CA服务器配置原理与图解过程

CA服务器的安装与配置

新建一个网站，并设好IP。然后再右击属性，申请证书。

然后停用这个网站，用默认网站去申请证书等等。如图

然后单击高级证书申请。进入页面之后

再进入所选目标，之后将保存在默认c 盘中的代码复制如图

显示如图

然后进入证书机构颁发证书

然后颁发证书。然后返回到先前的网站上点击主业查看证书挂起状态。显示如图

下载证书到桌面

再进入新建的网站右击属性

证书安装成功

然后进入到网站进入主页再申请一个证书这次选中web证书申请

进入之后可随便填但是国家最好填ch 提交之后设置安全级别为高

密码自己设置一个别搞忘了不然后果自负。。。

完成之后再进入证书颁发机构再颁发证书，方法如上。

颁发完后再查看证书挂起状态再安装证书

之后停用默认网站启用新建网站

最后一点必须更改就是右击新建的网站进入编辑

更改如图

Ca配置全过程

生成证书申请CRS文件

A，在W AS（采集服务器）安装机上，找到ikeyman工具（c:\IBM\WebSphere\AppServer\bin）B，运行ikeyman，在菜单中选择“创建数据库文件”，格式选择“jks”，密码“xxx”，路经为“c:\key”，文件名“xxx.jks”

C，创建证书请求：密钥标号“YN”，密钥大小“1024”，公共名称: “YN”，组织: “YN”，组织单位: “YN”，市、县、区：“KUNMING”，省、直辖市: “YUNNAN”邮政编码:“650031”，国家:“CN”，文件名“xxx.arm”

1，发送请求文件到RA中心签名

A，发送“xxx.arm”到RA中心（制证处）

B，从电子政务接受签名证书，xxx.cer，根证书YUNNAN CA.cer，YUNNAN ROOT CA.cer 导入签名证书

A，在W AS（采集服务器）安装机上，运行ikeyman，打开key数据库“xxx.jks”

B，选择“个人证书”，选择“接收”，选择“xxx.cer”

C，导入签名证书

配置WAS的ssl

A,登陆W AS（采集服务器）的控制台，https://127.0.0.1:9043/ibm/console,用户名sa, 密码xxx B,选择“安全性”，选择“ssl”,选择“新建”，配置ssl

在导航树中,选择安全==>SSL

单击新建一个SSL配置

指定一个别名，例如W ASServerSSL

指定连接为SSL

指定密钥文件，密码；信任文件，密码

点击运用，屏幕上端选择保存

一、PC1上

1、 安装域控和DNS 服务

“dcpromo ”

注意计算机名和SID 号的使用问题

Pc2和ISA 均需要加入到域控中

2、 创建CA 服务器

“添加或删除windows 组件”—“证书服务”—“企业根”—“CA 命名”

3、发布一个站点

二、真实机上

1、创建对CA 的信任

真实机访问PC1的站点—“下载一个CA 证书”—保存在C ：\

2、运行—“mmc ”—“添加或删除管理单元”—“添加证书”—“计算机账户—“受信任的根证书颁发机构”—“证书”—“导入”保存在c:\下的证书

三、PC2上

1、 为web 站点申请证书

IIS —“目录安全性”—“服务器证书”—“新建证书”—“立即……”—“公用名称（与外网访问域名一致）”

2、 导出证书

IIS —“目录安全性”—“查看证书”—“详细信息”—“复制到文件”—“是，导出私钥”

四、ISA 上

1、 导入PC2上“导出的证书”

2、 创建安全发布规则

监听443端口。使用ssl 加密连接（内部站点名称和外网访问域名一致）

ca证书服务器工作原理

CA（Certificate Authority）证书服务器是一种用于管理和颁发

数字证书的服务器，其工作原理如下：

1. 申请证书：用户向CA证书服务器提交数字证书申请请求。

申请包括用户的公钥、个人身份信息等。

2. 身份验证：CA证书服务器对用户的身份进行验证，以确保

用户的合法性和真实性。常见的验证方式包括邮件验证、电话验证和面对面验证等。

3. 证书生成：经过身份验证的用户，CA证书服务器会生成一

份数字证书，其中包括用户的公钥、个人身份信息和证书的有效期等。

4. 私钥签名：CA证书服务器使用自己的私钥对生成的数字证

书进行签名，以保证证书的完整性和真实性。

5. 证书发布：CA证书服务器将签名后的数字证书发送给用户，以便用户在使用数字证书时进行验证。

6. 证书更新：数字证书有一定的有效期，过期后需要进行更新。用户可以向CA证书服务器申请证书更新，CA证书服务器会

重新签发新的数字证书。

7. 证书验证：在使用数字证书进行身份验证时，验证方需要获取证书的公钥，并使用CA证书服务器的公钥对数字证书进行

验证，以确保证书的真实性和完整性。

总结起来，CA证书服务器的工作原理主要包括申请证书、身份验证、证书生成、私钥签名、证书发布、证书更新和证书验证等步骤。通过CA证书服务器，用户可以获取到具有可信任性的数字证书，以确保在网络通信和数据传输中的安全性和可信度。

下面安装配置CA服务器：

首先打开“服务器管理器”→添加角色，选中“Acitve Directory证书服务”。如下图所示

单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。后者主要是通过web界面来进行证书的相关操作。如下图所示。

单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。

单击“下一步”，如下图所示，由于是企业中第一个证书服务器，所以我们选“根CA”。

单击“下一步”，如下图所示，选择“新建私钥”；

单击“下一步”，如下图所示，这里就用默认的。

单击“下一步”，如下图所示，这边修改CA的公用名称为CA01，该名称无实际意义，随便取。

上图中的可分辨后缀名可不填写。下面的操作全部默认，过程这里省略了。

安装IIS服务过程略过，但注意一定要选择""组件!

下面配置web服务器

首先安装好IIS和DNS组件，这里省略。

打开IIS，这里我们的加密网站就直接使用原来的默认网站了，当然新建网站也一样做。首先修改C:\inetpub\wwwroot中的首页，把原来的文件删除，新建一个index.htm，内容任意。并且测试下这个网页能被访问到，如下图所示：

注意：新建网页的时候，我们一般是用记事本，然后另存为index.htm，这里注意和windows 2003不一样，需要打开后缀名。否则另存为后的文件是index.htm.txt。在这里把DNS也配好，添加主机记录，客户机的的DNS地址也要设置好，测试通过域名能访问该网站。

IIS服务器此时还不信任颁发证书的CA服务器。解决办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构",

WindowsCA_证书服务器配置

Windows CA 证书服务器配置

一、介绍

Windows CA 证书服务器是用于创建和管理数字证书的工具。本文将指导您如何配置 Windows CA 证书服务器以确保安全的证书管理和分发。

二、系统要求

在开始配置 Windows CA 证书服务器之前，请确保系统满足以下要求：

1、Windows Server 操作系统。

2、硬件资源满足最低配置要求。

3、网络连接稳定。

三、安装 Windows CA 证书服务

1、打开“服务器管理器”。

2、在“角色和功能”窗口中，选择“添加角色和功能”。

3、在向导中，选择“角色基于功能或角色的安装”，并“下一步”。

4、选择要安装 Windows CA 证书服务的服务器，“下一步”。

5、在“选择服务器角色”窗口中，选中“Active Directory 统一访问角色”，“下一步”。

6、在“选择角色服务”窗口中，选中“证书授权服务”，“下一步”。

7、在“确认安装选择”窗口中，“安装”。

8、安装完成后，“关闭”。

四、配置 Windows CA 证书服务器

1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“证书授权站点”。

3、在右侧窗口中，“配置证书授权站点”。

4、在向导中，选择“企业证书授权站点”，“下一步”。

5、选择要使用的证书数据库类型，“下一步”。

6、配置站点设置，包括站点名称、默认访问 URL 等，“下一步”。

7、配置证书颁发策略，设置证书的颁发方式和条件，“下一步”。

8、配置证书申请策略，设置证书的申请方式和条件，“下一步”。

WindowsCA_证书服务器配置

Windows CA证书服务器配置指南

一、引言

Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤

1、安装证书服务

在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA

在安装完证书服务后，需要创建一个根CA。在“服务器管理器”中，打开“证书”并选择“根CA”。在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略

在创建完根CA后，需要配置颁发机构策略。在“服务器管理器”中，打开“证书”并选择“颁发机构”。在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略

在配置完颁发机构策略后，需要配置申请策略。在“服务器管理器”中，打开“证书”并选择“颁发机构”。在“颁发机构”对话框中，

选择“申请”选项卡，然后根据需要进行配置。例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请

当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。在“服务器管理器”中，打开“证书”并选择“颁发机构”。在“颁

windows环境下独立根ca的安装和使用实验

原理

在Windows环境下安装和使用独立根CA的实验原理如下：

1. 安装独立根CA：

- 首先，在Windows服务器上运行“Server Manager”并选择“添加角色和功能”。

- 在安装类型中选择“基于角色或基于功能的安装”。

- 选择要安装根CA的服务器并选择“下一步”。

- 在“功能”窗口中，选择“证书服务”并点击“下一步”。

- 在“证书服务”窗口中，选择“认证机构的Web注册界面”和“证书框架”。

- 完成安装过程，等待安装完成。

2. 配置独立根CA：

- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“配置CA”。

- 在“设置CA角色”窗口中选择“独立根CA”并点击“下一步”。

- 配置CA名称和保存路径，并点击“下一步”。

- 设置CA的公共密钥长度并点击“下一步”。

- 选择“创建根凭据并指定名称”并输入凭据名称。

- 配置完成后，点击“下一步”并等待配置完成。

3. 使用独立根CA颁发证书：

- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“请求新证书”。

- 在“证书颁发机构策略”窗口中选择“Web服务器”和“合规性”选项。

- 输入要安装的证书请求文件的位置并点击“下一步”。

- 在“证书颁发机构证书安装向导”中，点击“下一步”直到完成安装。

Windows server 2003 CA配置(一)

CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。C A在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可使用该证书。CRL：是被CA吊销的证书的列表。

基于WINDOWS的CA支持4种类型

企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。

企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA证书，企业从属C A需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA

独立根CA：独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。

CA（证书颁发机构）配置概述图解过程

一．CA（证书颁发机构）配置概述

由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。

CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。

CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA 和独立从属CA。

安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入[url]http://ca[/url]服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。

服务器CA数字证书应用图解

一、什么是数字证书及作用？

数字证书确实是互联网通讯中标志〔证明〕通讯各方身份信息的一系列数据，提供了一种在Internet 上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权〔Certificate Authority〕中心发行的，人们能够在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公布密钥拥有者信息以及公布密钥的文件。最简单的证书包含一个公布密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公布的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它要紧是为了提高IT系统在敏锐数据应用领域的安全性，为用户业务提供更高安全保证；

注：数字证书，下面均简称证书；

二、如何搭建证书服务器？

搭建证书服务器步骤如下：

1、登陆Windows Server 2020服务器；

2、打开【服务器治理器】；

〔图2〕

3、点击【添加角色】，之后点击【下一步】；

〔图3〕

4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；

〔图4〕

5、进入证书服务简介界面，点击【下一步】；

〔图5〕

6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；

〔图6〕

7、勾选【独立】选项，点击【下一步】；〔由于不在域治理中创建，直截了当默认为：〝独立〞〕

(图7)

8、首次创建，勾选【根CA】，之后点击【下一步】；

下面安装配置CA服务器：

首先打开“服务器管理器”→添加角色，选中“Acitve Directory证书服务”。如下图所示

单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。后者主要是通过web界面来进行证书的相关操作。如下图所示。

单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。

单击“下一步”，如下图所示，由于是企业中第一个证书服务器，所以我们选“根CA”。

单击“下一步”，如下图所示，选择“新建私钥”；

单击“下一步”，如下图所示，这里就用默认的。

单击“下一步”，如下图所示，这边修改CA的公用名称为CA01，该名称无实际意义，随便取。

上图中的可分辨后缀名可不填写。下面的操作全部默认，过程这里省略了。

安装IIS服务过程略过，但注意一定要选择""组件!

下面配置web服务器

首先安装好IIS和DNS组件，这里省略。

打开IIS，这里我们的加密网站就直接使用原来的默认网站了，当然新建网站也一样做。首先修改C:\inetpub\wwwroot中的首页，把原来的文件删除，新建一个index.htm，内容任意。并且测试下这个网页能被访问到，如下图所示：

注意：新建网页的时候，我们一般是用记事本，然后另存为index.htm，这里注意和windows 2003不一样，需要打开后缀名。否则另存为后的文件是index.htm.txt。在这里把DNS也配好，添加主机记录，客户机的的DNS地址也要设置好，测试通过域名能访问该网站。

IIS服务器此时还不信任颁发证书的CA服务器。解决办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构",

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘

添加IIS组件：

点击‘确定’，安装完毕后，查看IIS管理器，如下：

添加‘证书服务’组件：

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：

由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：

填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：

单击‘是’，继续安装，可能再弹出如下窗口：

由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS 的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP 功能，点击‘是’继续安装：

‘完成’证书服务的安装。

开始》》》管理工具》》》证书颁发机构，打开如下窗口：

我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。