SSL应用系列之一:CA证书颁发机构(中心)安装图文详解

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://jeffyyko.blog.51cto.com/28563/140518

       如果你需要在组织里发布exchange,或者需要给IIS配置SSL的访问方式,则需要部署CA,关于CA的应用,后续会有几篇文章来专门叙述,本文仅仅介绍CA证书颁发机构的安装,这也是SSL应用的基础工作。

 

阅读本文,你将了解到以下内容

 

◆什么是CA及CA的作用

◆安装CA的准备条件

◆如何CA安装

◆何为根证书

 

       在安装CA前,我们需要了解什么是CA。字面上理解,CA即Certificate Authority ,也就是证书授权中心,对于这6个字,如何理解?来帮大家逐字分析一下:

中心:可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台

授权:可以理解为,如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证,获得许可以后才可以继续操作。

证书:证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。

 

       总结一下,为了实现证明及安全的目的,我们建立了一套系统或者平台,它可以用来证明某些事物的合法性和真实存在性,并且为此提供足够强的保护,从而来抵御外界的攻击。这就是证书认证系统或者证书授权中心。概念似乎很抽象,不过后面会讲到更多的应用,当你理解这些应用后,再回过头来看这段话就会觉得很好理解。

我们开始吧,首先介绍一下CA安装的基础环境。

 

基础环境:

1、服务器版本操作系统,2000ser或2003 ser ,2008 ser等

2、安装CA前,请先安装好IIS。

 

一、安装CA

1、首先打开添加与删除程序,找到添加与删除组件,找到证书服务

1.jpg

当我们选中证书服务的时候,系统会弹出一个提示

2.jpg

大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中,所以装完CA后无法修改计算机名称,我们这里点击YES,

3.jpg

这里有4种CA类型可供选择。

有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个,并点击【Next】

4.jpg

在这个界面中,我们需要注意两个地方,

1、common name for this ca 

这里的名称其实和之后要申请的公共名称没有太大关联,我们可以自己命名,因为这个只是给我们要安装的CA起的一个可识别的名称而已,没有实际含义。所以这里

我写的是ca01,请大家不要和申请SSL或者发布OWA时所输入的公共名称相混淆。

2、Validity period

这个是安装的CA机构可正常运行的期限,即自安装日起5年内可以正常处理各种类型的证书的申请请求。当然你也可以手动更改,在右侧会出现相应的过期日期。

输入根CA的名称后,点击【Next】,经过一个很简短的过程之后,出现以下图示:

5.jpg

 

我们可以设置CA证书的数据库以及日志的存放路径,一般默认即可,点击【Next】继续,此时会弹出一个提示窗口,如下图示:

6.jpg

意思是,要完成CA的安装,需要临时停止IIS服务器,由于我这里IIS上没有运行web,所以可以直接点YES,这点请留意。

确定后,就开始自动安装CA组件了。

安装过程中,如果你没有事先启用IIS6里的ASP的话,就会出现下面的提示,此时只需确定即可。

7.jpg

经过大概1、2分钟的安装过程后,CA组件顺序安装完毕。

8.jpg

点击Finish完成整个过程。

二、查看CA

CA已安装,但在哪里查看呢?别急,我们可以通过2个办法来实现

1、可以依次点击 开始/程序/管理工具/Certification Authority

2、也可以在命令窗口内输入certsrv.msc,确定后直接打开CA

2种方法效果都是一样的,我们选用第二种方法。

下面是打开的主界面

9.jpg

这里我们可以看到ca01这个名称,熟悉吗? 对了,这就是我们在申请CA的时候输入的CA机构的名称,请记住,这仅仅是一个名称,对以后申请各类应用型的证书没有任何影响。

下面5个文件夹分别是【吊销的证书】、【已颁发的证书】、【挂起的请求】、【失败的请求】、【证书模板】,这里不做细述,以后用到的时候再讲,其实很简单。

    

     在这里我想和大家讨论的一个概念,就是“根证书”。其实当我们把CA机构创建完毕后,它的基本功能就是它将为其他应用程序或者服务器等颁发及管理证书,在安装完毕后,它会给自己颁发一个证书,也就是root certificate 根证书,而且是自己信任自己的,那在哪里查看呢???

右键ca01,选择【属性】,如下图:

10.jpg

我们可以很清晰的看到有一个certificate #0的证书,这就是ca01这个CA颁发机构的根证书。点击右下角的View Certificate ,可以查看根证书的详细属性。

 

【常规】选项卡,这里可以看到很简要的信息,比如颁发者ca01,颁发给ca01,也就是自己给自己颁发,很简单,它是根CA,也是该网络里的第一台CA证书服务器,只能自己给自己颁发一个根证书,为什么要这么做呢?原因有两点,1、它是最高级别的CA  2、为后面申请的CA证书提供认证。

11.jpg

【详细信息】选项卡,这里不但可以查看证书的一些基本信息,包括证书版本,生效日期,以及失效日期,还有算法及加密信息等。

右下角有一个 copy to file,我们可以利用这个选项将根证书导出为3种不同的格式,我会在后面的教程中说到。

12.jpg

【证书路径】选项卡,这里显示的是证书体系的逻辑结构,因为我现在只有根证书,所以也只能看到自己了。

13.jpg

 

OK,关于CA安装的图文详解先写到这里,后面还会有相关的文章,尽请期待!

 

To be continued ..

转自:http://jeffyyko.blog.51cto.com/28563/140518

原创文章,作者:s19930811,如若转载,请注明出处:http://www.178linux.com/1653

(0)
上一篇 2015-03-26 09:54
下一篇 2015-03-26 10:11

相关推荐

  • echo命令的简单用法和实例

        在CentOS 6.8版本下,通过实例的形式,展现选项和参数的灵活运用,可以简明的了解echo的用法。 一、语法:echo [SHORT-OPTION]… [STRING]… ;echo [选项]…[参数]       作用:将需要的内容输出到终端或者其他文件。 二、实例和选项参数的用法: (1)文本…

    Linux干货 2017-03-27
  • Linux的文件系统和目录

    Linux的文件系统和目录 Linux目录和Windows目录有着很大的不同,Linux目录类似一个树,最顶层是其根目录,如下图: 文件系统和目录:   详细用法如下 / bin     存放用户使用的基本命令(可执行程序,二进制文件),它是不能单独分区的 boot    跟内核…

    2017-03-26
  • 15磁盘管理

    在系统中,常见的硬盘接口有分两类:并行的和串行的 并行: IDE: 133MB/s SCSI: 640MB/s 串行: SATA: 6Gbps SAS: 6Gbps USB: 480MB/s 存储设备的设备文件命名方式大致为:/dev/DEV_FILE IDE: /dev/hd#  #–>0,1,2,3 SCSI,SATA,SAS…

    Linux干货 2016-12-02
  • 计算机组成及各部分功能

    计算机组成及各部分功能 计算机组成 区别于利用机械原理对数据进行处理的机械计算机,计算机现在一般都指电子计算机,即电脑。计算机是一种利用电子学原理,根据一些列指令对数据进行处理的工具。 不管是机械计算机还是电子计算机其主要目的还是代替人来完成一系列的数据计算。1941年夏天诞生的阿塔纳索夫-贝瑞计算机是世界上第一部电子计算机,使用了真空管计算器,二进制数值,…

    Linux干货 2016-10-27
  • 马哥教育网络班22期+第三周课程练习

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。     [root@zabbix ~]# who|awk '{print $1}'|sort| uniq 2、取出最后登录到当前系统的用户的相关信息。 &nb…

    Linux干货 2016-08-23
  • 用户和组相关的配置文件总结

    包括:/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow,/etc/login.defs,/etc/dufaults/useradd,/etc/skel/.*,/etc/gdm/custom.conf,   /etc/passwd 用户信息库文件;用于保存用户账号信息; 各字段含义依次为: 用户名:用户密…

    Linux干货 2016-10-25