在建立認證服務之前,選擇一種適應需要的認證模式是非常關鍵的,安裝認證服務時可選擇4種CA模式,每種模式都有各自的性能和特性。
企業根CA
企業根CA是認證體系中最高級別的證書頒發機構。它通過活動目錄來識別申請者,並確定該申請者是否對特定證書有訪問權限,。如果只對組織中的用戶和計算機頒發證書,則需建立一個企業的根CA。一般來講,企業的根CA只對其下級的CA頒發證書,而下級CA再頒發證書給組織中的用戶和計算機。安裝企業根CA需要如下支持:
1.活動目錄證書服務的企業策略信息存放在活動目錄中。
2.DNS名稱解析服務在Windows2003中活動目錄與DNS緊密集成。
3.對DNS活動目錄和CA服務器的管理權限。
企業下級CA
企業下級CA是組織直接向用戶和計算機頒發證書的CA。企業下級CA在組織中不是最受信任的CA,它還要有上一級CA來確定自己的身份。
獨立根CA
獨立根CA是認證體系中最高級別的證書頒發機構,獨立CA不需活動目錄,因此即使是域中的成員也可不加入到域中。獨立根CA可從網絡中斷開放置到安全的地方。獨立根CA可用於向組織外部的實體頒發證書,同企業根CA一樣,獨立根CA通常只向其下一級的獨立CA頒發證書。
獨立CA
獨立CA將直接組織外部的實體頒發證書。建立獨立CA需要以下支持:
1.上一級CA:比如組織外部的第三方商業性的認證機構。
2.因爲獨立CA不需要加入到域中,因此要有對本機操作的管理員權限。
認證服務不是Windows2003的默認服務,需要在Windows2003安裝完畢後手工添加。
瞭解了上面的信息之後,我們今天配置的是在windows server 2003下配置ca認證服務器,使用scep頒發證書。
注意:這個例子是要辦法證書給路由器,所以沒有配置驗證密碼,後面會講到。
首先,安裝好系統windows server 2003,。可以去這個地址下載,同時附有激活碼:點擊下載
配置ip地址爲:192.168.110.212
安裝服務器證書服務和IIS
選擇【應用程序服務器】和【證書服務】,下一步安裝。
@中間可能會提示安裝一些文件,你可以插入安裝文件到磁盤。
安裝完成後。開啓iis的asp功能
然後,開始安裝scep插件,首先下載scep插件 :點擊下載
點擊安裝,
選擇【是】,
選擇【yes】
填寫必要的信息。下一步,不要選擇 【需要密碼驗證】。
安裝完成後,證書服務服務內會生產兩個證書。
設置自動簽發證書。右鍵點擊 【ca server】---【屬性】
點擊【屬性】,設置如下所示,確定完成。
這個是安裝基本完成,我們可以在iis內看到如下所示:
右擊瀏覽:
更多關於scep的相關知識:參考 http://wenku.baidu.com/view/8d1a982a4b73f242336c5f6f.html