各种流和管道的实际应用   前提条件 你应该了解 Linux 基本知识以及拥有一个正常工作的 Linux 系统,在本文说明的实例中,我采用是CentOS 7 内核版本…

    Linux干货 2016-10-29