首先做個廣告,一般搞技術的人追求的是技術,根本不在乎技能證書和學歷證書,但在現實工作中卻需要,我這提供辦理真實網上可查的學歷證書,詳細諮詢Q 83992088
CA:Certificate Authority,證書權威機構,也稱爲證書頒發機構或認證中心)是PKI中受信任的第三方實體。負責證書頒發、吊銷、更新和續訂等證書管理任務和CRL發佈和事件日誌記錄等幾項重要的任務。首先,主體發出證書申請,通常情況下,主體將生成密鑰對,有時也可能由CA完成這一功能,然後主體將包含其公鑰的證書申請提交給CA,等待批准。CA在收到主體發來的證書申請後,必須覈實申請者的身份,一旦覈實,CA就可以接受該申請,對申請進行簽名,生成一個有效的證書,最後,CA將分發證書,以便申請者可使用該證書。CRL:是被CA吊銷的證書的列表。
基於WINDOWS的CA支持4種類型:
企業根CA:它是證書層次結構中的最高級CA,企業根CA需要AD。企業根CA自行簽發自己的CA證書,並使用組策略將該證書發佈到域中的所有服務器和工作站的受信任的根證書頒發機構的存儲區中,通常,企業CA不只爲用戶和計算機證書提供資源,但是它是證書層次結構的基礎。
企業從屬CA:企業從屬CA必須從另一CA(父CA)獲得它的CA證書,企業從屬CA需要AD,當希望使用AD,證書模板和智能卡登錄到運行WINDOWS XP和WIN2003的計算機時,應使用企業從屬CA。
獨立根CA:獨立根CA既可以是域的成員也可以不是。由於獨立根CA不需要AD,因此可以很容易地將它從網絡上斷開並置於安全的區域,這在創建安全的離線根CA時非常有用。
獨立從屬CA:獨立從屬CA必須從另一CA(父CA)獲得它的CA證書,獨立從屬CA可以是域的成員也可以不是,因此它不需要AD,但是,如果存在AD用於發佈和證書吊銷列表,則會使用AD。
實驗拓撲和說明如下:
爲了簡化網絡做實驗,服務器上雙網卡,IIS上兩個網站,一個網站是CA的,安裝好就有的,綁定地址1.1.1.1,這樣通過http://1.1.1.1/certsrv可以申請證書。再另外建一個網站web,綁定地址1.1.1.2,用來做SSL實驗。網站域名爲www.abc.com
1. 準備工作
首先在CA服務器上安裝IIS、DNS、證書頒發機構,在控制面板的刪除/添加windows組建裏
選擇獨立根CA,點擊下一步
舒服CA的公用名稱,可分辨名稱後綴可以省略,點擊下一步
點擊下一步
打開證書頒發機構,看見如下圖所以,證明安裝成功
2. 建立SSL網站
我們已經建立好2個網站一個是默認網站使用1.1.1.1這個地址用來申請證書,另外一個使用地址1.1.1.2,域名爲www.abc.com。
右擊打開描述爲ssl網站的屬性,點擊目錄安全性,在安全通行裏,點擊服務器證書。
點擊新建證書,下一步
點擊“下一步”
點擊下一步
輸入公司和部門名稱,點擊下一步
下一步
輸入國家省份,點擊下一步
一定要記住下面文件的路徑,等會申請證書的時候要用到文件內容
然後點擊完成。
再次點擊網站目錄安全性,安全通行裏面的編輯
在要求安全通行(SSL)前面點上勾,要求128位加密也點上勾,客戶端證書選擇要求客戶端證書,點擊確定
3. 打開IE瀏覽器輸入http://1.1.1.1/certsrv申請證書,跳出網站後,點擊申請一個證書
我們選擇高級證書申請,接着選擇“用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請,或使用 base64 編碼的 PKCS #7 文件續訂證書申請。”
接下來把前面保存的txt文件打開來,把裏面的內容複製,黏貼到保存的申請裏面,點擊提交
在證書服務器上打開被掛起的申請,右擊頒發證書
接着打開http://1.1.1.1/certsrv,選擇查看掛起的證書申請的狀態
點擊保存的申請證書
下載證書鏈
在打開ssl網站的屬性裏面的目錄安全性,通行安全裏面的服務器證書,處理掛起的請求並安裝證書,點擊下一步
選擇瀏覽剛剛下載的證書鏈
下面下一步知道完成,接下來查看證書,確定ssl網站建立完成
4,配置客戶端
在客戶端上輸入http://1.1.1.1/certsrv申請證書的網站,點擊申請一個證書
點擊WEB瀏覽器證書
填好個人資料後點擊提交
接下來到服務器上頒發證書
在到客戶端上打開http://1.1.1.1/certsrv點擊查看掛起的證書申請的狀態
點擊WEB瀏覽器證書
點擊安裝此證書
安裝成功
最後驗證試驗,在客戶端輸入https://www.abc.com,會出現安全警報的提示,點擊是,
選擇數字證書,點擊“確定”
看到了ssl網站的內容